Azure AD Temporary Access Pass

Andres Bohren

Hallo zusammen,

An der Ignite wurde Azure AD "Temporary Access Pass" vorgestellt, welche sich nun im Preview befindet.

Configure Temporary Access Pass in Azure AD to register Passwordless authentication methods (Preview)

https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-temporary-access-pass

Wer sich mit einem Temporary Access Pass (TAP) anmeldet, ist quasi mit MFA authentifiziert. Das heisst, dies ermöglicht Szenarien, ohne erst MFA einzurichten, direkt einen FIDO Key zu registrieren.

Einrichten

Zuerst muss die Authentifizierungsmethode Temporary Access Pass im Azure AD aktiviert werden. Azure Active Directory --> Security

Dort zu "Authentication Methods" wechseln

Nun kann dort "Temporary Access Pass" konfiguriert werden

Ich aktiviere das und wähle als Target zwei Benutzer aus

Zusätzlich können weitere Einstellungen gemacht werden

Administrator View

Wie stellt der Administrator "Temporary Access Pass" aus? Das ist nun der nächste Schritt.

Das kann man nur, wenn man Mitglied einer der folgenden drei Rollen ist

  • Global administrator
  • Privileged Authentication administrators
  • Authentication administrators

Im Azure AD unter Benutzer den Benutzer auswählen und "Authentication Methods" auswählen. Nun muss jedoch zuerst die neue Experience aktiviert werden.

Erst jetzt sieht man den "Add authentication method" Knopf. Allerdings lässt sich das auch für Benutzer machen, welche gar nicht für Temporary Access Pass aktiviert sind.

Im Dropdown kann man die Temporary Access Pass Methode auswählen und optional einen Zeitraum angeben, in welchem das Passwort gültig ist.

User view

Nun folgt die Benutzersicht. Der Benutzer meldet sich mit seinem Benutzernamen (UPN) bei einem Dienst an, welcher MFA verlangt. Beispielsweise https://aka.ms/mysecurityinfo

Anstatt dem Passwort wählt er nun den "Temporary Access Pass" oder in der miserablen deutschen Übersetzung "temporären Zugrifspass" aus.

Der Benutzer gibt nun das TAP Passwort ein

Und schon ist er mit einer starken Authentifizierung (aka MFA) angemeldet.

Falls Conditional Access die folgende Meldung bringt, dann ist der Benutzer nicht für Temporary Access Pass aktiviert.

Graph API

Diese Temporary Access Pass lassen sich auch übers Graph API ausstellen.

temporaryAccessPassAuthenticationMethod resource type
https://docs.microsoft.com/en-us/graph/api/resources/temporaryaccesspassauthenticationmethod?view=graph-rest-beta

Dazu werden folgende Berechtigungen benötigt:

  • UserAuthenticationMethod.ReadWrite.All
  • UserAuthenticationMethod.ReadWrite.All

POST https://graph.microsoft.com/beta/users/{UPN}/authentication/temporaryAccessPassMethods

{
    "@odata.type": "#microsoft.graph.temporaryAccessPassAuthenticationMethod",
    "lifetimeInMinutes": 60,
    "isUsableOnce": true
}

 

Grüsse
Andres Bohren