Configuración de un pase de acceso temporal en Azure AD para registrar métodos de autenticación sin contraseña

Los métodos de autenticación sin contraseña, como FIDO2 y el inicio de sesión telefónico sin contraseña a través de la aplicación Microsoft Authenticator, permiten a los usuarios iniciar sesión de manera segura sin una contraseña. Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:

  • Con los métodos de autenticación multifactor de Azure AD existentes
  • Usando un Pase de acceso temporal (TAP)

Un pase de acceso temporal es un código de acceso de tiempo limitado que emite un administrador, que satisface los requisitos de autenticación sólida y que se puede usar para incorporar otros métodos de autenticación, incluidos aquellos sin contraseña, como Microsoft Authenticator o Windows Hello. Asimismo, el Pase de acceso temporal facilita la recuperación cuando un usuario ha perdido u olvidado su factor de autenticación sólida, como una clave de seguridad FIDO2 o la aplicación Microsoft Authenticator, pero debe iniciar sesión para registrar nuevos métodos de autenticación sólida.

En este artículo se muestra cómo habilitar y usar el Pase de acceso temporal en Azure AD mediante Azure Portal. También puede realizar estas acciones con las API REST.

Habilitación de la directiva del Pase de acceso temporal

Una directiva de Pase de acceso temporal define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un Pase de acceso temporal para iniciar sesión. Antes de que un usuario pueda iniciar sesión con un pase de acceso temporal, debe habilitar esta característica en la directiva del método de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un pase de acceso temporal. Aunque puede crear un Pase de acceso temporal para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él.

Los titulares del rol Administrador global y Administrador de la directiva del método de autenticación pueden actualizar la directiva del método de autenticación del Pase de acceso temporal. Para configurar la directiva del método de autenticación del Pase de acceso temporal:

  1. Inicie sesión en Azure Portal como administrador global o administrador de la directiva de autenticación y haga clic en Azure Active Directory>Seguridad>Método de autenticación>Pase de acceso temporal. Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  2. Para habilitar la directiva, seleccione y los usuarios a los que aplicarla. Screenshot of how to enable the Temporary Access Pass authentication method policy.

  3. (Opcional) Haga clic en Configurar y modifique la configuración predeterminada del pase de acceso temporal, como la duración máxima o la longitud. Screenshot of how to customize the settings for Temporary Access Pass.

  4. Haga clic en Guardar para aplicar la directiva.

    En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.

    Configuración Valores predeterminados Valores permitidos Comentarios
    Duración mínima 1 hora De 10 a 43 200 minutos (30 días) Número mínimo de minutos que el Pase de acceso temporal es válido.
    Duración máxima 8 horas De 10 a 43 200 minutos (30 días) Número máximo de minutos que el Pase de acceso temporal es válido.
    Duración predeterminada 1 hora De 10 a 43 200 minutos (30 días) Los valores predeterminados se pueden invalidar mediante los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva.
    Uso único False True o False Cuando la directiva se establece en False, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva del Pase de acceso temporal, todos los pases creados en el inquilino se crearán como de un solo uso.
    Length 8 De 8 a 48 caracteres Define la longitud del código de acceso.

Creación de un Pase de acceso temporal

Después de habilitar una directiva, puede crear un Pase de acceso temporal para un usuario en Azure AD. Estos roles pueden realizar las siguientes acciones relacionadas con un Pase de acceso temporal.

  • El Administrador global puede crear, eliminar y ver el Pase de acceso temporal de cualquier usuario (excepto el suyo).
  • Los Administradores de autenticación con privilegios pueden crear, eliminar y ver el Pase de acceso temporal en administradores y miembros (excepto el suyo).
  • Los Administradores de autenticación pueden crear, eliminar y ver el Pase de acceso temporal en miembros (excepto el suyo).
  • El Lector global puede ver los detalles del Pase de acceso temporal en el usuario (sin tener que leer el propio código).
  1. Inicie sesión en Azure Portal como Administrador global, Administrador de autenticación con privilegios o Administrador de autenticación.

  2. Haga clic en Azure Active Directory, vaya a Usuarios, seleccione un usuario, como Chris Green, y, a continuación, elija Métodos de autenticación.

  3. Si es necesario, seleccione la opción para Try the new user authentication methods experience (Probar la nueva experiencia de métodos de autenticación de usuario).

  4. Seleccione la opción para Add authentication methods (Agregar métodos de autenticación).

  5. Debajo de Seleccionar método, haga clic en Pase de acceso temporal .

  6. Defina una duración o una hora de activación personalizada y haga clic en Agregar.

    Screenshot of how to create a Temporary Access Pass.

  7. Una vez que se agregue, se muestran los detalles del Pase de acceso temporal. Tome nota del valor real del Pase de acceso temporal. Este valor se proporcionará al usuario. No puede ver este valor después de hacer clic en Aceptar.

    Screenshot of Temporary Access Pass details.

Los comandos siguientes muestran cómo crear y obtener un Pase de acceso temporal mediante PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.

Uso de un Pase de acceso temporal

El uso más común de un pase de acceso temporal es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.

  1. Abra un explorador web en https://aka.ms/mysecurityinfo.

  2. Escriba el UPN de la cuenta para la que creó el Pase de acceso temporal, como tapuser@contoso.com .

  3. Si el usuario está incluido en la directiva del Pase de acceso temporal, verá una pantalla para escribir el Pase de acceso temporal.

  4. Escriba el Pase de acceso temporal que se mostró en Azure Portal.

    Screenshot of how to enter a Temporary Access Pass.

Nota:

En el caso de los dominios federados, se prefiere usar un Pase de acceso temporal en vez de la federación. Un usuario con un Pase de acceso temporal completará la autenticación en Azure AD y no se le redirigirá al proveedor de identidades federado (IdP).

El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una llave de seguridad FIDO2. Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos. Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.

Administración de usuarios para un pase de acceso temporal

Los usuarios que administren su información de seguridad en https://aka.ms/mysecurityinfo verán una entrada para el pase de acceso temporal. Si un usuario no tiene ningún otro método registrado, se le mostrará un banner en la parte superior de la pantalla solicitando que agregue un nuevo método de inicio de sesión. Los usuarios pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.

Screenshot of how users can manage a Temporary Access Pass in My Security Info.

Configuración del dispositivo Windows

Los usuarios con un pase de acceso temporal pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un pase de acceso temporal para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos:

  • Durante la configuración de Azure AD Join, los usuarios pueden autenticarse con un TAP (sin contraseña solicitada) y configurar Windows Hello para empresas.
  • En dispositivos ya unidos a Azure AD, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, antes de usar TAP para configurar Windows Hello para empresas.
  • En los dispositivos unidos a Azure AD híbrido, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, antes de usar TAP para configurar Windows Hello para empresas.

Screenshot of how to enter Temporary Access Pass when setting up Windows 10.

Inicio de sesión telefónico sin contraseña

Los usuarios también pueden usar su Pase de acceso temporal para registrarse en el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator. Para obtener más información, consulte Agregar la cuenta profesional o educativa a la aplicación Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Acceso de invitado

Los usuarios invitados pueden iniciar sesión en un inquilino de recursos con un Pase de acceso temporal emitido por su inquilino principal si el Pase de acceso temporal cumple el requisito de autenticación del inquilino principal. Si se necesita MFA para el inquilino del recurso, el usuario invitado debe realizar MFA para obtener acceso al recurso.

Expiration

No se puede usar un Pase de acceso temporal expirado o eliminado para la autenticación interactiva o no interactiva. Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el Pase de acceso temporal haya expirado o se haya eliminado.

Eliminación de un Pase de acceso temporal expirado

En la opción Métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el Pase de acceso temporal. Puede eliminar un Pase de acceso temporal que haya expirado siguiendo estos pasos:

  1. En el portal de Azure AD, vaya a Usuarios, seleccione un usuario, por ejemplo, Usuario de TAP y, después, elija Métodos de autenticación.
  2. En el lado derecho del método de autenticación Pase de acceso temporal que se muestra en la lista, seleccione Eliminar.

También puede usar PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Para más información, consulte Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Reemplazo de un Pase de acceso temporal

  • Un usuario solo puede tener un Pase de acceso temporal. El código de acceso se puede usar durante las horas de inicio y finalización del Pase de acceso temporal.
  • Si el usuario requiere un nuevo Pase de acceso temporal:
    • Si el pase de acceso temporal existente es válido, el administrador puede crear un nuevo pase de acceso temporal que invalidará el pase válido existente.
    • Si el Pase de acceso temporal existente ha expirado, uno nuevo invalidará el Pase de acceso temporal existente.

Para obtener más información sobre los estándares de NIST para la incorporación y la recuperación, consulte la publicación especial de NIST 800-63A.

Limitaciones

Tenga en cuenta las limitaciones siguientes:

  • Cuando se usa un Pase de acceso temporal de un solo uso para registrar un método sin contraseña, como FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el Pase de acceso temporal de un solo uso. Esta limitación no se aplica a un Pase de acceso temporal que se pueda usar más de una vez.
  • Los usuarios en el ámbito de la directiva de registro de autoservicio de restablecimiento de contraseña (SSPR) o la directiva de registro de autenticación multifactor de protección de identidades tienen que registrar los métodos de autenticación una vez que han iniciado sesión con un Pase de acceso temporal. Los usuarios en el ámbito de estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
  • Un Pase de acceso temporal no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de los Servicios de federación de Active Directory (AD FS).
  • Una vez que se agrega un pase de acceso temporal a una cuenta o expira, los cambios pueden tardar unos minutos en replicarse. Es posible que los usuarios sigan viendo un aviso de pase de acceso temporal durante este tiempo.

Solución de problemas

  • Si no se ofrece un Pase de acceso temporal a un usuario durante el inicio de sesión, compruebe lo siguiente:
    • El usuario está en el ámbito de la directiva del método de autenticación del Pase de acceso temporal.
    • El usuario tiene un Pase de acceso temporal válido y, si es de un solo uso, todavía no se ha usado.
  • Si aparece la opción Temporary Access Pass sign in was blocked due to User Credential Policy (El inicio de sesión con el Pase de acceso temporal se bloqueó debido a la directiva de credenciales de usuario) durante el inicio de sesión con un Pase de acceso temporal, compruebe lo siguiente:
    • El usuario tiene un Pase de acceso temporal de varios usos, mientras que la directiva del método de autenticación requiere un Pase de acceso temporal de un solo uso.
    • Ya se ha usado un Pase de acceso temporal de un solo uso.
  • Si el inicio de sesión con Pase de acceso temporal se bloqueó debido a la directiva de credenciales de usuario, compruebe que el usuario está en el ámbito de la directiva TAP.

Pasos siguientes