Sdílet prostřednictvím

Konfigurace dočasného přístupového hesla pro registraci metod ověřování bez hesla

  • Článek

Metody ověřování bez hesla, jako je klíč (FIDO2), umožňují uživatelům bezpečně se přihlásit bez hesla. Uživatelé můžou metodu bez hesla spustit jedním ze dvou způsobů:

  • Použití existujících metod vícefaktorového ověřování Microsoft Entra
  • Použití dočasného přístupového passu

Dočasné přístupové heslo (TAP) je časově omezené heslo, které je možné nakonfigurovat pro jedno použití nebo více přihlášení. Uživatelé se můžou přihlásit pomocí TAP a připojit další metody ověřování bez hesla. Služba TAP také usnadňuje obnovení v případě, že uživatel ztratí nebo zapomene metodu silného ověřování.

V tomto článku se dozvíte, jak povolit a používat TAP pomocí Centra pro správu Microsoft Entra. Tyto akce můžete provádět také pomocí rozhraní REST API.

Povolení zásad dočasného přístupu

Zásada TAP definuje nastavení, jako je doba života průchodů vytvořená v tenantovi, nebo uživatelé a skupiny, kteří můžou k přihlášení použít TAP.

Než se uživatelé můžou přihlásit pomocí tap, musíte tuto metodu povolit v zásadách metod ověřování a zvolit, kteří uživatelé a skupiny se můžou přihlásit pomocí TAP.

I když můžete vytvořit TAP pro libovolného uživatele, můžou se k němu přihlásit jenom uživatelé zahrnutí v zásadách. K aktualizaci zásady způsobů ověřování TAP potřebujete roli správce zásad ověřování .

Chcete-li nakonfigurovat TAP v zásadách metod ověřování:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte do zásad ověřování>ochrany.>

  3. V seznamu dostupných metod ověřování vyberte Dočasné přístupové heslo.

    Snímek obrazovky znázorňuje, jak spravovat dočasný přístupový kód v rámci zásad ověřování.

  4. Klikněte na Povolit a pak vyberte uživatele, kteří mají zásadu zahrnout nebo vyloučit.

    snímek obrazovky s povolením dočasného přístupu v zásadách metod ověřování

  5. (Volitelné) Vyberte Konfigurovat , chcete-li upravit výchozí nastavení dočasného průchodu, například nastavení maximální životnosti nebo délky, a klikněte na tlačítko Aktualizovat.

    Snímek obrazovky znázorňuje, jak přizpůsobit nastavení dočasného přístupového passu

  6. Chcete-li zásadu použít, vyberte Uložit .

    Výchozí hodnota a rozsah povolených hodnot jsou popsány v následující tabulce.

    Nastavení Výchozí hodnoty Povolené hodnoty Komentáře
    Minimální životnost 1 hodina 10 – 43 200 minut (30 dní) Minimální počet minut, po které je tap platný.
    Maximální životnost 8 hodin 10 – 43 200 minut (30 dní) Maximální počet minut, po které je klepnutí platné.
    Výchozí životnost 1 hodina 10 – 43 200 minut (30 dní) Individuální průchod v rámci minimální a maximální doby životnosti nakonfigurované zásadou může přepsat výchozí hodnotu.
    Jednorázové použití False True/false Pokud je zásada nastavená na false, můžete během platnosti použít průchody v tenantovi buď jednou nebo vícekrát (maximální životnost). Vynucením jednorázového použití v zásadách TAP jsou všechny průchody vytvořené v tenantovi jednorázové použití.
    Délka 8 8–48 znaků Definuje délku hesla.

Vytvoření dočasného přístupového passu

Po povolení zásady TAP můžete vytvořit zásady TAP pro uživatele v Microsoft Entra ID. Následující role mohou vykonávat různé činnosti související s TAP.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.

  2. Přejděte na Uživatele identity>.

  3. Vyberte uživatele, pro který chcete vytvořit tap.

  4. Vyberte metody ověřování a klikněte na Přidat metodu ověřování.

    Snímek obrazovky znázorňuje postup vytvoření dočasného přístupového passu.

  5. Vyberte Dočasné přístupové heslo.

  6. Definujte vlastní dobu aktivace nebo dobu trvání a vyberte Přidat.

    Snímek obrazovky s přidáním metody – dočasný přístupový pass

  7. Po přidání se zobrazí podrobnosti o klepnutí.

    Důležité

    Poznamenejte si skutečnou hodnotu TAP, protože tuto hodnotu zadáte uživateli. Tuto hodnotu nelze zobrazit po výběru ok.

    Snímek obrazovky s podrobnostmi o dočasném přístupu

  8. Až budete hotovi, vyberte OK .

Následující příkazy ukazují, jak vytvořit a získat TAP pomocí PowerShellu.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Další informace naleznete v tématu New-MgUserAuthenticationTemporaryAccessPassMethod a Get-MgUserAuthenticationTemporaryAccessPassMethod.

Použití dočasného přístupového passu

Nejběžnějším použitím tap je, že uživatel během prvního nastavení přihlášení nebo zařízení zaregistruje podrobnosti o ověřování, aniž by bylo nutné provádět další výzvy k zabezpečení. Metody ověřování jsou registrovány na adrese https://aka.ms/mysecurityinfo. Uživatelé mohou zde také aktualizovat existující metody ověřování.

  1. Otevřete webový prohlížeč na https://aka.ms/mysecurityinfo.

  2. Zadejte hlavní název uživatele (UPN) účtu, pro který jste vytvořili TAP, například tapuser@contoso.com.

  3. Pokud je uživatel zahrnutý v zásadách TAP, zobrazí se mu obrazovka pro zadání tap.

  4. Zadejte TAP, který se zobrazil v Centru pro správu Microsoft Entra.

    Snímek obrazovky znázorňuje zadání dočasného přístupového passu.

Poznámka:

U federovaných domén se upřednostní tap před federací. Uživatel s klepnutím dokončí ověřování v Microsoft Entra ID a nepřesměruje se na federovaného zprostředkovatele identity (IdP).

Uživatel je teď přihlášený a může aktualizovat nebo zaregistrovat metodu, jako je klíč zabezpečení FIDO2. Uživatelé, kteří aktualizují své metody ověřování kvůli ztrátě přihlašovacích údajů nebo zařízení, by měli zajistit, aby odebrali staré metody ověřování. Uživatelé se můžou i nadále přihlašovat pomocí svého hesla; tap nenahrazuje heslo uživatele.

Správa uživatelů dočasného přístupového passu

Uživatelé, kteří spravují informace o zabezpečení, https://aka.ms/mysecurityinfo uvidí položku dočasného přístupového passu. Pokud uživatel nemá žádné další registrované metody, zobrazí se v horní části obrazovky banner s oznámením, že chcete přidat novou metodu přihlášení. Uživatelé můžou také zobrazit čas vypršení platnosti tap a odstranit KLEPNUTÍM, pokud už není potřeba.

Snímek obrazovky, který ukazuje, jak můžou uživatelé spravovat dočasný přístup pass in My Security Info.< a1/& (Můj bezpečnostní údaj).

Nastavení zařízení s Windows

Uživatelé s klepnutím můžou procházet proces nastavení ve Windows 10 a 11 a provádět operace připojení zařízení a konfigurovat Windows Hello pro firmy. Využití TAP pro nastavení Windows Hello pro firmy se liší v závislosti na stavu připojeném k zařízením.

Připojená zařízení k Microsoft Entra ID:

  • Během procesu nastavení připojení k doméně se uživatelé můžou ověřit pomocí tap (nevyžaduje se heslo), aby se připojili k zařízení a zaregistrovali Windows Hello pro firmy.
  • Na zařízeních, která už jsou připojená, musí se uživatelé nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí TAP nastavit Windows Hello pro firmy.
  • Pokud je ve Windows povolená i funkce webového přihlašování , může se uživatel pomocí TAP přihlásit k zařízení. Toto nastavení je určené jenom pro dokončení počátečního nastavení zařízení nebo obnovení, pokud uživatel nezná nebo nemá heslo.

V případě zařízení připojených k hybridnímu připojení se uživatelé musí nejdřív ověřit pomocí jiné metody, jako je heslo, čipová karta nebo klíč FIDO2, a teprve potom pomocí tap nastavit Windows Hello pro firmy.

Snímek obrazovky znázorňuje, jak při nastavování Windows zadat dočasný přístupový pass.

Použití TAP se službou Microsoft Authenticator

Uživatelé můžou také pomocí tap zaregistrovat Microsoft Authenticator u svého účtu. Přidáním pracovního nebo školního účtu a přihlášením prostřednictvím TAP můžou uživatelé přímo z aplikace Authenticator zaregistrovat jak klíče, tak přihlašování na telefonu bez hesla.

Další informace najdete v tématu Přidání pracovního nebo školního účtu do aplikace Microsoft Authenticator.

Snímek obrazovky znázorňuje, jak zadat dočasný přístupový pass pomocí pracovního nebo školního účtu.

Přístup hosta

K internímu hostovi můžete přidat TAP jako metodu přihlášení, ale ne u jiných typů hostů. Interní host má objekt uživatele UserType nastaven na guest. Mají metody ověřování zaregistrované v MICROSOFT Entra ID. Další informace o interních hostech a dalších účtech hostů najdete v tématu vlastnosti uživatele typu host B2B.

Pokud se pokusíte přidat TAP k externímu účtu hosta v Centru pro správu Microsoft Entra nebo v Microsoft Graphu, zobrazí se chyba oznamující, že se do externího uživatele typu host nedá přidat dočasný přístupový přístup.

Externí uživatelé typu host se mohou přihlásit k tenantovi prostředku pomocí TAP vydaného jejich domovským tenantem, pokud TAP splňuje požadavky na ověřování domácího tenanta a zásady průchozího přístupu jsou nakonfigurované tak, aby důvěřovaly vícefaktorovému ověřování z domovského tenanta uživatelů. Další informace naleznete v části Správa nastavení přístupu mezi tenanty pro spolupráci B2B.

Vypršení platnosti

Pro interaktivní nebo neinteraktivní ověřování se nedá použít vypršení platnosti nebo odstranění TAP.

Po vypršení platnosti nebo odstranění tap musí uživatelé znovu ověřit různé metody ověřování.

Životnost tokenu (token relace, obnovovací token, přístupový token atd.) získaná pomocí přihlášení TAP je omezená na dobu životnosti TAP. Když vyprší platnost klepnutí, dojde k vypršení platnosti přidruženého tokenu.

Odstranění dočasného přístupového passu s vypršenou platností

V části Metody ověřování pro uživatele se ve sloupci Podrobnosti zobrazí, když vypršela platnost klepnutí. Klepnutím na konec platnosti můžete odstranit následujícím postupem:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce ověřování.
  2. Přejděte do části >, vyberte uživatele, například Klepněte na Uživatele, a pak zvolte Metody ověřování.
  3. Na pravé straně metody ověřování dočasného přístupového passu zobrazeného v seznamu vyberte Odstranit.

Můžete také použít PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Další informace naleznete v tématu Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Nahrazení dočasného přístupového passu

  • Každý uživatel může mít pouze jeden klepnutí. Heslo lze použít během počátečního a koncového času tap.
  • Pokud uživatel vyžaduje nové klepnutí:
    • Pokud je stávající tap platný, může správce vytvořit nový TAP, který přepíše stávající platný TAP.
    • Pokud platnost existujícího klepnutí vypršela, přepíše se stávající tap novým klepnutím.

Další informace o standardech NIST pro onboarding a obnovení naleznete v tématu Speciální publikace NIST 800-63A.

Omezení

Mějte na paměti tato omezení:

  • Při použití jednorázového klepnutí k registraci metody bez hesla, jako je bezpečnostní klíč FIDO2 nebo přihlášení k telefonu, musí uživatel registraci dokončit do 10 minut od přihlášení pomocí jednorázového klepnutí. Toto omezení se nevztahuje na tap, který lze použít více než jednou.
  • Uživatelé v oboru zásad registrace samoobslužného resetování hesla (SSPR) nebovícefaktorové zásady registrace vícefaktorového ověřování microsoft Entra ID Protection se vyžadují k registraci metod ověřování po přihlášení pomocí tap v prohlížeči. Uživatelé v rozsahu těchto zásad se přesměrují do režimu přerušení kombinované registrace. Toto prostředí v současné době nepodporuje registraci FIDO2 a přihlašování přes telefon.
  • S rozšířením NPS (Network Policy Server) a adaptérem Active Directory Federation Services (AD FS) (AD FS) není možné použít TAP.
  • Replikace změn může trvat několik minut. Z tohoto důvodu může po přidání klepnutí na účet chvíli trvat, než se zobrazí výzva. Z stejného důvodu se uživatelům po vypršení platnosti klepnutí může zobrazit výzva k klepnutí.

Řešení problému

  • Pokud se uživateli během přihlašování nenabízí TAP:
    • Ujistěte se, že je uživatel v rozsahu použití TAP v zásadách ověřovacích metod.
    • Ujistěte se, že má uživatel platný tap a jestli se používá jednorázově, ještě se nepoužil.
  • Pokud se při přihlašování pomocí TAP zablokovalo přihlášení pomocí dočasného přístupového passu kvůli zásadám přihlašovacích údajů uživatele:
    • Zkontrolujte, jestli je uživatel v rámci zásad TAP.
    • Ujistěte se, že uživatel nemá TAP pro více použití, když zásady metod ověřování vyžadují jednorázový TAP.
    • Zkontrolujte, jestli už byl jednorázový klepnutím použit.
  • Pokud nemůžete přidat dočasný přístupový kód (TAP) externímu uživateli typu host, objeví se při pokusu o přidání TAP do účtu jako metody ověřování, pak je tento účet externím hostem. Interní i externí účty hostů mají možnost přidat TAP pro přihlášení do Centra pro správu Microsoft Entra a do rozhraní Microsoft Graph APIs, ale TAP může být vydán pouze interním účtům hostů.

Další kroky