Verificatiemethoden in Microsoft Entra ID - OATH-tokens
Eenmalige wachtwoord op basis van OATH (TOTP) is een open standaard waarmee wordt aangegeven hoe eenmalige wachtwoordcodes (OTP) worden gegenereerd. OATH TOTP kan worden geïmplementeerd met behulp van software of hardware om de codes te genereren. Microsoft Entra ID biedt geen ondersteuning voor OATH HOTP, een andere standaard voor het genereren van code.
Software-OATH-tokens
Software OATH-tokens zijn doorgaans toepassingen zoals de Microsoft Authenticator-app en andere verificator-apps. Microsoft Entra ID genereert de geheime sleutel, of seed, die invoer is in de app en wordt gebruikt om elke OTP te genereren.
De Authenticator-app genereert automatisch codes bij het instellen van pushmeldingen, zodat een gebruiker een back-up heeft, zelfs als het apparaat geen verbinding heeft. Toepassingen van derden die gebruikmaken van OATH TOTP om codes te genereren, kunnen ook worden gebruikt.
Sommige OATH TOTP-hardwaretokens zijn programmeerbaar, wat betekent dat ze geen geheime sleutel of seed vooraf zijn geprogrammeerd. Deze programmeerbare hardwaretokens kunnen worden ingesteld met behulp van de geheime sleutel of seed die is verkregen uit de installatiestroom van het softwaretoken. Klanten kunnen deze tokens kopen bij de leverancier van hun keuze en de geheime sleutel of seed gebruiken in het installatieproces van hun leverancier.
Hardware-OATH-tokens (preview)
Microsoft Entra ID ondersteunt het gebruik van OATH-TOTP SHA-1- en SHA-256-tokens waarmee codes elke 30 of 60 seconden worden vernieuwd. Klanten kunnen deze tokens kopen bij de leverancier van hun keuze.
Microsoft Entra ID heeft een nieuwe Microsoft Graph API in preview voor Azure. Beheerders hebben toegang tot Microsoft Graph-API's met minimale bevoegdheden om tokens in de preview te beheren. Er zijn geen opties voor het beheren van hardware-OATH-token in deze preview-vernieuwing in het Microsoft Entra-beheercentrum.
U kunt tokens blijven beheren vanuit de oorspronkelijke preview in OATH-tokens in het Microsoft Entra-beheercentrum. Aan de andere kant kunt u alleen tokens beheren in de preview-vernieuwing met behulp van Microsoft Graph-API's.
Hardware-OATH-tokens die u met Microsoft Graph toevoegt voor deze preview-vernieuwing, worden samen met andere tokens in het beheercentrum weergegeven. U kunt ze echter alleen beheren met Behulp van Microsoft Graph.
Tijdsdriftcorrectie
Microsoft Entra ID past de tijdsdrift van de tokens aan tijdens de activering en elke verificatie. De volgende tabel bevat de tijdsaanpassing die door Microsoft Entra ID wordt uitgevoerd voor tokens tijdens de activering en aanmelding.
| Vernieuwingsinterval van token | Activeringstijdsbereik | Verificatietijdsbereik |
|---|---|---|
| 30 seconden | +/- 1 dag | +/- 1 minuut |
| 60 seconden | +/- 2 dagen | +/- 2 minuten |
Verbeteringen in het vernieuwen van de preview
Deze preview-versie van het OATH-token verbetert de flexibiliteit en beveiliging voor organisaties door globale beheerdersvereisten te verwijderen. Organisaties kunnen token maken, toewijzen en activeren delegeren aan bevoegde verificatiebeheerders of beheerders van verificatiebeleid.
In de volgende tabel worden de beheerdersrolvereisten vergeleken voor het beheren van hardware-OATH-tokens in de preview-vernieuwing ten opzichte van de oorspronkelijke preview.
| Opdracht | Oorspronkelijke preview-rol | Voorbeeld van vernieuwingsrol |
|---|---|---|
| Maak een nieuw token in de inventaris van de tenant. | Globale beheerder | Beheerder van verificatiebeleid |
| Een token lezen uit de inventaris van de tenant; retourneert het geheim niet. | Globale beheerder | Beheerder van verificatiebeleid |
| Een token bijwerken in de tenant. Bijvoorbeeld fabrikant of module bijwerken; Geheim kan niet worden bijgewerkt. | Globale beheerder | Beheerder van verificatiebeleid |
| Een token verwijderen uit de inventaris van de tenant. | Globale beheerder | Beheerder van verificatiebeleid |
Als onderdeel van het vernieuwen van de preview kunnen eindgebruikers ook zelf tokens toewijzen en activeren op basis van hun beveiligingsgegevens. In de preview-vernieuwing kan een token slechts aan één gebruiker worden toegewezen. De volgende tabel bevat token- en rolvereisten voor het toewijzen en activeren van tokens.
| Opdracht | Tokenstatus | Rolvereiste |
|---|---|---|
| Wijs een token uit de inventaris toe aan een gebruiker in de tenant. | Toegewezen | Lid (zelf) Verificatiebeheerder Bevoorrechte verificatiebeheerder |
| Lees het token van de gebruiker en retourneert het geheim niet. | Geactiveerd/toegewezen (afhankelijk van of het token al is geactiveerd of niet) | Lid (zelf) Verificatiebeheerder (alleen lezen beperkt, niet standaard lezen) Bevoorrechte verificatiebeheerder |
| Werk het token van de gebruiker bij, zoals de huidige 6-cijferige code voor activering of de naam van het token wijzigen. | Geactiveerd | Lid (zelf) Verificatiebeheerder Bevoorrechte verificatiebeheerder |
| Verwijder het token van de gebruiker. Het token gaat terug naar de tokenvoorraad. | Beschikbaar (terug naar de tenantinventaris) | Lid (zelf) Verificatiebeheerder Bevoorrechte verificatiebeheerder |
In het verouderde MFA-beleid (MultiFactor Authentication) kunnen hardware- en software-OATH-tokens alleen samen worden ingeschakeld. Als u OATH-tokens inschakelt in het verouderde MFA-beleid, zien eindgebruikers een optie om Hardware OATH-tokens toe te voegen op de pagina Beveiligingsgegevens.
Als u niet wilt dat eindgebruikers een optie zien om hardware-OATH-tokens toe te voegen, migreert u naar het beleid voor verificatiemethoden. In het beleid voor verificatiemethoden kunnen OATH-tokens voor hardware en software afzonderlijk worden ingeschakeld en beheerd. Zie MFA- en SSPR-beleidsinstellingen migreren naar het beleid voor verificatiemethoden voor Microsoft Entra-id voor meer informatie over het migreren naar het beleid voor verificatiemethoden.
Tenants met een Microsoft Entra ID P1- of P2-licentie kunnen hardware-OATH-tokens blijven uploaden zoals in de oorspronkelijke preview. Zie Hardware OATH-tokens uploaden in CSV-indeling voor meer informatie.
Zie OATH-tokens beheren voor meer informatie over het inschakelen van hardware-OATH-tokens en Microsoft Graph-API's die u kunt gebruiken voor het uploaden, activeren en toewijzen van tokens.
OATH-tokenpictogrammen
Gebruikers kunnen OATH-tokens toevoegen en beheren bij Beveiligingsgegevens of ze kunnen beveiligingsgegevens selecteren in Mijn account. Software- en hardware-OATH-tokens hebben verschillende pictogrammen.
| Registratietype token | Pictogram |
|---|---|
| OATH-softwaretoken |  |
| OATH-hardware beveiligingstoken |  |
Gerelateerde inhoud
Meer informatie over het beheren van OATH-tokens. Meer informatie over FIDO2-beveiligingssleutelproviders die compatibel zijn met verificatie zonder wachtwoord.