Vooral voor desktop engineers/werkplekbeheerders een fijne tool wanneer men een werkplek van een “gebruiker” mag overnemen voor werkzaamheden maar hij/zij er niet is en niet zijn/haar password wil resetten om nog maar te zwijgen over de MFA die als het goed is actief staat.
Met TAP is het dan mogelijk om tijdelijk een OTP aan te maken wat ook MFA overslaat. Letop de term OTP, wachtwoord werkt 1x
Het instellen.
We maken eerst in Entra (AzureAD) een security group aan genaamd TAP, wanneer wij de policy aanzetten wil je gewoon niet dat alle gebruikers dit standaard aan hebben maar dat we dit activeren voor gebruikers die uitsluitend tijdelijk lid zijn van deze Group.
Hoe een groep aangemaakt moet worden lijkt mij duidelijk, dit beschrijf ik dan ook niet. In deze beschriving gaan we direct door naar het beleid.
Ga naar Entra admin Center, Protection, Authentication Methods en selecteer Temporary Access Pass
Enable and Target aanzetten en vervolgens bij Include voeg je de eerder aangemaakte Group toe, in mijn geval TAP en daarna Configure.
Vervolgens click op Edit en stellen we oa. De duur in van het OTP en aantal karakters.
Eenmaal opgevoerd druk op SAVE en TAP beleid is ingesteld.
TAP activeren voor een gebruiker:
Ga naar de User, selecteer de specifieke gebruiker, voeg hem/haar toe aan de TAP security group en ga vervolgens naar Authentication Methods.
Wanneer je onderstaande melding ziet selecteer deze om de new user authentication te activeren.
Vervolgens voegen we de Authentication Method toe, dan kiezen we als Methode Temporary Access Pass en op Add.
Het tijdelijke eenmalige wachtwoord voor de gebruiker wordt dan eenmalig getoond, onthoud deze goed. Mocht je wachtwoord vergeten / gebruikt hebben en nogmaals in moeten loggen volg procedure zoals direct hierboven is beschreven, de OTP zal dan worden overschreven.