Configurare il pass di accesso temporaneo per registrare i metodi di autenticazione senza password
I metodi di autenticazione senza password, come ad esempio FIDO2 e l'accesso tramite telefono senza password tramite l'app Microsoft Authenticator, consentono agli utenti di accedere in modo sicuro senza password.
Gli utenti possono avviare metodi senza password in uno dei due modi seguenti:
- Usare i metodi di autenticazione a più fattori Microsoft Entra esistenti
- Usare un pass di accesso temporaneo
Un pass di accesso temporaneo (TAP) è un passcode limitato a tempo che può essere configurato per uno o più utilizzi. Gli utenti possono accedere con un TAP per caricare altri metodi di autenticazione senza password, come ad esempio Microsoft Authenticator, FIDO2 e Windows Hello for Business.
Il TAP semplifica anche il ripristino quando un utente ha perso o dimenticato il fattore di autenticazione avanzata, come ad esempio una chiave di sicurezza FIDO2 o un'app Microsoft Authenticator, ma deve accedere per registrare nuovi metodi di autenticazione avanzata.
Questo articolo illustra come abilitare e usare il TAP tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile eseguire queste azioni tramite le API REST.
Abilita il criterio pass di accesso temporaneo
Il criterio TAP definisce le impostazioni, come ad esempio la durata dei passaggi creati nel tenant, o gli utenti e i gruppi che possono usare un TAP per accedere.
Prima che gli utenti possano accedere con un TAP, è necessario abilitare questo metodo nei criteri del metodo di autenticazione e scegliere quali utenti e gruppi possono accedere tramite un TAP.
Pur essendo possibile creare un TAP per qualsiasi utente, solo gli utenti inclusi nei criteri possono accedervi. Gli utenti che hanno almeno il ruolo Amministratore dei criteri di autenticazione possono aggiornare il criterio TAP dei Metodi di autenticazione.
Per configurare il criterio TAP dei Metodi di autenticazione:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Protezione>Metodi di autenticazione>Criteri.
Nell'elenco dei metodi di autenticazione disponibili, selezionare Pass di accesso temporaneo.
Fare clic su Abilita e poi selezionare gli utenti da includere o escludere dai criteri.
(Facoltativo) Selezionare Configura per modificare le impostazioni predefinite del pass di accesso temporaneo, come ad esempio l'impostazione della durata massima o la lunghezza, e fare clic su Aggiorna.
Selezionare Salva per applicare il criterio.
Il valore predefinito e l'intervallo di valori consentiti sono descritti nella tabella seguente.
Impostazione Valori predefiniti Valori consentiti Commenti Durata minima 1 ora 10 – 43,200 minuti (30 giorni) Numero minimo di minuti di validità del TAP. Durata massima 8 ore 10 – 43,200 minuti (30 giorni) Numero massimo di minuti di validità del TAP. Durata predefinita 1 ora 10 – 43,200 minuti (30 giorni) I singoli passaggi tra la durata minima e massima configurata dai criteri possono sostituire il valore predefinito. Uso unico Falso Vero/Falso Quando il criterio è impostato su Falso, i pass nel tenant possono essere usati una o più volte durante la validità (durata massima). Applicando l’uso unico al criterio TAP, tutti i pass creati nel tenant sono monouso. Durata 8 8-48 caratteri Definisce la lunghezza del passcode.
Creare un pass di accesso temporaneo
Dopo aver abilitato un criterio TAP, è possibile creare TAP per gli utenti in Microsoft Entra ID. Questi ruoli seguenti possono eseguire varie azioni correlate a un TAP.
- Gli amministratori di autenticazione con privilegi possono creare, eliminare e visualizzare un TAP per amministratori e membri (ad eccezione di se stessi).
- Gli amministratori di autenticazione possono creare, eliminare e visualizzare un TAP per i membri (ad eccezione di se stessi).
- I lettori globali possono visualizzare i dettagli TAP per l'utente (senza leggere il codice stesso).
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
Passa a Identità>Utenti.
Selezionare l'utente per cui si vuole creare il TAP.
Selezionare Metodi di autenticazione e fare clic su Aggiungi metodo di autenticazione.
Seleziona Pass di accesso temporaneo.
Definire un'ora o una durata di attivazione personalizzata e selezionare Aggiungi.
Una volta aggiunti, vengono visualizzati i dettagli del TAP.
Importante
Prendere nota del valore TAP effettivo, in quanto si fornirà questo valore all'utente. Non è possibile visualizzare questo valore dopo aver selezionato OK.
Una volta terminata l’operazione, fare clic su OK.
I comandi seguenti illustrano come creare e ottenere un TAP tramite PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Per ulteriori informazioni, vedere New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.
Usare un pass di accesso temporaneo
L'uso più comune per un TAP: che l’utente registri i dettagli di autenticazione durante la configurazione del primo accesso o del dispositivo senza dover completare richieste di sicurezza aggiuntive. I metodi di autenticazione vengono registrati in https://aka.ms/mysecurityinfo. Gli utenti possono anche aggiornare i metodi di autenticazione esistenti qui.
Aprire un Web browser all'indirizzo https://aka.ms/mysecurityinfo.
Immettere l'UPN dell'account per cui è stato creato il TAP, come ad esempio tapuser@contoso.com.
Se l'utente è incluso nei criteri TAP, visualizzerà una schermata per immettere il TAP.
Immettere il TAP visualizzato nell'interfaccia di amministrazione di Microsoft Entra.
Nota
Per i domini federati, è preferibile un TAP rispetto alla federazione. Un utente con TAP completa l'autenticazione in Microsoft Entra ID e non viene reindirizzato al provider di identità federato (IdP).
L'utente adesso è connesso e può aggiornare o registrare un metodo, come ad esempio la chiave di sicurezza FIDO2.
Gli utenti che aggiornano i metodi di autenticazione a causa della perdita delle credenziali o del dispositivo devono accertarsi di rimuovere i metodi di autenticazione precedenti.
Gli utenti possono anche continuare ad accedere tramite la password; il TAP non sostituisce la password di un utente.
Gestione degli utenti del pass di accesso temporaneo
Gli utenti che gestiscono le informazioni di sicurezza in https://aka.ms/mysecurityinfo vedono una voce per il pass di accesso temporaneo. Se un utente non dispone di altri metodi registrati, ottiene un banner nella parte superiore della schermata che indica di aggiungere un nuovo metodo di accesso. Gli utenti possono anche visualizzare l'orario di scadenza del TAP ed eliminare il TAP se non è più necessario.
Configurazione dispositivi Windows
Gli utenti con un TAP possono esplorare il processo di installazione in Windows 10 e 11 per eseguire operazioni di aggiunta al dispositivo e configurare Windows Hello for Business. L'utilizzo del TAP per la configurazione di Windows Hello for Business varia in base allo stato aggiunto ai dispositivi.
Per i dispositivi aggiunti a Microsoft Entra ID:
- Durante il processo di installazione dell'aggiunta a un dominio, gli utenti possono eseguire l'autenticazione con un TAP (senza password necessaria) per aggiungere il dispositivo e registrare Windows Hello for Business.
- Nei dispositivi già aggiunti, gli utenti devono prima eseguire l'autenticazione con un altro metodo, come ad esempio una password, una smart card o una chiave FIDO2, prima di usare il TAP per configurare Windows Hello for Business.
- Se è abilitata anche la funzionalità di accesso Web in Windows, l'utente può usare il TAP per accedere al dispositivo. Questa operazione è destinata solo al completamento della configurazione iniziale del dispositivo o al ripristino quando l'utente non conosce o non ha una password.
Per i dispositivi aggiunti all'ambiente ibrido, gli utenti devono prima eseguire l'autenticazione con un altro metodo, come ad esempio una password, una smart card o una chiave FIDO2, prima di usare un TAP per configurare Windows Hello for Business.
Accesso tramite telefono senza password
Gli utenti possono anche usare il TAP per registrarsi per l'accesso tramite telefono senza password direttamente dall'app Authenticator.
Per ulteriori informazioni, vedere Aggiungere l’account aziendale o dell'istituto di istruzione all’app Microsoft Authenticator.
Accesso guest
Gli utenti guest possono accedere a un tenant di risorse con un TAP rilasciato dal tenant principale se il TAP soddisfa il requisito di autenticazione del tenant principale.
Se l'autenticazione a più fattori (MFA) è necessaria per il tenant delle risorse, l'utente guest deve eseguire l'autenticazione a più fattori per ottenere l'accesso alla risorsa.
Scadenza
Non è possibile usare un TAP scaduto o eliminato per l'autenticazione interattiva o non interattiva.
Gli utenti devono ripetere l'autenticazione con metodi di autenticazione diversi dopo la scadenza o l'eliminazione del TAP.
La durata del token (token di sessione, token di aggiornamento, token di accesso e così via) ottenuta usando un account di accesso TAP è limitata alla durata del TAP. Quando un TAP scade, scade anche il token associato.
Eliminare un pass di accesso temporaneo scaduto
In Metodi di autenticazione per un utente, la colonna Dettagli compare quando il TAP è scaduto. È possibile eliminare un TAP scaduto seguendo questa procedura:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
- Passare a Identità>Utenti, selezionare un utente, come Utente Tap, poi scegliere Metodi di autentificazione.
- Sul lato destro del metodo di autenticazione pass di accesso temporaneo visualizzato nell'elenco, selezionare Elimina.
È anche possibile usare PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Per ulteriori informazioni, vedere Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Sostituire un pass di accesso temporaneo
- Ogni utente può avere un solo TAP. Il passcode può essere usato durante l'orario di inizio e di fine del TAP.
- Se un utente richiede un nuovo TAP:
- Se il TAP esistente è valido, l'amministratore può creare un nuovo TAP per eseguire l'override del TAP valido esistente.
- Se il TAP esistente è scaduto, un nuovo TAP sostituirà il TAP esistente.
Per ulteriori informazioni sugli standard NIST per l'onboarding e il ripristino, vedere Pubblicazione speciale NIST 800-63A.
Limiti
Tenere presenti queste limitazioni:
- Quando si usa un TAP monouso per registrare un metodo senza password, come ad esempio una chiave di sicurezza FIDO2 o l'accesso tramite telefono, l'utente deve completare la registrazione entro 10 minuti dall'accesso con il TAP monouso. Questa limitazione non si applica ai TAP che possono essere usati più volte.
- Gli utenti nell'ambito dei criteri di registrazione della reimpostazione della password self-service (SSPR) o dei criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra ID Protection devono registrare i metodi di autenticazione dopo aver eseguito l'accesso con un TAP tramite un browser. Gli utenti nell'ambito di questi criteri vengono reindirizzati alla modalità Interrompere della registrazione combinata. Questa esperienza non supporta attualmente FIDO2 e la registrazione dell'accesso tramite telefono.
- Un TAP non può essere usato con l'estensione Network Policy Server (NPS) e la scheda Active Directory Federation Services (AD FS).
- La replica delle modifiche può richiedere alcuni minuti. Per questo motivo, dopo l'aggiunta di un TAP a un account, la visualizzazione della richiesta può richiedere alcuni minuti. Per lo stesso motivo, dopo la scadenza di un TAP, gli utenti potrebbero comunque visualizzare una richiesta di TAP.
Risoluzione dei problemi
- Se durante l'accesso all’utente non viene offerto un TAP:
- Accertarsi che l'utente sia nell'ambito dei criteri del metodo di autenticazione TAP.
- Accertarsi che l'utente abbia un TAP valido e, se è monouso, che non sia ancora stato usato.
- Se l'accesso temporaneo al pass di accesso è stato bloccato a causa di Criteri credenziali utente, viene visualizzato durante l'accesso con un TAP:
- Accertarsi che l'utente non abbia un TAP multiuso mentre i criteri del metodo di autenticazione richiedono un TAP monouso.
- Controllare se è già stato usato un TAP monouso.
- Se l'accesso TAP è stato bloccato a causa di Criteri credenziali utente, verificare che l'utente sia nell'ambito del criterio TAP.