Passthrough für temporären Zugriff in Azure AD konfigurieren, um kennwortlose Authentifizierungsmethoden zu registrieren – Microsoft Enter (2023)

Kennwortlose Authentifizierungsmethoden (z. B. FIDO2 und kennwortlose Telefonanmeldung über die MicrosoftAuthenticator-App) ermöglichen Benutzern eine sichere Anmeldung ohne Kennwort. Benutzer haben zwei Möglichkeiten, kennwortlose Methoden zu initialisieren:

• Verwenden vorhandener mehrstufiger AzureAD-Authentifizierungsmethoden
• Verwenden eines temporären Zugangspasses (TAP)

Ein temporärer Zugriffspass ist ein zeitlich begrenztes Kennwort, das für die einmalige oder mehrfache Verwendung konfiguriert werden kann, um Benutzern die Integration mit anderen Authentifizierungsmethoden zu ermöglichen, einschließlich kennwortloser Methoden wie Microsoft Authenticator, FIDO2 oder Windows Hello for Business.

Ein temporärer Zugriffspass erleichtert auch die Wiederherstellung, wenn ein Benutzer seinen starken Authentifizierungsfaktor (z. B. den FIDO2-Sicherheitsschlüssel oder die MicrosoftAuthenticator-App) verloren oder vergessen hat, sich aber anmelden muss, um neue starke Authentifizierungsmethoden zu registrieren.

In diesem Artikel wird beschrieben, wie Sie mithilfe des Azure-Portals einen temporären Zugriffspass in AzureAD aktivieren und verwenden. Sie können diese Aktionen auch mit den REST-APIs ausführen.

TAP-Richtlinie aktivieren

Eine TAP-Richtlinie definiert Einstellungen wie die Gültigkeitsdauer von im Mandanten erstellten Ausweisen oder die Benutzer und Gruppen, die sich mit einem temporären Zugangsausweis anmelden können. Bevor sich Benutzer mit einem temporären Zugangspass anmelden können, müssen sie den temporären Zugangspass in der Richtlinie für die Authentifizierungsmethode haben und auswählen, welche Benutzer und Gruppen sich mit einem temporären Zugangspass anmelden können. Obwohl Sie einen temporären Zugangspass für jeden Benutzer erstellen können, können sich nur Benutzer, die in der TAP-Richtlinie enthalten sind, damit anmelden.

Benutzer mit der Rolle „Globaler Administrator“ oder „Administrator der Authentifizierungsmethodenrichtlinie“ können die Authentifizierungsmethodenrichtlinie für den temporären Zugriffspass aktualisieren. So konfigurieren Sie die Authentifizierungsmethodenrichtlinie für den temporären Zugriffspass

1. Melden Sie sich mit dem Konto mit Typberechtigungen anglobaler AdministratorneinAzure-Portala.

2. Du suchst nachAzure Active Directory, markieren Sie den Eintrag und wählen Sie aus dem Menü auf der linken SeiteSicherheitdas Ende.

3. Wählen Sie unter der Menüüberschrift ausAdministratorMöglichkeit zu sterbenAuthentifizierungsmethoden>Richtliniendas Ende.

4. Wählen Sie aus der Liste der verfügbaren Authentifizierungsmodi auseingeschränkter Zugangspassdas Ende.

   

5. platziere sieaktivieren SieSiemium die Richtlinie zu aktivieren. Wählen Sie dann die ausZielbenutzerdas Ende.

   

6. (Optional) Wählen Sieeinzurichtenund ändern Sie die Standardeinstellungen für den temporären Zugangspass, z. B. das Festlegen einer Dauer oder maximalen Dauer.

7. WählenSpeichern Sie nicht Computerum die Richtlinie anzuwenden.

   Die Standardwerte und der Bereich der zulässigen Werte sind in der folgenden Tabelle beschrieben.

   Attitüde	vorgegebene Werte	zulässige Werte	Bemerkungen
   Mindestlebensdauer	1 Stunde	10–43.200 Minuten (30 Stunden)	Die Mindestanzahl von Minuten, die der temporäre Zugangspass gültig ist.
   Maximale Lebensdauer	8 Stunden	10–43.200 Minuten (30 Stunden)	Die maximale Anzahl von Minuten, die der temporäre Zugangspass gültig ist.
   übliche Nutzungsdauer	1 Stunde	10–43.200 Minuten (30 Stunden)	Standardwerte können für jeden Durchlauf innerhalb der durch Richtlinie konfigurierten Mindest- und Höchstlebensdauer außer Kraft gesetzt werden.
   Einweg	FALSCH	Wahr oder falsch	Wenn die Richtlinie auf „false“ gesetzt ist, können Pässe während der Gültigkeitsdauer (maximale Dauer) ein- oder mehrmals für den Mieter verwendet werden. Durch das Erzwingen der einmaligen Verwendung in der TAP-Richtlinie sind alle im Mandanten erstellten temporären Zugriffskarten zur einmaligen Verwendung bestimmt.
   Groß	8	8-48 Zeichen	Definiert die Länge des Passworts.

Erstellen Sie einen temporären Zugangspass

Nachdem Sie eine TAP-Richtlinie aktiviert haben, können Sie einen temporären Zugriffspass für einen Benutzer in AzureAD erstellen. Die folgenden Rollen können die folgenden Aktionen auf dem temporären Zugangsausweis ausführen:

• Globale Administratoren können für jeden Benutzer (außer sich selbst) einen temporären Zugangspass erstellen, löschen und anzeigen.
• Privilegierte Authentifizierungsadministratoren können einen temporären Zugangspass für Administratoren und Mitglieder (außer sich selbst) erstellen, löschen und anzeigen.
• Authentifizierungsadministratoren können einen temporären Zugangspass für Mitglieder (außer sich selbst) erstellen, löschen und anzeigen.
• Globale Leser können die Passdetails des Benutzers mit eingeschränktem Zugriff anzeigen (ohne den Code zu scannen).

1. Melden Sie sich beim Azure-Portal als globaler Administrator, privilegierter Authentifizierungsadministrator oder Authentifizierungsadministrator an.

2. WählenAzure Active Directorygehen Sie zu „Benutzer“, wählen Sie einen Benutzer aus (S.Chris Grün) und soAuthentifizierungsmethodendas Ende.

3. Wählen Sie ggf. die Option bisTesten der neuen Schnittstelle für Benutzerauthentifizierungsmethodendas Ende.

4. wählen Sie die OptionAuthentifizierungsmethoden hinzufügendas Ende.

5. unten auswählenMethode wählenMöglichkeit zu sterbeneingeschränkter Zugangspassdas Ende.

6. Stellen Sie eine benutzerdefinierte Weckzeit oder -dauer ein und wählen Sie ausHinzufügendas Ende.

   

7. Nach dem Hinzufügen werden die Details des temporären Zugangspasses angezeigt. Notieren Sie den tatsächlichen Wert des temporären Zugangspasses. Diesen Wert stellen Sie dem Benutzer zur Verfügung. Nach Auswahl vonOKkann diesen Wert nicht mehr anzeigen.

   

Die folgenden Befehle zeigen, wie Sie mithilfe von PowerShell einen temporären Zugriffspass erstellen und abrufen.

# Erstellen Sie einen temporären Zugang für einen Benutzer $properties = @{}$properties.isUsableOnce = $True$properties.startDateTime = '2022-05-23 06:00:00'$propertiesJSON = $properties | ConvertTo-JsonNew-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSONId CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass-- --------------- -------- -- ---------- --------------------- ------------------- -- -- ----------- ------------------- c5dbd20a-8b8f-4791-a23f-488fcbde3b38 22.05.2022 23: 19:17 Falso Verdadero 60 NotYetValid 5/23/2022 6:00:00 AM TAPRocks!# Rufen Sie den Zugriffszeitpunkt eines Benutzers aufGet-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.comId CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDate ------- -------- ------------ ----------------- --- --- ---------- ------------- ------------------- c5dbd20a-8b8f -4791-a23f-488fcbde3b38 22/05/2022 23:19:17 Falso Verdadero 60 Aún no válido 23/05/2022 06:00:00

Weitere Informationen finden Sie unterNew-MgUserAuthenticationTemporaryAccessPassMethodmiGet-MgUserAuthenticationTemporaryAccessPassMethod.

Verwendung eines zeitgesteuerten Zugangspasses

Benutzer verwenden in der Regel einen temporären Zugangspass, um Authentifizierungsdaten während der ersten Anmeldung oder Geräteeinrichtung aufzuzeichnen, ohne zusätzliche Sicherheitsabfragen durchlaufen zu müssen. Authentifizierungsmethoden sind unten aufgeführthttps://aka.ms/mysecurityinfoEingetragen. Benutzer können dort auch bestehende Authentifizierungsmethoden aktualisieren.

1. Öffnen Sie einen Webbrowser und gehen Sie zuhttps://aka.ms/mysecurityinfo.

2. Geben Sie beispielsweise den UPN des Kontos ein, für das Sie den temporären Zugangspass erstellt habentapuser@contoso.com.

3. Wenn der Benutzer in der TAP-Richtlinie enthalten ist, wird ein Bildschirm zur Eingabe des temporären Zugangspasses angezeigt.

4. Geben Sie den temporären Zugriffspass ein, der im Azure-Portal angezeigt wurde.

   

Der Benutzer ist bereits angemeldet und kann eine Methode (z. B. den FIDO2-Sicherheitsschlüssel) aktualisieren oder registrieren. Benutzer, die ihre Authentifizierungsmethoden aktualisieren, weil sie ihre Anmeldeinformationen oder ihr Gerät verloren haben, müssen ihre alten Authentifizierungsmethoden löschen. Benutzer können die Fortsetzung abbrechen, indem sie sich mit ihrem Passwort anmelden; Ein TAP ersetzt nicht das Passwort eines Benutzers.

Temporäre Zugangspass-Benutzerverwaltung

Benutzer, die ihre Sicherheitsinformationen unter habenhttps://aka.ms/mysecurityinfoverwalten, finden Sie einen Eintrag für den temporären Zugangspass. Wenn ein Benutzer keine anderen Methoden registriert hat, wird oben auf dem Bildschirm ein Banner angezeigt, in dem er aufgefordert wird, eine neue Anmeldemethode hinzuzufügen. Benutzer können auch die TAP-Ablaufzeit anzeigen und löschen, wenn sie nicht mehr benötigt wird.

Windows-Gerätekonfiguration

Benutzer mit einem temporären Zugangspass können den Einrichtungsprozess in Windows 10 und 11 durchlaufen, um Onboardingvorgänge für Geräte durchzuführen und Windows Hello for Business einzurichten. Die Verwendung der temporären Zugriffskarte zum Einrichten von Windows Hello for Business hängt vom Onboarding-Status des Geräts ab.

Über Azure AD verbundene Geräte:

• Während der Azure AD-Beitritt konfiguriert ist, können sich Benutzer mit einem TAP (kein Kennwort erforderlich) authentifizieren, um dem Gerät beizutreten und Windows Hello for Business zu registrieren.
• Auf bereits registrierten Geräten müssen sich Benutzer zunächst mit einer anderen Methode (Kennwort, Smartcard oder FIDO2-Schlüssel) authentifizieren, bevor sie TAP verwenden, um Windows Hello for Business einzurichten.
• ja oderWeb-Login-Funktionauch unter Windows aktiviert ist, kann sich der Benutzer mit TAP beim Gerät anmelden. Diese Funktion ist nur für die erstmalige Einrichtung oder Wiederherstellung des Geräts vorgesehen, wenn der Benutzer sein Passwort nicht kennt oder nicht hat.

In Nicht-Azure AD Hybrid angemeldete Geräte:

• Benutzer müssen sich zuerst mit einer anderen Methode (Kennwort, Smartcard oder FIDO2-Schlüssel) authentifizieren, bevor sie TAP verwenden, um Windows Hello for Business einzurichten.

Einloggen ohne Passwort per Telefon

Benutzer können ihren temporären Zugangspass auch verwenden, um sich direkt über die Authentifizierungs-App für den passwortfreien Telefonzugang anzumelden. Weitere Informationen finden Sie unterFügen Sie Ihr Geschäfts-, Schul- oder Unikonto in der Microsoft Authenticator-App hinzu.

Gastzugang

Gastbenutzer können sich bei einem Ressourcenmandanten mit einem temporären Zugangspass anmelden, der von ihrem eigenen Mandanten ausgestellt wurde, wenn der temporäre Zugangspass die Authentifizierungsanforderungen ihres eigenen Mandanten erfüllt. Wenn für den Ressourcenmandanten eine mehrstufige Authentifizierung (MFA) erforderlich ist, muss der Gastbenutzer sie ausführen, um Zugriff auf die Ressource zu erhalten.

Prozess

Ein abgelaufener oder gelöschter temporärer Zugangspass kann nicht für die interaktive oder nicht interaktive Authentifizierung verwendet werden. Benutzer müssen sich mit anderen Authentifizierungsmethoden erneut authentifizieren, nachdem ein temporärer Zugriffspass abgelaufen ist oder gelöscht wurde.

Die Lebensdauer des Tokens (Sitzungstoken, Aktualisierungstoken, Zugriffstoken usw.), das durch Anmeldung mit einem temporären Zugangspass erhalten wird, ist auf die Lebensdauer des temporären Zugangspasses begrenzt. Infolgedessen führt der Ablauf eines temporären Zugangspasses dazu, dass das zugehörige Token abläuft.

Entfernen eines abgelaufenen temporären Zugangspasses

Zwischen denAuthentifizierungsmethodenfür einen Benutzer erscheint in der SpalteEinzelheitenWird angezeigt, wenn der temporäre Zugangspass abgelaufen ist. Sie können einen abgelaufenen temporären Zugangspass entfernen, indem Sie die folgenden Schritte ausführen:

1. Navigieren Sie zum AzureAD-Portaldes Benutzers, wählen Sie einen Benutzer aus (z. B.TAP-Benutzer) und dann auswählenAuthentifizierungsmethodendas Ende.
2. Wählen Sie auf der rechten Seite die in der Liste angezeigte Authentifizierungsmethode auseingeschränkter ZugangspassMöglichkeit zu sterbenlöschendas Ende.

Sie können auch PowerShell verwenden:

# Eliminar PassRemove -MgUserAuthenticationTemporaryAccessPassMethod -UserId des temporären Zugriffs eines Benutzers user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Weitere Informationen finden Sie unterRemove-MgUserAuthenticationTemporaryAccessPassMethod.

Ersetzen einer temporären Zugangskarte

• Ein Benutzer kann nur einen temporären Zugangspass haben. Das Passwort kann innerhalb der Start- und Endzeit des eingeschränkten Zugangspasses verwendet werden.
• Wenn der Benutzer einen neuen temporären Zugangspass benötigt, geschieht Folgendes:
  • Wenn der vorhandene temporäre Zugangspass gültig ist, kann der Administrator einen neuen temporären Zugangspass erstellen, der den vorhandenen gültigen temporären Zugangspass ersetzt.
  • Wenn der vorhandene temporäre Zugangspass abgelaufen ist, ersetzt ein neuer temporärer Zugangspass den vorhandenen temporären Zugangspass.

Weitere Informationen zu den NIST-Standards für Integration und Wiederherstellung finden Sie unterNISTSP800-63A.

Einschränkungen

Bitte beachten Sie die folgenden Einschränkungen:

• Bei Verwendung eines einzelnen temporären Zugangspasses zur Registrierung mit einer passwortlosen Methode wie FIDO2 oder Telefonregistrierung muss der Benutzer die Registrierung innerhalb von 10 Minuten nach der Anmeldung mit dem einzelnen temporären Zugangspass abschließen. Diese Einschränkung gilt nicht für einen temporären Zugangspass, der mehrfach verwendet werden kann.
• Benutzer im Geltungsbereich der Richtlinie zur Self-Service-Kennwortzurücksetzung (SSPR).ÖIdentity Protection MFA-RegistrierungsrichtlinieSie müssen eine der Authentifizierungsmethoden registrieren, nachdem Sie sich mit einem temporären Zugangspass angemeldet haben. Benutzer im Geltungsbereich dieser Richtlinien werden an die weitergeleitetKombinierter Protokollunterbrechungsmodusumgeleitet Dieser Ansatz unterstützt derzeit keine FIDO2-Registrierung oder Telefonanmeldungsregistrierung.
• Sie können keinen temporären Zugriffspass mit der Network Policy Server (NPS)-Erweiterung und dem Active Directory Federation Services (ADFS)-Adapter verwenden.
• Nachdem ein temporärer Zugangspass zu einem Konto hinzugefügt wurde oder abläuft, kann es einige Minuten dauern, bis die Änderungen repliziert werden. Während dieser Zeit werden Sie möglicherweise aufgefordert, einen temporären Zugangsausweis vorzulegen.

Fehlerbehebung

• Wenn einem Benutzer bei der Anmeldung die Verwendung eines temporären Zugangspasses nicht angeboten wird, überprüfen Sie Folgendes:
  • Der Benutzer befindet sich im Geltungsbereich der Richtlinie für die TAP-Authentifizierungsmethode.
  • Der Benutzer hat einen gültigen temporären Zugangspass, und wenn es sich um einen einmaligen temporären Zugangspass handelt, wurde er noch nicht verwendet.
• Wenn Sie bei der Anmeldung mit einem temporären Zugriff eine Meldung sehen, geben Sie diese weiterDie Anmeldung mit temporärem Zugriffspass wurde aufgrund der Richtlinie für Benutzeranmeldeinformationen blockiert, Überprüfe das Folgende:
  • Der Benutzer hat einen temporären Zugangspass für die mehrfache Verwendung, während die Richtlinie für die Authentifizierungsmethode einen temporären Zugangspass nur einmal erfordert.
  • Ein einziger temporärer Zugangspass wurde bereits verwendet.
• Wenn die Anmeldeinformationsrichtlinie des Benutzers die Anmeldung mit einem temporären Zugangspass blockiert hat, stellen Sie sicher, dass sich der Benutzer im Geltungsbereich der TAP-Richtlinie befindet.

Nächste Schritte

• Planen Sie eine Bereitstellung mit kennwortloser Authentifizierung bei Azure Active Directory