Поделиться через

Настройка Временного секретного кода в Azure AD для регистрации методов проверки подлинности без пароля

  • Статья

Методы проверки подлинности без пароля, такие как пароль (FIDO2), позволяют пользователям безопасно входить без пароля. Пользователи могут запускать методы без пароля одним из двух способов:

  • Использование существующих методов многофакторной проверки подлинности Microsoft Entra
  • Использование Временного секретного кода

Временный пароль доступа (TAP) — это ограниченный по времени секретный код, который можно настроить для одного использования или нескольких входов. Пользователи могут войти с помощью TAP, чтобы подключить другие методы проверки подлинности без пароля. При потере или забывании метода сильной аутентификации система TAP также упрощает восстановление доступа.

В этой статье показано, как включить и использовать TAP с помощью Центра администрирования Microsoft Entra. Эти действия также можно выполнить с помощью REST API.

Включение политики Временного секретного кода

Политика TAP определяет параметры, такие как время существования проходов, созданных в клиенте, или пользователей и групп, которые могут использовать TAP для входа.

Прежде чем пользователи смогут войти с помощью TAP, необходимо включить этот метод в политике методов проверки подлинности и выбрать, какие пользователи и группы могут войти с помощью TAP.

Хотя вы можете создать TAP для любого пользователя, только пользователи, включенные в политику, могут войти с ним. Для обновления политики проверки подлинности TAP требуется роль администратора политики проверки подлинности .

Чтобы настроить TAP в политике методов проверки подлинности, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к политикам>проверки подлинности защиты.>

  3. Из списка имеющихся способов проверки подлинности выберите элемент Временный секретный код.

    снимок экрана о том, как управлять временным пропуском доступа в политике аутентификации методов.

  4. Нажмите кнопку "Включить ", а затем выберите пользователей для включения или исключения из политики.

    Снимок экрана, показывающий включение временного пропуска доступа в политике методов аутентификации.

  5. (Необязательно) Выберите "Настроить", чтобы изменить параметры временного доступа по умолчанию, например задать максимальное время существования или длину, и нажмите кнопку "Обновить".

    Снимок экрана: настройка параметров Временного секретного кода.

  6. Чтобы применить политику, нажмите кнопку Сохранить.

    Значение по умолчанию и диапазон допустимых значений описаны в следующей таблице.

    Параметр Значения по умолчанию Допустимые значения Комментарии
    Минимальное время существования 1 ч 10–43,200 минут (30 дней) Минимальное количество минут, допустимое для TAP.
    Максимальное время существования 8 часов 10–43,200 минут (30 дней) Максимальное количество минут, допустимое для TAP.
    Время существования по умолчанию 1 ч 10–43,200 минут (30 дней) Отдельные передачи в течение минимального и максимального времени существования, настроенного политикой, могут переопределить значение по умолчанию.
    Однократное использование False True/False Если для политики задано значение false, коды в клиент могут использоваться либо один раз, либо несколько раз в течение срока действия (максимальное время существования). Применив однократное использование в политике TAP, все проходы, созданные в клиенте, используются один раз.
    Length 8 8-48 символов Определяет длину секретного кода.

Создание Временного секретного кода

После включения политики TAP можно создать политику TAP для пользователей в идентификаторе Microsoft Entra. Следующие роли могут выполнять разнообразные действия, связанные с TAP.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.

  2. Перейдите к >.

  3. Выберите пользователя, для который вы хотите создать TAP.

  4. Выберите методы проверки подлинности и нажмите кнопку "Добавить метод проверки подлинности".

    Снимок экрана: создание Временного секретного кода.

  5. Выберите временный проход доступа.

  6. Задайте время активации или длительность и нажмите кнопку Добавить.

    Снимок экрана: добавление метода — временный проход доступа.

  7. После добавления отображаются сведения о TAP.

    Внимание

    Запишите фактическое значение TAP, так как вы предоставите этому значению пользователю. Это значение нельзя будет просмотреть после нажатия кнопки ОК.

    Снимок экрана: сведения о Временном секретном коде.

  8. По завершении щелкните ОК.

В следующих командах показано, как создать и получить TAP с помощью PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Дополнительные сведения см. в разделах New-MgUserAuthenticationTemporaryAccessPassMethod и Get-MgUserAuthenticationTemporaryAccessPassMethod.

Использование Временного секретного кода

Наиболее распространенным способом использования TAP является регистрация сведений о проверке подлинности при первом входе или настройке устройства без необходимости выполнять дополнительные запросы безопасности. Методы проверки подлинности регистрируются в https://aka.ms/mysecurityinfo. Здесь пользователи также могут обновлять существующие методы проверки подлинности.

  1. Откройте https://aka.ms/mysecurityinfo в веб-браузере.

  2. Введите имя участника-пользователя учетной записи, для которую вы создали TAP, например tapuser@contoso.com.

  3. Если пользователь включен в политику TAP, он увидит экран, чтобы ввести его TAP.

  4. Введите TAP, отображаемое в Центре администрирования Microsoft Entra.

    Снимок экрана: ввод Временного секретного кода.

Примечание.

Для федеративных доменов предпочтительный элемент TAP по сравнению с федерацией. Пользователь с TAP завершает проверку подлинности в идентификаторе Microsoft Entra ID и не перенаправляется в федеративный поставщик удостоверений (IdP).

Теперь пользователь находится в системе и может обновить или зарегистрировать метод, например ключ безопасности FIDO2. Пользователям, которые обновляют методы проверки подлинности из-за потери учетных данных или устройства, следует обязательно удалить старые методы проверки подлинности. Пользователи также могут продолжать входить в систему, используя свой пароль; TAP не заменяет собой пароль.

Управление пользователями, имеющими Временный секретный код

Пользователи, управляющие своими сведениями о https://aka.ms/mysecurityinfo безопасности, видят запись для временного прохода доступа. Если у пользователя нет других зарегистрированных методов, он получает баннер в верхней части экрана, который говорит, чтобы добавить новый метод входа. Пользователи также могут просмотреть время истечения срока действия TAP и удалить TAP, если он больше не нужен.

Снимок экрана: управление временным проходом доступа в my Security Info..

Настройка устройства с Windows

Пользователи с помощью TAP могут перемещаться по процессу установки в Windows 10 и 11 для выполнения операций соединения устройств и настройки Windows Hello для бизнеса. Использование TAP для настройки Windows Hello для бизнеса зависит от состояния соединения устройств.

Для присоединенных устройств к идентификатору Microsoft Entra:

  • Во время процесса установки соединения с доменом пользователи могут пройти проверку подлинности с помощью TAP (без пароля), чтобы присоединить устройство и зарегистрировать Windows Hello для бизнеса.
  • На уже присоединенных устройствах пользователи должны сначала пройти проверку подлинности с помощью другого метода, например пароля, смарт-карты или ключа FIDO2, прежде чем использовать TAP для настройки Windows Hello для бизнеса.
  • Если функция веб-входа в Windows также включена, пользователь может использовать TAP для входа на устройство. Это предназначено только для завершения начальной настройки устройства или восстановления, если пользователь не знает или не имеет пароля.

Для устройств, присоединенных к гибридной среде, пользователи должны сначала пройти проверку подлинности с помощью другого метода, например пароля, смарт-карты или ключа FIDO2, прежде чем использовать TAP для настройки Windows Hello для бизнеса.

Снимок экрана: ввод временного доступа при настройке Windows.

Использование TAP с Microsoft Authenticator

Пользователи также могут использовать свою TAP для регистрации Microsoft Authenticator с учётной записью. Добавив рабочую или учебную учетную запись и выполнив вход с помощью TAP, пользователи могут зарегистрировать ключи доступа и вход в телефон без пароля напрямую из приложения Authenticator.

Дополнительная информация приведена в статье Добавление рабочей или учебной учетной записи в приложение Microsoft Authenticator.

Снимок экрана: как ввести Временный секретный ключ с помощью рабочей или учебной учетной записи.

Гостевой доступ

Вы можете добавить TAP в качестве метода входа для внутреннего гостя, но не для других типов гостей. У внутреннего гостя есть объект пользователя UserType, установленный на Гость. У них есть методы проверки подлинности, зарегистрированные в идентификаторе Microsoft Entra. Дополнительные сведения о внутренних гостях и других гостевых учетных записях см. в свойствах гостевых учетных записей B2B .

Если вы попытаетесь добавить TAP во внешнюю гостевую учетную запись в Центре администрирования Microsoft Entra или в Microsoft Graph, появится сообщение об ошибке, указывающее, временный проход доступа нельзя добавить во внешний гостевой пользователь.

Внешние гостевые пользователи могут войти в клиент ресурсов с помощью TAP, выданного их домашним клиентом, если TAP соответствует требованиям проверки подлинности домашнего клиента и политикам межтенантного доступа, которые настроены для доверия MFA от домашнего клиента пользователей. См. Управление параметрами доступа между клиентами для совместной работы B2B.

Истечение срока действия

Истекший срок действия или удаленный TAP не может использоваться для интерактивной или неинтерактивной проверки подлинности.

Пользователи должны повторно пройти проверку подлинности с различными методами проверки подлинности после истечения срока действия ИЛИ удаления TAP.

Время существования маркера (маркер сеанса, маркер обновления, маркер доступа и т. д.), полученное с помощью имени входа TAP, ограничено временем существования TAP. Когда срок действия TAP истекает, он приводит к истечении срока действия связанного маркера.

Удаление просроченного временного секретного кода

В разделе методов проверки подлинности для пользователя столбец "Сведения" отображается при истечении срока действия TAP. Вы можете удалить истекший срок действия TAP, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор проверки подлинности.
  2. Перейдите к >, выберите пользователя, например "Коснитесь пользователя", а затем выберите методы проверки подлинности.
  3. В правой части строки способа проверки подлинности Временный секретный код в списке нажмите Удалить.

Также можно использовать PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Дополнительные сведения см. в разделе Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Замена Временного секретного кода

  • Каждый пользователь может иметь только один TAP. Секретный код можно использовать во время начала и окончания TAP.
  • Если пользователю требуется новый TAP:
    • Если существующий TAP действителен, администратор может создать новый TAP, чтобы переопределить существующий допустимый TAP.
    • Если истек срок действия существующего TAP, новый TAP переопределит существующий TAP.

Дополнительные сведения о стандартах NIST для адаптации и восстановления см. в разделе Специальная публикация NIST 800-63A.

Ограничения

Помните о следующих ограничениях:

  • При использовании однократного tap для регистрации метода без пароля, например ключа безопасности FIDO2 или входа телефона, пользователь должен завершить регистрацию в течение 10 минут после входа с помощью однократного TAP. Это ограничение не применяется к TAP, который можно использовать несколько раз.
  • Пользователям в области самостоятельного сброса пароля (SSPR) илиЗащита идентификации Microsoft Entra политике регистрации многофакторной проверки подлинности необходимо зарегистрировать методы проверки подлинности после входа с помощью TAP с помощью браузера. Пользователи в области этих политик перенаправляются в режим прерывания объединенной регистрации. В настоящее время эта возможность не поддерживает регистрацию FIDO2 и телефонного входа.
  • Не удается использовать TAP с расширением сервера политики сети (NPS) и адаптером службы федерации Active Directory (AD FS) (AD FS).
  • Для репликации изменений может потребоваться несколько минут. Из-за этого после добавления TAP в учетную запись может занять некоторое время для отображения запроса. По той же причине после истечения срока действия TAP пользователи могут по-прежнему видеть запрос на TAP.

Устранение неполадок

  • Если при входе пользователь не предлагает TAP:
    • Убедитесь, что пользователь включен в охват использования TAP в политике методов аутентификации.
    • Убедитесь, что пользователь имеет допустимый TAP, и если он используется один раз, он еще не использовался.
  • Если во время входа в систему с помощью TAP отображается временная передача доступа из-за политики учетных данных пользователя:
    • Убедитесь, что пользователь находится в области политики TAP
    • Убедитесь, что у пользователя нет TAP для многократного использования, а политика методов проверки подлинности требует однократного TAP.
    • Проверьте, использовался ли однократный TAP.
  • Если временный пропуск не может быть добавлен, и отображается ошибка при попытке добавить TAP в учетную запись в качестве метода проверки подлинности, учетная запись является внешним гостем. У внутренних и внешних гостевых учетных записей есть возможность добавить TAP для входа в Центре администрирования Microsoft Entra и API Microsoft Graph, но только внутренние гостевые учетные записи могут получить возможность добавить TAP.

Следующие шаги