在 Azure AD 中設定暫時存取權,以 (預覽版註冊無密碼 authentication 方法)

無密碼驗證方法(例如 FIDO2 和無密碼)電話透過 Microsoft Authenticator 應用程式登入,讓使用者可以安全地登入,而不需要密碼。 使用者可以透過下列兩種方式之一來啟動無密碼方法:

  • 使用現有的 Azure AD Multi-Factor Authentication 方法
  • 使用暫時存取階段 (請按一下)

暫存存取權是系統管理員發出的限時密碼,可滿足強式驗證需求,而且可用來讓其他驗證方法(包括無密碼)。 當使用者遺失或忘記其強式驗證因素(如 FIDO2 安全性金鑰或 Microsoft Authenticator 應用程式),但需要登入以註冊新的強式驗證方法時,暫時存取階段也可讓您更輕鬆地進行修復。

本文說明如何使用 Azure 入口網站在 Azure AD 中啟用及使用暫時存取傳遞。 您也可以使用 REST Api 來執行這些動作。

注意

暫時存取階段目前為公開預覽狀態。 某些功能可能不受支援或功能受限。

啟用暫時存取權傳遞原則

暫時的存取權原則會定義設定,例如在租使用者中建立的行程存留期,或可使用暫存存取權登入的使用者和群組。 在任何人都可以使用暫時存取權登入之前,您必須啟用驗證方法原則,並選擇哪些使用者和群組可以使用暫時存取權進行登入。 雖然您可以為任何使用者建立暫存存取權,但只有包含在原則中的使用者可以使用它來登入。

全域管理員和驗證方法原則管理員角色持有者可以更新暫時存取通過驗證方法原則。 若要設定暫時性存取通過驗證方法原則:

  1. 以全域管理員身分登入 Azure 入口網站,然後按一下 [ Azure Active Directory安全性驗證方法] 暫時存取權

  2. 按一下 [是] 以啟用原則,選取要套用原則的使用者,以及任何 一般 設定。

    Screenshot of how to enable the Temporary Access Pass authentication method policy

    下表說明預設值和允許值的範圍。

    設定 預設值 允許的值 註解
    最小存留期 1 小時 10–43200分鐘 (30 天) 暫時存取傳遞有效的最小分鐘數。
    存留期上限 24 小時 10–43200分鐘 (30 天) 暫時存取傳遞有效的最大分鐘數。
    預設存留期 1 小時 10–43200分鐘 (30 天) 在原則設定的最小和最大存留期內,個別的行程可以覆寫預設值。
    一次性使用 False True/False 當原則設定為 [false] 時,租使用者可以在其有效性 (最大存留期) 中使用一次以上的傳遞。 藉由強制執行暫時存取階段原則中的單次使用,在租使用者中建立的所有傳遞都會建立為一次性使用。
    長度 8 8-48 個字元 定義密碼的長度。

建立暫時存取階段

啟用原則之後,您可以在 Azure AD 中建立使用者的暫時存取權。 這些角色可以執行與暫時存取階段相關的下列動作。

  • 全域系統管理員可以建立、刪除、查看任何使用者 (的暫時存取權,但本身)
  • 特殊許可權驗證系統管理員可以建立、刪除、查看系統管理員和成員 (的暫時存取權)
  • 驗證系統管理員可以建立、刪除、查看成員 (的暫時存取權,但本身)
  • 全域讀取者可以在不讀取程式碼) 的情況下,對使用者 (查看暫存存取傳遞詳細資料。
  1. 以全域系統管理員、特殊許可權驗證管理員或驗證系統管理員身分登入 Azure 入口網站。

  2. 按一下 [ Azure Active Directory],流覽至 [使用者],選取使用者,例如Chris 綠色,然後選擇 [驗證方法]。

  3. 如有需要,請選取此選項以 嘗試新的使用者驗證方法體驗

  4. 選取 [ 新增驗證方法] 選項。

  5. [選擇方法] 底下,按一下 [ 暫時存取傳遞 (預覽])

  6. 定義自訂啟用時間或持續時間,然後按一下 [ 新增]。

    Screenshot of how to create a Temporary Access Pass

  7. 新增之後,就會顯示暫時存取階段的詳細資料。 請記下實際的暫時存取傳遞值。 您可以將此值提供給使用者。 按一下 [確定]之後,就無法再看到這個值。

    Screenshot of Temporary Access Pass details

下列命令示範如何使用 PowerShell 建立和取得暫時存取階段:

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2021-03-11 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 9/03/2021 11:19:17 PM False    True         60                NotYetValid           11/03/2021 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 9/03/2021 11:19:17 PM False    True         60                NotYetValid           11/03/2021 6:00:00 AM

使用暫存存取階段

暫時存取階段最常見的用途是讓使用者在第一次登入時註冊驗證詳細資料,而不需要完成額外的安全性提示。 驗證方法是在中註冊 https://aka.ms/mysecurityinfo 。 使用者也可以在這裡更新現有的驗證方法。

  1. 開啟網頁瀏覽器 https://aka.ms/mysecurityinfo

  2. 輸入您為其建立暫存存取權的帳戶 UPN,例如 tapuser@contoso.com

  3. 如果使用者包含在暫存存取階段原則中,他們將會看到一個畫面來輸入其暫時存取權傳遞。

  4. 輸入 Azure 入口網站中所顯示的暫時存取權傳遞。

    Screenshot of how to enter a Temporary Access Pass

注意

若為同盟網域,則會優先使用暫時存取權,而不是同盟。 具有暫時存取權的使用者會在 Azure AD 中完成驗證,且不會重新導向至同盟身分識別提供者 (IdP) 。

使用者現在已登入,並且可以更新或註冊 FIDO2 安全性金鑰之類的方法。 因為遺失認證或裝置而更新其驗證方法的使用者,應該確保他們移除舊的驗證方法。 使用者也可以使用其密碼繼續登入;點擊不會取代使用者的密碼。

手機無密碼登入

使用者也可以使用其暫時存取傳遞,直接從 Authenticator 應用程式註冊無密碼手機登入。 如需詳細資訊,請參閱將您的工作或學校帳戶新增至 Microsoft Authenticator 應用程式

Screenshot of how to enter a Temporary Access Pass using work or school account

來賓存取

如果暫存存取階段符合主要租使用者驗證需求,則來賓使用者可以登入具有其主租使用者所發出之暫時存取權的資源租使用者。 如果資源租使用者需要 MFA,來賓使用者必須執行 MFA 才能取得資源的存取權。

到期

過期或刪除的暫時存取階段無法用於互動式或非互動式驗證。 使用者必須在暫存存取權過期或刪除後,使用不同的驗證方法來重新驗證。

刪除過期的暫時存取階段

在使用者的 [ 驗證方法 ] 底下,[ 詳細資料] 資料 行會顯示暫存存取權傳遞到期的時間。 您可以使用下列步驟來刪除過期的暫時存取階段:

  1. 在 Azure AD 入口網站中,流覽至 [使用者],選取使用者,例如 [點一下使用者],然後選擇 [驗證方法]。
  2. 在 [ 暫存存取階段] 右邊 (預覽 ] 清單中顯示的 [驗證]) 驗證方法,然後選取 [ 刪除]。

您也可以使用 PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

取代暫時存取階段

  • 使用者只能有一次暫時存取權。 密碼可以在暫存存取階段的開始和結束時間使用。
  • 如果使用者需要新的暫時存取階段:
    • 如果現有的暫時存取傳遞有效,系統管理員必須刪除現有的暫時存取權,並為使用者建立新的 pass。
    • 如果現有的暫時存取權傳遞已過期,則新的暫時存取階段將會覆寫現有的暫時存取權傳遞。

如需有關適用于上線和復原的 NIST 標準的詳細資訊,請參閱 Nist 特殊出版 800-63A

限制

請記住下列限制:

  • 使用單次暫存存取權來登錄無密碼方法(例如 FIDO2 或電話登入)時,使用者必須在登入的10分鐘內完成註冊,並提供單次暫存存取權。 這項限制不適用於可使用一次以上的暫時存取階段。

  • 暫時存取階段目前為公開預覽狀態,目前無法在美國政府的 Azure 中使用。

  • 自助密碼重設 (SSPR) 註冊原則 Identity Protection 多重要素驗證註冊原則 範圍內的使用者,必須在使用暫時存取權進行登入之後,才註冊驗證方法。 這些原則範圍內的使用者將會被重新導向至 合併註冊的中斷模式。 這項體驗目前不支援 FIDO2 和電話登入註冊。

  • 暫時存取階段無法與網路原則伺服器搭配使用 (NPS) 擴充功能和 Active Directory 同盟服務 (AD FS) 介面卡,或在 Windows 安裝程式/全新體驗中 (OOBE) 、Autopilot 或部署商務用 Windows Hello。

  • 在租使用者上啟用無縫 SSO 時,系統會提示使用者輸入密碼。 使用者可以透過暫時存取權進行登入, 而改為使用您的暫時存取權傳遞 連結。

    Screenshot of Use a Temporary Access Pass instead

疑難排解

  • 如果使用者在登入期間未提供暫時存取權傳遞,請檢查下列各項:
    • 使用者位於「暫時存取通過」驗證方法原則的範圍內。
    • 使用者有有效的暫時存取權,且如果是一次性使用,則尚未使用。
  • 如果 暫時存取傳遞登入因為使用者認證原則 出現在使用暫時存取階段進行登入期間而遭到封鎖,請檢查下列各項:
    • 使用者有多用途的暫時存取權,而驗證方法原則需要單次暫存存取權。
    • 已使用單次暫存存取階段。
  • 如果暫時存取權傳遞登入因使用者認證原則而遭到封鎖,請檢查使用者是否在 [點擊] 原則的範圍內。

下一步