語言:
臨時存取密碼 (TAP) 是一種臨時驗證方法,可作為標準 Microsoft Entra 驗證 (例如密碼和 MFA) 的替代方案。TAP 專為員工入職、密碼遺失和服務中心重設等情況而設計,也可以作為實施無密碼等其他驗證方法 (例如 Microsoft Authenticator、Windows Hello 企業版或 FIDO2 安全性金鑰) 的前導程序,提供限時或一次性密碼。使用者可以根據「驗證方法」主控台中設定的 TAP 原則 (透過 Azure 入口網站或 Microsoft Entra 系統管理中心設定),在 TAP 的有效期限內使用此密碼。此原則可以全面套用至所有使用者,或選擇性套用於特定群組。啟用原則後,具有所需權限的特權使用者就能在「驗證方法」主控台中產生 TAP。重要注意事項如下:
如果貴組織採用 TAP,請確定僅將其用於新員工入職或新裝置啟用程序。這樣一來,應不會頻繁透過 TAP 登入,且登入時會在密切監控下進行。
這項正當功能可能會被特意啟用,並且目前可供租用戶使用。在這種情況下,您可以在選項中將租用戶新增為例外,但請留意因此擴大的攻擊破綻。相反地,如果目前未使用該功能,建議您將其停用以盡量減少潛在的攻擊破綻。
您可以遵循 Microsoft 的建議使用此功能來部署無密碼驗證方法。如果貴組織將其用於此目的,您必須將租用戶 ID 新增至此曝險指標的排除清單。為了進一步緩解攻擊破綻,可以考慮將預設設定從「所有使用者」變更為更有限的子集,縮小能夠產生臨時存取密碼的使用者或群組範圍。
不過,如果貴組織目前未使用 TAP,比較安全的做法是按照下列程序將其停用:
名稱: 已啟用臨時存取密碼功能
代碼名稱: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED
嚴重性: Low
類型: Microsoft Entra ID Indicator of Exposure