Configurer un passe d’accès temporaire pour inscrire des méthodes d’authentification sans mot de passe
Les méthodes d’authentification sans mot de passe, telles que FIDO2 et la connexion par téléphone sans mot de passe par le biais de l’application Microsoft Authenticator, permettent aux utilisateurs de se connecter en toute sécurité sans mot de passe.
Les utilisateurs peuvent amorcer des méthodes sans mot de passe de l’une des deux manières suivantes :
- Utiliser des méthodes d’authentification multifacteur Microsoft Entra existantes
- Utiliser un passe d’accès temporaire
Un passe d’accès temporaire (TAP) est un code secret limité dans le temps qui peut être configuré pour une ou plusieurs utilisations. Les utilisateurs peuvent se connecter avec un TAP pour intégrer d’autres méthodes d’authentification sans mot de passe, telles que Microsoft Authenticator, FIDO2 et Windows Hello Entreprise.
Un TAP facilite également la récupération lorsqu’un utilisateur a perdu ou oublié son facteur d’authentification fort comme une clé de sécurité FIDO2 ou l’application Microsoft Authenticator, mais qu’il doit se connecter pour inscrire de nouvelles méthodes d’authentification fortes.
Cet article vous montre comment activer et utiliser un TAP à l’aide du centre d’administration Microsoft Entra. Vous pouvez également effectuer ces actions à l’aide des API REST.
Activer la stratégie de passe d’accès temporaire
Une stratégie de passe d’accès temporaire définit des paramètres, tels que la durée de vie des passes créés dans le locataire ou les utilisateurs et les groupes qui peuvent utiliser un passe d’accès temporaire pour se connecter.
Avant que les utilisateurs puissent se connecter avec un passe d’accès temporaire, vous devez activer cette méthode dans la stratégie de méthode d’authentification et choisir les utilisateurs et les groupes qui peuvent se connecter à l’aide d’un passe d’accès temporaire.
Bien que vous puissiez créer un passe d’accès temporaire pour n’importe quel utilisateur, seuls les utilisateurs inclus dans la stratégie peuvent l’utiliser pour se connecter. Les personnes ayant au moins le rôle d’administrateur(-trice) de la stratégie d’authentification peuvent mettre à jour la stratégie de la méthode d’authentification TAP.
Pour configurer la stratégie de méthode d’authentification par passe d’accès temporaire :
Connectez-vous au Centre d'administration Microsoft Entra au minimum en tant qu’Administrateur de stratégie d’authentification.
Accédez à Protection>Méthodes d’authentification>Stratégies.
Dans la liste des méthodes d’authentification disponibles, sélectionnez Passe d’accès temporaire.
Cliquez sur Activer, puis sélectionnez les utilisateurs à inclure ou à exclure de la stratégie.
(Facultatif) Sélectionnez Configurer pour modifier les paramètres de passe d’accès temporaire par défaut, tels que la définition de la durée de vie maximale ou de la longueur, puis cliquez sur Mettre à jour.
Cliquez sur Enregistrer pour appliquer la stratégie.
La valeur par défaut et la plage de valeurs autorisées sont décrites dans le tableau suivant.
Configuration Valeurs par défaut Valeurs autorisées Commentaires Durée de vie minimale 1 heure 10 à 43 200 minutes (30 jours) Nombre minimal de minutes pendant lesquelles le passe d’accès temporaire est valide. Durée de vie maximale 8 heures 10 à 43 200 minutes (30 jours) Nombre maximal de minutes pendant lesquelles le passe d’accès temporaire est valide. Durée de vie par défaut 1 heure 10 à 43 200 minutes (30 jours) Chaque passe, dans le cadre de la durée de vie minimale et maximale configurée par la stratégie, peut remplacer la valeur par défaut. Utilisation unique False Vrai/Faux Lorsque la stratégie est définie sur false, les passes du locataire peuvent être utilisés une fois ou plusieurs fois pendant leur validité (durée de vie maximale). En appliquant une utilisation ponctuelle dans la stratégie de passe d’accès temporaire, tous les passes créés dans le locataire sont à usage unique. Longueur 8 8 à 48 caractères Définit la longueur du code secret.
Créer un passe d’accès temporaire
Après avoir activé une stratégie TAP, vous pouvez créer des TAPS pour les utilisateurs dans Microsoft Entra ID. Ces rôles suivants peuvent effectuer différentes actions liées à un TAP.
- Ceux qui disposent d’un rôle d’administrateur d’authentification privilégié peuvent créer, supprimer et afficher un TAP pour les administrateurs et les membres (sauf pour eux-mêmes).
- Les administrateurs d’authentification peuvent créer, supprimer et afficher un TAP pour les membres (sauf eux-mêmes).
- Les lecteurs globaux peuvent afficher les détails TAP de l’utilisateur (sans lire le code lui-même).
Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification.
Accédez à Identité>Utilisateurs.
Sélectionnez l’utilisateur pour lequel vous souhaitez créer un TAP.
Sélectionnez Méthodes d’authentification, puis cliquez sur Ajouter une méthode d’authentification.
Sélectionnez Passe d’accès temporaire.
Définissez une heure ou une durée d’activation personnalisée, puis sélectionnez Ajouter.
Une fois ajouté, les détails du passe d’accès temporaire sont affichés.
Important
Notez la valeur TAP réelle, car vous fournirez cette valeur à l’utilisateur. Vous ne pouvez pas afficher cette valeur après avoir sélectionné OK.
Sélectionnez OK lorsque vous avez terminé.
Les commandes suivantes montrent comment créer et obtenir un TAP à l’aide de PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Pour plus d’informations, consultez New-MgUserAuthenticationTemporaryAccessPassMethod et Get-MgUserAuthenticationTemporaryAccessPassMethod.
Utiliser un passe d’accès temporaire
L’utilisation la plus courante d’un TAP consiste pour un utilisateur à inscrire les détails d’authentification lors de la première connexion ou de la configuration de l’appareil, sans devoir répondre à d’autres invites de sécurité. Les méthodes d’authentification sont inscrites à l’adresse https://aka.ms/mysecurityinfo. Les utilisateurs peuvent également mettre à jour les méthodes d’authentification existantes ici.
Ouvrez un navigateur web à l’adresse https://aka.ms/mysecurityinfo.
Entrez l’UPN du compte pour lequel vous avez créé le passe d’accès temporaire, par exemple tapuser@contoso.com.
Si l’utilisateur est inclus dans la stratégie de passe d’accès temporaire, un écran s’affiche pour qu’il entre son passe d’accès temporaire.
Entrez le TAP affiché dans le centre d’administration Microsoft Entra.
Remarque
Pour les domaines fédérés, un passe d’accès temporaire est préférable à une fédération. Un utilisateur disposant d’un TAP s’authentifie dans Microsoft Entra ID et n’est pas redirigé vers le fournisseur d’identité (IdP) fédérée.
L’utilisateur est maintenant connecté et peut mettre à jour ou inscrire une méthode telle que la clé de sécurité FIDO2.
Les utilisateurs qui mettent à jour leurs méthodes d’authentification en raison de la perte de leurs informations d’identification ou de leur appareil doivent veiller à supprimer les anciennes méthodes d’authentification.
Les utilisateurs peuvent également continuer à se connecter à l’aide de leur mot de passe. Un passe d’accès temporaire ne remplace pas le mot de passe d’un utilisateur.
Gestion des utilisateurs des Passes d’accès temporaire
Les utilisateurs qui gèrent leurs informations de sécurité sur la page https://aka.ms/mysecurityinfo constatent qu’il existe une entrée pour le passe d’accès temporaire. Si un utilisateur n’a pas d’autres méthodes inscrites, une bannière s’affiche en haut de l’écran pour lui demander d’ajouter une nouvelle méthode de connexion. Les utilisateurs peuvent également afficher le délai d’expiration du TAP et supprimer le TAP si ce n’est plus nécessaire.
Configuration de l’appareil Windows
Les utilisateurs disposant d’un TAP peuvent naviguer dans le processus d’installation sur Windows 10 et 11 pour effectuer des opérations de jonction d’appareil et configurer Windows Hello Entreprise. L’utilisation du TAP pour la configuration de Windows Hello Entreprise varie en fonction de l’état de jonction des appareils.
Pour joindre des appareils à Microsoft Entra ID :
- Lors du processus de configuration de la jonction à un domaine, les utilisateurs peuvent s’authentifier avec un passe d’accès temporaire (aucun mot de passe obligatoire) pour joindre l’appareil et inscrire Windows Hello Entreprise.
- Sur les appareils déjà joints, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser un passe d’accès temporaire pour configurer Windows Hello Entreprise.
- Si la fonctionnalité Connexion Web sur Windows est également activée, l’utilisateur peut utiliser un Passe d’accès temporaire pour se connecter à l’appareil. C’est juste pour effectuer la configuration initiale de l’appareil ou une récupération quand l’utilisateur ne connaît pas le mot de passe ou n’en a pas.
Pour les appareils hybrides, les utilisateurs doivent d’abord s’authentifier avec une autre méthode, comme un mot de passe, une carte à puce ou une clé FIDO2, avant d’utiliser un passe d’accès temporaire pour configurer Windows Hello Entreprise.
Connexion par téléphone sans mot de passe
Les utilisateurs peuvent également utiliser leur passe d’accès temporaire pour s’inscrire à une connexion par téléphone sans mot de passe directement à partir de l’application Microsoft Authenticator.
Pour plus d’informations, consultez Ajouter votre compte professionnel ou scolaire dans l’application Microsoft Authenticator.
Accès invité
Les utilisateurs invités peuvent se connecter à un locataire de ressource avec un TAP émis par leur locataire domestique si le TAP répond à la condition d’authentification du locataire domestique.
Si l’authentification multifacteur (MFA) est requise pour le locataire de ressources, l’utilisateur invité doit effectuer une MFA pour accéder à la ressource.
Expiration
Un TAP expiré ou supprimé ne peut pas être utilisé pour une authentification interactive ou non interactive.
Les utilisateurs doivent se réauthentifier avec d’autres méthodes d’authentification après l’expiration ou la suppression du TAP.
La durée de vie du jeton (jeton d’actualisation, jeton d’actualisation, jeton d’accès, et ainsi de suite) obtenue à l’aide d’une connexion TAP est limitée à la durée de vie du TAP. Lorsqu’un TAP expire, il entraîne l’expiration du jeton associé.
Supprimer un passe d’accès temporaire expiré
Sous les méthodes d’authentification d’un utilisateur, la colonne Détails indique quand le passe d’accès temporaire a expiré. Vous pouvez supprimer un TAP expiré en procédant comme suit :
- Connectez-vous au centre d’administration Microsoft Entra avec au moins le rôle d’Administrateur d’authentification.
- Accédez à Identité>Utilisateurs, sélectionnez un utilisateur, par exemple Utilisateur avec passe d’accès temporaire, puis choisissez Méthodes d’authentification.
- Sur le côté droit de la méthode d’authentification Passe d’accès temporaire présentée dans la liste, sélectionnez Supprimer.
Vous pouvez également utiliser PowerShell :
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Pour plus d’informations, consultez Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Remplacer un passe d’accès temporaire
- Chaque utilisateur ne peut avoir qu’un seul TAP. Le code secret peut être utilisé entre les heures de début et de fin du passe d’accès temporaire.
- Si un utilisateur a besoin d’un nouveau TAP :
- Si le TAP existant est valide, l’administrateur peut créer un nouveau TAP pour remplacer le TAP valide existant.
- Si le TAP existant a expiré, un nouveau TAP remplace le TAP existant.
Pour plus d’informations sur les normes NIST pour l’intégration et la récupération, consultez la publication spéciale 800-63 du NIST.
Limites
Gardez ces limites à l’esprit :
- Lors de l’utilisation d’un passe d’accès temporaire à usage unique pour inscrire une méthode sans mot de passe telle qu’une clé de sécurité FIDO2 ou la connexion par téléphone, l’utilisateur doit terminer l’inscription dans les 10 minutes suivant la connexion avec le passe. Cette limitation ne s’applique pas à un TAP qui peut être utilisé plusieurs fois.
- Les utilisateurs concernés par la stratégie d’inscription Réinitialisation de mot de passe en libre-service (SSPR) ou par la stratégie d’inscription de l’authentification multifacteur Protection des ID Microsoft Entra sont tenus d’inscrire des méthodes d’authentification après s’être connectés avec un TAP à partir d’un navigateur. Les utilisateurs concernés par ces stratégies sont redirigés vers le mode d’interruption de l’inscription combinée. Cette expérience ne prend actuellement pas en charge l’inscription de FIDO2 et de la connexion par téléphone.
- Un TAP ne peut pas être utilisé avec l’extension Network Policy Server (NPS) et l’adaptateur Services de fédération Active Directory (AD FS).
- La réplication des modifications peut prendre quelques minutes. Pour cette raison, une fois qu’un TAP est ajouté à un compte, l’affichage de l’invite peut prendre un certain temps. Pour la même raison, une fois qu’un TAP expire, les utilisateurs peuvent toujours voir une invite de TAP.
Dépannage
- Si un TAP n’est pas proposé à un utilisateur lors de la connexion :
- Veillez à ce que l’utilisateur soit inclus par la stratégie de méthode d’authentification par passe d’accès temporaire.
- Veillez à ce que l’utilisateur dispose d’un TAP valide et, si ce dernier est à usage unique, il n’a pas encore été utilisé.
- Si le message La connexion du droit d’accès temporaire a été bloquée en raison de la stratégie relative aux informations d’identification de l’utilisateur s’affiche lors de la connexion à l’aide d’un TAP :
- Veillez à ce que l’utilisateur ne dispose pas d’un TAP à usage multiples, tandis que la stratégie de méthode d’authentification requiert un passe d’accès temporaire à usage unique.
- Vérifiez si un TAP à usage unique a déjà été utilisé.
- Si la connexion par TAP a été bloquée en raison de la stratégie des informations d’identification de l’utilisateur, vérifiez que l’utilisateur fait partie de l’étendue de la stratégie du passe d’accès temporaire.