如何在 Azure AD 中设置临时访问密码

Azure AD 中的临时访问密码为最终用户提供只能在有限的指定时间内使用的密码。它们可以配置为多次使用或一次性使用，以允许用户设置永久密码、板载附加安全方法或配置无密码身份验证。

如果用户丢失了强身份验证方法，例如手机（用于 Microsoft Authenticator 应用程序）或硬件令牌（例如 FIDO2 安全密钥），也可以使用它们。

在这篇文章中，我将向您展示如何在 Azure AD 中设置临时访问密码以促进上述场景。

允许在 Azure AD 中使用临时访问密码

1. 首先使用全局管理员凭据登录 Azure Active Directory 管理员门户。

2. 从左侧菜单的“管理”下选择安全。

3. 进入安全页面后，从左侧菜单中选择身份验证方法。

4. 在策略选项卡上，从方法列表中选择临时访问通行证。

5. 在“基本信息”选项卡上，您可以选择启用该策略。它将在此页面上建议您将其用于入门和恢复目的。您还可以定位特定用户，例如需要分发的新创建的用户帐户组或使用容易丢失的硬件令牌身份验证方法的用户组。

6. 配置选项卡将允许您定义策略设置。让我解释一下……当管理员创建临时访问密码时，他们可以定义密码的有效期，介于您在此屏幕上设置的最小值和最大值之间。例如，对于新用户帐户，您可能希望选择 8 小时，因为您不确定在入职日的哪个时间点，用户的直线经理将向用户展示如何登录其帐户。另一方面，支持工程师可能希望为需要快速登录并更新密码或身份验证方法的用户颁发仅 10 分钟的密码。

7. 配置完设置后，点击更新，然后点击保存。该方法现在将在列表中显示为已启用。

如何为用户创建临时访问密码

1. 在 Azure Active Directory 管理门户中，转到用户并从列表中选择您的用户。

2. 从左侧方法中，选择身份验证方法。

3. 您可能会看到以下通知：“切换到新的用户身份验证方法体验！单击此处立即使用它”。单击按钮更新屏幕。

4. 窗口将会更新，您将看到新的外观。点击添加身份验证方法。

5. 左侧将出现一个窗口，标题为添加身份验证方法。从下拉框中选择临时访问通行证。您可以在此处选择用户引导的延迟开始时间，并且可以在策略中定义的限制内设置持续时间。

6. 单击添加后，您将看到临时密码、用户必须访问的链接以重置其安全信息以及通行证的有效日期。

使用临时访问通行证时的用户体验

1. 要使用临时访问通行证，用户必须首先访问：aka.ms/mysecurityinfo 并输入用户名。

2. 当临时访问密码有效且仅当密码有效时，才会提示输入密码。

您应该知道，如果他们的帐户仍然配置了 MFA 或无密码身份验证方法，则在输入密码后，系统会提示他们输入这些方法。在这种情况下，您应该从用户帐户中删除身份验证方法。

3. 现在将提示用户完成常见的多重身份验证注册体验。