Configurare il pass di accesso temporaneo per registrare i metodi di autenticazione senza password
I metodi di autenticazione senza password come una passkey (FIDO2) consentono agli utenti di accedere in modo sicuro senza password. Gli utenti possono avviare metodi senza password in uno dei due modi seguenti:
- Usare i metodi di autenticazione a più fattori Microsoft Entra esistenti
- Usare un pass di accesso temporaneo
Un pass di accesso temporaneo (TAP) è un passcode limitato al tempo che può essere configurato per l'uso singolo o più accessi. Gli utenti possono accedere con un TAP per eseguire l'onboarding di altri metodi di autenticazione senza password. Un TAP semplifica anche il ripristino quando un utente perde o dimentica un metodo di autenticazione avanzata.
Questo articolo illustra come abilitare e usare il TAP tramite l'interfaccia di amministrazione di Microsoft Entra. È anche possibile eseguire queste azioni tramite le API REST.
Abilita il criterio pass di accesso temporaneo
Il criterio TAP definisce le impostazioni, come ad esempio la durata dei passaggi creati nel tenant, o gli utenti e i gruppi che possono usare un TAP per accedere.
Prima che gli utenti possano accedere con un TAP, è necessario abilitare questo metodo nei criteri Metodi di autenticazione e scegliere quali utenti e gruppi possono accedere usando un TAP.
Pur essendo possibile creare un TAP per qualsiasi utente, solo gli utenti inclusi nei criteri possono accedervi. Per aggiornare il criterio dei metodi di autenticazione TAP, è necessario il ruolo di amministratore dei criteri di autenticazione .
Per configurare TAP nei criteri dei metodi di autenticazione:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Protezione>Metodi di autenticazione>Criteri.
Nell'elenco dei metodi di autenticazione disponibili, selezionare Pass di accesso temporaneo.
Selezionare Abilita e quindi selezionare gli utenti da includere o escludere dalla politica.
(Facoltativo) Selezionare Configura per modificare le impostazioni predefinite del pass di accesso temporaneo, ad esempio l'impostazione della durata massima o la lunghezza, e selezionare Update.
Selezionare Salva per applicare il criterio.
Il valore predefinito e l'intervallo di valori consentiti sono descritti nella tabella seguente.
Impostazione Valori predefiniti Valori consentiti Commenti Durata minima 1 ora 10 – 43,200 minuti (30 giorni) Numero minimo di minuti di validità del TAP. Durata massima 8 ore 10 – 43,200 minuti (30 giorni) Numero massimo di minuti di validità del TAP. Durata predefinita 1 ora 10 – 43,200 minuti (30 giorni) I singoli passaggi tra la durata minima e massima configurata dai criteri possono sostituire il valore predefinito. Uso unico Falso Vero/Falso Quando il criterio è impostato su Falso, i pass nel tenant possono essere usati una o più volte durante la validità (durata massima). Applicando l’uso unico al criterio TAP, tutti i pass creati nel tenant sono monouso. Durata 8 8-48 caratteri Definisce la lunghezza del passcode.
Creare un pass di accesso temporaneo
Dopo aver abilitato un criterio TAP, è possibile creare un criterio TAP per gli utenti in Microsoft Entra ID. I ruoli seguenti possono eseguire varie azioni correlate a un TAP.
- gli amministratori di autenticazione con privilegi possono creare, eliminare e visualizzare un TAP per amministratori e membri (eccetto loro stessi).
- Gli amministratori di autenticazione possono creare, eliminare e visualizzare un TAP per i membri (tranne se stessi).
- gli amministratori dei criteri di autenticazione possono abilitare TAP, includere o escludere gruppi e modificare i criteri dei metodi di autenticazione.
- I lettori globali possono visualizzare i dettagli di TAP per gli utenti (senza leggere il codice stesso).
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
Passa a Identità>Utenti.
Selezionare l'utente per cui si vuole creare il TAP.
Selezionare Metodi di autenticazione e selezionare Aggiungi metodo di autenticazione.
Seleziona Pass di accesso temporaneo.
Definire un'ora o una durata di attivazione personalizzata e selezionare Aggiungi.
Una volta aggiunti, vengono visualizzati i dettagli del TAP.
Importante
Prendere nota del valore TAP effettivo, perché questo valore viene fornito all'utente. Non è possibile visualizzare questo valore dopo aver selezionato OK.
Una volta terminata l’operazione, fare clic su OK.
I comandi seguenti illustrano come creare e ottenere un TAP tramite PowerShell.
# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id CreatedDateTime IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime TemporaryAccessPass
-- --------------- -------- ------------ ----------------- --------------------- ------------- -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False True 60 NotYetValid 23/05/2022 6:00:00 AM
Per ulteriori informazioni, vedere New-MgUserAuthenticationTemporaryAccessPassMethod e Get-MgUserAuthenticationTemporaryAccessPassMethod.
Usare un pass di accesso temporaneo
L'uso più comune per un TAP: che l’utente registri i dettagli di autenticazione durante la configurazione del primo accesso o del dispositivo senza dover completare richieste di sicurezza aggiuntive. I metodi di autenticazione vengono registrati in https://aka.ms/mysecurityinfo. Gli utenti possono anche aggiornare i metodi di autenticazione esistenti qui.
Aprire un Web browser all'indirizzo https://aka.ms/mysecurityinfo.
Immettere l'UPN dell'account per cui è stato creato il TAP, come ad esempio tapuser@contoso.com.
Se l'utente è incluso nei criteri TAP, visualizzerà una schermata per immettere il TAP.
Immettere il TAP visualizzato nell'interfaccia di amministrazione di Microsoft Entra.
Nota
Per i domini federati, è preferibile un TAP rispetto alla federazione. Un utente con TAP completa l'autenticazione in Microsoft Entra ID e non viene reindirizzato al provider di identità federato (IdP).
L'utente adesso è connesso e può aggiornare o registrare un metodo, come ad esempio la chiave di sicurezza FIDO2. Gli utenti che aggiornano i metodi di autenticazione a causa della perdita delle credenziali o del dispositivo devono accertarsi di rimuovere i metodi di autenticazione precedenti. Gli utenti possono anche continuare ad accedere tramite la password; il TAP non sostituisce la password di un utente.
Gestione degli utenti del pass di accesso temporaneo
Gli utenti che gestiscono le informazioni di sicurezza in https://aka.ms/mysecurityinfo vedono una voce per il pass di accesso temporaneo. Se un utente non ha altri metodi registrati, ottiene un banner nella parte superiore della schermata che indica di aggiungere un nuovo metodo di accesso. Gli utenti possono anche visualizzare l'orario di scadenza del TAP ed eliminare il TAP se non è più necessario.
Configurazione dispositivi Windows
Gli utenti con un TAP possono esplorare il processo di installazione in Windows 10 e 11 per eseguire operazioni di aggiunta al dispositivo e configurare Windows Hello for Business. L'utilizzo del TAP per la configurazione di Windows Hello for Business varia in base allo stato aggiunto ai dispositivi.
Per i dispositivi aggiunti a Microsoft Entra ID:
- Durante il processo di installazione dell'aggiunta a un dominio, gli utenti possono eseguire l'autenticazione con un TAP (senza password necessaria) per aggiungere il dispositivo e registrare Windows Hello for Business.
- Nei dispositivi già aggiunti, gli utenti devono prima eseguire l'autenticazione con un altro metodo, ad esempio una password, una smart card o una chiave FIDO2, prima di usare TAP per configurare Windows Hello for Business.
- Se è abilitata anche la funzionalità di accesso Web in Windows, l'utente può usare il TAP per accedere al dispositivo. Questa operazione è destinata solo al completamento della configurazione iniziale del dispositivo o al ripristino quando l'utente non conosce o non ha una password.
Per i dispositivi aggiunti all'ambiente ibrido, gli utenti devono prima eseguire l'autenticazione con un altro metodo, come ad esempio una password, una smart card o una chiave FIDO2, prima di usare un TAP per configurare Windows Hello for Business.
Uso di TAP con Microsoft Authenticator
Gli utenti possono anche usare il loro TAP per registrare Microsoft Authenticator con i propri account. Aggiungendo un account aziendale o dell'istituto di istruzione e accedendo con un TAP, gli utenti possono registrare sia passkey che l'accesso tramite telefono senza password direttamente dall'app Authenticator.
Per ulteriori informazioni, vedere Aggiungere l’account aziendale o dell'istituto di istruzione all’app Microsoft Authenticator.
Accesso guest
È possibile aggiungere un TAP come metodo di accesso a un ospite interno, ma non ad altri tipi di ospiti. Un guest interno ha un oggetto utente UserType impostato su Guest. Hanno metodi di autenticazione registrati in Microsoft Entra ID. Per altre informazioni sui guest interni e altri account guest, vedere proprietà utente guest B2B.
Se si tenta di aggiungere un TAP a un account guest esterno nell'interfaccia di amministrazione di Microsoft Entra o in Microsoft Graph, verrà visualizzato un errore che indica che Passaggio di accesso temporaneo non può essere aggiunto a un utente guest esterno.
Gli utenti guest esterni possono accedere a un tenant di risorse con un TAP rilasciato dal loro tenant domestico se il TAP soddisfa i requisiti di autenticazione del tenant domestico e i criteri di accesso tra tenant sono stati configurati per considerare attendibile l'MFA dal tenant domestico degli utenti, vedere Gestire le impostazioni di accesso tra tenant per collaborazione B2B.
Scadenza
Non è possibile usare un TAP scaduto o eliminato per l'autenticazione interattiva o non interattiva.
Gli utenti devono ripetere l'autenticazione con metodi di autenticazione diversi dopo la scadenza o l'eliminazione del TAP.
La durata del token (token di sessione, token di aggiornamento, token di accesso e così via) ottenuta usando un accesso TAP è limitata alla durata TAP. Quando un TAP scade, scade anche il token associato.
Eliminare un pass di accesso temporaneo scaduto
In Metodi di autenticazione per un utente, la colonna Dettagli compare quando il TAP è scaduto. È possibile eliminare un TAP scaduto seguendo questa procedura:
- Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore autenticazione.
- Passare a Identità>Utenti, selezionare un utente, come Utente Tap, poi scegliere Metodi di autentificazione.
- Sul lato destro del metodo di autenticazione pass di accesso temporaneo visualizzato nell'elenco, selezionare Elimina.
È anche possibile usare PowerShell:
# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Per ulteriori informazioni, vedere Remove-MgUserAuthenticationTemporaryAccessPassMethod.
Sostituire un pass di accesso temporaneo
- Ogni utente può avere un solo TAP. Il passcode può essere usato durante l'orario di inizio e di fine del TAP.
- Se un utente richiede un nuovo TAP:
- Se il TAP esistente è valido, l'amministratore può creare un nuovo TAP per eseguire l'override del TAP valido esistente.
- Se il TAP esistente è scaduto, un nuovo TAP sostituisce il TAP esistente.
Per ulteriori informazioni sugli standard NIST per l'onboarding e il ripristino, vedere Pubblicazione speciale NIST 800-63A.
Limiti
Tenere presenti queste limitazioni:
- Quando si usa un TAP monouso per registrare un metodo senza password, come ad esempio una chiave di sicurezza FIDO2 o l'accesso tramite telefono, l'utente deve completare la registrazione entro 10 minuti dall'accesso con il TAP monouso. Questa limitazione non si applica ai TAP che possono essere usati più volte.
- Gli utenti nell'ambito dei criteri di registrazione della reimpostazione della password self-service (SSPR) o dei criteri di registrazione dell'autenticazione a più fattori di Microsoft Entra ID Protection devono registrare i metodi di autenticazione dopo aver eseguito l'accesso con un TAP tramite un browser. Gli utenti nell'ambito di questi criteri vengono reindirizzati alla modalità Interrompere della registrazione combinata. Questa esperienza non supporta attualmente FIDO2 e la registrazione dell'accesso tramite telefono.
- Un TAP non può essere usato con l'estensione Network Policy Server (NPS) e la scheda Active Directory Federation Services (AD FS).
- La replica delle modifiche può richiedere alcuni minuti. Per questo motivo, dopo l'aggiunta di un TAP a un account, la visualizzazione della richiesta può richiedere alcuni minuti. Per lo stesso motivo, dopo la scadenza di un TAP, gli utenti potrebbero comunque visualizzare una richiesta di TAP.
Risoluzione dei problemi
- Se durante l'accesso all’utente non viene offerto un TAP:
- Assicurarsi che l'utente sia idoneo per l'uso di TAP nei criteri dei metodi di autenticazione.
- Accertarsi che l'utente abbia un TAP valido e, se è monouso, che non sia ancora stato usato.
- Se l'accesso temporaneo al pass di accesso è stato bloccato a causa di Criteri credenziali utente, viene visualizzato durante l'accesso con un TAP:
- Verificare che l'utente sia nell'ambito della politica TAP
- Assicurarsi che l'utente non disponga di un TAP per più usi quando la politica dei metodi di autenticazione richiede un TAP una tantum.
- Controllare se è già stato usato un TAP monouso.
- Se passaggio di accesso temporaneo non può essere aggiunto a un utente guest esterno viene visualizzato quando si tenta di aggiungere un TAP a un account come metodo di autenticazione, l'account è un guest esterno. Sia gli account guest interni che esterni hanno la possibilità di aggiungere un TAP per l'accesso nell'interfaccia di amministrazione di Microsoft Entra e nelle API Microsoft Graph. Tuttavia, solo gli account guest interni possono ricevere un TAP.