Dan begint vaak het bekende proces van MFA resetten of tijdelijke toegang regelen<\/strong>.<\/p>\n\n\n\n Gelukkig heeft Microsoft hiervoor een uitstekende oplossing: Temporary Access Pass (TAP)<\/strong>.<\/p>\n\n\n\n Met een TAP kan een gebruiker tijdelijk inloggen en bijvoorbeeld MFA opnieuw instellen. Maar als beheerder wil je dit natuurlijk consistent, veilig en geautomatiseerd<\/strong> configureren.<\/p>\n\n\n\n Daarom heb ik een PowerShell script gemaakt dat de TAP-policy automatisch configureert via Microsoft Graph<\/strong>.<\/p>\n\n\n\n Inclusief:<\/p>\n\n\n\n Een Temporary Access Pass<\/strong> is een tijdelijke toegangscode binnen Microsoft Entra ID<\/strong> waarmee een gebruiker kan:<\/p>\n\n\n\n Je kunt het zien als een tijdelijke sleutel tot de voordeur van een account<\/strong>.<\/p>\n\n\n\n De TAP is bewust tijdelijk en kan worden ingesteld met:<\/p>\n\n\n\n Juist deze instellingen bepalen hoe veilig en gebruiksvriendelijk je omgeving is<\/strong>.<\/p>\n\n\n\n Onderstaand diagram laat zien hoe TAP werkt in combinatie met MFA.<\/p>\n\n\n\n 1\ufe0f\u20e3 Beheerder maakt een Temporary Access Pass Na deze stappen gebruikt de gebruiker weer normale MFA authenticatie<\/strong>.<\/p>\n\n\n\n Het script gebruikt Microsoft Graph om de TAP-policy te wijzigen.<\/p>\n\n\n\n Dit gebeurt met:<\/p>\n\n\n\n Wanneer het script voor het eerst wordt uitgevoerd, verschijnt er een Microsoft loginvenster<\/strong>.<\/p>\n\n\n\n Hier log je in met een account dat voldoende rechten heeft.<\/p>\n\n\n\n Bijvoorbeeld:<\/p>\n\n\n\n Omdat het script policies wijzigt, moet Microsoft Graph toestemming krijgen.<\/p>\n\n\n\n Het belangrijkste recht is:<\/p>\n\n\n\n Dit geeft toegang tot authentication method policies<\/strong>, waaronder Temporary Access Pass.<\/p>\n\n\n\n Door op Accept<\/strong> te klikken krijgt de Microsoft Graph module toegang.<\/p>\n\n\n\n Microsoft Graph toont een lijst met rechten die gebruikt kunnen worden.<\/p>\n\n\n\n Dit lijkt een lange lijst, maar deze rechten horen bij de Microsoft Graph Command Line Tools<\/strong>.<\/p>\n\n\n\n Het script zelf gebruikt alleen:<\/p>\n\n\n\n Authentication Method Policy management<\/strong><\/p>\n\n\n\n In het script gebruik ik de volgende instellingen.<\/p>\n\n\n\n Dit betekent dat een TAP standaard 30 minuten geldig is<\/strong>.<\/p>\n\n\n\n Lang genoeg voor een gebruiker om:<\/p>\n\n\n\n Maar kort genoeg om risico te beperken.<\/p>\n\n\n\n Dit voorkomt dat iemand per ongeluk een TAP maakt die bijna direct verloopt<\/strong>.<\/p>\n\n\n\n Hiermee voorkom je dat TAP codes uren of dagen geldig blijven<\/strong>.<\/p>\n\n\n\n Een TAP moet tijdelijk blijven.<\/p>\n\n\n\n Dit geeft een goede balans tussen:<\/p>\n\n\n\n Dit is een belangrijke beveiligingsmaatregel.<\/p>\n\n\n\n Na gebruik is de TAP direct ongeldig<\/strong>.<\/p>\n\n\n\n Een paar praktische adviezen die ik zelf vaak gebruik in tenants.<\/p>\n\n\n\n Een TAP moet maar \u00e9\u00e9n keer gebruikt kunnen worden<\/strong>.<\/p>\n\n\n\n Dit voorkomt hergebruik van de code.<\/p>\n\n\n\n Aanbevolen waarden:<\/p>\n\n\n\n Hoe korter de geldigheid, hoe kleiner het risico.<\/p>\n\n\n\n Combineer TAP met:<\/p>\n\n\n\n Zo blijft TAP veilig.<\/p>\n\n\n\n Gebruik alleen rollen zoals:<\/p>\n\n\n\n Zo voorkom je dat te veel mensen tijdelijke toegang kunnen genereren.<\/p>\n\n\n\n Het script schrijft logs naar:<\/p>\n\n\n\n Hier wordt onder andere opgeslagen:<\/p>\n\n\n\n Daarnaast wordt het transcript gekopieerd naar:<\/p>\n\n\n\n Hierdoor kun je het script ook gebruiken binnen Intune of automatisering<\/strong>.<\/p>\n\n\n\n Hieronder staat het volledige script dat de TAP-policy configureert.<\/p>\n\n\n\n Een paar situaties waarin TAP ideaal is.<\/p>\n\n\n\n Nieuwe gebruiker krijgt TAP om:<\/p>\n\n\n\n Gebruiker heeft een nieuwe telefoon.<\/p>\n\n\n\n Met TAP kan hij eenvoudig MFA opnieuw instellen<\/strong>.<\/p>\n\n\n\n Als MFA volledig stuk is, kan TAP gebruikt worden als veilige tijdelijke toegang<\/strong>.<\/p>\n\n\n\n Temporary Access Pass is een van de meest onderschatte features van Microsoft Entra ID<\/strong>.<\/p>\n\n\n\n Met een goede configuratie kun je:<\/p>\n\n\n\n Door dit via PowerShell te automatiseren hoef je het maar \u00e9\u00e9n keer goed in te richten<\/strong>.<\/p>\n\n\n\n Daarna laat je het script het werk doen.<\/p>\n\n\n\n Precies zoals het hoort.<\/p>\n","protected":false},"excerpt":{"rendered":" Iedere beheerder kent het wel. Een gebruiker kan niet meer inloggen omdat: Dan begint vaak het bekende proces<\/p>\n","protected":false},"author":2,"featured_media":126,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,6],"tags":[],"class_list":["post-123","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-azure","category-powershell"],"_links":{"self":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/123","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=123"}],"version-history":[{"count":2,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/123\/revisions"}],"predecessor-version":[{"id":128,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/posts\/123\/revisions\/128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=\/wp\/v2\/media\/126"}],"wp:attachment":[{"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=123"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=123"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unen.nl\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=123"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Wat is een Temporary Access Pass?<\/h1>\n\n\n\n
\n
\n
TAP + MFA flow<\/h1>\n\n\n\n
![\"\"](\"http:\/\/unen.nl\/wp-content\/uploads\/2026\/03\/ChatGPT-Image-Mar-13-2026-10_18_38-AM-1024x683.png\")
<\/figure>\n\n\n\nFlow uitgelegd<\/h3>\n\n\n\n
2\ufe0f\u20e3 De gebruiker ontvangt de tijdelijke code
3\ufe0f\u20e3 Gebruiker logt in met TAP
4\ufe0f\u20e3 Microsoft Entra valideert de code
5\ufe0f\u20e3 MFA registratie wordt gestart
6\ufe0f\u20e3 TAP wordt ongeldig<\/p>\n\n\n\nVerbinding maken met Microsoft Graph<\/h1>\n\n\n\n
Connect-MgGraph -Scopes \"Policy.ReadWrite.AuthenticationMethod\"<\/pre>\n\n\n\n
Microsoft login scherm<\/h3>\n\n\n\n
\n
![\"\"](\"http:\/\/unen.nl\/wp-content\/uploads\/2026\/03\/Connect-mggraph-1.png\")
<\/figure>\n\n\n\nToestemming geven aan Microsoft Graph<\/h1>\n\n\n\n
Policy.ReadWrite.AuthenticationMethod<\/pre>\n\n\n\n
![\"\"](\"http:\/\/unen.nl\/wp-content\/uploads\/2026\/03\/Connect-mggraph-2.png\")
<\/figure>\n\n\n\nOverzicht van rechten<\/h1>\n\n\n\n
![\"\"](\"http:\/\/unen.nl\/wp-content\/uploads\/2026\/03\/Connect-mggraph-3.png\")
<\/figure>\n\n\n\nWaarom deze TAP instellingen?<\/h1>\n\n\n\n
Default lifetime \u2013 30 minuten<\/h2>\n\n\n\n
DefaultLifetimeInMinutes = 30<\/pre>\n\n\n\n
\n
Minimum lifetime \u2013 10 minuten<\/h2>\n\n\n\n
MinimumLifetimeInMinutes = 10<\/pre>\n\n\n\n
Maximum lifetime \u2013 60 minuten<\/h2>\n\n\n\n
MaximumLifetimeInMinutes = 60<\/pre>\n\n\n\n
TAP lengte \u2013 14 tekens<\/h2>\n\n\n\n
TapLength = 14<\/pre>\n\n\n\n
\n
E\u00e9nmalig gebruik<\/h2>\n\n\n\n
UsableOnce = $true<\/pre>\n\n\n\n
Security best practices voor TAP<\/h1>\n\n\n\n
Gebruik altijd “usable once”<\/h3>\n\n\n\n
Houd de geldigheid kort<\/h3>\n\n\n\n
Default: 30 minuten
Maximum: 60 minuten<\/pre>\n\n\n\nGebruik Conditional Access<\/h3>\n\n\n\n
\n
Beperk wie TAP mag genereren<\/h3>\n\n\n\n
\n
Logging en troubleshooting<\/h1>\n\n\n\n
C:\\Log<\/pre>\n\n\n\n
\n
C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs<\/pre>\n\n\n\n
Het PowerShell script<\/h1>\n\n\n\n
param (
[switch]$Silent,
[int]$DefaultLifetimeInMinutes = 30,
[int]$MinimumLifetimeInMinutes = 10,
[int]$MaximumLifetimeInMinutes = 60,
[int]$TapLength = 14,
[bool]$UsableOnce = $true
)
<#
.NOTES
===============================================================================
Created on: 2026-03-13
Created by: Vincent van Unen
Organization:
Filename: Set-TAPPolicy-v2.ps1
===============================================================================
.DESCRIPTION
Wijzigt de Temporary Access Pass-configuratie binnen Microsoft Entra ID
via Microsoft Graph. Indien Microsoft Graph nog niet is ge\u00efnstalleerd,
wordt deze automatisch ge\u00efnstalleerd voor de huidige gebruiker.
.VERSION
1.4.0
#>
#region Script metadata
$ScriptAuthor = \"Vincent van Unen\"
$ScriptVersion = \"1.4.0\"
$ScriptChangeDate = \"2026-03-13\"
$ScriptChangeLog = \"Toegevoegd: controle en automatische installatie van Microsoft.Graph, parameterisering van TAP-instellingen\"
$ScriptCurrentUser = $env:USERNAME
$ScriptRunningDevice = $env:COMPUTERNAME
$CurrentDate = Get-Date -Format 'yyyy-MM-dd'
$ScriptName = \"Set-TAPPolicy-v2\"
#endregion Script metadata
#region Paths
$TempPaths = @(
\"C:\\Temp\",
\"C:\\Tmp\",
\"C:\\Log\"
)
foreach ($Path in $TempPaths) {
if (-not (Test-Path -Path $Path)) {
New-Item -ItemType Directory -Path $Path -Force | Out-Null
}
}
$LogDirectory = \"C:\\Log\"
$LogFile = Join-Path $LogDirectory \"$ScriptName-$CurrentDate.log\"
$TranscriptFile = Join-Path $LogDirectory \"$ScriptName-$CurrentDate-Transcript.log\"
$IntuneLogPath = \"C:\\ProgramData\\Microsoft\\IntuneManagementExtension\\Logs\"
#endregion Paths
#region Logging
function Write-ToLogFile {
[CmdletBinding()]
param (
[Parameter(Mandatory = $false)]
[ValidateSet(\"INFO\", \"WARN\", \"ERROR\", \"FATAL\", \"DEBUG\")]
[string]$Level = \"INFO\",
[Parameter(Mandatory = $true)]
[string]$Message,
[Parameter(Mandatory = $false)]
[string]$FilePath = $LogFile
)
try {
if ([string]::IsNullOrWhiteSpace($Message)) {
Add-Content -Path $FilePath -Value \"\" -ErrorAction Stop
}
else {
$Date = (Get-Date).ToString('yyyy-MM-dd HH:mm:ss.fff')
Add-Content -Path $FilePath -Value \"[$Date] [$Level] $Message\" -ErrorAction Stop
}
}
catch {
Write-Warning \"Schrijven naar logbestand is mislukt: $($_.Exception.Message)\"
}
}
#endregion Logging
#region Helper functions
function Get-PublicIP {
[CmdletBinding()]
param ()
try {
return (Invoke-RestMethod -Uri \"https:\/\/ifconfig.me\/ip\" -ErrorAction Stop).Trim()
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Publiek IP-adres kon niet worden opgehaald: $($_.Exception.Message)\"
return \"Onbekend\"
}
}
function Get-PrivateIP {
[CmdletBinding()]
param ()
try {
$IpAddress = Get-NetIPAddress -AddressFamily IPv4 -ErrorAction Stop |
Where-Object {
$_.IPAddress -notlike '169.254*' -and
$_.IPAddress -ne '127.0.0.1'
} |
Select-Object -ExpandProperty IPAddress -First 1
if ([string]::IsNullOrWhiteSpace($IpAddress)) {
return \"Onbekend\"
}
return $IpAddress
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Priv\u00e9 IP-adres kon niet worden opgehaald: $($_.Exception.Message)\"
return \"Onbekend\"
}
}
function Install-MicrosoftGraphModule {
[CmdletBinding()]
param ()
try {
$ModuleExists = Get-Module -ListAvailable -Name Microsoft.Graph
if (-not $ModuleExists) {
Write-ToLogFile -Message \"Microsoft.Graph module niet gevonden. Installatie wordt gestart.\"
if (-not (Get-PackageProvider -Name NuGet -ErrorAction SilentlyContinue)) {
Write-ToLogFile -Message \"NuGet package provider niet gevonden. Installatie wordt gestart.\"
Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force -ErrorAction Stop
}
$PsGallery = Get-PSRepository -Name PSGallery -ErrorAction SilentlyContinue
if ($PsGallery -and $PsGallery.InstallationPolicy -ne 'Trusted') {
Write-ToLogFile -Message \"PSGallery wordt op Trusted gezet.\"
Set-PSRepository -Name PSGallery -InstallationPolicy Trusted -ErrorAction Stop
}
Install-Module Microsoft.Graph -Scope CurrentUser -Force -AllowClobber -ErrorAction Stop
Write-ToLogFile -Message \"Microsoft.Graph module succesvol ge\u00efnstalleerd.\"
}
else {
Write-ToLogFile -Message \"Microsoft.Graph module is al aanwezig.\"
}
Import-Module Microsoft.Graph.Authentication -ErrorAction Stop
Write-ToLogFile -Message \"Microsoft.Graph.Authentication module succesvol geladen.\"
}
catch {
Write-ToLogFile -Level \"ERROR\" -Message \"Installatie of import van Microsoft.Graph is mislukt: $($_.Exception.Message)\"
throw
}
}
function Test-TapParameters {
[CmdletBinding()]
param ()
if ($MinimumLifetimeInMinutes -gt $DefaultLifetimeInMinutes) {
throw \"MinimumLifetimeInMinutes mag niet groter zijn dan DefaultLifetimeInMinutes.\"
}
if ($MaximumLifetimeInMinutes -lt $DefaultLifetimeInMinutes) {
throw \"MaximumLifetimeInMinutes mag niet kleiner zijn dan DefaultLifetimeInMinutes.\"
}
if ($TapLength -lt 8 -or $TapLength -gt 48) {
throw \"TapLength moet tussen 8 en 48 liggen.\"
}
if ($MinimumLifetimeInMinutes -lt 10) {
throw \"MinimumLifetimeInMinutes moet minimaal 10 zijn.\"
}
}
#endregion Helper functions
#region Script start
$PublicIP = Get-PublicIP
$PrivateIP = Get-PrivateIP
Write-ToLogFile -Message \"Huidige datum = $CurrentDate\"
Write-ToLogFile -Message \"Script auteur = $ScriptAuthor\"
Write-ToLogFile -Message \"Script versie = $ScriptVersion\"
Write-ToLogFile -Message \"Wijzigingsdatum = $ScriptChangeDate\"
Write-ToLogFile -Message \"Wijzigingslog = $ScriptChangeLog\"
Write-ToLogFile -Message \"Gebruiker die dit script uitvoert = $ScriptCurrentUser\"
Write-ToLogFile -Message \"Apparaat waarop dit script draait = $ScriptRunningDevice\"
Write-ToLogFile -Message \"Publiek IP-adres = $PublicIP\"
Write-ToLogFile -Message \"Priv\u00e9 IP-adres = $PrivateIP\"
Write-ToLogFile -Message \"Gewenste TAP-configuratie: DefaultLifetime=$DefaultLifetimeInMinutes, MinimumLifetime=$MinimumLifetimeInMinutes, MaximumLifetime=$MaximumLifetimeInMinutes, TapLength=$TapLength, UsableOnce=$UsableOnce\"
try {
Start-Transcript -Path $TranscriptFile -Force | Out-Null
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Transcript kon niet worden gestart: $($_.Exception.Message)\"
}
#endregion Script start
try {
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Write-ToLogFile -Message \"TLS 1.2 is ingesteld.\"
Write-ToLogFile -Message \"Valideren van TAP-parameters.\"
Test-TapParameters
Write-ToLogFile -Message \"TAP-parameters zijn geldig.\"
Write-ToLogFile -Message \"Controle op Microsoft.Graph module gestart.\"
Install-MicrosoftGraphModule
Write-ToLogFile -Message \"Verbinding maken met Microsoft Graph.\"
Connect-MgGraph -Scopes \"Policy.ReadWrite.AuthenticationMethod\" -ErrorAction Stop | Out-Null
$Context = Get-MgContext
Write-ToLogFile -Message \"Verbonden met tenant: $($Context.TenantId)\"
Write-ToLogFile -Message \"Verbonden met account: $($Context.Account)\"
Write-ToLogFile -Message \"Huidige TAP-configuratie ophalen.\"
$TapBefore = Get-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration `
-AuthenticationMethodConfigurationId 'temporaryAccessPass' `
-ErrorAction Stop
Write-ToLogFile -Message (
\"Huidige TAP-configuratie: \" +
\"State=$($TapBefore.state), \" +
\"IsUsableOnce=$($TapBefore.isUsableOnce), \" +
\"Length=$($TapBefore.length), \" +
\"MinimumLifetime=$($TapBefore.minimumLifetimeInMinutes), \" +
\"DefaultLifetime=$($TapBefore.defaultLifetimeInMinutes), \" +
\"MaximumLifetime=$($TapBefore.maximumLifetimeInMinutes)\"
)
$Body = @{
\"@odata.type\" = \"#microsoft.graph.temporaryAccessPassAuthenticationMethodConfiguration\"
state = \"enabled\"
isUsableOnce = $UsableOnce
defaultLifetimeInMinutes = $DefaultLifetimeInMinutes
minimumLifetimeInMinutes = $MinimumLifetimeInMinutes
maximumLifetimeInMinutes = $MaximumLifetimeInMinutes
length = $TapLength
}
Write-ToLogFile -Message \"Nieuwe TAP-configuratie toepassen.\"
Update-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration `
-AuthenticationMethodConfigurationId 'temporaryAccessPass' `
-BodyParameter $Body `
-ErrorAction Stop
Write-ToLogFile -Message \"Nieuwe TAP-configuratie succesvol toegepast.\"
Write-ToLogFile -Message \"Nieuwe TAP-configuratie verifi\u00ebren.\"
$TapAfter = Get-MgPolicyAuthenticationMethodPolicyAuthenticationMethodConfiguration `
-AuthenticationMethodConfigurationId 'temporaryAccessPass' `
-ErrorAction Stop
Write-ToLogFile -Message (
\"Nieuwe TAP-configuratie: \" +
\"State=$($TapAfter.state), \" +
\"IsUsableOnce=$($TapAfter.isUsableOnce), \" +
\"Length=$($TapAfter.length), \" +
\"MinimumLifetime=$($TapAfter.minimumLifetimeInMinutes), \" +
\"DefaultLifetime=$($TapAfter.defaultLifetimeInMinutes), \" +
\"MaximumLifetime=$($TapAfter.maximumLifetimeInMinutes)\"
)
if (-not $Silent) {
Write-Host \"\"
Write-Host \"--- TAP policy na update ---\"
$TapAfter |
Select-Object `
state,
isUsableOnce,
length,
minimumLifetimeInMinutes,
defaultLifetimeInMinutes,
maximumLifetimeInMinutes |
Format-Table -AutoSize
Write-Host \"\"
}
}
catch {
Write-ToLogFile -Level \"ERROR\" -Message \"Er is een fout opgetreden: $($_.Exception.Message)\"
Write-Error \"Het script is mislukt: $($_.Exception.Message)\"
throw
}
finally {
try {
Disconnect-MgGraph -ErrorAction SilentlyContinue | Out-Null
Write-ToLogFile -Message \"Microsoft Graph-verbinding is gesloten.\"
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Microsoft Graph kon niet netjes worden afgesloten.\"
}
try {
Stop-Transcript | Out-Null
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Transcript kon niet worden gestopt.\"
}
try {
if (Test-Path -Path $IntuneLogPath) {
Copy-Item -Path $TranscriptFile -Destination $IntuneLogPath -Force
Write-ToLogFile -Message \"Transcriptbestand gekopieerd naar: $IntuneLogPath\"
}
else {
Write-ToLogFile -Level \"WARN\" -Message \"Doelmap voor Intune-logs bestaat niet: $IntuneLogPath\"
}
}
catch {
Write-ToLogFile -Level \"WARN\" -Message \"Kopi\u00ebren van transcriptbestand is mislukt: $($_.Exception.Message)\"
}
}<\/pre>\n\n\n\nWanneer gebruik je TAP?<\/h1>\n\n\n\n
Nieuwe medewerker<\/h3>\n\n\n\n
\n
Nieuwe telefoon<\/h3>\n\n\n\n
Recovery scenario<\/h3>\n\n\n\n
Conclusie<\/h1>\n\n\n\n
\n