Freigeben über

Verwalten von Hardware-OATH-Token in Microsoft Entra ID (Vorschau)

  • Artikel

In diesem Thema wird erläutert, wie Sie Hardware-OATH-Token in Microsoft Entra ID verwalten, einschließlich Microsoft Graph-APIs, die Sie zum Hochladen, Aktivieren und Zuweisen von Hardware-OATH-Token verwenden können.

Aktivieren von Hardware-OATH-Token in der Richtlinie für Authentifizierungsmethoden

Sie können Hardware-OATH-Token in der Richtlinie für Authentifizierungsmethoden anzeigen und aktivieren, indem Sie Microsoft Graph-APIs oder das Microsoft Entra Admin Center verwenden.

  • So zeigen Sie den Richtlinienstatus der Hardware-OATH-Token mithilfe der APIs an:

    GET https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOath

  • So aktivieren Sie die Richtlinie für Hardware-OATH-Token mithilfe der APIs:

    PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOath

    Fügen Sie Folgendes im Anforderungstext hinzu:

    {
  "state": "enabled"
}

So aktivieren Sie Hardware-OATH-Token im Microsoft Entra Admin Center

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Hardware-OATH-Token (Vorschau).

  3. Wählen Sie Aktivieren und dann die Benutzergruppen aus, die in die Richtlinie aufgenommen werden sollen, und klicken Sie auf Speichern.

    Screenshot: Aktivieren von Hardware-OATH-Token im Microsoft Entra Admin Center

Es wird empfohlen, zur Richtlinie für Authentifizierungsmethoden zu migrieren, um Hardware-OATH-Token zu verwalten. Wenn Sie OATH-Token in der älteren MFA-Richtlinie aktivieren, navigieren Sie im Microsoft Entra Admin Center als Authentifizierungsrichtlinienadministrator zur Richtlinie: Schutz>Multi-Faktor-Authentifizierung>Zusätzliche Einstellungen für die cloudbasierte Multi-Faktor-Authentifizierung. Deaktivieren Sie das Kontrollkästchen für Prüfcode aus mobiler App oder Hardwaretoken.

Szenario: Der Administrator erstellt ein Hardware-OATH-Token, weist es zu und aktiviert es.

In diesem Szenario wird erläutert, wie Sie als Administrator ein Hardware-OATH-Token erstellen, zuweisen und aktivieren. Dabei werden u. a. die erforderlichen API-Aufrufe und Überprüfungsschritte vorgestellt.

Hinweis

Es kann zu einer Verzögerung von bis zu 20 Minuten für die Richtlinienverteilung kommen. Es kann eine Stunde dauern, bis die Richtlinie aktualisiert wird und Benutzer sich mit ihrem Hardware-OATH-Token anmelden und es in ihren Sicherheitsinformationen anzeigen können.

Sehen wir uns ein Beispiel an, in dem ein Authentifizierungsrichtlinienadministrator ein Token erstellt und einem Benutzer zuweist. Sie können die Zuweisung ohne Aktivierung zulassen.

Suchen Sie für den POST-Text in diesem Beispiel die Seriennummer (serialNumber) Ihres Geräts, und secretKey wird Ihnen angezeigt.

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w", 
"timeIntervalInSeconds": 30, 
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}

Die Antwort enthält die ID des Tokens, und ID des Benutzers, der das Token zugewiesen ist:

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
    "id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
    "displayName": null,
    "serialNumber": "GALT11420104",
    "manufacturer": "Thales",
    "model": "OTP 110 Token",
    "secretKey": null,
    "timeIntervalInSeconds": 30,
    "status": "available",
    "lastUsedDateTime": null,
    "hashFunction": "hmacsha1",
    "assignedTo": {
        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "displayName": "Test User"
    }
}

Hier erfahren Sie, wie der Authentifizierungsrichtlinienadministrator das Token aktivieren kann. Ersetzen Sie den Prüfcode im Anforderungstext durch den Code aus Ihrem Hardware-OATH-Token.

POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods/3dee0e53-f50f-43ef-85c0-b44689f2d66d/activate

{ 
    "verificationCode" : "903809" 
}

Um zu überprüfen, ob das Token aktiviert wurde, melden Sie sich als Testbenutzer bei Sicherheitsinformationen an. Wenn Sie aufgefordert werden, eine Anmeldeanforderung von Microsoft Authenticator zu genehmigen, wählen Sie „Verwenden eines Prüfcodes“ aus.

Sie können GET ausführen, um Token aufzulisten:

GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices

In diesem Beispiel wird ein einzelnes Token erstellt:

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices

Fügen Sie Folgendes im Anforderungstext hinzu:

{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "abcdef2234567abcdef2234567", 
"timeIntervalInSeconds": 30, 
"hashFunction": "hmacsha1" 
}

Die Antwort enthält die Token-ID.

#### Response
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
    "id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
    "displayName": null,
    "serialNumber": "GALT11420104",
    "manufacturer": "Thales",
    "model": "OTP 110 Token",
    "secretKey": null,
    "timeIntervalInSeconds": 30,
    "status": "available",
    "lastUsedDateTime": null,
    "hashFunction": "hmacsha1",
    "assignedTo": null
}

Authentifizierungsrichtlinienadministratoren oder Endbenutzer können die Zuweisung eines Tokens aufheben:

DELETE https://graph.microsoft.com/beta/users/66aa66aa-bb77-cc88-dd99-00ee00ee00ee/authentication/hardwareoathmethods/6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0

In diesem Beispiel wird gezeigt, wie Sie ein Token mit der Token-ID 3dee0e53-f50f-43ef-85c0-b44689f2d66d löschen:

DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/3dee0e53-f50f-43ef-85c0-b44689f2d66d

Szenario: Der Administrator erstellt ein Token und weist es zu, das ein Benutzer aktiviert.

In diesem Szenario erstellt ein Authentifizierungsrichtlinienadministrator ein Token und weist es zu. Anschließend kann ein Benutzer es auf der Seite „Sicherheitsinformationen“ oder mithilfe von Microsoft Graph Explorer aktivieren. Wenn Sie ein Token zuweisen, können Sie Schritte für den Benutzer freigeben, um sich bei Sicherheitsinformationen anzumelden und das Token zu aktivieren. Er kann Anmeldemethode hinzufügen>Hardwaretoken auswählen. Er muss die Seriennummer des Hardwaretokens bereitstellen, die sich in der Regel auf der Rückseite des Geräts befindet.

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w", 
"timeIntervalInSeconds": 30, 
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}

Die Antwort enthält einen ID-Wert für jedes Token. Ein Authentifizierungsadministrator kann das Token einem Benutzer zuweisen:

POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods
{
    "device": 
    {
        "id": "6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0" 
    }
}

Hier sind die Schritte aufgeführt, die ein Benutzer ausführen kann, um sein Hardware-OATH-Token in den Sicherheitsinformationen selbst zu aktivieren:

  1. Melden Sie sich bei Sicherheitsinformationen an.

  2. Klicken Sie auf Anmeldemethode hinzufügen, und wählen Sie Hardwaretoken aus.

    Screenshot: Hinzufügen einer neuen Anmeldemethode in den Sicherheitsinformationen

  3. Nachdem Sie Hardwaretoken ausgewählt haben, klicken Sie auf Hinzufügen.

    Screenshot: Hinzufügen eines Hardware-OATH-Tokens in den Sicherheitsinformationen

  4. Suchen Sie auf der Rückseite des Geräts nach der Seriennummer, geben Sie sie ein, und klicken Sie auf Weiter.

    Screenshot: Hinzufügen der Seriennummer eines Hardware-OATH-Tokens

  5. Erstellen Sie einen Anzeigenamen, mit dem Sie diese Methode auswählen können, um die Multi-Faktor-Authentifizierung abzuschließen, und klicken Sie auf Weiter.

    Screenshot: Hinzufügen eines Anzeigenamens für ein Hardware-OATH-Token

  6. Geben Sie den zufälligen Prüfcode an, der angezeigt wird, wenn Sie auf dem Gerät auf die Schaltfläche tippen. Bei einem Token, das den Code alle 30 Sekunden aktualisiert, müssen Sie den Code eingeben und innerhalb einer Minute auf Weiter klicken. Bei einem Token, das alle 60 Sekunden aktualisiert wird, haben Sie zwei Minuten Zeit.

    Screenshot: Hinzufügen eines Prüfcodes zum Aktivieren eines Hardware-OATH-Tokens

  7. Wenn das Hardware-OATH-Token erfolgreich hinzugefügt wurde, klicken Sie auf Fertig.

    Screenshot: Hardware-OATH-Token nach dem Hinzufügen

  8. Das Hardware-OATH-Token wird in der Liste der verfügbaren Authentifizierungsmethoden angezeigt.

    Screenshot: Hardware-OATH-Token in den Sicherheitsinformationen

Hier sind die Schritte aufgeführt, die Benutzer ausführen können, um ihr Hardware-OATH-Token mithilfe von Graph-Tester selbst zu aktivieren:

  1. Öffnen Sie Microsoft Graph-Tester, melden Sie sich an, und stimmen Sie den erforderlichen Berechtigungen zu.

  2. Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen. Damit ein Benutzer die Self-Service-API-Vorgänge ausführen kann, ist die Administratoreinwilligung für Directory.Read.All, User.Read.All und User.ReadWrite.All erforderlich.

  3. Rufen Sie eine Liste der Hardware-OATH-Token ab, die Ihrem Konto zugewiesen, aber noch nicht aktiviert sind.

    GET https://graph.microsoft.com/beta/me/authentication/hardwareOathMethods

  4. Kopieren Sie die ID des Tokengeräts, und fügen Sie sie am Ende der URL gefolgt von /activate hinzu. Sie müssen den Prüfcode im Anforderungstext eingeben und den POST-Aufruf übermitteln, bevor der Code geändert wird.

    POST https://graph.microsoft.com/beta/me/authentication/hardwareOathMethods/b65fd538-b75e-4c88-bd08-682c9ce98eca/activate

    Anforderungstext:

    {
   "verificationCode": "988659"
}

Szenario: Der Administrator erstellt ein Token, das Benutzer selbst zuweisen und aktivieren.

In diesem Szenario erstellt ein Authentifizierungsadministrator Token ohne Zuweisung, und Benutzer weisen die Token selbst zu und aktivieren sie. Sie können neue Token per Massenvorgang in den Mandanten hochladen. Benutzer können sich bei Sicherheitsinformationen anmelden, um ihr Token zu aktivieren. Er kann Anmeldemethode hinzufügen>Hardwaretoken auswählen. Er muss die Seriennummer des Hardwaretokens bereitstellen, die sich in der Regel auf der Rückseite des Geräts befindet.

Um sicherzustellen, dass das Token nur von einem bestimmten Benutzer aktiviert wird, können Sie das Token dem Benutzer zuweisen und das Gerät zur Selbstaktivierung an ihn senden.

PATCH https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{
"@context":"#$delta", 
"value": [ 
    { 
        "@contentId": "1", 
        "serialNumber": "GALT11420108", 
        "manufacturer": "Thales", 
        "model": "OTP 110 Token", 
        "secretKey": "abcdef2234567abcdef2234567", 
        "timeIntervalInSeconds": 30, 
        "hashFunction": "hmacsha1" 
        },
    { 
        "@contentId": "2", 
        "serialNumber": "GALT11420112", 
        "manufacturer": "Thales", 
        "model": "OTP 110 Token", 
        "secretKey": "2234567abcdef2234567abcdef", 
        "timeIntervalInSeconds": 30, 
        "hashFunction": "hmacsha1" 
        }
    ]          
}

Problembehandlung

Der Benutzer verfügt über zwei Token mit derselben Seriennummer (SerialNumber).

Ein Benutzer verfügt möglicherweise über zwei Instanzen des gleichen Hardware-OATH-Tokens, die als Authentifizierungsmethoden registriert sind. Dies geschieht, wenn das Legacytoken im Microsoft Entra Admin Center unter OATH-Token (Vorschau) nicht entfernt wird, nachdem es mithilfe von Microsoft Graph hochgeladen wurde.

In diesem Fall werden beide Instanzen des Tokens als für den Benutzer registriert aufgeführt:

GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods

Beide Instanzen des Tokens werden auch unter OATH-Token (Vorschau) im Microsoft Entra Admin Center aufgeführt:

Screenshot: Doppelte Token im Microsoft Entra Admin Center

So identifizieren und entfernen Sie das Legacytoken

  1. Listen Sie alle Hardware-OATH-Token für den Benutzer auf:

    GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods

    Suchen Sie die ID beider Token, und kopieren Sie den Wert für serialNumber des doppelten Tokens.

  2. Identifizieren Sie das Legacytoken. In der Antwort des folgenden Befehls wird nur ein Token zurückgegeben. Dieses Token wurde mithilfe von Microsoft Graph erstellt.

    GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices?$filter=serialNumber eq '20033752'

  3. Entfernen Sie die Legacytokenzuweisung vom Benutzer. Nachdem Sie nun die ID des neuen Tokens kennen, können Sie die ID des Legacytokens in der Liste identifizieren, die in Schritt 1 zurückgegeben wird. Erstellen Sie die URL mithilfe der ID des Legacytokens:

    DELETE https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods/{legacyHardwareOathMethodId}

  4. Löschen Sie das Legacytoken mithilfe der ID des Legacytokens in diesem Aufruf:

    DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/{legacyHardwareOathMethodId}

Zugehöriger Inhalt

Erfahren Sie mehr über OATH-Token.