Mengonfigurasi Kode Akses Sementara untuk mendaftarkan metode autentikasi tanpa kata sandi

  • Artikel

Metode autentikasi tanpa kata sandi, seperti FIDO2 dan masuk melalui aplikasi Microsoft Authenticator tanpa kata sandi, memungkinkan pengguna untuk masuk dengan aman tanpa kata sandi.

Pengguna dapat melakukan bootstrap metode Tanpa Kata Sandi dengan salah satu cara:

  • Menggunakan metode autentikasi multifaktor Microsoft Entra yang sudah ada
  • Menggunakan Kode Akses Sementara

Kode akses sementara (TAP) adalah kode sandi terbatas waktu yang dapat dikonfigurasi untuk penggunaan tunggal atau kelipatan. Pengguna dapat masuk dengan TAP untuk onboarding metode autentikasi tanpa kata sandi lainnya, seperti Microsoft Authenticator, FIDO2, dan Windows Hello untuk Bisnis.

TAP juga mempermudah pemulihan ketika pengguna telah kehilangan atau lupa faktor autentikasi yang kuat seperti kunci keamanan FIDO2 atau aplikasi Microsoft Authenticator, tetapi perlu masuk untuk mendaftarkan metode autentikasi kuat baru.

Artikel ini memperlihatkan kepada Anda cara mengaktifkan dan menggunakan TAP menggunakan pusat admin Microsoft Entra. Anda juga dapat melakukan tindakan ini menggunakan REST API.

Mengaktifkan kebijakan Kode Akses Sementara

Kebijakan TAP menentukan pengaturan, seperti masa pakai pass yang dibuat di penyewa, atau pengguna dan grup yang dapat menggunakan TAP untuk masuk.

Sebelum pengguna dapat masuk dengan TAP, Anda perlu mengaktifkan metode ini dalam kebijakan metode autentikasi dan memilih pengguna dan grup mana yang dapat masuk dengan menggunakan TAP.

Meskipun Anda dapat membuat TAP untuk pengguna mana pun, hanya pengguna yang disertakan dalam kebijakan yang dapat masuk dengannya. Hanya peran Admin Global dan Admin Kebijakan Autentikasi yang dapat memperbarui kebijakan metode autentikasi TAP.

Untuk mengonfigurasi kebijakan metode autentikasi TAP:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri kebijakan metode>Autentikasi Perlindungan.>

  3. Dari daftar metode autentikasi yang tersedia, pilih Kode Akses Sementara.

    Screenshot of how to manage Temporary Access Pass within the authentication method policy experience.

  4. Klik Aktifkan lalu pilih pengguna untuk menyertakan atau mengecualikan dari kebijakan.

    Screenshot of how to enable the Temporary Access Pass authentication method policy.

  5. (Opsional) Pilih Konfigurasikan untuk mengubah pengaturan Kode Akses Sementara default, seperti mengatur masa pakai maksimum, atau panjang, dan klik Perbarui.

    Screenshot of how to customize the settings for Temporary Access Pass.

  6. Pilih Simpan untuk menerapkan kebijakan.

    Nilai default dan rentang nilai yang diizinkan diuraikan dalam tabel berikut.

    Pengaturan Nilai default Nilai yang diizinkan Komentar
    Masa pakai minimum 1 jam 10 – 43.200 Menit (30 hari) Jumlah menit minimum TAP valid.
    Masa pakai maksimum 8 jam 10 – 43.200 Menit (30 hari) Jumlah menit maksimum TAP valid.
    Masa pakai default 1 jam 10 – 43.200 Menit (30 hari) Setiap lolos dalam masa pakai minimum dan maksimum yang dikonfigurasi oleh kebijakan dapat mengambil alih nilai default.
    Penggunaan satu kali Salah True/False Ketika kebijakan diatur ke false, kode di penyewa dapat digunakan baik sekali maupun lebih dari sekali selama masa berlakunya (masa pakai maksimum). Dengan memberlakukan penggunaan satu kali dalam kebijakan TAP, semua pass yang dibuat di penyewa adalah penggunaan satu kali.
    Panjang 8 8-48 karakter Tentukan panjang kode sandi.

Membuat Kode Akses Sementara

Setelah mengaktifkan kebijakan TAP, Anda dapat membuat TAP untuk pengguna di ID Microsoft Entra. Peran berikut ini dapat melakukan berbagai tindakan yang terkait dengan TAP.

  • Administrator Global dapat membuat, menghapus, dan melihat TAP untuk setiap pengguna (kecuali mereka sendiri).
  • Administrator Autentikasi Istimewa dapat membuat, menghapus, dan melihat TAP untuk admin dan anggota (kecuali diri mereka sendiri).
  • Administrator Autentikasi dapat membuat, menghapus, dan melihat TAP untuk anggota (kecuali diri mereka sendiri).
  • Pembaca Global dapat melihat detail TAP untuk pengguna (tanpa membaca kode itu sendiri).

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri Ke Pengguna Identitas>.

  3. Pilih pengguna yang ingin Anda buat TAP-nya.

  4. Pilih Metode autentikasi dan klik Tambahkan metode autentikasi.

    Screenshot of how to create a Temporary Access Pass.

  5. Pilih Kode Akses Sementara.

  6. Tentukan waktu atau durasi aktivasi khusus dan pilih Tambahkan.

    Screenshot of adding a method - Temporary Access Pass.

  7. Setelah ditambahkan, detail TAP ditampilkan.

    Penting

    Catat nilai TAP yang sebenarnya, karena Anda akan memberikan nilai ini kepada pengguna. Anda tidak dapat melihat nilai ini setelah memilih Oke.

    Screenshot of Temporary Access Pass details.

  8. Pilih OK saat sudah selesai.

Perintah berikut menunjukkan cara membuat dan mendapatkan TAP menggunakan PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Untuk informasi selengkapnya, lihat New-MgUserAuthenticationTemporaryAccessPassMethod dan Get-MgUserAuthenticationTemporaryAccessPassMethod.

Menggunakan Kode Akses Sementara

Penggunaan yang paling umum untuk TAP adalah bagi pengguna untuk mendaftarkan detail autentikasi selama penyiapan masuk atau perangkat pertama, tanpa perlu menyelesaikan perintah keamanan tambahan. Metode autentikasi terdaftar di https://aka.ms/mysecurityinfo. Pengguna juga dapat memperbarui metode autentikasi yang ada di sini.

  1. Buka browser web ke https://aka.ms/mysecurityinfo.

  2. Masukkan UPN akun tempat Anda membuat TAP, seperti tapuser@contoso.com.

  3. Jika pengguna disertakan dalam kebijakan TAP, mereka akan melihat layar untuk memasukkan TAP mereka.

  4. Masukkan TAP yang ditampilkan di pusat admin Microsoft Entra.

    Screenshot of how to enter a Temporary Access Pass.

Catatan

Untuk domain federasi, TAP lebih disukai daripada federasi. Pengguna dengan TAP menyelesaikan autentikasi di ID Microsoft Entra dan tidak dialihkan ke Penyedia Identitas federasi (IdP).

Pengguna sekarang telah masuk dan dapat memperbarui atau mendaftarkan metode seperti kunci keamanan FIDO2.

Pengguna yang memperbarui metode autentikasi karena kehilangan kredensial atau perangkat mereka harus memastikan telah menghapus metode autentikasi lama.

Pengguna juga dapat melanjutkan masuk dengan menggunakan kata sandi mereka; TAP tidak menggantikan kata sandi pengguna.

Manajemen pengguna Kode Akses Sementara

Pengguna yang mengelola informasi keamanan mereka di https://aka.ms/mysecurityinfo melihat entri untuk Kode Akses Sementara. Jika pengguna tidak memiliki metode terdaftar lainnya, mereka mendapatkan banner di bagian atas layar yang mengatakan untuk menambahkan metode masuk baru. Pengguna juga dapat melihat waktu kedaluwarsa TAP, dan menghapus TAP jika tidak lagi diperlukan.

Screenshot of how users can manage a Temporary Access Pass in My Security Info..

Setup perangkat Windows

Pengguna dengan TAP dapat menavigasi proses penyiapan pada Windows 10 dan 11 untuk melakukan operasi gabungan perangkat dan mengonfigurasi Windows Hello untuk Bisnis. Penggunaan TAP untuk menyiapkan Windows Hello untuk Bisnis bervariasi berdasarkan status gabungan perangkat.

Untuk perangkat yang bergabung ke ID Microsoft Entra:

  • Selama proses penyiapan gabungan domain, pengguna dapat mengautentikasi dengan TAP (tidak diperlukan kata sandi) untuk bergabung dengan perangkat dan mendaftarkan Windows Hello untuk Bisnis.
  • Pada perangkat yang sudah bergabung, pengguna harus terlebih dahulu mengautentikasi dengan metode lain seperti kata sandi, kartu pintar, atau kunci FIDO2, sebelum menggunakan TAP untuk menyiapkan Windows Hello untuk Bisnis.
  • Jika fitur masuk Web di Windows juga diaktifkan, pengguna dapat menggunakan TAP untuk masuk ke perangkat. Ini hanya ditujukan untuk menyelesaikan penyiapan perangkat awal, atau pemulihan saat pengguna tidak tahu atau memiliki kata sandi.

Untuk perangkat yang bergabung dengan hibrid, pengguna harus terlebih dahulu mengautentikasi dengan metode lain seperti kata sandi, kartu pintar, atau kunci FIDO2, sebelum menggunakan TAP untuk menyiapkan Windows Hello untuk Bisnis.

Screenshot of how to enter Temporary Access Pass when setting up Windows.

Masuk melalui telepon tanpa kata sandi

Pengguna juga dapat menggunakan TAP mereka untuk mendaftar masuk dengan telepon Tanpa Kata Sandi langsung dari aplikasi Authenticator.

Untuk informasi selengkapnya, lihat Menambahkan akun kantor atau sekolah ke aplikasi Microsoft Authenticator.

Screenshot of how to enter a Temporary Access Pass using work or school account.

Akses tamu

Pengguna tamu dapat masuk ke penyewa sumber daya dengan TAP yang dikeluarkan oleh penyewa rumah mereka jika TAP memenuhi persyaratan autentikasi penyewa rumah.

Jika autentikasi multifaktor (MFA) diperlukan untuk penyewa sumber daya, pengguna tamu perlu melakukan MFA untuk mendapatkan akses ke sumber daya.

kedaluwarsa

TAP yang kedaluwarsa atau dihapus tidak dapat digunakan untuk autentikasi interaktif atau non-interaktif.

Pengguna perlu mengautentikasi ulang dengan metode autentikasi yang berbeda setelah TAP kedaluwarsa atau dihapus.

Masa pakai token (token sesi, token refresh, token akses, dan sebagainya) yang diperoleh dengan menggunakan login TAP terbatas pada masa pakai TAP. Saat TAP kedaluwarsa, TAP akan menyebabkan kedaluwarsa token terkait.

Menghapus Kode Akses Sementara yang kedaluwarsa

Di bawah metode Autentikasi untuk pengguna, kolom Detail ditampilkan saat TAP kedaluwarsa. Anda dapat menghapus TAP yang kedaluwarsa menggunakan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
  2. Telusuri ke Pengguna Identitas>, pilih pengguna, seperti Ketuk Pengguna, lalu pilih Metode autentikasi.
  3. Di sisi kanan metode autentikasi Kode Akses Sementara yang diperlihatkan dalam daftar, pilih Hapus.

Anda juga dapat menggunakan PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

Untuk informasi selengkapnya, lihat Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Mengganti Kode Akses Sementara

  • Setiap pengguna hanya dapat memiliki satu TAP. Kode sandi dapat digunakan selama waktu mulai dan berakhir TAP.
  • Jika pengguna memerlukan TAP baru:
    • Jika TAP yang ada valid, admin dapat membuat TAP baru untuk mengambil alih TAP yang valid yang ada.
    • Jika TAP yang ada telah kedaluwarsa, TAP baru akan mengambil alih TAP yang ada.

Untuk informasi selengkapnya tentang standar NIST untuk orientasi dan pemulihan, lihat Publikasi Khusus NIST 800-63A.

Batasan

Ingatlah batasan berikut ini:

  • Saat menggunakan TAP satu kali untuk mendaftarkan metode Tanpa Kata Sandi seperti MASUK FIDO2 atau Telepon, pengguna harus menyelesaikan pendaftaran dalam waktu 10 menit setelah masuk dengan TAP satu kali. Batasan ini tidak berlaku untuk TAP yang dapat digunakan lebih dari sekali.
  • Pengguna dalam cakupan untuk kebijakan pendaftaran pengaturan ulang kata sandi mandiri (SSPR) ataukebijakan pendaftaran autentikasi multifaktor Perlindungan Identitas diperlukan untuk mendaftarkan metode autentikasi setelah mereka masuk dengan TAP menggunakan browser. Pengguna dalam cakupan untuk kebijakan ini dialihkan ke mode Interupsi pendaftaran gabungan. Pengalaman ini tidak mendukung pendaftaran FIDO2 dan Masuk dengan Telepon saat ini.
  • TAP tidak dapat digunakan dengan ekstensi Network Policy Server (NPS) dan adaptor Layanan Federasi Direktori Aktif (AD FS).
  • Dibutuhkan beberapa menit agar perubahan dapat direplikasi. Karena itu, setelah TAP ditambahkan ke akun, diperlukan waktu beberapa saat agar perintah muncul. Untuk alasan yang sama, setelah TAP kedaluwarsa, pengguna mungkin masih melihat permintaan TAP.

Pemecahan Masalah

  • Jika TAP tidak ditawarkan kepada pengguna selama masuk:
    • Pastikan pengguna berada dalam cakupan untuk kebijakan metode autentikasi TAP.
    • Pastikan pengguna memiliki TAP yang valid, dan jika digunakan satu kali, itu belum digunakan.
  • Jika masuk Kode Akses Sementara diblokir karena Kebijakan Kredensial Pengguna muncul selama masuk dengan TAP:
    • Pastikan pengguna tidak memiliki TAP multi-penggunaan saat kebijakan metode autentikasi memerlukan TAP satu kali.
    • Periksa apakah TAP satu kali sudah digunakan.
  • Jika rincian masuk TAP diblokir karena Kebijakan Kredensial Pengguna, periksa apakah pengguna berada dalam cakupan untuk kebijakan TAP.

Langkah berikutnya