Настройка временной передачи доступа для регистрации методов проверки подлинности без пароля
Методы проверки подлинности без пароля, такие как FIDO2 и вход без пароля через приложение Microsoft Authenticator, позволяют пользователям безопасно входить без пароля.
Пользователи могут запускать методы без пароля одним из двух способов:
- Использование существующих методов многофакторной проверки подлинности Microsoft Entra
- Использование временного прохода доступа
Временный пароль доступа (TAP) — это ограниченный по времени секретный код, который можно настроить для одного использования или нескольких. Пользователи могут войти с помощью TAP для подключения других методов проверки подлинности без пароля, таких как Microsoft Authenticator, FIDO2 и Windows Hello для бизнеса.
Tap также упрощает восстановление, если пользователь потерял или забыл свой надежный фактор проверки подлинности, например ключ безопасности FIDO2 или приложение Microsoft Authenticator, но необходимо войти в систему, чтобы зарегистрировать новые надежные методы проверки подлинности.
В этой статье показано, как включить и использовать TAP с помощью Центра администрирования Microsoft Entra. Эти действия также можно выполнить с помощью REST API.
Включение политики временного доступа
Политика TAP определяет параметры, такие как время существования проходов, созданных в клиенте, или пользователей и групп, которые могут использовать TAP для входа.
Прежде чем пользователи смогут войти с помощью TAP, необходимо включить этот метод в политике методов проверки подлинности и выбрать, какие пользователи и группы могут войти с помощью TAP.
Хотя вы можете создать TAP для любого пользователя, только пользователи, включенные в политику, могут войти с ним. Те, у кого по крайней мере роль администратора политики проверки подлинности, могут обновить политику метода проверки подлинности TAP.
Чтобы настроить политику метода проверки подлинности TAP, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к политикам методов>проверки подлинности защиты.>
В списке доступных методов проверки подлинности выберите временный проход доступа.
Нажмите кнопку "Включить ", а затем выберите пользователей для включения или исключения из политики.
(Необязательно) Выберите "Настроить", чтобы изменить параметры временного доступа по умолчанию, например задать максимальное время существования или длину, и нажмите кнопку "Обновить".
Нажмите кнопку "Сохранить", чтобы применить политику.
Значение по умолчанию и диапазон допустимых значений описаны в следующей таблице.
Оправа Значения по умолчанию Допустимые значения Комментарии Минимальное время существования 1 час 10 – 43 200 минут (30 дней) Минимальное количество минут, допустимое для TAP. Максимальное время существования 8 часов 10 – 43 200 минут (30 дней) Максимальное количество минут, допустимое для TAP. Время существования по умолчанию 1 час 10 – 43 200 минут (30 дней) Отдельные передачи в течение минимального и максимального времени существования, настроенного политикой, могут переопределить значение по умолчанию. Однократное использование Ложный True/False Если для политики задано значение false, передачи в клиенте можно использовать один раз или несколько раз в течение срока действия (максимальное время существования). Применив однократное использование в политике TAP, все проходы, созданные в клиенте, используются один раз. Длина 8 8-48 символов Определяет длину секретного кода.
Создание временного прохода доступа
После включения политики TAP можно создать TAP для пользователей в идентификаторе Microsoft Entra. Эти следующие роли могут выполнять различные действия, связанные с TAP.
- Те, кто назначен по крайней мере роль администратора привилегированной проверки подлинности, могут создавать, удалять и просматривать TAP для администраторов и членов (за исключением самих себя).
- Администраторы проверки подлинности могут создавать, удалять и просматривать TAP для участников (кроме самих себя).
- Глобальные читатели могут просматривать сведения о TAP для пользователя (без чтения самого кода).
Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
Перейдите к пользователям удостоверений>.
Выберите пользователя, для который вы хотите создать TAP.
Выберите методы проверки подлинности и нажмите кнопку "Добавить метод проверки подлинности".
Выберите временный проход доступа.
Определите пользовательское время активации или длительность и нажмите кнопку "Добавить".
После добавления отображаются сведения о TAP.
Важный
Запишите фактическое значение TAP, так как вы предоставите этому значению пользователю. Это значение невозможно просмотреть после нажатия кнопки "ОК".
Нажмите кнопку "ОК " после завершения.
В следующих командах показано, как создать и получить TAP с помощью PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Дополнительные сведения см. в разделе New-MgUserAuthenticationTemporaryAccessPassMethod и Get-MgUserAuthenticationTemporaryAccessPassMethod.
Использование временного прохода доступа
Наиболее распространенным способом использования TAP является регистрация сведений о проверке подлинности при первом входе или настройке устройства без необходимости выполнять дополнительные запросы безопасности. Методы проверки подлинности зарегистрированы по адресу https://aka.ms/mysecurityinfo. Пользователи также могут обновить существующие методы проверки подлинности здесь.
Откройте веб-браузер https://aka.ms/mysecurityinfo.
Введите имя участника-пользователя учетной записи, для которую вы создали TAP, например tapuser@contoso.com.
Если пользователь включен в политику TAP, он увидит экран, чтобы ввести его TAP.
Введите TAP, отображаемое в Центре администрирования Microsoft Entra.
Заметка
Для федеративных доменов предпочтительный элемент TAP по сравнению с федерацией. Пользователь с TAP завершает проверку подлинности в идентификаторе Microsoft Entra ID и не перенаправляется в федеративный поставщик удостоверений (IdP).
Теперь пользователь вошел в систему и может обновить или зарегистрировать метод, например ключ безопасности FIDO2.
Пользователи, которые обновляют методы проверки подлинности из-за потери учетных данных или устройств, должны убедиться, что они удаляют старые методы проверки подлинности.
Пользователи также могут продолжать вход с помощью пароля; TAP не заменяет пароль пользователя.
Управление пользователем временной передачи доступа
Пользователи, управляющие своими сведениями о https://aka.ms/mysecurityinfo безопасности, видят запись для временного прохода доступа. Если у пользователя нет других зарегистрированных методов, он получает баннер в верхней части экрана, который говорит, чтобы добавить новый метод входа. Пользователи также могут просмотреть время истечения срока действия TAP и удалить TAP, если он больше не нужен.
Настройка устройства Windows
Пользователи с помощью TAP могут перемещаться по процессу установки в Windows 10 и 11 для выполнения операций соединения устройств и настройки Windows Hello для бизнеса. Использование TAP для настройки Windows Hello для бизнеса зависит от состояния соединения устройств.
Для присоединенных устройств к идентификатору Microsoft Entra:
- Во время процесса установки соединения с доменом пользователи могут пройти проверку подлинности с помощью TAP (без пароля), чтобы присоединить устройство и зарегистрировать Windows Hello для бизнеса.
- На уже присоединенных устройствах пользователи должны сначала пройти проверку подлинности с помощью другого метода, например пароля, смарт-карты или ключа FIDO2, прежде чем использовать TAP для настройки Windows Hello для бизнеса.
- Если функция веб-входа в Windows также включена, пользователь может использовать TAP для входа на устройство. Это предназначено только для завершения начальной настройки устройства или восстановления, если пользователь не знает или не имеет пароля.
Для устройств, присоединенных к гибридной среде, пользователи должны сначала пройти проверку подлинности с помощью другого метода, например пароля, смарт-карты или ключа FIDO2, прежде чем использовать TAP для настройки Windows Hello для бизнеса.
Вход без пароля на телефоне
Пользователи также могут использовать TAP для регистрации для входа без пароля телефона непосредственно из приложения Authenticator.
Дополнительные сведения см. в разделе "Добавление рабочей или учебной учетной записи" в приложение Microsoft Authenticator.
Гостевой доступ
Гостевые пользователи могут войти в клиент ресурсов с помощью TAP, выданного их домашним клиентом, если TAP соответствует требованию проверки подлинности домашнего клиента.
Если для клиента ресурсов требуется многофакторная проверка подлинности (MFA), гостевой пользователь должен выполнить многофакторную проверку подлинности для получения доступа к ресурсу.
Истечение
Истекший срок действия или удаленный TAP не может использоваться для интерактивной или неинтерактивной проверки подлинности.
Пользователи должны повторно пройти проверку подлинности с различными методами проверки подлинности после истечения срока действия ИЛИ удаления TAP.
Время существования маркера (маркер сеанса, маркер обновления, маркер доступа и т. д.), полученное с помощью имени входа TAP, ограничено временем существования TAP. Когда срок действия TAP истекает, он приводит к истечении срока действия связанного маркера.
Удаление временного доступа с истекшим сроком действия
В разделе методов проверки подлинности для пользователя столбец "Сведения" отображается при истечении срока действия TAP. Вы можете удалить истекший срок действия TAP, выполнив следующие действия.
- Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
- Перейдите к пользователям удостоверений>, выберите пользователя, например "Коснитесь пользователя", а затем выберите методы проверки подлинности.
- В правой части метода проверки подлинности временной передачи доступа, показанного в списке, нажмите кнопку "Удалить".
Вы также можете использовать PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Дополнительные сведения см. в разделе Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Замена временного прохода доступа
- Каждый пользователь может иметь только один TAP. Секретный код можно использовать во время начала и окончания TAP.
- Если пользователю требуется новый TAP:
- Если существующий TAP действителен, администратор может создать новый TAP, чтобы переопределить существующий допустимый TAP.
- Если истек срок действия существующего TAP, новый TAP переопределит существующий TAP.
Дополнительные сведения о стандартах NIST для подключения и восстановления см . в статье NIST Special Publication 800-63A.
Ограничения
Имейте в виду следующие ограничения:
- При использовании однократного tap для регистрации метода без пароля, например ключа безопасности FIDO2 или входа телефона, пользователь должен завершить регистрацию в течение 10 минут после входа с помощью однократного TAP. Это ограничение не применяется к TAP, который можно использовать несколько раз.
- Пользователям в области самостоятельного сброса пароля (SSPR) или Защита идентификации Microsoft Entra политике регистрации многофакторной проверки подлинности необходимо зарегистрировать методы проверки подлинности после входа с помощью TAP с помощью браузера. Пользователи в области этих политик перенаправляются в режим прерывания объединенной регистрации. В настоящее время эта возможность не поддерживает регистрацию FIDO2 и телефонного входа.
- Не удается использовать TAP с расширением сервера политики сети (NPS) и адаптером службы федерации Active Directory (AD FS) (AD FS).
- Для репликации изменений может потребоваться несколько минут. Из-за этого после добавления TAP в учетную запись может занять некоторое время для отображения запроса. По той же причине после истечения срока действия TAP пользователи могут по-прежнему видеть запрос на TAP.
Устранение неполадок
- Если при входе пользователь не предлагает TAP:
- Убедитесь, что пользователь находится в области политики метода проверки подлинности TAP.
- Убедитесь, что пользователь имеет допустимый TAP, и если он используется один раз, он еще не использовался.
- Если во время входа в систему с помощью TAP отображается временная передача доступа из-за политики учетных данных пользователя:
- Убедитесь, что у пользователя нет многопользования TAP, а политика метода проверки подлинности требует однократного КАСА.
- Проверьте, использовался ли однократный TAP.
- Если вход TAP был заблокирован из-за политики учетных данных пользователя, убедитесь, что пользователь находится в области политики TAP.