Compartir a través de

配置临时访问密码,以注册无密码身份验证方法

无密码认证方法(如密钥(FIDO2)) 允许用户在没有密码的情况下安全地登录。 用户可以通过以下两种方式之一来启动无密码方法:

  • 使用现有Microsoft Entra多重身份验证方法
  • 使用临时访问密码

临时访问通行证(TAP)是一种限时密码,可以配置为使用单一登录或多登录。用户可以使用 TAP 登录以载入其他无密码身份验证方法。 在用户丢失或忘记强身份验证方法时,TAP 还可以简化恢复。

本文介绍如何使用 Microsoft Entra 管理中心启用和使用 TAP。 还可以使用 REST API 来执行这些操作。

启用临时访问密码策略

TAP 策略定义了一些设置,例如在租户中创建的访问权限的有效期,以及可以使用 TAP 登录的用户和群体。

在用户可以使用 TAP 登录之前,需要在身份验证方法策略中启用此方法,并选择哪些用户和组可以使用 TAP 登录。

虽然可以为任何用户创建 TAP,但只有策略中包含的用户才能使用它登录。 需要 身份验证策略管理员 角色才能更新 TAP 身份验证方法策略。

若要在身份验证方法策略中配置 TAP,请执行以下操作:

  1. 登录到 Microsoft Entra 管理中心,至少需要拥有身份验证策略管理员权限。

  2. 浏览到 Entra ID>身份验证方法>策略

  3. 从可用身份验证方法列表中,选择“临时访问密码”。

    如何在身份验证方法策略体验中管理临时访问通行证的屏幕截图。

  4. 选择“ 启用 ”,然后选择要从策略中包含或排除的用户。

    介绍如何在身份验证方法策略中启用临时访问许可的屏幕截图。

  5. (可选)选择“ 配置 ”以修改默认的临时访问通行证设置,例如设置最长生存期或长度,然后选择“ 更新”。

    如何自定义临时访问通行证设置的屏幕截图。

  6. 选择“保存”以应用策略。

    下表介绍了默认值以及允许值的范围。

    设置 默认值 允许的值 注释
    最短生存期 1 小时 10 - 43,200 分钟 (30 天) TAP 的最小有效分钟数。
    最长生存期 8 小时 10 - 43,200 分钟 (30 天) TAP 有效的最大分钟数。
    默认生存期 1 小时 10 - 43,200 分钟 (30 天) 在策略配置的生命周期最短和最长范围内,个别通行证可以覆盖默认值。
    一次性使用 真/假 当策略设置为 false 时,租户中的 TAP 可以在有效期(最长生存期)期间使用一次或多次。 如果在 TAP 策略中强制实施一次性使用,则租户中创建的所有通行证都是一次性使用。
    长度 8 8-48 个字符 定义密码的长度。

创建临时访问密码

启用 TAP 策略后,可以为Microsoft Entra ID中的用户创建 TAP 策略。 以下角色可以执行与 TAP 相关的各种操作。

  1. 至少以 Authentication Administrator 身份登录到 Microsoft Entra 管理中心

  2. 浏览到 Entra ID>用户

  3. 选择要为其创建 TAP 的用户。

  4. 选择 “身份验证方法 ”,然后选择“ 添加身份验证方法”。

    如何创建临时访问通行证的屏幕截图。

  5. 选择“临时访问密码”。

  6. 定义一个自定义激活时间或持续时间,然后选择“添加”。

    添加方法 - 临时访问通行证的屏幕截图。

  7. 添加后,将显示 TAP 的详细信息。

    重要

    记下实际 TAP 值,因为你向用户提供此值。 选择“确定”后无法查看此值。

    临时访问通行证详细信息的屏幕截图。

  8. 完成后,选择“确定”。

以下命令显示如何使用 PowerShell 创建和获取 TAP。

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

有关详细信息,请参阅 New-MgUserAuthenticationTemporaryAccessPassMethodGet-MgUserAuthenticationTemporaryAccessPassMethod

使用临时访问密码

TAP 的最常见用途是让用户在首次登录或设备设置期间注册身份验证详细信息,而无需完成额外的安全提示。 身份验证方法在 安全信息中注册。 用户还可以在此处更新现有的身份验证方法。

  1. 打开 Web 浏览器以访问 安全信息

  2. 输入您为其创建 TAP 的帐户的 UPN,例如 tapuser@contoso.com

  3. 如果用户被纳入 TAP 策略,他们会看到一个让他们输入 TAP 的界面。

  4. 输入在 Microsoft Entra 管理中心中显示的 TAP。

    如何输入临时访问通行证的屏幕截图。

注释

对于联合域,TAP 优先于联邦。 具有 TAP 的用户在Microsoft Entra ID中完成身份验证,不会重定向到联合标识提供者(IdP)。

用户现已登录,可以更新或注册方法,例如 FIDO2 安全密钥。 如果是因丢失凭据或设备而要更新其身份验证方法,用户应确保删除原先的身份验证方法。 用户也可以使用其密码继续登录;TAP 不会替换用户的密码。

临时访问密码的用户管理

管理 其安全信息 的用户会看到临时访问通行证的条目。 如果用户没有任何其他已注册的方法,他们将在屏幕顶部收到一个横幅,该横幅显示要添加新的登录方法。 用户还可以查看 TAP 过期时间,并可在不再需要 TAP 时将其删除。

“我的安全信息”中的屏幕截图,展示了用户如何管理临时访问通行证。

设备注册和无密码注册

使用临时访问通行证(TAP)来支持设备注册和无密码凭据注册(例如,Windows Hello for Business),有两种受支持的方法来确保最终用户体验流畅。

选项 流程说明 步骤
两个单用 TAP 如果你的组织强制实施单用 TAP,并且整个设备注册过程需要超过 10 分钟,则用户需要输入第二个单用 TAP 进行无密码凭据注册。
注意:当用户输入单用 TAP 注册无密码身份验证方法时,注册必须在登录后的 10 分钟内完成。
此行为在所有需要多重身份验证(MFA)的新身份验证方法注册中保持一致,包括通过 安全信息启动的注册。 10 分钟的要求与在凭据注册期间实施 MFA 有关,但与 TAP 无关。		 第一个单用 TAP 用于完成设备注册。
如果设备注册过程在 10 分钟以上后到达Windows Hello for Business注册步骤,则必须提供第二个单用 TAP 来注册凭据。
一个多用途 TAP 如果组织启用多用 TAP,用户可以在其有效期内多次使用单个 TAP 登录。 例如,用户可以在一小时内通过一次轻触多次登录。
多功能 TAP 可以通过减少分发多个密码的需求,来简化终端用户的体验。 监视 TAP 使用情况,以确保它在有效期内未使用超过预期次数。		 用户可以输入相同的 TAP 一次注册其设备,然后再次注册Windows Hello for Business。
当用户开始注册新的身份验证方法时,10 分钟的 MFA 要求会有效重启。 计时器重启可防止设备设置中断。

Windows设备设置

具有 TAP 的用户可以在 Windows 10 和 11 上导航设置过程,以执行设备连接操作并配置 Windows Hello for Business。 设置Windows Hello for Business的 TAP 使用情况因设备加入状态而异。

对于已加入Microsoft Entra ID的设备:

  • 在域加入设置过程中,用户可以使用 TAP(无需密码)进行身份验证,以加入设备并注册Windows Hello for Business。
  • 在已加入的设备上,用户必须先使用其他方法(如密码、智能卡或 FIDO2 密钥)进行身份验证,然后使用 TAP 设置Windows Hello for Business。
  • 如果还启用了Windows上的 Web 登录功能,则用户可以使用 TAP 登录到设备。 这仅适用于完成初始设备设置,或者在用户不知道密码或没有密码时进行恢复。

对于已加入混合的设备,用户必须先使用其他方法(如密码、智能卡或 FIDO2 密钥)进行身份验证,然后使用 TAP 设置Windows Hello for Business。

注释

对于联合域, FederatedIdpMfaBehavior 在需要 MFA 时更改行为。 如果设置为 强制实施MfaByFederatedIdp ,则用户将被重定向到联合 IDP,并且没有机会使用 TAP。 然而,如果设置为 acceptIfMfaDoneByFederatedIdp,则用户在 MFA 期间会在 Entra ID 中看到 TAP 提示,以便进行 Windows Hello for Business 预配。

注释

对于将 federatedIdpMfaBehavior 设置为 enforceMfaByFederatedIdp 的联合域,系统不会提示用户 TAP 满足多重身份验证(MFA)以设置Windows Hello for Business。 而是被重定向到联合身份提供商(IdP)进行多因素认证(MFA)。

在设置 Windows 时输入临时访问密码的屏幕截图。

将 TAP 与Microsoft Authenticator配合使用

用户还可以使用 TAP 在其帐户中注册Microsoft Authenticator。 通过添加工作或学校帐户并使用 TAP 登录,用户可以直接从 Authenticator 应用注册通行密钥和无密码电话登录。

有关详细信息,请参阅 将工作或学校帐户添加到Microsoft Authenticator应用

如何使用工作或学校帐户输入临时访问通行证的屏幕截图。

来宾访问

可以将 TAP 添加为内部来宾的登录方法,但不能用于其他类型的来宾。 内部来宾的用户对象“UserType”设置为“来宾”。 他们在 Microsoft Entra ID 中注册了身份验证方法。 有关内部来宾和其他来宾帐户的详细信息,请参阅 B2B 来宾用户属性

如果尝试将 TAP 添加到Microsoft Entra管理中心或 Microsoft Graph 中的外部来宾帐户,则会收到错误,指出无法将 Temporary Access Pass 添加到外部来宾用户。

如果 TAP 满足主租户身份验证要求,并且已将跨租户访问策略配置为信任用户主租户中的 MFA,则外部来宾用户可以使用其主租户颁发的 TAP 登录到资源租户,请参阅 管理 B2B 协作的跨租户访问设置

过期日期

过期或删除的 TAP 不能用于交互式或非交互式身份验证。

TAP 过期或删除后,用户需要使用其他身份验证方法重新进行身份验证。

使用 TAP 登录获得的令牌生存期(会话令牌、刷新令牌、访问令牌等)仅限于 TAP 生存期。 如果 TAP 过期,则关联的令牌也会过期。

删除过期的临时访问密码

在用户的 身份验证方法 下,“ 详细信息 ”列显示在 TAP 过期时。 可以通过以下步骤删除已过期的 TAP:

  1. 至少以 Authentication Administrator 身份登录到 Microsoft Entra 管理中心
  2. 浏览到 Entra ID>用户,选择用户,例如 点击用户,然后选择 身份验证方法
  3. 在列表中显示的“临时访问密码”身份验证方法的右侧,选择“删除”。

你也可以使用 PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

有关详细信息,请参阅 Remove-MgUserAuthenticationTemporaryAccessPassMethod

替换临时访问密码

  • 每个用户只能有一个 TAP。 在 TAP 的开始和结束时间内,可以使用密码。
  • 如果用户需要新的 TAP:
    • 如果现有的 TAP 有效,管理员可以创建新的 TAP 来替代现有的有效 TAP。
    • 如果现有 TAP 已过期,则新的 TAP 将替代现有 TAP。

有关载入和恢复的 NIST 标准的详细信息,请参阅 NIST 特别出版物 800-63A

局限性

请牢记这些限制:

  • 使用一次性 TAP 注册无密码方法(如 FIDO2 安全密钥或电话登录)时,用户必须在使用一次性 TAP 登录后的 10 分钟内完成注册。 此限制不适用于可以多次使用的 TAP。
  • 在自助密码重置(SSPR)注册策略范围内的用户,在使用浏览器登录使用 TAP 后,必须注册身份验证方法。 这些策略范围内的用户将重定向到 合并注册的中断模式。 此体验当前不支持 FIDO2 和手机登录注册。
  • TAP 不能与网络策略服务器 (NPS) 扩展和 Active Directory Federation Services (AD FS) 适配器一起使用。
  • 更改的复制可能需要几分钟。 因此,将 TAP 添加到帐户后,可能需要一段时间才能显示提示。 由于同样的原因,在 TAP 过期后,用户仍可能会看到 TAP 提示。

故障排除

  • 如果在登录时未向用户提供 TAP,请执行以下操作:
    • 确保用户在身份验证方法策略中符合使用 TAP 的条件。
    • 确保用户具有有效的 TAP。 如果 TAP 是一次性使用,请确保尚未被使用。
  • 如果在使用 TAP 登录期间出现 由于用户凭据策略而阻止临时访问凭证登录 ,请执行以下步骤:
    • 检查用户是否在 TAP 策略的范围内。
    • 确保用户没有可多次使用的 TAP,而身份验证方法策略要求一次性 TAP。
    • 检查一次性 TAP 是否已经被使用。
  • 如果在尝试为某个帐户添加 TAP 作为身份验证方法时出现“无法为外部来宾用户添加临时访问密码”,则该帐户为外部来宾。 内部和外部来宾帐户都可以选择在 Microsoft Entra 管理中心和 Microsoft Graph API 中添加 TAP 作为登录方法。 但是,只有内部来宾帐户可以获得 TAP。
  • Last updated on