Condividi tramite


Metodi di autenticazione in Microsoft Entra ID - Token OATH

OATH Time-Based One-Time Passwords (TOTP) è uno standard aperto che specifica come vengono generati i codici per password monouso (OTP). OATH TOTP può essere implementato usando un software o un hardware per generare i codici. Microsoft Entra ID non supporta OATH HOTP, uno standard di generazione di codice diverso.

Token OATH software

I token software OATH sono in genere applicazioni quali l'app Microsoft Authenticator e altre app di autenticazione. Microsoft Entra ID genera la chiave privata, o il seme, che rappresenta l'input nell'app ed è usato per generare ciascun OTP.

L'app Authenticator genera automaticamente i codici quando è configurata per generare notifiche push, in modo che un utente abbia un backup anche se il dispositivo non è connesso. Possono essere usate anche applicazioni di terze parti che usano OATH TOTP per generare i codici.

Alcuni token hardware OATH TOTP sono programmabili, ovvero non contengono una chiave privata o un seme pre-programmato. Questi token hardware programmabili possono essere configurati usando la chiave privata o il seme ottenuto dal flusso di configurazione del token software. I clienti possono acquistare i token dal fornitore di propria scelta e usare la chiave privata o il seme nel processo di configurazione del fornitore.

Token OATH hardware (anteprima)

Microsoft Entra ID supporta l'uso di token SHA-1 e SHA-256 OATH-TOTP che aggiornano i codici ogni 30 o 60 secondi. I clienti possono acquistare questi token da un fornitore di propria scelta.

Microsoft Entra ID ha una nuova API Microsoft Graph in anteprima per Azure. Gli amministratori possono accedere alle API Microsoft Graph con ruoli con privilegi minimi per gestire i token nell'anteprima. Non sono disponibili opzioni per gestire il token OATH hardware in questo aggiornamento di anteprima nell'interfaccia di amministrazione di Microsoft Entra.

È possibile continuare a gestire i token dall'anteprima originale nei token OATH nell'interfaccia di amministrazione di Microsoft Entra. D'altra parte, è possibile gestire solo i token nell'aggiornamento in anteprima usando le API Microsoft Graph.

I token OATH hardware aggiunti con Microsoft Graph per questo aggiornamento di anteprima vengono visualizzati insieme ad altri token nell'interfaccia di amministrazione. Ma è possibile gestirli solo usando Microsoft Graph.

Correzione della deviazione temporale

Microsoft Entra ID regola la deviazione temporale dei token durante l'attivazione e ogni autenticazione. La tabella seguente elenca la regolazione dell'ora eseguita da Microsoft Entra ID per i token durante l'attivazione e l'accesso.

Intervallo di aggiornamento del token Intervallo di tempo di attivazione Intervallo di tempo di autenticazione
30 secondi +/- 1 giorno +/- 1 minuto
60 secondi +/- 2 giorni +/- 2 minuti

Miglioramenti dell'aggiornamento dell'anteprima

Questo aggiornamento dell'anteprima del token OATH hardware migliora la flessibilità e la sicurezza per le organizzazioni rimuovendo i requisiti di amministratore globale. Le organizzazioni possono delegare la creazione, l'assegnazione e l'attivazione dei token agli amministratori di autenticazione con privilegi o agli amministratori dei criteri di autenticazione.

La tabella seguente confronta i requisiti del ruolo amministratore per gestire i token OATH hardware nell'aggiornamento dell'anteprima rispetto all'anteprima originale.

Attività Ruolo di anteprima originale Anteprima del ruolo di aggiornamento
Creare un nuovo token nell'inventario del tenant. Amministratore globale Amministratore dei criteri di autenticazione
Leggere un token dall'inventario del tenant; non restituisce il segreto. Amministratore globale Amministratore dei criteri di autenticazione
Aggiornare un token nel tenant. Ad esempio, aggiornare il produttore o il modulo; Non è possibile aggiornare il segreto. Amministratore globale Amministratore dei criteri di autenticazione
Eliminare un token dall'inventario del tenant. Amministratore globale Amministratore dei criteri di autenticazione

Nell'ambito dell'aggiornamento dell'anteprima, gli utenti finali possono anche assegnare e attivare i token dalle informazioni di sicurezza. Nell'aggiornamento dell'anteprima un token può essere assegnato solo a un utente. La tabella seguente elenca i requisiti di token e ruolo per assegnare e attivare i token.

Attività Stato del token Requisito del ruolo
Assegnare un token dall'inventario a un utente nel tenant. Assegnate Membro (self)
Amministratore dell'autenticazione
Amministratore dell'autenticazione con privilegi
Leggere il token dell'utente, non restituisce il segreto. Attivato/Assegnato (dipende se il token è già stato attivato o meno) Membro (self)
Amministratore dell'autenticazione (ha solo la lettura limitata, non la lettura standard)
Amministratore dell'autenticazione con privilegi
Aggiornare il token dell'utente, ad esempio specificare il codice a 6 cifre corrente per l'attivazione o modificare il nome del token. Attivato Membro (self)
Amministratore dell'autenticazione
Amministratore dell'autenticazione con privilegi
Rimuovere il token dall'utente. Il token torna all'inventario dei token. Disponibile (torna all'inventario tenant) Membro (self)
Amministratore dell'autenticazione
Amministratore dell'autenticazione con privilegi

Nei criteri legacy di autenticazione a più fattori (MFA), i token OATH hardware e software possono essere abilitati solo insieme. Se si abilitano i token OATH nei criteri di autenticazione a più fattori legacy, gli utenti finali visualizzano un'opzione per aggiungere token OATH hardware nella pagina Informazioni di sicurezza.

Se non si vuole che gli utenti finali visualizzino un'opzione per aggiungere token OATH hardware, eseguire la migrazione ai criteri metodi di autenticazione. Nei criteri metodi di autenticazione i token OATH hardware e software possono essere abilitati e gestiti separatamente. Per altre informazioni su come eseguire la migrazione ai criteri dei metodi di autenticazione, vedere Come eseguire la migrazione delle impostazioni dei criteri MFA e reimpostazione della password self-service ai criteri dei metodi di autenticazione per Microsoft Entra ID.

I tenant con una licenza Microsoft Entra ID P1 o P2 possono continuare a caricare i token OATH hardware come nell'anteprima originale. Per altre informazioni, vedere Caricare token OATH hardware in formato CSV.

Per altre informazioni su come abilitare i token OATH hardware e le API Microsoft Graph che è possibile usare per caricare, attivare e assegnare token, vedere Come gestire i token OATH.

Icone del token OATH

Gli utenti possono aggiungere e gestire token OATH in Informazioni di sicurezza oppure selezionare Informazioni di sicurezza in Account personale. I token OATH software e hardware hanno icone diverse.

Tipo di registrazione token Icon
Token software OATH Token OATH software
Token hardware OATH Token OATH hardware

Altre informazioni su come gestire i token OATH. Informazioni sui provider di chiavi di sicurezza FIDO2 compatibili con l'autenticazione senza password.