Compartir a través de

Configuración de un pase de acceso temporal para registrar métodos de autenticación sin contraseña

Los métodos de autenticación sin contraseña como una clave de acceso (FIDO2) permiten a los usuarios iniciar sesión de forma segura sin contraseña. Los usuarios pueden arrancar métodos sin contraseña de una de dos maneras:

  • Uso de métodos de autenticación multifactor de Microsoft Entra existentes
  • Uso de un Pase de acceso temporal

Un pase de acceso temporal (TAP) es un código de acceso limitado por tiempo que se puede configurar para un solo uso o varios inicios de sesión. Los usuarios pueden iniciar sesión con un TAP para incorporar otros métodos de autenticación sin contraseña. Un TAP también facilita la recuperación cuando un usuario pierde o olvida un método de autenticación seguro.

En este artículo se muestra cómo habilitar y usar un TAP mediante el Centro de administración de Microsoft Entra. También puede realizar estas acciones con API de REST.

Habilitación de la directiva del Pase de acceso temporal

Una directiva de TAP define la configuración, como la duración de los pases creados en el inquilino, o los usuarios y grupos que pueden usar un TAP para iniciar sesión.

Para que los usuarios puedan iniciar sesión con un TAP, debe habilitar este método en la directiva Métodos de autenticación y elegir qué usuarios y grupos pueden iniciar sesión mediante un TAP.

Aunque puede crear un TAP para cualquier usuario, solo aquellos incluidos en la directiva pueden iniciar sesión con él. Necesita el rol Administrador de directivas de autenticación para actualizar la directiva de métodos de autenticación TAP.

Para configurar TAP en la directiva de métodos de autenticación:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de directivas de autenticación.

  2. Vaya a Entra ID>métodos de autenticación>Directivas.

  3. En la lista de métodos de autenticación disponibles, seleccione Pase de acceso temporal.

    Captura de pantalla de cómo administrar el pase de acceso temporal en la experiencia de directiva de métodos de autenticación.

  4. Seleccione Habilitar y, a continuación, seleccione usuarios para incluir o excluir de la directiva.

    Captura de pantalla de cómo habilitar el pase de acceso temporal en la directiva de métodos de autenticación.

  5. (Opcional) Seleccione Configurar para modificar la configuración predeterminada del pase de acceso temporal, como establecer la duración máxima o la longitud, y seleccione Actualizar.

    Captura de pantalla de cómo personalizar la configuración de Pase de acceso temporal.

  6. Seleccione Guardar para aplicar la directiva.

    En la tabla siguiente se describen el valor predeterminado y el intervalo de valores permitidos.

    Configuración Valores predeterminados Valores permitidos Comentarios
    Duración mínima 1 hora De 10 a 43,200 minutos (30 días) Número mínimo de minutos que TAP es válido.
    Duración máxima 8 horas De 10 a 43,200 minutos (30 días) Número máximo de minutos que TAP es válido.
    Duración predeterminada 1 hora De 10 a 43,200 minutos (30 días) Los pases individuales, dentro de la vigencia mínima y máxima configurada por la directiva, pueden invalidar el valor predeterminado.
    Uso único Falso Verdadero/Falso Cuando la directiva se establece en False, se pueden usar los pases en el inquilino una vez o más de una vez durante su validez (vigencia máxima). Al aplicar un uso único en la directiva TAP, todos los pases creados en el inquilino son de un solo uso.
    Largura 8 De 8 a 48 caracteres Define la longitud del código de acceso.

Creación de un Pase de acceso temporal

Después de habilitar una directiva TAP, puede crear una directiva TAP para los usuarios en Microsoft Entra ID. Los siguientes roles pueden realizar varias acciones relacionadas con un TAP.

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de autenticación.

  2. Vaya a Entra ID>Usuarios.

  3. Seleccione el usuario para el que desea crear un TAP.

  4. Seleccione Métodos de autenticación y seleccione Agregar método de autenticación.

    Captura de pantalla de cómo crear un pase de acceso temporal.

  5. Seleccione Pase de acceso temporal.

  6. Defina un tiempo o duración de activación personalizado y seleccione Agregar.

    Captura de pantalla de cómo agregar un método: Pase de acceso temporal.

  7. Una vez que se agregue, se muestran los detalles del TAP.

    Importante

    Anote el valor real de TAP, ya que proporciona este valor al usuario. No puede ver este valor después de seleccionar Aceptar.

    Captura de pantalla de los detalles del pase de acceso temporal.

  8. Seleccione Aceptar cuando haya terminado.

Los siguientes comandos muestran cómo crear y obtener un TAP mediante PowerShell.

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json

New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!

# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com

Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

Para obtener más información, vea New-MgUserAuthenticationTemporaryAccessPassMethod y Get-MgUserAuthenticationTemporaryAccessPassMethod.

Uso de un Pase de acceso temporal

El uso más común de un TAP es permitir al usuario registrar los detalles de autenticación durante el primer inicio de sesión o configuración del dispositivo, sin necesidad de completar mensajes de seguridad adicionales. Los métodos de autenticación se registran en https://aka.ms/mysecurityinfo. Los usuarios también pueden actualizar los métodos de autenticación existentes aquí.

  1. Abra un explorador web en https://aka.ms/mysecurityinfo.

  2. Escriba el nombre principal de usuario de la cuenta para la que ha creado el TAP, como tapuser@contoso.com.

  3. Si el usuario está incluido en la directiva de TAP, ve una pantalla para escribir su TAP.

  4. Escriba el TAP que se muestra en el centro de administración de Microsoft Entra.

    Captura de pantalla de cómo escribir un pase de acceso temporal.

Nota:

En el caso de los dominios federados, se prefiere un TAP frente a la federación. Un usuario con un TAP completa la autenticación en Id. de Microsoft Entra y no se le redirige al proveedor de identidades federado (IdP).

El usuario ahora ha iniciado sesión y puede actualizar o registrar un método, como una llave de seguridad FIDO2. Los usuarios que actualicen sus métodos de autenticación debido a la pérdida de sus credenciales o dispositivos deben asegurarse de que quitan los métodos de autenticación antiguos. Los usuarios también pueden seguir iniciando sesión con su contraseña. Un pase TAP no reemplaza la contraseña de un usuario.

Administración de usuarios para un pase de acceso temporal

Los usuarios que administran su información de seguridad en https://aka.ms/mysecurityinfo, ven una entrada para el pase de acceso temporal. Si un usuario no tiene ningún otro método registrado, obtendrá un banner en la parte superior de la pantalla que dice agregar un nuevo método de inicio de sesión. Los usuarios también pueden ver la hora de expiración de TAP y eliminarlo si ya no es necesario.

Captura de pantalla de cómo los usuarios pueden administrar un pase de acceso temporal en Mi información de seguridad.

Configuración del dispositivo Windows

Los usuarios con un TAP pueden navegar por el proceso de configuración en Windows 10 y 11 para efectuar operaciones de unión a dispositivos y configurar Windows Hello para empresas. El uso de un TAP para configurar Windows Hello para empresas difiere en función del estado de unión de los dispositivos.

Para los dispositivos unidos a Id. de Microsoft Entra:

  • Durante el proceso de configuración de unión de dominios, los usuarios pueden autenticarse con un TAP (no se requiere contraseña) para unirse al dispositivo y registrarse en Windows Hello para empresas.
  • En los dispositivos ya unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, antes de usar TAP para configurar Windows Hello para empresas.
  • Si la característica de inicio de sesión web en Windows también está habilitada, el usuario puede usar TAP para iniciar sesión en el dispositivo. Esto está pensado solo para completar la configuración inicial del dispositivo o la recuperación cuando el usuario no conoce o tiene una contraseña.

En el caso de dispositivos híbridos unidos, los usuarios deben autenticarse primero con otro método, como una contraseña, una tarjeta inteligente o una clave FIDO2, para poder usar el TAP para configurar Windows Hello para empresas.

Captura de pantalla de cómo escribir pase de acceso temporal al configurar Windows.

Uso de TAP con Microsoft Authenticator

Los usuarios también pueden usar su TAP para registrar Microsoft Authenticator con su cuenta. Al agregar una cuenta profesional o educativa e iniciar sesión con TAP, los usuarios pueden registrar tanto las claves como el inicio de sesión telefónico sin contraseña directamente desde la aplicación Authenticator.

Para obtener más información, consulte Agregar su cuenta profesional o educativa a la aplicación Microsoft Authenticator.

Captura de pantalla de cómo escribir un pase de acceso temporal mediante una cuenta profesional o educativa.

Acceso de invitado

Puede agregar un TAP como método de inicio de sesión a un invitado interno, pero no a otros tipos de invitados. Un invitado interno tiene el objeto userType establecido en Guest. Tienen métodos de autenticación registrados en microsoft Entra ID. Para obtener más información sobre invitados internos y otras cuentas de invitado, consulte las propiedades de usuario invitado B2B .

Si intenta agregar un TAP a una cuenta de invitado externa en el Centro de administración de Microsoft Entra o en Microsoft Graph, recibirá un error que indica que no se puede agregar el pase de acceso temporal a un usuario invitado externo.

Los usuarios invitados externos pueden iniciar sesión en un inquilino de recursos con un TAP emitido por su inquilino de origen si el TAP cumple los requisitos de autenticación del inquilino de origen y las directivas de acceso entre inquilinos se han configurado para confiar en la autenticación multifactor (MFA) desde el inquilino de origen de los usuarios, para más información, consulte Administrar la configuración de acceso entre inquilinos para la colaboración B2B.

Expiración

No se puede usar un TAP expirado o eliminado para la autenticación interactiva o no interactiva.

Los usuarios tendrán que volver a autenticarse con otros métodos de autenticación después de que el TAP haya expirado o se haya eliminado.

La duración del token (token de sesión, token de actualización, token de acceso, etc.) obtenido con un inicio de sesión de TAP se limita a la duración de este. Cuando expira un TAP, esto da lugar a la expiración del token asociado.

Eliminación de un Pase de acceso temporal expirado

En los métodos de autenticación de un usuario, la columna Detalle muestra cuándo expiró el TAP. Puede eliminar un TAP caducado mediante los siguientes pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de autenticación.
  2. Vaya a Entra ID>Usuarios, seleccione un usuario, como Tap User, y después elija Métodos de autenticación.
  3. En el lado derecho del método de autenticación Paso de acceso temporal que se muestra en la lista, seleccione Eliminar.

También puede usar PowerShell:

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee

Para obtener más información, vea Remove-MgUserAuthenticationTemporaryAccessPassMethod.

Reemplazo de un Pase de acceso temporal

  • Cada usuario solo puede tener un TAP. El código de acceso se puede usar durante las horas de inicio y finalización del TAP.
  • Si un usuario requiere un nuevo TAP:
    • Si el TAP existente es válido, el administrador puede crear un nuevo TAP para invalidar el TAP válido existente.
    • Si el TAP existente ha expirado, un nuevo TAP invalida el TAP existente.

Para obtener más información sobre los estándares NIST para la incorporación y recuperación, consulte la publicación especial de NIST 800-63A.

Limitaciones

Tenga en cuenta las limitaciones siguientes:

  • Cuando se usa un TAP de un uso para registrar un método sin contraseña, como una clave de seguridad FIDO2 o el inicio de sesión telefónico, el usuario debe completar el registro en un plazo de 10 minutos a partir del inicio de sesión con el TAP de único uso. Esta limitación no se aplica a un TAP que se puede usar más de una vez.
  • Los usuarios sujetos a la directiva de registro de autoservicio para el restablecimiento de contraseñas (SSPR) o a la directiva de registro de autenticación multifactor de Microsoft Entra ID Protection están obligados a registrar métodos de autenticación después de haber iniciado sesión utilizando TAP a través de un navegador. Los usuarios cubiertos por estas directivas se redirigen al modo de interrupción del registro combinado. Esta experiencia no admite actualmente el registro con FIDO2 e inicio de sesión telefónico.
  • Un TAP no se puede usar con la extensión del servidor de directivas de redes (NPS) y el adaptador de Servicios de federación de Active Directory (AD FS).
  • Los cambios pueden tardar unos minutos en replicarse. Por este motivo, después de agregar un TAP a una cuenta, puede tardar un tiempo en aparecer el mensaje. Por el mismo motivo, después de que expire un TAP, es posible que los usuarios sigan viendo una solicitud de TAP.

Solución de problemas

  • Si no se ofrece un TAP a un usuario durante el inicio de sesión:
    • Asegúrese de que el usuario está en el ámbito de uso de TAP en la directiva de métodos de autenticación.
    • Asegúrese de que el usuario tiene un TAP válido y, si se usa una sola vez, aún no se usó.
  • Si se bloqueó el inicio de sesión de pase de acceso temporal debido a la directiva de credenciales de usuario aparece durante el inicio de sesión con un TAP:
    • Compruebe que el usuario está en el ámbito de la directiva TAP
    • Asegúrese de que el usuario no tiene un TAP para varios usos mientras que la directiva de métodos de autenticación requiere un TAP único.
    • Compruebe si ya se usó un TAP de una sola vez.
  • Si no se puede agregar el pase de acceso temporal a un usuario invitado externo cuando intenta agregar un TAP a una cuenta como método de autenticación, la cuenta es un invitado externo. Tanto las cuentas de invitado internas como externas tienen una opción para agregar un TAP para el inicio de sesión en el Centro de administración de Microsoft Entra y las API de Microsoft Graph. Sin embargo, solo se pueden emitir TAP a cuentas de invitado internas.

Pasos siguientes