Funktion „Befristeter Zugriffspass“ aktiviert

Befristeter Zugriffspass (Temporary Access Pass, TAP) dient als temporäre Authentifizierungsmethode und bietet eine Alternative zur standardmäßigen Microsoft Entra-Authentifizierung wie Passwort und MFA. TAP wurde für Anwendungsfälle wie die folgenden entwickelt: Mitarbeiter-Onboarding, Passwortverlust und Zurücksetzungen durch das Helpdesk oder als Bootstrap für die Implementierung anderer Authentifizierungsmethoden wie passwortlose Authentifizierung (z. B. Microsoft Authenticator, Windows Hello for Business oder FIDO2-Sicherheitsschlüssel) und nutzt einen zeitlich begrenzten oder nur einmal verwendbaren Passcode. Benutzer können diesen Passcode während der gesamten TAP-Lebensdauer nutzen, abhängig von der konfigurierten TAP-Richtlinie, die Sie in der Konsole „Authentifizierungsmethoden“ (über das Azure-Portal oder das Microsoft Entra Admin Center) festgelegt haben. Diese Richtlinie kann universell für alle Benutzer oder selektiv für bestimmte Gruppen gelten. Sobald die Richtlinie aktiviert ist, können privilegierte Benutzer mit der erforderlichen Berechtigung einen TAP in der Konsole „Authentifizierungsmethoden“ generieren. Folgendes sollten Sie unbedingt bedenken:

• TAP umgeht MFA, da es als starke Authentifizierungsmethode gilt.
• TAP stellt ein potenzielles Sicherheitsrisiko dar, wenn ein böswilliger Akteur mit erhöhten Rechten die Funktion ausnutzt. In einem solchen Szenario könnte ein Angreifer auf ein Konto zugreifen, ohne das Passwort zu kennen und ohne es zurückzusetzen, was den Angriff verdeckter macht. Beachten Sie, dass ein TAP kein Ersatz für das Passwort eines Benutzers ist. Daher können sich anvisierte Benutzer trotz der Einrichtung eines Backdoor-TAP immer noch mit ihrem regulären Passwort oder einer anderen Authentifizierungsmethode einloggen.

Wenn Ihre Organisation TAPs verwendet, stellen Sie sicher, dass diese ausschließlich dem Onboarding neuer Mitarbeiter oder Geräte dienen. Folglich sollten Logins über TAPs nur selten erfolgen und streng überwacht werden.

Diese legitime Funktion kann absichtlich aktiviert werden und ist derzeit im Mandanten aktiv. In solchen Fällen können Sie den Mandanten als Ausnahme in den Optionen hinzufügen. Beachten Sie jedoch, dass dadurch die Angriffsfläche erweitert wird. Wenn die Funktion dagegen nicht verwendet wird, sollte sie deaktiviert werden, um die potenzielle Angriffsfläche zu minimieren.

Sie können diese Funktion als Bootstrap für die Implementierung passwortloser Authentifizierungsmethoden verwenden, wie von Microsoft empfohlen. Wenn Ihre Organisation die Funktion für diesen Zweck verwendet, müssen Sie Ihre Mandanten-ID zur Ausschlussliste für diesen Indicator of Exposure hinzufügen. Um die Angriffsfläche weiter zu verkleinern, sollten Sie den Kreis der Benutzer oder Gruppen, die befristete Zugriffspässe generieren dürfen, einschränken, indem Sie die Standardeinstellung „Alle Benutzer“ in eine gezieltere Teilmenge ändern.

Wenn Ihre Organisation TAP jedoch derzeit nicht verwendet, ist es sicherer, die Funktion wie folgt zu deaktivieren:

• Melden Sie sich beim „Microsoft Entra Admin Center“ an.
• Navigieren Sie zu „Schutz“ > „Authentifizierungsmethoden“ > „Richtlinien“.
• Wählen Sie in der Liste der verfügbaren Authentifizierungsmethoden die Option „Befristeter Zugriffspass“ aus.
• Stellen Sie den Schalter „Aktivieren“ auf „Aus“, um die Funktion zu deaktivieren.

Name: Funktion „Befristeter Zugriffspass“ aktiviert

Codename: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure