Partilhar via


Configurar o Passe de Acesso Temporário para registar métodos de autenticação sem palavra-passe

Métodos de autenticação sem senha, como uma chave de acesso (FIDO2), permitem que os usuários entrem com segurança sem uma senha. Os usuários podem inicializar métodos sem senha de duas maneiras:

  • Usar métodos de autenticação multifator existentes do Microsoft Entra
  • Usar um passe de acesso temporário

Um Passe de Acesso Temporário (TAP) é uma senha por tempo limitado que pode ser configurada para uso único ou entradas múltiplas. Os utilizadores podem iniciar sessão com uma TAP para integrar outros métodos de autenticação sem palavra-passe. Um TAP também facilita a recuperação quando um usuário perde ou esquece um método de autenticação forte.

Este artigo mostra como habilitar e usar um TAP usando o centro de administração do Microsoft Entra. Você também pode executar essas ações usando APIs REST.

Ativar a política de Passe de Acesso Temporário

Uma política TAP define configurações, como o tempo de vida dos passes criados no locatário ou os usuários e grupos que podem usar uma TAP para entrar.

Antes que os usuários possam entrar com um TAP, você precisa habilitar esse método na política de métodos de autenticação e escolher quais usuários e grupos podem entrar usando um TAP.

Embora possa criar uma TAP para qualquer utilizador, apenas os utilizadores incluídos na política podem iniciar sessão com ela. Você precisa da função Administrador da Política de Autenticação para atualizar a política de métodos de Autenticação TAP.

Para configurar a TAP na política de métodos de autenticação:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Políticas de métodos>de autenticação de proteção>.

  3. Na lista de métodos de autenticação disponíveis, selecione Temporary Access Pass.

    Captura de tela de como gerenciar o Passe de Acesso Temporário na experiência da política de métodos de autenticação.

  4. Clique em Ativar e selecione os usuários a serem incluídos ou excluídos da política.

    Captura de tela de como habilitar o Passe de Acesso Temporário na política de métodos de autenticação.

  5. (Opcional) Selecione Configurar para modificar as configurações padrão do Passo de Acesso Temporário, como definir o tempo de vida máximo ou o comprimento, e clique em Atualizar.

    Captura de ecrã de como personalizar as definições do Passe de Acesso Temporário.

  6. Selecione Salvar para aplicar a política.

    O valor padrão e o intervalo de valores permitidos são descritos na tabela a seguir.

    Definição Valores predefinidos Valores permitidos Comentários
    Vida útil mínima Uma hora 10 – 43.200 Minutos (30 dias) Número mínimo de minutos em que a TAP é válida.
    Vida útil máxima 8 horas 10 – 43.200 Minutos (30 dias) Número máximo de minutos em que a TAP é válida.
    Tempo de vida padrão Uma hora 10 – 43.200 Minutos (30 dias) Passes individuais dentro do tempo de vida mínimo e máximo configurado pela política podem substituir o valor padrão.
    Utilização única False True/False Quando a política é definida como false, as passagens no locatário podem ser usadas uma ou mais de uma vez durante sua validade (tempo de vida máximo). Ao impor o uso único na política TAP, todos os passes criados no locatário são de uso único.
    Duração 8 8-48 caracteres Define o comprimento da senha.

Criar um Passe de Acesso Temporário

Depois de habilitar uma política TAP, você pode criar uma política TAP para usuários no Microsoft Entra ID. As funções a seguir podem executar várias ações relacionadas a um TAP.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.

  2. Navegue até Identidade>de usuários.

  3. Selecione o utilizador para o qual pretende criar uma TAP.

  4. Selecione Métodos de autenticação e clique em Adicionar método de autenticação.

    Captura de ecrã de como criar um Passe de Acesso Temporário.

  5. Selecione Passe de acesso temporário.

  6. Defina um tempo ou duração de ativação personalizada e selecione Adicionar.

    Captura de ecrã a mostrar a adição de um método - Temporary Access Pass.

  7. Uma vez adicionados, os detalhes da TAP são mostrados.

    Importante

    Anote o valor real da TAP, pois irá fornecer esse valor ao utilizador. Não é possível visualizar esse valor depois de selecionar Ok.

    Captura de ecrã dos detalhes do Passe de Acesso Temporário.

  8. Selecione OK quando terminar.

Os comandos a seguir mostram como criar e obter um TAP usando o PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obter mais informações, consulte New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.

Usar um passe de acesso temporário

A utilização mais comum de uma TAP é que um utilizador registe os detalhes de autenticação durante o primeiro início de sessão ou configuração do dispositivo, sem a necessidade de completar pedidos de segurança adicionais. Os métodos de autenticação são registrados em https://aka.ms/mysecurityinfo. Os usuários também podem atualizar os métodos de autenticação existentes aqui.

  1. Abra um navegador da Web para https://aka.ms/mysecurityinfo.

  2. Insira o UPN da conta para a qual você criou a TAP, como tapuser@contoso.com.

  3. Se o utilizador estiver incluído na política TAP, verá um ecrã para introduzir o seu TAP.

  4. Insira a TAP que foi exibida no centro de administração do Microsoft Entra.

    Captura de ecrã de como introduzir um Passe de Acesso Temporário.

Nota

Para domínios federados, uma TAP é preferível à federação. Um usuário com um TAP conclui a autenticação no Microsoft Entra ID e não é redirecionado para o Provedor de Identidade federado (IdP).

O usuário agora está conectado e pode atualizar ou registrar um método como a chave de segurança FIDO2. Os usuários que atualizam seus métodos de autenticação devido à perda de suas credenciais ou dispositivo devem certificar-se de remover os métodos de autenticação antigos. Os utilizadores também podem continuar a iniciar sessão utilizando a respetiva palavra-passe; uma TAP não substitui a palavra-passe de um utilizador.

Gestão de utilizadores do Passe de Acesso Temporário

Os usuários que gerenciam suas informações de segurança veem https://aka.ms/mysecurityinfo uma entrada para o Passe de Acesso Temporário. Se um usuário não tiver nenhum outro método registrado, ele receberá um banner na parte superior da tela que diz para adicionar um novo método de login. Os utilizadores também podem ver o tempo de expiração do TAP e eliminar o TAP se já não for necessário.

Captura de ecrã de como os utilizadores podem gerir um Passe de Acesso Temporário em As Minhas Informações de Segurança..

Configuração do dispositivo Windows

Os utilizadores com um TAP podem navegar no processo de configuração no Windows 10 e 11 para executar operações de adesão de dispositivos e configurar o Windows Hello para Empresas. O uso da TAP para configurar o Windows Hello for Business varia de acordo com o estado associado dos dispositivos.

Para dispositivos associados ao Microsoft Entra ID:

  • Durante o processo de configuração de ingresso no domínio, os usuários podem se autenticar com um TAP (sem necessidade de senha) para ingressar no dispositivo e registrar o Windows Hello for Business.
  • Em dispositivos já associados, os utilizadores devem primeiro autenticar-se com outro método, como uma palavra-passe, cartão inteligente ou chave FIDO2, antes de utilizarem a TAP para configurar o Windows Hello para Empresas.
  • Se a funcionalidade de início de sessão na Web no Windows também estiver ativada, o utilizador pode utilizar a TAP para iniciar sessão no dispositivo. Destina-se apenas a concluir a configuração inicial do dispositivo ou a recuperação quando o utilizador não sabe ou não tem uma palavra-passe.

Para dispositivos híbridos, os usuários devem primeiro se autenticar com outro método, como senha, cartão inteligente ou chave FIDO2, antes de usar a TAP para configurar o Windows Hello for Business.

Captura de ecrã de como introduzir o Passe de Acesso Temporário ao configurar o Windows.

Usando o TAP com o Microsoft Authenticator

Os utilizadores também podem utilizar a sua TAP para registar o Microsoft Authenticator com a sua conta. Ao adicionar uma conta escolar ou profissional e iniciar sessão com uma TAP, os utilizadores podem registar chaves de acesso e início de sessão por telemóvel sem palavra-passe diretamente a partir da aplicação Authenticator.

Para obter mais informações, consulte Adicionar sua conta corporativa ou de estudante ao aplicativo Microsoft Authenticator.

Captura de ecrã de como introduzir um Passe de Acesso Temporário utilizando uma conta escolar ou profissional.

Acesso de convidado

Pode adicionar um TAP como método de início de sessão a um hóspede interno, mas não a outros tipos de hóspedes. Um convidado interno tem o objeto de usuário UserType definido como Guest. Eles têm métodos de autenticação registrados no Microsoft Entra ID. Para obter mais informações sobre convidados internos e outras contas de convidados, consulte propriedades de usuário convidado B2B.

Se você tentar adicionar uma TAP a uma conta de convidado externo no centro de administração do Microsoft Entra ou no Microsoft Graph, receberá um erro informando o Passe de Acesso Temporário não pode ser adicionado a um usuário convidado externo.

Os utilizadores convidados externos podem iniciar sessão num inquilino de recursos com uma TAP emitida pelo seu inquilino doméstico, desde que a TAP cumpra os requisitos de autenticação do inquilino doméstico e as políticas de Acesso entre Inquilinos tenham sido configuradas para confiar na autenticação multifator (MFA) do inquilino doméstico dos utilizadores. Consulte Gerir definições de acesso entre inquilinos para colaboração B2B.

Expiração

Uma TAP expirada ou excluída não pode ser usada para autenticação interativa ou não interativa.

Os usuários precisam se autenticar novamente com diferentes métodos de autenticação depois que a TAP expira ou é excluída.

O tempo de vida do token (token de sessão, token de atualização, token de acesso e assim por diante) obtido usando um login TAP é limitado ao tempo de vida TAP. Quando uma TAP expira, leva à expiração do token associado.

Excluir um Passe de Acesso Temporário expirado

Em Métodos de autenticação para um usuário, a coluna Detalhe mostra quando a TAP expirou. Pode eliminar uma TAP expirada utilizando os seguintes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Autenticação.
  2. Navegue até Usuários de identidade>, selecione um usuário, como Toque em Usuário, e escolha Métodos de autenticação.
  3. No lado direito do método de autenticação do Passe de Acesso Temporário mostrado na lista, selecione Excluir.

Você também pode usar o PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Para obter mais informações, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Substitua um passe de acesso temporário

  • Cada utilizador só pode ter uma TAP. O código de acesso pode ser utilizado durante a hora de início e de fim da TAP.
  • Se um utilizador necessitar de um novo TAP:
    • Se a TAP existente for válida, o administrador pode criar uma nova TAP para substituir a TAP válida existente.
    • Se a TAP existente tiver expirado, uma nova TAP substituirá a TAP existente.

Para obter mais informações sobre os padrões NIST para integração e recuperação, consulte Publicação especial do NIST 800-63A.

Limitações

Tenha estas limitações em mente:

  • Ao utilizar uma TAP única para registar um método sem palavra-passe, como uma chave de segurança FIDO2 ou um início de sessão por telefone, o utilizador deve concluir o registo no prazo de 10 minutos após o início de sessão com a TAP única. Esta limitação não se aplica a uma TAP que possa ser utilizada mais do que uma vez.
  • Os usuários no escopo da política de registro de redefinição de senha de autoatendimento (SSPR) ouda política de registro de autenticação multifator do Microsoft Entra ID Protection precisam registrar métodos de autenticação depois de entrarem com um TAP usando um navegador. Os usuários no escopo dessas políticas são redirecionados para o modo Interrupção do registro combinado. Atualmente, esta experiência não suporta FIDO2 e registo de início de sessão por telefone.
  • Uma TAP não pode ser usada com a extensão NPS (Servidor de Diretivas de Rede) e o adaptador dos Serviços de Federação do Ative Directory (AD FS).
  • Pode levar alguns minutos para que as alterações sejam replicadas. Por isso, depois que uma TAP é adicionada a uma conta, pode demorar um pouco para que o prompt apareça. Pela mesma razão, depois de uma TAP expirar, os utilizadores ainda poderão ver um pedido para a TAP.

Resolução de Problemas

  • Se uma TAP não for oferecida a um utilizador durante o início de sessão:
    • Verifique se o usuário está no escopo para uso da TAP na política de métodos de autenticação.
    • Certifique-se de que o utilizador tem uma TAP válida e, se for uma utilização única, ainda não foi utilizada.
  • Se o início de sessão do Passe de Acesso Temporário tiver sido bloqueado devido à Política de Credenciais de Utilizador aparecer durante o início de sessão com um TAP:
    • Verificar se o utilizador está no âmbito da política TAP
    • Verifique se o usuário não tem um TAP para vários usos, enquanto a política de métodos de autenticação requer um TAP único.
    • Verifique se já foi utilizada uma TAP única.
  • Se não for possível adicionar Passe de Acesso Temporário a um utilizador convidado externo, aparece quando tentar adicionar um TAP a uma conta como método de autenticação, esta conta é de um convidado externo. As contas de convidado internas e externas têm a opção de adicionar um TAP para entrar no centro de administração do Microsoft Entra e nas APIs do Microsoft Graph, mas apenas as contas de convidado interno podem receber um TAP.

Próximos passos