Ein befristeter Zugriffspass (TAP) ist ein zeitlich begrenzter Passcode, der für die einmalige oder mehrfache Verwendung konfiguriert werden kann. Der befristete Zugriffspass (TAP) ermöglicht dem Benutzer, in einem definierten Zeitraum eine sichere Anmeldung in der Microsoft Cloud durchzuführen, um weitere Authentifizierungsmethoden einrichten zu können. Zu diesen sicheren Authentifizierungsmethoden zählen kennwortlose Methoden wie FIDO2-Sicherheitsschlüssel oder die Microsoft Authenticator App. Die präzise Definition von Zeitfenstern für Zugriffsberechtigungen macht den befristeten Zugriffspass (TAP) zu einem unverzichtbaren Werkzeug für Sicherheitsrichtlinien und Compliance-Anforderungen.

Dieser Blogpost zeigt auf, wie man den befristeten Zugriffspass aktiviert, konfiguriert und verwendet.

Voraussetzungen und Lizenzierung

Für das Feature befristeter Zugriffspass (TAP) in Microsoft Entra ID ist folgende Lizenz notwendig:

  • Microsoft Entra ID P1 oder höher

Die Lizenz ist unter anderem Bestandteil von Microsoft 365 Business Premium und vielen mehr.

Aktivierung und Konfiguration des befristeten Zugriffspasses (TAP) setzt die Rolle Authentifizierungsrichtlinienadministrator voraus.

Für das Ausstellen eines Passcodes für den befristeten Zugriffspass sind mehrere Rollen geeignet: Globaler Administrator, Privilegierter Authentifizierungsadministrator oder Authentifizierungsadministrator. Eine detaillierte Beschreibung über die Möglichkeiten der einzelnen Rollen ist im folgenden Kapitel nachzulesen: Befristeter Zugriffspass erstellen

Befristeter Zugriffspass Richtlinie aktivieren

Bevor Benutzer sich mit einem befristeten Zugriffspass anmelden können, muss die befristete Zugriffspass Richtlinie aktiviert und festgelegt werden, welche Benutzer oder Gruppen einen befristeten Zugriffspass zum Anmelden verwenden können. Diese Konfiguration erfolgt im Microsoft Entra Admin Center (https://entra.microsoft.com).

Temporary Access Pass in Protection > Authentication methods > Policies aufrufen.

Befristeter Zugriffspass aktivieren und Benutzer oder Gruppen auswählen, die diese Anmeldemethode verweden dürfen.

Optional unter Configure die Standardeinstellungen des befristeten Zugriffspasses anpassen.

EinstellungStandardwertMögliche WerteBemerkungen
Mindestgültigkeitsdauer1 Stunde10 – 43.200 Minuten (30 Tage)Mindestanzahl an Minuten, für die der befristete Zugriffspass gültig ist
Maximale Gültigkeitsdauer8 Stunden10 – 43.200 Minuten (30 Tage)Maximale Anzahl an Minuten, für die der befristete Zugriffspass gültig ist
Standardgültigkeitsdauer1 Stunde10 – 43.200 Minuten (30 Tage)
Einmalige VerwendungNeinJa / NeinWenn die Richtlinie auf Nein eingestellt ist, kann der befristete Zugriffspass entweder einmal oder mehrmals während ihrer Gültigkeitsdauer verwendet werden.
Wenn die Richtlinie auf Ja eingestellt ist, kann der befristete Zugriffspass nur einmalig während der Gültigkeitsdauer verwendet werden.
Länge Passcode8 Zeichen8-48 Zeichen

Tipp
Wert Einmalige Verwendung auf Nein setzen, damit bei jedem ausstellen eines befristeten Zugriffspasses individuell festgelegt werden kann, ob dieser einmalig oder mehrmals während der Gültigkeitsdauer verwendet werden kann und somit die Sicherheitsrichtlinien und Compliance-Anforderungen besser erfüllt werden.

Befristeter Zugriffspass erstellen

Nachdem die Richtlinie aktiviert wurde, ist es möglich, einen befristeten Zugriffspass für einen berechtigten Benutzer in Microsoft Entra ID zu erstellen. Je nach Rolle können verschiedene Administratoren diese Aktionen durchführen. Die folgenden Rollen können die folgenden Aktionen bezüglich eines befristeten Zugriffspasses durchführen:

  • Globaler Administrator kann einen befristeten Zugriffspass für jeden Benutzer erstellen, anzeigen und löschen mit Ausnahme von sich selbst.
  • Privilegierter Authentifizierungsadministrator kann einen befristeten Zugriffspass für Administratoren und Mitglieder erstellen, anzeigen und löschen mit Ausnahme von sich selbst.
  • Authentifizierungsadministrator kann einen befristeten Zugriffspass für Mitglieder erstellen, anzeigen und löschen mit Ausnahme von sich selbst.
  • Globaler Leser kann die Details des befristeten Zugriffspasses für Benutzer anzeigen, jedoch ohne den Passcode selbst lesen zu können.

Im Microsoft Entra Admin Center (https://entra.microsoft.com) erstellt ein Benutzer mit berechtigter Rolle einen befristeten Zugriffspass.

Benutzer in Identity > Users > All users auswählen

Authentication methods > Add authentication method > Temporary Access Pass
Die verzögerte Startzeit, Aktivierungsdauer und einmalige oder mehrmalige Verwendung kann hier den eigenen Bedürfnissen angepasst werden.
Zum Abschluss auf Add klicken.

Die Details des befristeten Zugriffspasses werden nun angezeigt.
Der Passcode wird einmalig angezeigt und kann nach Verlassen des Fensters nicht mehr erneut ausgelesen werden. Also bitte notieren.

Der Benutzer kann nun mit dem erstellten Passcode die Anmeldung durchführen.

Befristeter Zugriffspass verwenden

In der Regel registriert ein Benutzer Authentifizierungsmethoden während der ersten Anmeldung. Der befristete Zugriffspass eignet sich damit perfekt, um Multifaktor-, kennwortlose oder phishingresistente Authentifizierungen einzurichten oder zu aktualisieren ohne zusätzliche Sicherheitsabfragen durchführen zu müssen.

Registrierung von Authentifizierungsmethoden

Die Registrierung von Authentifizierungsmethoden erfolgt unter https://aka.ms/mysecurityinfo. Benutzer können auch vorhandene Authentifizierungsmethoden hier aktualisieren.

Wenn ein Benutzerkonto einen befristeten Zugriffspass aktiviert hat, verwendet der Benutzer bei der Anmeldung automatisch diese Authentifizierungsmethode.

Nach erfolgreicher Anmeldung kann der Benutzer nun kennwortlose Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel oder Microsoft Authenticator App registrieren oder aktualisieren.
Benutzer, die ihre Authentifizierungsmethoden aufgrund von verlorenen Anmeldeinformationen oder Geräten aktualisieren, sollten hier sicherstellen, dass die alten Authentifizierungsmethoden entfernt sind.

Gut zu wissen

Registrierung eines Sicherheitsschlüssels (FIDO2)

Bei Verwendung eines einmaligen befristeten Zugriffspasses zum Registrieren eines Sicherheitsschlüssels (FIDO2) muss der Benutzer die Registrierung innerhalb von 10 Minuten nach der Anmeldung mit dem einmaligen Passcode abschliessen. Diese Einschränkung gilt nicht für einen befristeten Zugriffspass, der für mehrmalige Verwendung ausgestellt ist.


Folge mir auf LinkedIn, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

Auf LinkedIn folgen