Language:
一時アクセスパス (TAP) は一時的な認証方法として機能し、パスワードや MFA などの標準の Microsoft Entra 認証に代わる手段となります。従業員のオンボーディング、パスワード損失、ヘルプデスクのリセットなどのケース、またはパスワードレス (例: Microsoft Authenticator、Windows Hello for Business、FIDO2 セキュリティキー) などの他の認証方法を実装するためのブートストラップとして設計されているため、TAP は期限付きまたは 1 回のみ使用可能なパスコードを導入します。[認証方法] コンソールで (Azure ポータルまたは Microsoft Entra 管理センターを介して) 設定した TAP ポリシーに応じて、ユーザーは TAP の有効期間中はずっとこのパスコードを利用できます。このポリシーは、すべてのユーザーに適用することも、特定のグループに選択的に適用することもできます。ポリシーが有効化されると、必要なアクセス許可を持つ特権ユーザーは [認証方法] コンソールで TAP を生成できるようになります。主な考慮事項は次のとおりです。
組織で TAP を使用する場合は、新入社員やデバイスのオンボーディングだけに使用するようにしてください。その結果、TAP によるログインが頻繁に発生しないため、注意深く監督することができます。
この正当な機能は意図的に有効にすることができ、現在テナント内でアクティブになっています。このようなインスタンスでは、アタックサーフェスの拡大に留意しながらも、オプションで例外としてテナントを追加することができます。逆に、この機能が使用されていない場合は、無効にして潜在的なアタックサーフェスを最小限に抑えることをお勧めします。
この機能を使用して、Microsoft が推奨しているパスワードレス認証方法をブートストラップできます。組織がこの目的のために TAP を使用している場合は、この露出インジケーター (IoE) の除外リストにテナント ID を追加する必要があります。アタックサーフェスをさらに減らすため、一時アクセスパス生成の対象となるユーザーまたはグループの範囲を狭めることを検討してください。これは、デフォルト設定 [すべてのユーザー] を、より制限されたサブセットに変更することでできます。
ただし、組織が現在 TAP を使用していない場合、次の手順を使用して無効にする方が安全です。
名前: 一時アクセスパス機能が有効
コード名: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED
深刻度: Low
タイプ: Microsoft Entra ID Indicator of Exposure