Azure AD上のユーザーに対して一定期間だけ使えるパスワードを用意する手順です。一時アクセスパス(TAP)と言います。
完全なパスワードレス環境を構築したい時に初回の認証に使ったりするそうです。私の場合は利用者の代わりに初期設定とかしてあげる時なんかに使うかなと思います。
事前準備
一時アクセスパスの有効化
まずは一時アクセスパスを使用できるように設定する必要があります。
Azureの管理ポータルからセキュリティをクリック。
「認証方法」をクリック。
一時アクセスパスをクリック。
「一時アクセスパスの設定」画面の「有効にする」で「はい」を選択。また、必要に応じて一時アクセスパスを使うユーザーを限定。
「構成」タブをクリックして開き、「編集」ボタンをクリックすると画面右側に編集用のパネルが表示されるので好きなように編集して更新。
画面左側の「ワンタイム」というのが画面右の「一時使用を必須にする」に相当していて、一時アクセスパスで認証できる回数は1回だけにするという意味。
設定が終わったら「保存」をクリック。
Windowsへのログインの有効化
デフォルトでは一時アクセスパスでWindowsにログオンすることは出来ないので、構成プロファイルで設定変更します。
Microsoft Endpoint Manager admin centerでデバイス→構成プロファイルを開き「プロファイルの作成」をクリック。
画面右に「プロファイルの作成」パネルが表示されるのでプラットフォームに「Windows 10 以降」、プロファイルの種類に「設定カタログ」を選んで「作成」ボタンをクリック。
「プロファイルの作成」画面で適当な名前を入力し「次へ」をクリック。
設定ピッカーで①「Authentication」→②「Enable Web Sign In」→③「Enabled. ~~」を選択し「次へ」をクリック。
必要に応じてスコープタブを設定し「次へ」をクリック。
割り当てたい先を入力し「次へ」をクリック。以下では「全てのデバイス」を選択している。
確認画面が表示されるので「作成」をクリック。
一時アクセスパスの発行
事前準備が出来たので、一時アクセスパスをユーザーに設定していきます。
一時アクセスパスを設定したいユーザーの管理画面を開き「認証方法」をクリック。
「新しいユーザー認証方法のエクスペリエンスに切り替えてください。今すぐ使用する場合は、こちらをクリックしてください。」と表示されている場合はクリック。切り替わるのに数秒かかる。
「認証方法の追加」をクリック。
「方法の選択」で「一時アクセスパス」を選択。
一時アクセスパスが有効な期間や使える回数を1回だけにするかなど編集し、「追加」をクリック。
一時アクセスパスが発行される。「OK」ボタンをクリックしてこの画面を消した後は再表示出来なので注意。
試してみる
Webのログイン
一時アクセスパスが有効な状態でoffice.comなどで認証しようとすると、以下画像の様に「一時アクセスパスの入力」とのプロンプトが表示される。
一時アクセスパスを入力してサインインしてみる。
サインインできた。
Windowsのログイン
ログイン画面で「サインインオプション」をクリック。
Webサインインのアイコンをクリック。
「サインイン」をクリック。
一時アクセスパスの入力を求められるので入力して「サインイン」をクリック。
サインインできた。
その他
一時アクセスパスの設定画面で「一時使用を必須にする」を「はい」にすると、以下画像の様に一時アクセスパス作成時に「一時使用」がグレイアウトして「はい」しか選べなくなる。
一度しか使えない設定にして使い終わると、詳細に「1回の使用」と表示されるので、使われたかどうか判別できる。
一時アクセスの設定画面でターゲットとして指定されていないユーザーに対して一時アクセスパスを追加しようとすると以下のエラーメッセージが表示される。
一時アクセス パス を追加できません。 - Converged UserCredentialPolicy does not allow creating or updating this authentication method. AuthMethodType [TemporaryAccessPass].
