Il 22 Giugno 2022 è stata rilasciata in GA il TAP o Temporary Access Pass ma vediamo insieme cos’è e in quali casi ci può servire.

TAP è un passcode limitato nel tempo, rilasciato da un amministratore, che soddisfa i requisiti di autenticazione più forti che consente agli utenti di registrare metodi di autenticazione.

Con tap sono possibili questi scenari:

  1. Registrare autenticazione senza password
  2. recuperare l’accesso al proprio account senza bisogno di una password
  3. Configurare i dispositivi Windows nuovi e con Windows AutoPilot,
  4. Aggiungere dispositivi ad Azure AD
  5. Configurando Windows Hello for Business.

È possibile  limitare l’assegnazione di TAP a utenti e gruppi specifici, limitarne l’utilizzo per un breve periodo o impostarlo come codice monouso.

Per comprendere meglio I vantaggi di questo metodo si pensi ai numerevoli passaggi che deve fare un utente durante la prima configurazione d’accesso al portale o ad un nuovo dispositivo. Con TAP l’utente usa il codice fornito dall’amministratore e all’accesso il sistema non richiederà l’inserimento di nessuna password o regitrazione di MFA. Una volta entrati nel portale o nel proprio profilo l’utente potrà in autonomia andare a registrare i dettagli di autenticazione qui, ad esempio la chiave di sicurezza FIDO2, senza la necessità di completare ulteriori richieste di sicurezza. Gli utenti possono anche aggiornare i metodi di autenticazione esistenti o reimpostarli a seguito di furto o smarrimento.

Abilitazione di TAP

Per abilitare TAP  nel portale di Azure AD, completare la procedura seguente:

  1. Nel portale di Azure AD fare clic su >Sicurezza>Metodi di autenticazione>Temporary Access Pass

    image

  2. Impostare Abilita su per abilitare il criterio, selezionare quali utenti hanno applicato i criteri.

    image

  3. Fare clic su Configura se si vogliono modificare le impostazioni predefinite del pass di accesso temporaneo, ad esempio impostando la durata massima, la lunghezza e se il codice sarà monouso.

    image

  4. fare click su Salva per abilitare il criterio

    Creare il TAP per un utente

    Dopo aver abilitato un criterio, è possibile creare un pass di accesso temporaneo per un utente in Azure AD:

  1. Accedere all’portale di Azure come amministratore globale, amministratore di autenticazione con privilegi o amministratore di autenticazione. 
  2. Fare clic su Azure Active Directory>Utenti, e selezionare un utente, quindi scegliere Metodi di autenticazione> Aggiungi metodi di autenticazione.

    image

  3. Sotto Scegliere il metodo fare clic su Pass di accesso temporaneo.
  4. Definire un’ora di attivazione o una durata personalizzata e fare clic su Aggiungi.

    image

  5. Ed ecco creato il codice

    image

Limitazioni

Tenere presenti queste limitazioni:

  • Quando si usa un pass di accesso temporaneo monouso per registrare un metodo senza password, ad esempio FIDO2 o Accesso telefonico, l’utente deve completare la registrazione entro 10 minuti dall’accesso con il pass di accesso temporaneo monouso. Questa limitazione non si applica a un pass di accesso temporaneo che può essere usato più volte.
  • Gli utenti nell’ambito per i criteri di registrazione della reimpostazione della password self-service o i criteri di registrazione dell’autenticazione a più fattori di Identity Protection dovranno registrare i metodi di autenticazione dopo l’accesso con un pass di accesso temporaneo. Gli utenti nell’ambito di questi criteri verranno reindirizzati alla modalità Interrupt della registrazione combinata. Questa esperienza non supporta attualmente la registrazione FIDO2 e l’accesso tramite telefono.
  • Un pass di accesso temporaneo non può essere utilizzato con l’estensione Server dei criteri di rete e la scheda Active Directory Federation Services (AD FS).
  • Dopo l’aggiunta di un pass di accesso temporaneo a un account o la scadenza, la replica delle modifiche può richiedere alcuni minuti. Gli utenti potrebbero comunque visualizzare una richiesta di pass di accesso temporaneo durante questo periodo.

Per altri dettagli : Configure Temporary Access Pass in Azure AD to register Passwordless authentication methods e Microsoft Entra (Azure AD) Blog.

Authentication Methods – Temporary Access Pass (TAP) in Azure AD
Sharing post