1 Kurzbeschreibung[edit | edit source]
Ein Temporary Access Pass (TAP) ist ein zeitlich begrenzter, stark abgesicherter Einmalcode, der Mitarbeitern den Zugriff auf ihr Microsoft‑Konto ermöglicht, wenn sie sich (noch) nicht oder nicht mehr mit herkömmlichen Multi‑Faktor‑Authentifizierungsmethoden (z. B. Authenticator‑App, Smartphone) anmelden können. Der TAP wird durch unseren Dienstleister RKU-IT erzeugt und kann für die Erstanmeldung oder zur Wiederherstellung von Anmeldeinformationen genutzt werden.
2 Inhalt[edit | edit source]
2.1 Rahmenbedingungen[edit | edit source]
Der Temporary Access Pass (TAP) ermöglicht eine zeitlich begrenzte Anmeldung an Azure AD / Entra ID, wenn kein funktionsfähiges MFA‑Gerät zur Verfügung steht. TAP ist ausschließlich für Cloud‑Anmeldungen nutzbar und ersetzt nicht die lokale Windows‑Anmeldung, da kein Windows Hello for Business im Einsatz ist.
Ein TAP wird ausschließlich nach erfolgreich durchgeführter telefonischer Identitätsprüfung gemäß dem 5‑Punkte‑System ausgestellt. Er besitzt eine Gültigkeitsdauer von 8 Stunden und besteht aus einem achtstelligen Kennwort.
Der TAP darf nur direkt an den betroffenen Gelsenwasser‑Mitarbeiter übermittelt werden. Bei externen Accounts erfolgt die Bereitstellung ausschließlich nach Freigabe durch einen verifizierten Gelsenwasser‑Ansprechpartner.
2.2 Anleitung Use Case: Onboarding neuer Mitarbeiter:[edit | edit source]
- Der Mitarbeiter erhält seine Erstzugangsdaten gemäß HR-Prozess.
- Der Mitarbeiter ruft die RKU-IT Hotline an und verlangt die Ausstellung eines TAP.
- Hotline-Supportohne|mini|Hotline Support RKU
- Der RKU-Mitarbeiter führt die telefonische Identitätsprüfung gemäß 5-Punkte Verfahren durch.
| Methode | Beschreibung | Punkte |
| Mitarbeiter-ID / Personalnummer | Abgleich HR-System / AD | 2 |
| Anruf über hinterlegte Telefonnummer | Technischer Abgleich | 1 |
| Zugewiesenes Endgerät | Asset-Nummer | 2 |
| Vorgesetztenbestätigung | Telefonisch oder E-Mail | 3 |
| Mitarbeiterausweis-ID | Abgleich im System | 2 |
- Nach erfolgreicher Verifizierung wird ein TAP von dem RKU-IT Mitarbeiter erstellt und dem Mitarbeiter zur Verfügung gestellt.
- Der Mitarbeiter nutzt den TAP zur initialen MFA Registrierung:
- Einloggen in den Account: My Sign-Ins | Security Info | Microsoft.comohne|mini|Eingabe TAP
- Anmeldemethode hinzufügenalternativtext=|ohne|mini|534x534px|Sicherheitsinformationen
- Microsoft Authenticator auswählen und den Anweisungen folgen.alternativtext=|ohne|mini|479x479px|Anmeldemethode hinzufügenUnter folgendem Link gibt es weitere Informationen bzgl der Einrichtung der Multi-Faktor-Authentifizierung für M365.
2.3 Anleitung Use Case: Mitarbeiter hat primäres MFA-Gerät verloren/defekt/vergessen:[edit | edit source]
- Mitarbeiter ruft den ServiceDesk der RKU an.
- Hotline Supportohne|mini|Hotline Support RKU
- Der RKU-Mitarbeiter führt die telefonische Identitätsprüfung gemäß 5-Punkte System durch.
| Methode | Beschreibung | Punkte |
| Mitarbeiter-ID / Personalnummer | Abgleich HR-System / AD | 2 |
| Anruf über hinterlegte Telefonnummer | Technischer Abgleich | 1 |
| Zugewiesenes Endgerät | Asset-Nummer | 2 |
| Vorgesetztenbestätigung | Telefonisch oder E-Mail | 3 |
| Mitarbeiterausweis-ID | Abgleich im System | 2 |
Im Falle eines externen Accounts: der Gelsenwasser-Ansprechpartner muss sich selbst identifizieren, um TAP zu autorisieren.
- Der TAP wird ausgestellt (8h gültig, 8 Zeichen)
- Nutzer registriert MFA erneut.
- Einloggen in den Account: My Sign-Ins | Security Info | Microsoft.comohne|mini|Eingabe TAP
- Anmeldemethode hinzufügenalternativtext=|ohne|mini|534x534px|Sicherheitsinformationen
- Microsoft Authenticator auswählen und den Anweisungen folgen.alternativtext=|ohne|mini|479x479px|Anmeldemethode hinzufügenUnter folgendem Link gibt es weitere Informationen bzgl der Einrichtung der Multi-Faktor-Authentifizierung für M365.
