已启用临时访问通行证功能

临时访问通行证 (TAP) 是一种临时的身份验证方法，提供标准 Microsoft Entra 身份验证方法（例如密码和 MFA）的替代方案。TAP 专门用于员工入职、密码丢失和帮助台重置等场景，或作为实施其他身份验证方法（如无密码身份验证，包括 Microsoft Authenticator、Windows Hello for Business 或 FIDO2 安全密钥）的引导手段，并引入了有时限或单次使用的通行码。用户可以在 TAP 的有效期内使用此通行码，具体取决于所配置的 TAP 策略，您可以在“身份验证方法”控制台（通过 Azure 门户或 Microsoft Entra 管理中心访问）中设置该策略。此策略可以广泛应用于所有用户，也可以选择性地应用于特定组。激活策略后，具有所需权限的特权用户可以在“身份验证方法”控制台中生成一个 TAP。主要注意事项包括：

• TAP 会绕过 MFA​，因为前者被视为一种强身份验证方法。
• 如果具有更高特权的恶意攻击者利用 TAP，则可能带来潜在的安全风险。在这种情况下，攻击者可以在不知道密码且无需重置密码的情况下访问帐户​，这使得攻击更加隐蔽。请注意，TAP 不会替换用户的密码​。因此，尽管设置了后门程序 TAP，目标用户仍然可以使用他们的常规密码或其他身份验证方法登录。

如果您的组织使用 TAP，请确保其仅用于新员工入职或新设备的初始配置。因此，通过 TAP 进行的登录应该仅偶尔发生，并且在严密监督下进行。

该合法功能可能是有意启用的，并且目前在租户中处于活动状态。在这种情况下，您可以在选项中将该租户添加为例外，同时请注意扩大的攻击面。相反，如果未使用该功能，建议将其禁用，以减少潜在的攻击面。

您可以按照 Microsoft 的建议，使用此功能来引导设置无密码身份验证方法。如果您的组织出于上述目的使用 TAP，则您必须将租户 ID 添加到此风险暴露指标的排除项列表中。为了进一步缓解攻击面，请考虑将默认设置“所有用户”更改为更受限的用户或组范围，以缩小有资格生成临时访问通行证的子集范围。

但是，如果您的组织当前不使用 TAP，请通过以下步骤将其禁用以提高安全性：

• 登录“Microsoft Entra 管理中心”。
• 导航到“保护”>“身份验证方法”>“策略”。
• 在可用的身份验证方法列表中，选择“临时访问通行证”。
• 将“启用”切换开关设为“关闭”，以禁用该功能。

名称: 已启用临时访问通行证功能

代码名称: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure