Microsoft hat über die globale Verfügbarkeit von Azure AD Temporary Access Pass informiert. Mit Temporary Access Pass ist es Administratoren möglich Mitarbeitenden einen befristeten Code für die Anmeldung zu senden.
Temporary Access Pass (TAP) wurde im März 2021 als Preview gestartet und ist eine weitere Möglichkeit Mitarbeitenden vorübergehend die Anmeldung wieder zu ermöglichen. Diese Woche hat Temporary Access Pass die Preview verlassen. TAP unterstützt mittlerweile auch die Anmeldung in Windows (für das Onboarding bei Windows AutoPilot), die Registrierung von neuen Azure AD Geräten und die Konfiguration von Windows Hello for Business.
TAP muss einmalig von einem Administrator in Azure AD eingerichtet/freigeschalten werden.
- Öffne Azure AD > Security > Authentication Methods und wähle die Methode für Temporary Access Pass.
- Du kannst TAP aktivieren/deaktivieren und definieren welche Konten einen TAP einsetzen dürfen. Alle Konten oder eine ausgewählte AD Gruppe.
- In der Konfiguration wird definiert wie viele Zeichen ein TAP hat, ob ein TAP mehrfach einsetzbar und wie lange ein TAP gültig ist. Ein Zeitraum zwischen 10 Minuten und 30 Tagen ist möglich.
Nach der Erstkonfiguration ist es abhängig welche Admin Rolle ein Konto hat. In der Hilfe beschreibt Microsoft welche Rolle was mit einem TAP verwalten darf.
– Global Administrator can create, delete, view a Temporary Access Pass on any user (except themselves).
– Privileged Authentication Administrators can create, delete, view a Temporary Access Pass on admins and members (except themselves).
– Authentication Administrators can create, delete, view a Temporary Access Pass on members (except themselves).
– Global Reader can view the Temporary Access Pass details on the user (without reading the code itself).
Ein Konto mit der erforderlichen Admin Rolle wählt eines der für TAP freigegebenen Konten und im Konto Authentication methods > Add authentication method > Temporary Access Pass für die Erstellung von einem neuen TAP. Optional ist die Erstellung über PowerShell möglich.
TAP schlägt mir die Standardkonfiguration vor und ermöglicht optional einen späteren Startzeitpunkt.
Nach Bestätigung der Angaben zeigt Azure AD die TAP Daten, wie lange der TAP gültig ist und über welche URL sich das Konto mit dem TAP anmelden sollte.
Ich melde mich mit dem Konto von Tanja an. Nach Eingabe des UserPrincipalName zeigt das System die Option für die Anmeldung über TAP.
Tanja kann nach Eingabe des TAP eine alternative Anmeldemethode (wie Authenticator App) hinzufügen und mit ihrem Konto fortfahren. Nach Verwendung verfällt der TAP und wird im Konto von Tanja als eingesetzt markiert. Ein berechtigtes Konto könnte einen neuen TAP erstellen.
In der Hilfe über Temporary Access Pass beschreibt Microsoft weitere Szenarien (zb TAP in Windows einzusetzen oder die Anmeldung über Authenticator App durchzuführen), TAPs per PowerShell anzulegen und welche Limitierungen mit TAP bekannt sind.
