Configuración de un pase de acceso temporal para registrar métodos de autenticación sin contraseña
Los métodos de autenticación sin contraseña, como FIDO2 y el inicio de sesión telefónico sin contraseña mediante la aplicación Microsoft Authenticator, permiten a los usuarios iniciar sesión de manera segura sin una contraseña.
Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:
- Uso de métodos de autenticación multifactor de Microsoft Entra existentes
- Uso de un Pase de acceso temporal
El pase de acceso temporal (TAP) es un código de acceso de tiempo limitado que puede configurarse para usarse una o varias veces. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña, como Microsoft Authenticator, FIDO2 y Windows Hello para empresas.
Además, un TAP facilita la recuperación cuando un usuario ha perdido u olvidado su factor de autenticación sólida, como una llave de seguridad FIDO2 o la aplicación Microsoft Authenticator, pero debe iniciar sesión para registrar nuevos métodos de autenticación sólida.
En este artículo se muestra cómo habilitar y usar un TAP con el Centro de administración de Microsoft Entra. También puede realizar estas acciones con API de REST.
Habilitación de la directiva del Pase de acceso temporal
Una directiva de TAP define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un TAP para iniciar sesión.
Para que los usuarios puedan iniciar sesión con un TAP, debe habilitar este método en la directiva de método de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un TAP.
Aunque puede crear un TAP para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él. Los que tengan al menos el rol Administrador de directivas de autenticación pueden actualizar la directiva del método de autenticación TAP.
Para configurar la directiva de método de autenticación TAP:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Protección>Métodos de autenticación>Directivas.
En la lista de métodos de autenticación disponibles, seleccione Pase de acceso temporal.
Haga clic en Habilitar y, después, seleccione los usuarios que incluir o excluir de la directiva.
(Opcional) Seleccione Configurar para modificar la configuración predeterminada del pase de acceso temporal, como la duración máxima o la longitud, y haga clic en Actualizar.
Seleccione Guardar para aplicar la directiva.
En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.
Configuración Valores predeterminados Valores permitidos Comentarios Duración mínima 1 hora De 10 a 43,200 minutos (30 días) Número mínimo de minutos que TAP es válido. Duración máxima 8 horas De 10 a 43,200 minutos (30 días) Número máximo de minutos que TAP es válido. Duración predeterminada 1 hora De 10 a 43,200 minutos (30 días) Los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva, pueden invalidar el valor predeterminado. Uso único False Verdadero/Falso Cuando la directiva se establece en False, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva TAP, todos los pases creados en el inquilino son de un solo uso. Length 8 De 8 a 48 caracteres Define la longitud del código de acceso.
Creación de un Pase de acceso temporal
Después de habilitar una directiva TAP, puede crear un TAP para los usuarios en Microsoft Entra ID. Los siguientes roles pueden realizar varias acciones relacionadas con un TAP.
- Las personas que tienen asignadas como mínimo el rol de Administrador de autenticación con privilegios pueden crear, eliminar y ver un TAP para administradores y miembros (excepto ellos mismos).
- Las personas con el rol de administradores de autenticación pueden crear, eliminar y ver un TAP para los miembros (excepto ellos mismos).
- Los lectores globales pueden ver los detalles de TAP del usuario (sin leer el propio código).
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
Vaya a Identidad>Usuarios.
Seleccione el usuario para el que desea crear un TAP.
Seleccione Métodos de autenticación y haga clic en Agregar método de autenticación.
Seleccione Pase de acceso temporal.
Defina una duración o una hora de activación personalizada y seleccione Agregar.
Una vez que se agregue, se muestran los detalles del TAP.
Importante
Anote el valor del TAP real, ya que proporcionará este valor al usuario. No puede ver este valor después de seleccionar Aceptar.
Seleccione Aceptar cuando termine.
Los siguientes comandos muestran cómo crear y obtener un TAP mediante PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.
Uso de un Pase de acceso temporal
El uso más común de un TAP es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.
Abra un explorador web en https://aka.ms/mysecurityinfo.
Escriba el nombre principal de usuario de la cuenta para la que ha creado el TAP, como tapuser@contoso.com.
Si el usuario está incluido en la directiva de TAP, ve una pantalla para escribir su TAP.
Escriba el TAP que se muestra en el centro de administración de Microsoft Entra.
Nota:
En el caso de los dominios federados, se prefiere un TAP frente a la federación. Un usuario con un TAP completa la autenticación en Id. de Microsoft Entra y no se le redirige al proveedor de identidades federado (IdP).
El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una llave de seguridad FIDO2.
Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos.
Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.
Administración de usuarios para un pase de acceso temporal
Los usuarios que administran su información de seguridad en https://aka.ms/mysecurityinfo, ven una entrada para el pase de acceso temporal. Si un usuario no registra ningún otro método, se muestra un banner en la parte superior de la pantalla que indica que se agregue un nuevo método de inicio de sesión. Los usuarios también pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.
Configuración del dispositivo Windows
Los usuarios con un TAP pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un TAP para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos.
Para los dispositivos unidos a Id. de Microsoft Entra:
- Durante el proceso de configuración de unión de dominios, los usuarios pueden autenticarse con un TAP (no se requiere contraseña) para unirse al dispositivo y registrarse en Windows Hello para empresas.
- En dispositivos ya unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.
- Si la característica de inicio de sesión web en Windows también está habilitada, el usuario puede usar TAP para iniciar sesión en el dispositivo. Esto está pensado solo para completar la configuración inicial del dispositivo o la recuperación cuando el usuario no conoce o tiene una contraseña.
En el caso de dispositivos híbridos unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.
Inicio de sesión telefónico sin contraseña
Los usuarios también pueden usar su TAP para registrarse en el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator.
Para obtener más información, consulte Agregar la cuenta profesional o educativa a la aplicación Microsoft Authenticator.
Acceso de invitado
Los usuarios invitados pueden iniciar sesión en un inquilino de recursos con un TAP emitido por su inquilino principal si el TAP cumple el requisito de autenticación del inquilino principal.
Si se requiere la autenticación multifactor (MFA) para el inquilino de recursos, el usuario invitado debe realizar la MFA para obtener acceso al recurso.
Expiración
No se puede usar un TAP expirado o eliminado para la autenticación interactiva o no interactiva.
Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el TAP haya expirado o se haya eliminado.
La duración del token (token de sesión, token de actualización, token de acceso, etc.) obtenido con un inicio de sesión de TAP se limita a la duración de este. Cuando expira un TAP, esto da lugar a la expiración del token asociado.
Eliminación de un Pase de acceso temporal expirado
Debajo de Métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el TAP. Puede eliminar un TAP caducado mediante los siguientes pasos:
- Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de autenticación como mínimo.
- Vaya a Identidad>Usuarios, seleccione un usuario, como Pulsar usuario, y a continuación, elija Métodos de autenticación.
- En el lado derecho del método de autenticación Pase de acceso temporal que se muestra en la lista, seleccione Eliminar.
También puede usar PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Para más información, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Reemplazo de un Pase de acceso temporal
- Cada usuario solo puede tener un TAP. El código de acceso se puede usar durante las horas de inicio y finalización del TAP.
- Si un usuario requiere un nuevo TAP:
- Si el TAP existente es válido, el administrador puede crear un nuevo TAP para invalidar el TAP válido existente.
- Si el TAP existente ha expirado, un nuevo TAP invalidará el TAP existente.
Para obtener más información sobre los estándares de NIST para la incorporación y la recuperación, consulte la publicación especial de NIST 800-63A.
Limitaciones
Tenga en cuenta las limitaciones siguientes:
- Cuando se usa un TAP de un uso para registrar un método sin contraseña, como una clave de seguridad FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el TAP de único uso. Esta limitación no se aplica a un TAP que se puede usar más de una vez.
- Los usuarios en el ámbito de la directiva de registro de autoservicio de restablecimiento de contraseña (SSPR) o la directiva de registro de MFA de Protección de id. de Microsoft Entra deben registrar los métodos de autenticación después de que han iniciado sesión con un TAP mediante un navegador. Los usuarios sujetos a estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
- Un TAP no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de Servicios de federación de Active Directory (AD FS).
- Los cambios pueden tardar unos minutos en replicarse. Por este motivo, después de agregar un TAP a una cuenta, puede tardar un tiempo en aparecer el mensaje. Por el mismo motivo, después de que expire un TAP, es posible que los usuarios sigan viendo una solicitud de TAP.
Solución de problemas
- Si no se ofrece un TAP a un usuario durante el inicio de sesión:
- Asegúrese de que el usuario está en el ámbito de la directiva del método de autenticación TAP.
- Asegúrese de que el usuario tiene un TAP válido y, si se usa una sola vez, aún no se usó.
- Si aparece la opción El inicio de sesión con el TAP se bloqueó debido a la directiva de credenciales de usuario durante el inicio de sesión con un pase de acceso temporal:
- Asegúrese de que el usuario no tiene un TAP de uso múltiple mientras que la directiva del método de autenticación requiere un TAP de un solo uso.
- Compruebe si ya se usó un TAP de una sola vez.
- Si el inicio de sesión con un TAP se bloqueó debido a la directiva de credenciales de usuario, compruebe que el usuario está en el ámbito de la directiva TAP.