Authentifizierungsmethoden in Microsoft Entra ID – OATH-Token
OATH TOTP (Time-based One Time Password) ist ein offener Standard, der angibt, wie Einmalkennwortcodes (One-Time Password, OTP) generiert werden. OATH TOTP kann entweder mit Hardware oder Software zum Generieren der Codes implementiert werden. OATH HOTP, ein anderer Standard zum Generieren von Code, wird in Microsoft Entra ID nicht unterstützt.
OATH-Softwaretoken
Bei OATH-Softwaretoken handelt es sich in der Regel um Anwendungen (z. B. die Microsoft Authenticator-App und andere Authentifizierungs-Apps). Microsoft Entra ID generiert den geheimen Schlüssel (Ausgangswert), der in der App eingegeben und zum Generieren des jeweiligen Einmalkennworts (OTP) verwendet wird.
Die Authentizierungs-App generiert automatisch Codes, wenn sie für Push-Benachrichtigungen eingerichtet wurde. Daher verfügt der Benutzer über eine Sicherung, selbst wenn sein Gerät keine Verbindung herstellen kann. Anwendungen von Drittanbietern, die OATH TOTP zum Generieren von Codes verwenden, können ebenfalls zum Einsatz kommen.
Einige OATH TOTP-Hardwaretoken sind programmierbar, d. h., sie sind nicht mit einem geheimen Schlüssel oder Ausgangswert vorprogrammiert. Diese programmierbaren Hardwaretoken können mithilfe des geheimen Schlüssels oder Ausgangswerts, der aus dem Softwaretoken-Setupflow abgerufen wird, eingerichtet werden. Kunden können diese Token bei dem Anbieter ihrer Wahl erwerben und den geheimen Schlüssel bzw. den Ausgangswert beim Setupvorgang ihres Anbieters verwenden.
Hardware-OATH-Token (Vorschau)
Microsoft Entra ID unterstützt die Verwendung von OATH-TOTP SHA-1- und SHA-256-Token, die Codes alle 30 oder 60 Sekunden aktualisieren. Kunden können diese Token beim Anbieter ihrer Wahl erwerben.
Microsoft Entra ID verfügt über eine neue Microsoft Graph-API in der Vorschau für Azure. Admins können mit den am wenigsten privilegierten Rollen auf Microsoft Graph-APIs zugreifen, um Token in der Vorschau zu verwalten. In dieser Vorschauaktualisierung im Microsoft Entra Admin Center gibt es keine Optionen zur Verwaltung von Hardware-OATH-Token.
Sie können Token weiterhin über die ursprüngliche Vorschau in OATH-Token im Microsoft Entra Admin Center verwalten. Andererseits können Sie Token in der Vorschauaktualisierung nur mithilfe von Microsoft Graph-APIs verwalten.
Hardware-OATH-Token, die Sie mit Microsoft Graph für diese Vorschauaktualisierung hinzufügen, werden zusammen mit anderen Token im Admin Center angezeigt. Aber Sie können sie nur mit Microsoft Graph verwalten.
Korrektur der Zeitabweichung
Microsoft Entra ID passt die Zeitabweichung der Token während der Aktivierung und jeder Authentifizierung an. In der folgenden Tabelle sind die Zeitanpassungen aufgeführt, die Microsoft Entra ID für Token während der Aktivierung und Anmeldung vornimmt.
| Intervall für die Tokenaktualisierung | Aktivierungszeitbereich | Authentifizierungszeitbereich |
|---|---|---|
| 30 Sekunden | +/- 1 Tag | +/- 1 Minute |
| 60 Sekunden | +/- 2 Tage | +/- 2 Minuten |
Verbesserungen bei der Vorschauaktualisierung
Diese Aktualisierung der Vorschau des Hardware-OATH-Tokens verbessert die Flexibilität und Sicherheit für Organisationen, indem die Anforderungen des globalen Admin entfallen. Organisationen können die Erstellung, Zuweisung und Aktivierung von Token an privilegierte Authentifizierungsadmins oder Authentifizierungsrichtlinienadmins delegieren.
In der folgenden Tabelle werden die Anforderungen an die Administratorrolle für die Verwaltung von Hardware-OATH-Tokens in der Vorschauaktualisierung mit denen in der ursprünglichen Vorschau verglichen.
| Aufgabe | Ursprüngliche Vorschaurolle | Vorschauaktualisierungsrolle |
|---|---|---|
| Erstellen Sie ein neues Token im Bestand des Mandanten. | Globaler Administrator | Authentifizierungsrichtlinienadministrator |
| Lesen Sie einen Token aus dem Inventar des Mandanten aus; gibt das Geheimnis nicht zurück. | Globaler Administrator | Authentifizierungsrichtlinienadministrator |
| Aktualisieren Sie ein Token im Mandanten. Zum Beispiel: Hersteller oder Modul aktualisieren; Geheimnis kann nicht aktualisiert werden. | Globaler Administrator | Authentifizierungsrichtlinienadministrator |
| Löschen Sie ein Token aus dem Mandantenbestand. | Globaler Administrator | Authentifizierungsrichtlinienadministrator |
Als Teil der Vorschauaktualisierung können Endbenutzer Token über ihre Sicherheitsinformationen auch selbst zuweisen und aktivieren. Bei der Vorschauaktualisierung kann ein Token nur einem Benutzer zugewiesen werden. In der folgenden Tabelle sind die Token- und Rollenanforderungen für die Zuweisung und Aktivierung von Token aufgeführt.
| Aufgabe | Tokenstatus | Rollenanforderung |
|---|---|---|
| Weisen Sie einem Benutzer im Mandanten ein Token aus dem Bestand zu. | Zugewiesen | Mitglied (selbst) Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator |
| Lesen Sie das Token des Benutzers aus, das Geheimnis wird nicht zurückgegeben. | Aktiviert/zugewiesen (je nachdem, ob das Token bereits aktiviert wurde oder nicht) | Mitglied (selbst) Authentifizierungsadmin (nur eingeschränkte Leseberechtigung, keine Standard-Leseberechtigung) Privilegierter Authentifizierungsadministrator |
| Aktualisieren Sie das Token des Benutzers, z. B. durch Bereitstellung des aktuellen 6-stelligen Codes für die Aktivierung, oder ändern Sie den Token-Namen. | Aktiviert | Mitglied (selbst) Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator |
| Entfernen des Tokens vom Benutzer. Der Token wird wieder dem Token-Bestand hinzugefügt. | Verfügbar (zurück zum Mandantenbestand) | Mitglied (selbst) Authentifizierungsadministrator Privilegierter Authentifizierungsadministrator |
In der Richtlinie für die mehrstufige Authentifizierung (MFA) können Hardware- und Software-OATH-Token nur zusammen aktiviert werden. Wenn Sie OATH-Token in der älteren MFA-Richtlinie aktivieren, wird Endbenutzern auf ihrer Seite „Sicherheitsinformationen“ eine Option zum Hinzufügen von Hardware-OATH-Token angezeigt.
Wenn Sie nicht möchten, dass Endbenutzer eine Option zum Hinzufügen von Hardware-OATH-Token sehen, wechseln Sie zur Richtlinie für Authentifizierungsmethoden. In der Richtlinie für Authentifizierungsmethoden können Hardware- und Software-OATH-Token separat aktiviert und verwaltet werden. Weitere Informationen zur Migration zur Richtlinie für Authentifizierungsmethoden finden Sie unter Migrieren von MFA- und SSPR-Richtlinieneinstellungen in die Richtlinie für Authentifizierungsmethoden für Microsoft Entra ID.
Mandanten mit einer Microsoft Entra ID P1- oder P2-Lizenz können weiterhin Hardware-OATH-Token hochladen, wie in der ursprünglichen Vorschau. Weitere Informationen finden Sie unter Hochladen von Hardware-OATH-Token im CSV-Format.
Weitere Informationen darüber, wie Sie Hardware-OATH-Token und Microsoft Graph-APIs aktivieren, die Sie zum Hochladen, Aktivieren und Zuweisen von Token verwenden können, finden Sie unter Verwalten von OATH-Token.
OATH-Token-Symbole
Benutzer können OATH-Token unter Sicherheitsinformationen hinzufügen und verwalten oder Sicherheitsinformationen unter Mein Konto auswählen. Software- und Hardware-OATH-Token haben unterschiedliche Symbole.
| Registrierungstyp des Tokens | Schaltfläche |
|---|---|
| OATH-Softwaretoken |  |
| OATH-Hardwaretoken |  |
Zugehöriger Inhalt
Erfahren Sie mehr darüber, wie Sie OATH-Token verwalten. Informieren Sie sich über FIDO2-Sicherheitsschlüsselanbieter, die mit der kennwortlosen Authentifizierung kompatibel sind.