Configurare Temporary Access Pass in Azure AD (preview) come metodo di passwordless authentication
Un Temporary Access Pass è un codice temporaneo di durata limitata che viene rilasciato dall’amministratore di Azure AD per consentire agli utenti di potersi autenticare mantenendo i requisiti della strong authentication. Questa funzionalità può essere utilizzata sia per l’onboarding dei nuovi utenti, sia nel caso un utente non abbia a disposizione lo smartphone ed il Microsoft Authenticator oppure la sua chiave FIDO2.
Diverse volte ho già trattato le funzionalità di passwordless authentication in Azure AD e su questo portale trovate molte mie guide a riguardo e diversi video con le demo su come abilitare il passwordless sign-in per Azure AD e per Microsoft 365 / Office 365.
La gestione delle password è sempre stata critica sia per gli utenti e che per gli amministratori di sistema e spesso è causa di accessi da parte di malintenzionati o di persone non autorizzate per via della semplicità delle password utilizzate oppure della disattenzione degli utenti, che magari la scrivono da qualche parte per non dimenticarla.
Accedere senza password (passwordless sign in) è una delle funzionalità che ultimamente Microsoft sta promuovendo maggiormente. I concentti di base sull’autenticazione passworless sono ben descritti nell’articolo What is passwordless?
Abilitazione della Temporary Access Policy
La creazione di una Temporary Access policy permette di definire gli utenti o i gruppi che potranno beneficiare di questa modalità di accesso e la lunghezza, la durata e il numero delle volte che le password temporanee potranno essere utilizzate.
Collegatevi al portale di Azure con un account amministrativo che abbia i privilegi di Global administrator o di Authentication Method Policy administrator e cliccate su Azure Active Directory > Security > Authentication methods > Temporary Access Pass.
Cliccate su Yes per abilitare la policy e in Target scegliete gli utenti o i gruppi per cui volete abilitarla.
Figura 1: Abilitazione della policy di Temporary Access Pass
Cliccando su Edit potrete modificare diversi parametri, tra cui lunghezza, durata minima, durata massima e riutilizzo della password più volte durante la sua validità temporale.
Figura 2: Modifica delle configurazioni della Temporary Access policy
Creazione di un Temporary Access Pass
Nel caso in cui sia necessario creare un Temporary Access Pass per un utente, sarà sufficiente collegarsi al portale di Azure AD con le credenziali di un amministratore che sia Global administrator oppure Privileged Authentication administrator e dopo aver selezionato l’utente scgliere il nodo Authentication Methods.
Fate cli su +Add authentication methods e scegliete Temporary Access Pass (preview)
NOTA: Se non appare il pulsante +Add authentication methods selezionate l’opzione Try the new user authentication methods experience. È necessario anche attendere un paio di minuti nel caso l’utente sia appena stato creato per poter vedere apparire il pulsante.
Figura 3: Aggiunta del Temporary Access Pass per un utente specifico
Scegliete a questo punto la durata ed eventualmente il momento di attivazione del Pass.
Figura 4: Aggiunta del nuovo authentication method per l’utente
Prendete nota quindi del Pass generato, che dovrete comunicare all’utente. Ricordatevi he dopo aver cliccato su OK il Pass non sarà più visibile e sarà necessario crearne un altro.
Figura 5: Temporary Access Pass generato per l’utente
Utilizzo del Temporary Access Pass
Dopo che avrete comunicato il Temporary Access Pass all’utente, per poter accedere alle applicazioni che utilizzano Azure AD per l’autenticazione sarà sufficiente inserire la propria username e nella schermata successiva inserire il Temporary Access Pass, come si può vedere dalle figure sotto:
Figura 6: Inserimento del Temporary Access Pass nel browser
Figura 7: Inserimento del Temporary Access Pass nello smartphone
Conclusioni
Il Temporary Access Pass, che al momento della scrittura di questa guida è ancora in preview, permette di poter effettuare l’onboarding dei nuovi utenti utilizzando la strong authentication. È inoltre uno strumento molto utile nel caso in cui non abbiamo a disposizione il nostro smartphone o la nostra security Key FIDO2 che normalmente utilizziamo per la passwordless authntication.
Vi rimando alla pagina ufficiale Configure a Temporary Access Pass in Azure AD to register Passwordless authentication methods | Microsoft Docs per recuperare informazioni relative ai limiti della funzionalità e ad indicazioni su un eventuale troubleshooting in caso di problematiche.