Metody ověřování v Microsoft Entra ID – tokeny OATH
Jednorázové jednorázové heslo OATH (TOTP) je otevřený standard, který určuje, jak se generují jednorázové kódy hesla (OTP). OATH TOTP lze implementovat pomocí softwaru nebo hardwaru k vygenerování kódů. Microsoft Entra ID nepodporuje OATH HOTP, jiný standard generování kódu.
Softwarové tokeny OATH
Softwarové tokeny OAUTH jsou obvykle aplikace, jako jsou aplikace Microsoft Authenticator a další ověřovací aplikace. Microsoft Entra ID vygeneruje tajný kód, neboli seed, který se vloží do aplikace a použije k vygenerování jednorázového hesla.
Aplikace Authenticator automaticky generuje kódy při nastavování nabízených oznámení, aby uživatel měl zálohu i v případě, že zařízení nemá připojení. K vygenerování kódů je možné použít také aplikace třetích stran, které k vygenerování kódů používají protokol OATH TOTP.
Některé hardwarové tokeny OATH TOTP jsou programovatelné, což znamená, že nepřicházejí s tajným klíčem nebo předprogramovanými počátečními klíči. Tyto programovatelné hardwarové tokeny je možné nastavit pomocí tajného klíče nebo počátečního klíče získaného z toku instalace softwarového tokenu. Zákazníci si můžou tyto tokeny koupit od dodavatele podle svého výběru a použít tajný klíč nebo počáteční kód v procesu nastavení dodavatele.
Hardwarové tokeny OATH (Preview)
Microsoft Entra ID podporuje použití tokenů SHA-1 a SHA-256 OATH-TOTP, které aktualizují kódy každých 30 nebo 60 sekund. Zákazníci si můžou tyto tokeny koupit od dodavatele podle vlastního výběru.
Microsoft Entra ID má nové rozhraní Microsoft Graph API ve verzi Preview pro Azure. Správci mají přístup k rozhraním Microsoft Graph API s nejméně privilegovanými rolemi pro správu tokenů ve verzi Preview. V této aktualizaci Preview v Centru pro správu Microsoft Entra nejsou k dispozici žádné možnosti správy hardwarového tokenu OATH.
Tokeny můžete dál spravovat z původní verze Preview v tokenech OATH v Centru pro správu Microsoft Entra. Na druhou stranu můžete tokeny v aktualizaci Preview spravovat pouze pomocí rozhraní Microsoft Graph API.
Hardwarové tokeny OATH, které přidáte s Microsoft Graphem pro tuto aktualizaci Preview, se zobrazí společně s dalšími tokeny v Centru pro správu. Můžete je ale spravovat jenom pomocí Microsoft Graphu.
Oprava posunu času
Id Microsoft Entra upravuje časový posun tokenů během aktivace a každé ověřování. V následující tabulce je uvedena úprava času, kterou id Microsoft Entra provádí pro tokeny během aktivace a přihlášení.
| Interval aktualizace tokenu | Časový rozsah aktivace | Časový rozsah ověřování |
|---|---|---|
| 30 sekund | +/- 1 den | +/- 1 minuta |
| 60 sekund | +/- 2 dny | +/- 2 minuty |
Vylepšení aktualizace Preview
Tato aktualizace hardwarového tokenu OATH ve verzi Preview zlepšuje flexibilitu a zabezpečení pro organizace odebráním požadavků globálního správce. Organizace můžou delegovat vytváření, přiřazování a aktivaci tokenů správcům privilegovaného ověřování nebo správcům zásad ověřování.
Následující tabulka porovnává požadavky na roli správce pro správu hardwarových tokenů OATH v aktualizaci Preview a původní verzi Preview.
| Úloha | Původní role preview | Náhled role aktualizace |
|---|---|---|
| V inventáři tenanta vytvořte nový token. | Globální správce | Správce zásad ověřování |
| Čtení tokenu z inventáře tenanta; nevrací tajný kód. | Globální správce | Správce zásad ověřování |
| Aktualizujte token v tenantovi. Například aktualizujte výrobce nebo modul; Tajný kód nejde aktualizovat. | Globální správce | Správce zásad ověřování |
| Odstraňte token z inventáře tenanta. | Globální správce | Správce zásad ověřování |
V rámci aktualizace Preview můžou koncoví uživatelé také automaticky přiřazovat a aktivovat tokeny ze svých bezpečnostních údajů. V aktualizaci Preview je možné token přiřadit pouze jednomu uživateli. Následující tabulka uvádí požadavky na tokeny a role pro přiřazení a aktivaci tokenů.
| Úloha | Stav tokenu | Požadavek na roli |
|---|---|---|
| Přiřaďte token z inventáře uživateli v tenantovi. | Přiřazeno | Člen (sám) Správce ověřování Správce privilegovaného ověřování |
| Čtení tokenu uživatele nevrací tajný kód. | Aktivované nebo přiřazené (závisí na tom, jestli je token již aktivovaný nebo ne) | Člen (sám) Správce ověřování (omezil pouze čtení, nikoli standardní čtení) Správce privilegovaného ověřování |
| Aktualizujte token uživatele, například zadejte aktuální 6místný kód pro aktivaci nebo změňte název tokenu. | Aktivovaný | Člen (sám) Správce ověřování Správce privilegovaného ověřování |
| Odeberte token od uživatele. Token se vrátí do inventáře tokenů. | K dispozici (zpět do inventáře tenanta) | Člen (sám) Správce ověřování Správce privilegovaného ověřování |
Ve starších zásadách vícefaktorového ověřování (MFA) je možné tokeny OATH hardwaru a softwaru povolit jenom společně. Pokud povolíte tokeny OATH ve starších zásadách vícefaktorového ověřování, zobrazí se koncovým uživatelům možnost přidat hardwarové tokeny OATH na stránce Bezpečnostní údaje.
Pokud nechcete, aby koncoví uživatelé viděli možnost přidat hardwarové tokeny OATH, migrujte na zásady metod ověřování. V zásadách metod ověřování je možné povolit a spravovat tokeny OATH hardwaru a softwaru samostatně. Další informace o migraci na zásady metod ověřování najdete v tématu Postup migrace nastavení zásad MFA a SSPR na zásady metod ověřování pro Microsoft Entra ID.
Tenanti s licencí Microsoft Entra ID P1 nebo P2 můžou dál nahrávat hardwarové tokeny OATH jako v původní verzi Preview. Další informace najdete v tématu Nahrání hardwarových tokenů OATH ve formátu CSV.
Další informace o povolení hardwarových tokenů OATH a rozhraní Microsoft Graph API, které můžete použít k nahrání, aktivaci a přiřazování tokenů, najdete v tématu Správa tokenů OATH.
Ikony tokenů OATH
Uživatelé můžou přidávat a spravovat tokeny OATH na bezpečnostních údajích nebo můžou vybrat bezpečnostní údaje z mého účtu. Softwarové a hardwarové tokeny OATH mají různé ikony.
| Typ registrace tokenu | Ikona |
|---|---|
| Softwarový token OATH |  |
| Hardwarový token OATH |  |
Související obsah
Přečtěte si další informace o správě tokenů OATH. Seznamte se s zprostředkovateli klíčů zabezpečení FIDO2, kteří jsou kompatibilní s ověřováním bez hesla.