TAP – Temporary Access Pass

Kommentar verfassen

Die Gesichtserkennung über Windows Hello for Business ist bei 1:1 Geräten sehr praktisch. So kann man das Gerät zuklappen, um z.B. den Platz zu wechseln und ist am nächsten Ort sofort wieder angemeldet ohne dass man ein Passwort eingeben muss.

Leider muss man zum Einrichten der Gesichtserkennung auch einen Pin einrichten und dabei eine Telefonnummer eintragen. Viele unserer Schülerinnen und Schüler besitzen ein eigenes Handy, dort ist das kein Problem. Für die anderen haben wir bisher einfach die Nummer der Schule benutzt (vgl. diesen Beitrag).

Neu erhält man die Meldung, dass die Nummer schon für ein anderes Konto verwendet wurde, wenn man mehrere Male die gleiche Nummer angibt:

Es gibt nun also mehrere Möglichkeiten:

  • Die Schüler/-innen richten die Gesichtserkennung zuhause ein und benutzen dazu die Festnetznummer oder Handynummer der Eltern.
  • Die Schule verzichtet auf Gesichtserkennung (oder deaktiviert die Gesichtserkennung nur bei den Schüler/-innen, die keine Telefonnummer haben oder verwenden wollen/dürfen).
  • Die Schule sucht eine anderen Möglichkeit. Die haben wir nun mit TAP gefunden.

TAP

TAP steht für Temporary Access Pass. Um TAP zu aktivieren, muss man gemäss diesem Beitrag zuerst eine entsprechende Policy erstellen.

Hier habe ich die Gruppen mit den Schüler/-innen hinzugefügt.

Bei Configure habe ich die Vorlage für unsere TAPs erstellt. Damit in der ersten Woche alle die Möglichkeit haben, die Gesichtserkennung für die Geräte einzurichten wähle ich bei „Maximum lifetime“ und bei „Default lifetime“ eine Woche.

Um nun für eine Schülerin oder einen Schüler einen TAP zu erstellen, wählt man den Account in Entra ID oder im Intune Admin center und dann „Authentication methods“ -> „+ Add authentication method“.

Hier muss man nur noch „Temporary Access Pass“ auswählen und die Voreinstellungen (die wir ja weiter oben konfiguriert haben) übernehmen.

Diesen TAP kann man nun weitergeben.

Anmeldung mit TAP

Schüler/-innen, denen man einen Temporary Access Pass erstellt hat, können sich nun mit diesem statt mit einer Telefonnummer anmelden.

Mehrere TAP auf einmal erstellen

Zuerst erstellt man eine CSV Datei mit den Accounts

Das Powershell Skript sieht dann so aus: 

#Connect to MgGraph
import-module microsoft.graph.identity.signins
Connect-MgGraph -Scopes "UserAuthenticationMethod.ReadWrite.All" -NoWelcome

#Import the csv file
$users = Import-CSV "TAP.csv"

# Initialize an array to store TAP details
$tapList = @()

#Iterate over each user in the csv file
foreach ($user in $users) {
    #Create a TAP for the user
    $TAP = New-MgUserAuthenticationTemporaryAccessPassMethod -UserId $user.username 

    # Store TAP details in an array
    $tapDetails = [PSCustomObject]@{
        Email        = $user.username
        TAP_Password = $TAP.TemporaryAccessPass  # Retrieve TAP password
    }
    $tapList += $tapDetails
    Write-Host "Created TAP for: $($user.username) - Password: $($TAP.TemporaryAccessPass)" -ForegroundColor Cyan
}

# Export TAPs to CSV
$tapList | Export-Csv -Path ".\TAP_Users.csv" -NoTypeInformation -Force

Write-Host "TAP creation complete. Check TAP_Users.csv for details." -ForegroundColor Green

#Disconnect MgGraph
Disconnect-MgGraph

Nachtrag: Eigentlich wollte ich das Passwort selbst erstellen, damit es keine schwierigen Sonderzeichen für jüngere Schülerinnen und Schüler enthält. Dies müsste gemäss der Microsoft Beschreibung eigentlich funktionieren, sieht aber nach einem Bug aus, zumindest ist es mir nicht gelungen. Daher musste ich nochmals eine andere Lösung suchen und auch diesen Post anpassen, da ich erst nachher festgestellt habe, dass es doch nicht funktioniert. Für die neue Lösung musste ich dann die automatisch erstellten TAPs irgendwie speichern. Ich habe dann in diesem Blog Hilfe gefunden, wie man zu einer CSV Datei kommt, die man den Lehrpersonen weitergeben kann – vielen Dank dafür.

Hinterlasse einen Kommentar