Microsoft Entra ID の認証方法 - OATH トークン
OATH 時間ベースのワンタイム パスワード (TOTP) は、1 回限りのパスワード (OTP) のコードの生成方法を指定するオープン標準です。 OATH TOTP は、コードを生成するために、ソフトウェアまたはハードウェアを使用して実装できます。 Microsoft Entra ID は、別のコード生成標準である OATH HOTP をサポートしていません。
ソフトウェア OATH トークン
ソフトウェア OATH トークンは、通常、Microsoft Authenticator アプリやその他の認証アプリなどのアプリケーションです。 Microsoft Entra ID は、各 OTP を生成するためにアプリに入力して使用される秘密鍵 (シード) を生成します。
Authenticator アプリは、プッシュ通知を行うように設定されたときに自動的にコードを生成します。これにより、デバイスが接続されていない場合でも、ユーザーにはバックアップがあります。 OATH TOTP を使用してコードを生成するサード パーティ アプリケーションを使用することもできます。
一部の OATH TOTP ハードウェア トークンはプログラミング可能であり、秘密鍵やシードは事前にプログラミングされていません。 これらのプログラミング可能なハードウェア トークンは、ソフトウェア トークンのセットアップ フローから取得した秘密鍵またはシードを使用して設定できます。 顧客は、選択したベンダーからこれらのトークンを購入し、ベンダーのセットアップ プロセスで秘密鍵またはシードを使用することができます。
ハードウェア OATH トークン (プレビュー)
Microsoft Entra ID は、30 秒または 60 秒ごとにコードを更新する OATH-TOTP SHA-1 および SHA-256 トークンの使用をサポートしています。 顧客は、選択したベンダーからこれらのトークンを購入できます。
Microsoft Entra ID には、Azure 用の新しいプレビューの Microsoft Graph API が用意されています。 管理者は、最小限の特権ロールを持つ Microsoft Graph API にアクセスして、プレビューでトークンを管理できます。 Microsoft Entra 管理センターでのこのプレビュー更新では、ハードウェア OATH トークンを管理するオプションはありません。
Microsoft Entra 管理センターの OATH トークンで、元のプレビューのトークンを引き続き管理できます。 一方、Microsoft Graph API を使用して管理できるのは、プレビュー更新のトークンのみです。
このプレビュー更新のために Microsoft Graph で追加したハードウェア OATH トークンは、他のトークンと共に管理センターに表示されます。 ただし、Microsoft Graph を使用してのみ管理できます。
時間ドリフトの修正
Microsoft Entra ID は、アクティブ化とすべての認証時のトークンの時間ドリフトを調整します。 次の表に、アクティブ化とサインイン時に Microsoft Entra ID がトークンに対して行う時間調整の一覧を示します。
トークンの更新間隔 | アクティブ化時間の範囲 | 認証時間の範囲 |
---|---|---|
30 秒 | +/- 1 日 | +/- 1 分 |
60 秒 | +/- 2 日 | +/- 2 分 |
プレビュー更新の機能強化
このハードウェア OATH トークン プレビューの更新では、全体管理者の要件が削除されることで、組織の柔軟性とセキュリティが向上します。 組織は、トークンの作成、割り当て、アクティブ化を特権認証管理者または認証ポリシー管理者に委任できます。
次の表は、プレビュー更新と元のプレビューにおけるハードウェア OATH トークンの管理に必要な管理者ロールの要件を比較したものです。
タスク | 元のプレビューのロール | プレビュー更新のロール |
---|---|---|
テナントのインベントリに新しいトークンを作成します。 | グローバル管理者 | 認証ポリシー管理者 |
テナントのインベントリからトークンを読み取ります。シークレットは返しません。 | グローバル管理者 | 認証ポリシー管理者 |
テナント内のトークンを更新します。 たとえば、製造元またはモジュールを更新します。シークレットは更新できません。 | グローバル管理者 | 認証ポリシー管理者 |
テナントのインベントリからトークンを削除します。 | グローバル管理者 | 認証ポリシー管理者 |
プレビューの更新の一環として、エンド ユーザーは自分のセキュリティ情報からトークンを自己割り当てしてアクティブにすることもできます。 プレビューの更新では、トークンは 1 人のユーザーにのみ割り当てることができます。 次の表に、トークンを割り当ててアクティブにするためのトークンとロールの要件を示します。
タスク | トークンの状態 | ロールの要件 |
---|---|---|
インベントリからテナント内のユーザーにトークンを割り当てます。 | 割り当て済み | メンバー (自分) 認証管理者 特権認証管理者 |
ユーザーのトークンを読み取りますが、シークレットは返しません。 | アクティブ化/割り当て済み (トークンが既にアクティブにされているかどうかによって異なります) | メンバー (自分) 認証管理者 (標準読み取りではなく、制限付き読み取りのみ) 特権認証管理者 |
ユーザーのトークンを更新します。たとえば、アクティブ化用の現在の 6 桁のコードの指定や、トークン名の変更などです。 | アクティブ化済み | メンバー (自分) 認証管理者 特権認証管理者 |
ユーザーからトークンを削除します。 トークンはトークン インベントリに戻ります。 | 使用可能 (テナント インベントリに戻る) | メンバー (自分) 認証管理者 特権認証管理者 |
従来の多要素認証 (MFA) ポリシーでは、ハードウェアとソフトウェアの OATH トークンは同時に有効にすることしかできません。 レガシ MFA ポリシーで OATH トークンを有効にすると、エンド ユーザーにはセキュリティ情報ページにハードウェア OATH トークンを追加するオプションが表示されます。
ハードウェア OATH トークンを追加するオプションをエンド ユーザーに表示させたくない場合は、認証方法ポリシーに移行します。 認証方法ポリシーでは、ハードウェアおよびソフトウェア OATH トークンを個別に有効にして管理できます。 認証方法ポリシーに移行する方法の詳細については、「MFA と SSPR のポリシー設定を Microsoft Entra ID の認証方法ポリシーに移行する方法」を参照してください。
Microsoft Entra ID P1 または P2 ライセンスを持つテナントは、元のプレビューと同様に、引き続きハードウェア OATH トークンをアップロードできます。 詳細については、「CSV 形式でハードウェア OATH トークンをアップロードする」を参照してください。
ハードウェア OATH トークンと、トークンのアップロード、アクティブ化、割り当てに使用できる Microsoft Graph API を有効にする方法の詳細については、OATH トークンの管理方法に関するページを参照してください。
OATH トークンのアイコン
ユーザーは、[セキュリティ情報] で OATH トークンを追加および管理できます。また、[マイ アカウント] から [セキュリティ情報] を選択することもできます。 ソフトウェアとハードウェアの OATH トークンには、異なるアイコンが使用されています。
トークンの登録の種類 | アイコン |
---|---|
OATH ソフトウェア トークン | |
OATH ハードウェア トークン |
関連するコンテンツ
詳細については、OATH トークンの管理方法に関するページを参照してください。 パスワードなし認証対応の FIDO2 セキュリティ キー プロバイダーについてご確認ください。