Sdílet prostřednictvím

Konfigurace dočasného přístupového hesla pro registraci metod ověřování bez hesla

  • Článek

Metody ověřování bez hesla, jako je klíč (FIDO2), umožňují uživatelům bezpečně se přihlásit bez hesla. Uživatelé můžou metodu bez hesla spustit jedním ze dvou způsobů:

  • Použití existujících metod vícefaktorového ověřování Microsoft Entra
  • Použití dočasného přístupového passu

Dočasné přístupové heslo (TAP) je časově omezené heslo, které je možné nakonfigurovat pro jedno použití nebo více přihlášení. Uživatelé se můžou přihlásit pomocí TAP a připojit další metody ověřování bez hesla. Služba TAP také usnadňuje obnovení v případě, že uživatel ztratí nebo zapomene metodu silného ověřování.

V tomto článku se dozvíte, jak povolit a používat TAP pomocí Centra pro správu Microsoft Entra. Tyto akce můžete provádět také pomocí rozhraní REST API.

Povolit zásady pro dočasný přístupový průkaz

Zásada TAP definuje nastavení, jako je životnost povolení vytvořených v tenantovi, nebo uživatelé a skupiny, kteří mohou k přihlášení použít TAP.

Než se uživatelé můžou přihlásit pomocí tap, musíte tuto metodu povolit v zásadách metod ověřování a zvolit, kteří uživatelé a skupiny se můžou přihlásit pomocí TAP.

I když můžete vytvořit TAP pro libovolného uživatele, můžou se k němu přihlásit jenom uživatelé zahrnutí v zásadách. K aktualizaci zásady způsobů ověřování TAP potřebujete roli správce zásad ověřování .

Chcete-li nakonfigurovat TAP v zásadách metod ověřování:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte do Ochrana>Metody ověřování>Zásady.

  3. V seznamu dostupných metod ověřování vyberte Dočasné přístupové heslo.

    Snímek obrazovky znázorňuje, jak spravovat dočasný přístupový kód v rámci zásad ověřování.

  4. Vyberte Povolit a pak vyberte uživatele, které chcete do zásady zahrnout nebo z ní vyloučit.

    Snímek obrazovky, jak povolit Dočasný přístupový průkaz v zásadách metod ověřování.

  5. (Volitelné) Vyberte Konfigurovat a upravte výchozí nastavení dočasného přístupu, jako je nastavení maximální doby životnosti nebo délky, a vyberte Update.

    Snímek obrazovky znázorňuje, jak přizpůsobit nastavení dočasného přístupového passu

  6. Chcete-li zásadu použít, vyberte Uložit .

    Výchozí hodnota a rozsah povolených hodnot jsou popsány v následující tabulce.

    Nastavení Výchozí hodnoty Povolené hodnoty Komentáře
    Minimální životnost 1 hodina 10 – 43 200 minut (30 dní) Minimální počet minut, po které je tap platný.
    Maximální životnost 8 hodin 10 – 43 200 minut (30 dní) Maximální počet minut, po které je TAP platný.
    Výchozí životnost 1 hodina 10 – 43 200 minut (30 dní) Individuální povolení v rámci minimální a maximální doby životnosti konfigurované politikou může přepsat výchozí hodnotu.
    Jednorázové použití Nepravda Pravda/Nepravda Pokud je zásada nastavena na false, průkazy v nájemci lze během jejich platnosti použít buď jednou, nebo vícekrát (do maximální životnosti). Vynucením jednorázového použití v zásadách TAP jsou všechna oprávnění vytvořená v tenantovi jednorázová.
    Délka 8 8–48 znaků Definuje délku hesla.

Vytvoření dočasného přístupového passu

Po povolení zásady TAP můžete vytvořit zásady TAP pro uživatele v Microsoft Entra ID. Následující role mohou vykonávat různé činnosti související s TAP.

  1. Přihlaste se do Microsoft Entra admin center jako alespoň Správce Ověřování.

  2. Přejděte na Identity>Uživatele.

  3. Vyberte uživatele, pro kterého chcete vytvořit TAP.

  4. Vyberte Metody ověřování a vyberte Přidat metodu ověřování.

    Snímek obrazovky znázorňuje postup vytvoření dočasného přístupového passu.

  5. Vyberte Dočasné přístupové heslo.

  6. Definujte vlastní dobu aktivace nebo dobu trvání a vyberte Přidat.

    Snímek obrazovky s přidáním metody – dočasný přístupový pass

  7. Po přidání se zobrazí podrobnosti TAP.

    Důležité

    Poznamenejte si skutečnou hodnotu TAP, protože tuto hodnotu zadáte uživateli. Tuto hodnotu nelze zobrazit po výběru ok.

    Snímek obrazovky s podrobnostmi o dočasném přístupu

  8. Až budete hotovi, vyberte OK .

Následující příkazy ukazují, jak vytvořit a získat TAP pomocí PowerShellu.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Podrobnosti naleznete v New-MgUserAuthenticationTemporaryAccessPassMethod a Get-MgUserAuthenticationTemporaryAccessPassMethod.

Použití dočasného přístupového passu

Nejběžnějším použitím tap je, že uživatel během prvního nastavení přihlášení nebo zařízení zaregistruje podrobnosti o ověřování, aniž by bylo nutné provádět další výzvy k zabezpečení. Metody ověřování jsou registrovány na adrese https://aka.ms/mysecurityinfo. Uživatelé mohou zde také aktualizovat existující metody ověřování.

  1. Otevřete webový prohlížeč na https://aka.ms/mysecurityinfo.

  2. Zadejte hlavní název uživatele (UPN) účtu, pro který jste vytvořili TAP, například tapuser@contoso.com.

  3. Pokud je uživatel zahrnutý v zásadách TAP, zobrazí se mu obrazovka pro zadání TAP.

  4. Zadejte TAP, který byl zobrazen v Centru pro správu Microsoft Entra.

    Snímek obrazovky znázorňuje zadání dočasného přístupového passu.

Poznámka:

U federovaných domén je TAP preferováno spíše než federace. Uživatel s TAP dokončí ověřování v Microsoft Entra ID a není přesměrován na federovaného zprostředkovatele identity (IdP).

Uživatel je teď přihlášený a může aktualizovat nebo zaregistrovat metodu, jako je klíč zabezpečení FIDO2. Uživatelé, kteří aktualizují své metody ověřování kvůli ztrátě přihlašovacích údajů nebo zařízení, by měli zajistit, aby odebrali staré metody ověřování. Uživatelé se můžou i nadále přihlašovat pomocí svého hesla; tap nenahrazuje heslo uživatele.

Správa uživatelů dočasného přístupového passu

Uživatelé, kteří spravují informace o zabezpečení na https://aka.ms/mysecurityinfo, uvidí položku dočasného přístupového průkazu. Pokud uživatel nemá žádné další registrované metody, zobrazí se v horní části obrazovky banner s oznámením, že chcete přidat novou metodu přihlášení. Uživatelé můžou také zobrazit čas vypršení platnosti TAP a odstranit TAP, pokud už není potřeba.

Snímek obrazovky, který ukazuje, jak mohou uživatelé spravovat dočasný přístupový kód v Mých bezpečnostních údajích.

Nastavení zařízení s Windows

Uživatelé s klepnutím můžou procházet proces nastavení ve Windows 10 a 11 a provádět operace připojení zařízení a konfigurovat Windows Hello pro firmy. Využití TAP pro nastavení Windows Hello pro firmy se liší v závislosti na stavu připojeném k zařízením.

Připojená zařízení k Microsoft Entra ID:

  • Během procesu nastavení připojení k doméně se uživatelé můžou ověřit pomocí tap (nevyžaduje se heslo), aby se připojili k zařízení a zaregistrovali Windows Hello pro firmy.
  • Na zařízeních, která už jsou připojená, musí se uživatelé nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí TAP nastavit Windows Hello pro firmy.
  • Pokud je ve Windows povolená i funkce webového přihlašování , může se uživatel pomocí TAP přihlásit k zařízení. Toto nastavení je určené jenom pro dokončení počátečního nastavení zařízení nebo obnovení, pokud uživatel nezná nebo nemá heslo.

V případě zařízení připojených k hybridní doméně se musí uživatelé nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí TAP nastavit Windows Hello for Business.

Snímek obrazovky znázorňuje, jak při nastavování Windows zadat dočasný přístupový pass.

Použití TAP se službou Microsoft Authenticator

Uživatelé můžou také pomocí tap zaregistrovat Microsoft Authenticator u svého účtu. Přidáním pracovního nebo školního účtu a přihlášením prostřednictvím TAP můžou uživatelé přímo z aplikace Authenticator zaregistrovat jak klíče, tak přihlašování na telefonu bez hesla.

Další informace najdete v tématu Přidání pracovního nebo školního účtu do aplikace Microsoft Authenticator.

Snímek obrazovky znázorňuje, jak zadat dočasný přístupový pass pomocí pracovního nebo školního účtu.

Přístup pro hosty

K internímu hostovi můžete přidat TAP jako metodu přihlášení, ale ne u jiných typů hostů. Interní host má objekt uživatele UserType nastaven na guest. Mají metody ověřování zaregistrované v MICROSOFT Entra ID. Další informace o interních hostech a dalších účtech hostů najdete v tématu vlastnosti uživatele typu host B2B.

Pokud se pokusíte přidat TAP k externímu účtu hosta v Centru pro správu Microsoft Entra nebo v Microsoft Graphu, zobrazí se chyba oznamující, že se externímu uživateli typu host nedá přidat dočasný přístup.

Externí uživatelé typu host se mohou přihlásit k tenantovi prostředku pomocí TAP vydaného jejich domovským tenantem, pokud TAP splňuje požadavky na ověřování domovského tenanta a zásady přístupu mezi tenanty byly nakonfigurovány tak, aby důvěřovaly vícefaktorovému ověřování z domovského tenanta uživatelů, viz Správa nastavení přístupu mezi tenanty pro spolupráci B2B.

Vypršení platnosti

Nelze použít vypršený nebo odstraněný TAP pro interaktivní nebo neinteraktivní ověřování.

Po vypršení platnosti nebo odstranění TAP musí uživatelé znovu provést reautentizaci pomocí různých metod.

Životnost tokenu (token relace, obnovovací token, přístupový token atd.) získaná pomocí přihlášení TAP je omezená na dobu životnosti TAP. Když vyprší platnost TAP, dojde k vypršení platnosti přidruženého tokenu.

Odstranění dočasného přístupového passu s vypršenou platností

V části Metody ověřování pro uživatele se ve sloupci Podrobnosti zobrazí, kdy vypršela platnost TAP. Smazat propadlý TAP lze následujícím postupem:

  1. Přihlaste se do Centra pro správu Microsoft Entra alespoň jako Správce ověřování.
  2. Přejděte do Identity>Users, vyberte uživatele, například Tap User, a pak zvolte Metody ověřování.
  3. Na pravé straně metody ověřování dočasného přístupového passu zobrazeného v seznamu vyberte Odstranit.

Můžete také použít PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Další informace naleznete v tématu Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Nahrazení dočasného přístupového passu

  • Každý uživatel může mít pouze jeden TAP. Přístupový kód lze použít během počáteční a koncové doby TAP.
  • Pokud uživatel požaduje nový TAP:
    • Pokud je stávající TAP platný, může správce vytvořit nový TAP, který nahradí stávající platný TAP.
    • Pokud platnost existujícího TAP vypršela, nový TAP nahradí stávající TAP.

Další informace o standardech NIST pro začlenění a obnovu viz Speciální publikace NIST 800-63A.

Omezení

Mějte na paměti tato omezení:

  • Při použití jednorázového klepnutí k registraci metody bez hesla, jako je bezpečnostní klíč FIDO2 nebo přihlášení k telefonu, musí uživatel registraci dokončit do 10 minut od přihlášení pomocí jednorázového klepnutí. Toto omezení se nevztahuje na TAP, který lze použít více než jednou.
  • Způsobní uživatelé pro zásady registrace samoobslužného resetování hesla (SSPR) nebo pro zásady registrace vícefaktorového ověřování Microsoft Entra ID Protection jsou povinni zaregistrovat metody ověřování po přihlášení s TAP pomocí prohlížeče. Uživatelé v rozsahu těchto zásad se přesměrují do režimu přerušení kombinované registrace. Toto prostředí v současné době nepodporuje registraci FIDO2 a přihlašování přes telefon.
  • S rozšířením Network Policy Server (NPS) a adaptérem Active Directory Federation Services (AD FS) nelze použít TAP.
  • Replikace změn může trvat několik minut. Z tohoto důvodu může po přidání TAPu k účtu chvíli trvat, než se zobrazí výzva. Ze stejného důvodu se uživatelům může i po vypršení platnosti TAP zobrazit výzva k TAP.

Řešení problému

  • Pokud se uživatelům během přihlašování TAP nenabízí:
    • Ujistěte se, že je uživatel zahrnut pro použití TAP v politice ověřovacích metod.
    • Ujistěte se, že má uživatel platný TAP, a pokud je na jednorázové použití, ještě nebyl použit.
  • Pokud se při přihlašování pomocí TAP zablokovalo přihlášení pomocí dočasného přístupového passu kvůli zásadám přihlašovacích údajů uživatele:
    • Zkontrolujte, jestli je uživatel v rámci zásad TAP.
    • Ujistěte se, že uživatel nemá TAP pro více použití, když zásady metod ověřování vyžadují jednorázový TAP.
    • Zkontrolujte, zda už bylo jednorázové TAP použito.
  • Pokud se při snaze přidat dočasný přístupový kód (TAP) k účtu jako metodu ověřování objeví, že TAP nelze přidat k externímu uživateli typu host, pak je tento účet externím hostem. Interní i externí účty hostů mají možnost přidat TAP pro přihlášení do Centra pro správu Microsoft Entra a rozhraní Microsoft Graph API. Lze však vydat TAP pouze pro interní účty hostů.

Další kroky