chatgpt注册密码设置一直不对 在 Microsoft Entra ID 中配置临时访问密码

默认分类1年前 (2023)发布 admin
3,051 0
ChatGPT国内版

本文内容

利用无密码身份验证方法(例如 FIDO2,以及通过 应用进行无密码手机登录),用户无需密码即可安全登录。用户可以通过以下两种方式之一来启动无密码方法:

临时访问密码是一种限时密码,可配置为单次使用或多次使用。 用户可以使用临时访问密码登录,以加入其他身份验证方法,包括无密码方法,如 、FIDO2 或 Hello 企业版。

当用户丢失或忘记自己的强身份验证因素(如 FIDO2 安全密钥或 应用),但需要登录以注册新的强身份验证方法时,也可以使用临时访问密码,更轻松地进行恢复。

本文介绍了如何通过 Entra 管理中心启用和使用临时访问密码。还可以使用 REST API 来执行这些操作。

启用临时访问密码策略

临时访问密码策略中定义了多项设置,例如租户中创建密码的生存期,或者可以使用临时访问密码进行登录的用户和组。在任何人可以使用临时访问密码进行登录之前,你需要先启用身份验证方法策略中的临时访问密码,并选择可以使用临时访问密码进行登录的用户和组。虽然可以为任何用户创建临时访问密码,但只有策略中包含的用户才能使用该密码进行登录。

公司管理员和身份验证策略管理员角色持有者可以更新临时访问密码身份验证方法策略。若要配置临时访问密码身份验证方法策略,请执行以下操作:

至少以的身份登录到 Entra 管理中心。

浏览至 “保护”>“身份验证方法”>“策略”。

从可用身份验证方法列表中,选择“临时访问密码”。

单击“启用”,然后选择要在策略中包括或排除的用户。

(可选)选择“配置”以修改默认临时访问密码设置(如设置最长生存期或长度),然后单击“更新”。

选择“保存”以应用策略。

下表介绍了默认值以及允许值的范围。

设置默认值允许的值注释

最短生存期

1 小时

10-43,200 分钟(30 天)

临时访问密码保持有效的最短分钟数。

最长生存期

8 小时

10-43,200 分钟(30 天)

临时访问密码保持有效的最长分钟数。

默认生存期

1 小时

chatgpt注册密码设置一直不对 在 Microsoft Entra ID 中配置临时访问密码

10-43,200 分钟(30 天)

默认值可以替代为各个密码,但必须是介于策略所配置的最短和最长生存期之间。

一次性使用

False

True/False

当策略设置为“False”时,租户中的密码在其有效期(最长生存期)内可以使用一次或多次。 通过在临时访问密码策略中强制要求一次性使用,在租户中创建的所有密码将为一次性密码。

8-48 个字符

定义密码的长度。

创建临时访问密码

启用策略后,可以在 Entra ID 中为用户创建临时访问密码。这些角色可以执行下列与临时访问密码有关的操作。

至少以的身份登录到 Entra 管理中心。

浏览至“保护”>“身份验证方法”。

选择“临时访问密码”。

定义一个自定义激活时间或持续时间,然后选择“添加”。

添加后,将显示临时访问密码的详细信息。 记下临时访问密码的实际值。 将此值提供给用户。 选择“确定”后无法查看此值。

以下命令显示如何使用 创建和获取临时访问密码。

# Create a Temporary Access Pass for a user
$properties = @{}
$properties.isUsableOnce = $True
$properties.startDateTime = '2022-05-23 06:00:00'
$propertiesJSON = $properties | ConvertTo-Json
New-MgUserAuthenticationTemporaryAccessPassMethod -UserId user2@contoso.com -BodyParameter $propertiesJSON
Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM TAPRocks!
# Get a user's Temporary Access Pass
Get-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com
Id                                   CreatedDateTime       IsUsable IsUsableOnce LifetimeInMinutes MethodUsabilityReason StartDateTime         TemporaryAccessPass
--                                   ---------------       -------- ------------ ----------------- --------------------- -------------         -------------------
c5dbd20a-8b8f-4791-a23f-488fcbde3b38 5/22/2022 11:19:17 PM False    True         60                NotYetValid           23/05/2022 6:00:00 AM

有关详细信息,请参阅 New-ethod 和 Get-ethod。

使用临时访问密码

临时访问密码的最常见用途是让用户在首次登录或设备设置期间注册身份验证详细信息,而无需完成额外的安全提示。 身份验证方法在 上注册。 用户还可以在此处更新现有的身份验证方法。

打开 Web 浏览器,访问 。

输入为其创建了临时访问密码的帐户所对应的 UPN,例如 。

如果用户已包含在临时访问密码策略中,则屏幕中将提示用户输入其临时访问密码。

输入 Entra 管理中心内显示的临时访问密码。

注意

chatgpt注册密码设置一直不对 在 Microsoft Entra ID 中配置临时访问密码

对于联合域,优先使用临时访问密码而非联合身份验证。 具有临时访问密码的用户将在 Entra ID 中完成身份验证,并且系统不会将其重定向到联合标识提供者 (IdP)。

用户现已登录,可以更新或注册方法,例如 FIDO2 安全密钥。如果是因丢失凭据或设备而要更新其身份验证方法,用户应确保删除原先的身份验证方法。用户还可以使用其密码继续登录;临时访问密码不会替换用户的密码。

临时访问密码的用户管理

在 上管理其安全信息的用户将看到临时访问密码的条目。 如果用户没有任何其他已注册方法,他们将在屏幕顶部看到一个横幅,指示他们添加新的登录方法。 用户还可以查看 TAP 过期时间,并可在不再需要 TAP 时将其删除。

设备设置

具有临时访问密码的用户可以在 10 和 11 上导航完成设置过程,以执行设备加入操作并配置 Hello 企业版。 用于设置 Hello 企业版的临时访问密码的用法因设备的加入状态而异。

对于联接到 Entra ID 的设备:

在混合加入的设备上,用户必须先使用其他方法(例如密码、智能卡或 FIDO2 密钥)进行身份验证,然后才能使用 TAP 设置 Hello 企业版。

无密码的手机登录

用户还可以使用自己的临时访问密码,直接从 应用中注册无密码手机登录。有关详细信息,请参阅将工作或学校帐户添加到 应用。

来宾访问

如果临时访问密码满足主租户身份验证要求,则来宾用户可以使用其主租户颁发的临时访问密码登录到资源租户。如果资源租户需要 MFA,来宾用户需要执行 MFA 才能访问资源。

过期时间

过期或删除的临时访问密码不能用于交互式或非交互式身份验证。临时访问密码过期或删除后,用户需要使用不同的身份验证方法重新进行身份验证。

通过使用临时访问密码登录获取的令牌生存期(会话令牌、刷新令牌、访问令牌等)将限制为临时访问密码生存期。 如果临时访问密码过期,则将会导致关联的令牌过期。

删除过期的临时访问密码

在用户对应的“身份验证方法”下,“详细信息”列中显示了临时访问密码的过期时间。 可以使用以下步骤,删除已过期的临时访问密码:

至少以的身份登录到 Entra 管理中心。浏览至“标识”>“用户”,选择一个用户,例如“Tap User”,然后选择“身份验证方法”。在列表中显示的“临时访问密码”身份验证方法的右侧,选择“删除”。

你也可以使用 :

# Remove a user's Temporary Access Pass
Remove-MgUserAuthenticationTemporaryAccessPassMethod -UserId user3@contoso.com -TemporaryAccessPassAuthenticationMethodId c5dbd20a-8b8f-4791-a23f-488fcbde3b38

有关详细信息,请参阅 -ethod。

替换临时访问密码

若要详细了解有关载入和恢复的 NIST 标准,请参阅 。

限制

请牢记这些限制:

疑难解答如果在使用临时访问密码进行登录的过程中,出现了“由于用户凭据策略原因,临时访问密码登录已被阻止”提示,请执行以下操作: 如果因用户凭据策略而导致临时访问密码登录受阻,请检查该用户是否位于 TAP 策略的范围内。后续步骤

© 版权声明
广告也精彩

相关文章

暂无评论

暂无评论...