Configuración de un pase de acceso temporal para registrar métodos de autenticación sin contraseña

Los métodos de autenticación sin contraseña como una clave de acceso (FIDO2) permiten a los usuarios iniciar sesión de forma segura sin contraseña. Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:

• Uso de métodos de autenticación multifactor de Microsoft Entra existentes
• Uso de un Pase de acceso temporal

Un pase de acceso temporal (TAP) es un código de acceso limitado por tiempo que se puede configurar para un solo uso o varios inicios de sesión. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña. Un TAP también facilita la recuperación cuando un usuario pierde o olvida un método de autenticación seguro.

En este artículo se muestra cómo habilitar y usar un TAP con el Centro de administración de Microsoft Entra. También puede realizar estas acciones con API de REST.

Habilitación de la directiva del Pase de acceso temporal

Una directiva de TAP define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un TAP para iniciar sesión.

Para que los usuarios puedan iniciar sesión con un TAP, debe habilitar este método en la directiva Métodos de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un TAP.

Aunque puede crear un TAP para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él. Necesita el rol Administrador de directivas de autenticación para actualizar la directiva de métodos de autenticación TAP.

Para configurar TAP en la directiva de métodos de autenticación:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

2. Vaya a Protección>Métodos de autenticación>Directivas.

3. En la lista de métodos de autenticación disponibles, seleccione Pase de acceso temporal.

   

4. Seleccione Habilitar y, a continuación, seleccione los usuarios para incluir o excluir de la directiva.

   

5. (Opcional) Seleccione Configurar para modificar la configuración predeterminada del pase de acceso temporal, como establecer la duración máxima o la longitud, y seleccione Actualizar.

   

6. Seleccione Guardar para aplicar la directiva.

   En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.

   Configuración	Valores predeterminados	Valores permitidos	Comentarios
   Duración mínima	1 hora	De 10 a 43,200 minutos (30 días)	Número mínimo de minutos que TAP es válido.
   Duración máxima	8 horas	De 10 a 43,200 minutos (30 días)	Número máximo de minutos que TAP es válido.
   Duración predeterminada	1 hora	De 10 a 43,200 minutos (30 días)	Los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva, pueden invalidar el valor predeterminado.
   Uso único	False	Verdadero/Falso	Cuando la directiva se establece en False, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva TAP, todos los pases creados en el inquilino son de un solo uso.
   Length	8	De 8 a 48 caracteres	Define la longitud del código de acceso.

Creación de un Pase de acceso temporal

Después de habilitar una directiva TAP, puede crear una directiva TAP para los usuarios en Microsoft Entra ID. Los siguientes roles pueden realizar varias acciones relacionadas con un TAP.

• Administradores de Autenticación con Privilegios pueden crear, eliminar y ver un TAP para administradores y miembros (excepto a sí mismos).
• Administradores de Autenticación pueden crear, eliminar y ver un TAP para otros miembros (excepto ellos mismos).
• administradores de directivas de autenticación pueden habilitar TAP, incluir o excluir grupos y editar la directiva de métodos de autenticación.
• Los lectores globales pueden ver los detalles de TAP del usuario (sin leer el propio código).

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.

2. Vaya a Identidad>Usuarios.

3. Seleccione el usuario para el que desea crear un TAP.

4. Seleccione métodos de autenticación y seleccione Agregar método de autenticación.

   

5. Seleccione Pase de acceso temporal.

6. Defina una duración o una hora de activación personalizada y seleccione Agregar.

   

7. Una vez que se agregue, se muestran los detalles del TAP.

   Importante

   Anote el valor real de TAP, ya que proporciona este valor al usuario. No puede ver este valor después de seleccionar Aceptar.

   

8. Seleccione Aceptar cuando termine.

Los siguientes comandos muestran cómo crear y obtener un TAP mediante PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.

Uso de un Pase de acceso temporal

El uso más común de un TAP es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.

1. Abra un explorador web en https://aka.ms/mysecurityinfo.

2. Escriba el nombre principal de usuario de la cuenta para la que ha creado el TAP, como tapuser@contoso.com.

3. Si el usuario está incluido en la directiva de TAP, ve una pantalla para escribir su TAP.

4. Escriba el TAP que se muestra en el centro de administración de Microsoft Entra.

   

Nota:

En el caso de los dominios federados, se prefiere un TAP frente a la federación. Un usuario con un TAP completa la autenticación en Id. de Microsoft Entra y no se le redirige al proveedor de identidades federado (IdP).

El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una llave de seguridad FIDO2. Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos. Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.

Administración de usuarios para un pase de acceso temporal

Los usuarios que administran su información de seguridad en https://aka.ms/mysecurityinfo, ven una entrada para el pase de acceso temporal. Si un usuario no tiene ningún otro método registrado, obtendrá un banner en la parte superior de la pantalla que dice agregar un nuevo método de inicio de sesión. Los usuarios también pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.

Configuración del dispositivo Windows

Los usuarios con un TAP pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un TAP para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos.

Para los dispositivos unidos a Id. de Microsoft Entra:

• Durante el proceso de configuración de unión de dominios, los usuarios pueden autenticarse con un TAP (no se requiere contraseña) para unirse al dispositivo y registrarse en Windows Hello para empresas.
• En los dispositivos ya unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, antes de usar TAP para configurar Windows Hello para empresas.
• Si la característica de inicio de sesión web en Windows también está habilitada, el usuario puede usar TAP para iniciar sesión en el dispositivo. Esto está pensado solo para completar la configuración inicial del dispositivo o la recuperación cuando el usuario no conoce o tiene una contraseña.

En el caso de dispositivos híbridos unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.

Uso de TAP con Microsoft Authenticator

Los usuarios también pueden usar su TAP para registrar Microsoft Authenticator con su cuenta. Al agregar una cuenta profesional o educativa e iniciar sesión con TAP, los usuarios pueden registrar tanto las claves como el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator.

Para obtener más información, consulte Agregar la cuenta profesional o educativa a la aplicación Microsoft Authenticator.

Acceso de invitado

Puede agregar un TAP como método de inicio de sesión a un invitado interno, pero no a otros tipos de invitados. Un invitado interno tiene el objeto de usuario UserType establecido en Guest. Tienen métodos de autenticación registrados en microsoft Entra ID. Para obtener más información sobre invitados internos y otras cuentas de invitado, consulte las propiedades de usuario invitado B2B .

Si intenta agregar un TAP a una cuenta de invitado externa en el Centro de administración de Microsoft Entra o en Microsoft Graph, recibirá un error que indica pase de acceso temporal no se puede agregar a un usuario invitado externo.

Los usuarios invitados externos pueden iniciar sesión en un inquilino de recursos con un TAP emitido por su inquilino principal si el TAP cumple con los requisitos de autenticación del inquilino principal y las directivas de acceso entre inquilinos se han configurado para confiar en la autenticación multifactorial desde el inquilino principal de los usuarios. Consulte Administrar la configuración de acceso entre inquilinos para la colaboración B2B.

Expiración

No se puede usar un TAP expirado o eliminado para la autenticación interactiva o no interactiva.

Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el TAP haya expirado o se haya eliminado.

La duración del token (token de sesión, token de actualización, token de acceso, etc.) obtenido con un inicio de sesión de TAP se limita a la duración de este. Cuando expira un TAP, esto da lugar a la expiración del token asociado.

Eliminación de un Pase de acceso temporal expirado

Debajo de Métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el TAP. Puede eliminar un TAP caducado mediante los siguientes pasos:

1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
2. Vaya a Identidad>Usuarios, seleccione un usuario, como Pulsar usuario, y a continuación, elija Métodos de autenticación.
3. En el lado derecho del método de autenticación Pase de acceso temporal que se muestra en la lista, seleccione Eliminar.

También puede usar PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Para más información, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Reemplazo de un Pase de acceso temporal

• Cada usuario solo puede tener un TAP. El código de acceso se puede usar durante las horas de inicio y finalización del TAP.
• Si un usuario requiere un nuevo TAP:
  • Si el TAP existente es válido, el administrador puede crear un nuevo TAP para invalidar el TAP válido existente.
  • Si el TAP existente ha expirado, un nuevo TAP invalida el TAP existente.

Para obtener más información sobre los estándares de NIST para la incorporación y la recuperación, consulte la publicación especial de NIST 800-63A.

Limitaciones

Tenga en cuenta las limitaciones siguientes:

• Cuando se usa un TAP de un uso para registrar un método sin contraseña, como una clave de seguridad FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el TAP de único uso. Esta limitación no se aplica a un TAP que se puede usar más de una vez.
• Los usuarios en el ámbito de la directiva de registro de autoservicio de restablecimiento de contraseña (SSPR) o la directiva de registro de MFA de Protección de id. de Microsoft Entra deben registrar los métodos de autenticación después de que han iniciado sesión con un TAP mediante un navegador. Los usuarios sujetos a estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
• Un TAP no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de Servicios de federación de Active Directory (AD FS).
• Los cambios pueden tardar unos minutos en replicarse. Por este motivo, después de agregar un TAP a una cuenta, puede tardar un tiempo en aparecer el mensaje. Por el mismo motivo, después de que expire un TAP, es posible que los usuarios sigan viendo una solicitud de TAP.

Solución de problemas

• Si no se ofrece un TAP a un usuario durante el inicio de sesión:
  • Asegúrese de que el usuario está en el ámbito de uso de TAP en la directiva de métodos de autenticación.
  • Asegúrese de que el usuario tiene un TAP válido y, si se usa una sola vez, aún no se usó.
• Si aparece la opción El inicio de sesión con el TAP se bloqueó debido a la directiva de credenciales de usuario durante el inicio de sesión con un pase de acceso temporal:
  • Compruebe que el usuario está en el ámbito de la directiva TAP
  • Asegúrese de que el usuario no tiene un TAP para varios usos mientras que la directiva de métodos de autenticación requiere un TAP único.
  • Compruebe si ya se usó un TAP de una sola vez.
• Si No se puede agregar un Pase de Acceso Temporal a un usuario invitado externo aparece cuando intenta agregar un TAP a una cuenta como método de autenticación, la cuenta es un invitado externo. Tanto las cuentas de invitado internas como externas tienen una opción para agregar un TAP para el inicio de sesión en el Centro de administración de Microsoft Entra y las API de Microsoft Graph. Sin embargo, solo se pueden emitir TAP a cuentas de invitado internas.

Pasos siguientes

• Planeamiento de una implementación de autenticación sin contraseña en Id. de Microsoft Entra