已啟用臨時存取密碼功能

臨時存取密碼 (TAP) 是一種臨時驗證方法，可作為標準 Microsoft Entra 驗證 (例如密碼和 MFA) 的替代方案。TAP 專為員工入職、密碼遺失和服務中心重設等情況而設計，也可以作為實施無密碼等其他驗證方法 (例如 Microsoft Authenticator、Windows Hello 企業版或 FIDO2 安全性金鑰) 的前導程序，提供限時或一次性密碼。使用者可以根據「驗證方法」主控台中設定的 TAP 原則 (透過 Azure 入口網站或 Microsoft Entra 系統管理中心設定)，在 TAP 的有效期限內使用此密碼。此原則可以全面套用至所有使用者，或選擇性套用於特定群組。啟用原則後，具有所需權限的特權使用者就能在「驗證方法」主控台中產生 TAP。重要注意事項如下:

• TAP 會繞過 MFA​，因為它屬於一種高強度驗證方法。
• 如果具有進階特權的惡意攻擊者利用 TAP，便會構成潛在的安全性風險。在這種情況下，攻擊者可以在不知道也不重設密碼的情況下存取帳戶​，更容易不為人知地發動攻擊。請注意，TAP 不會取代使用者的密碼​。因此，儘管攻擊者設定了後門程式 TAP，遭到鎖定的使用者仍然可以使用一般密碼或其他驗證方法登入。

如果貴組織採用 TAP，請確定僅將其用於新員工入職或新裝置啟用程序。這樣一來，應不會頻繁透過 TAP 登入，且登入時會在密切監控下進行。

這項正當功能可能會被特意啟用，並且目前可供租用戶使用。在這種情況下，您可以在選項中將租用戶新增為例外，但請留意因此擴大的攻擊破綻。相反地，如果目前未使用該功能，建議您將其停用以盡量減少潛在的攻擊破綻。

您可以遵循 Microsoft 的建議使用此功能來部署無密碼驗證方法。如果貴組織將其用於此目的，您必須將租用戶 ID 新增至此曝險指標的排除清單。為了進一步緩解攻擊破綻，可以考慮將預設設定從「所有使用者」變更為更有限的子集，縮小能夠產生臨時存取密碼的使用者或群組範圍。

不過，如果貴組織目前未使用 TAP，比較安全的做法是按照下列程序將其停用:

• 登入「Microsoft Entra 系統管理中心」。
• 前往「保護」>「驗證方法」>「原則」。
• 從可用驗證方法清單中選取「臨時存取密碼」。
• 將「啟用」切換為「關閉」以停用該功能。

名稱: 已啟用臨時存取密碼功能

代碼名稱: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure