Udostępnij za pośrednictwem

Przekazywanie sprzętowych tokenów OATH w formacie CSV

  • Artykuł

Sprzętowe tokeny OATH zwykle są dostarczane z kluczem tajnym lub inicjatorem wstępnie zaprogramowanym w tokenie. Aby użytkownik mógł zalogować się do konta służbowego w usłudze Microsoft Entra ID przy użyciu sprzętowego tokenu OATH, administrator musi dodać token do dzierżawy. Zalecanym sposobem dodawania tokenu jest użycie programu Microsoft Graph z najmniej uprzywilejowaną rolą administratora. Aby uzyskać więcej informacji, zobacz Sprzętowe tokeny OATH (wersja zapoznawcza).

Alternatywą dla korzystania z interfejsów API programu Microsoft Graph dzierżawy z licencją Microsoft Entra ID Premium mogą wprowadzić te klucze do identyfikatora Entra firmy Microsoft. Klucze tajne są ograniczone do 128 znaków, które nie są zgodne z niektórymi tokenami. Klucz tajny może zawierać tylko znaki a-z lub A-Z i cyfry 2-7 i muszą być zakodowane w bazie Base32.

Programowalne tokeny sprzętowe z kodem dostępu jednorazowego (TOTP) oparte na protokole OATH, które można również skonfigurować za pomocą identyfikatora Entra firmy Microsoft w przepływie konfiguracji tokenu oprogramowania.

Zrzut ekranu przedstawiający zarządzanie tokenami OATH.

Po uzyskaniu tokenów administrator globalny musi przekazać je w formacie pliku wartości rozdzielanych przecinkami (CSV). Plik powinien zawierać nazwę UPN, numer seryjny, klucz tajny, interwał czasu, producent i model, jak pokazano w poniższym przykładzie:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Uwaga

Upewnij się, że wiersz nagłówka został uwzględniny w pliku CSV.

Po poprawnym sformatowaniu pliku CSV administrator globalny może następnie zalogować się do centrum administracyjnego firmy Microsoft Entra, przejść do pozycji Ochrona>tokenów OATH uwierzytelniania>wieloskładnikowego i przekazać wynikowy plik CSV.

W zależności od rozmiaru pliku CSV przetwarzanie może potrwać kilka minut. Wybierz przycisk Odśwież, aby uzyskać bieżący stan. Jeśli w pliku występują błędy, możesz pobrać plik CSV zawierający listę błędów, które można rozwiązać. Nazwy pól w pobranym pliku CSV różnią się od przekazanej wersji.

Po usunięciu wszelkich błędów administrator uwierzytelniania uprzywilejowanego lub użytkownik końcowy może aktywować klucz. Wybierz pozycję Aktywuj dla tokenu i wprowadź wartość OTP wyświetlaną na tokenie. Możesz aktywować maksymalnie 200 tokenów OATH co 5 minut.

Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Microsoft Authenticator, skonfigurowana do użycia w dowolnym momencie. Tokeny sprzętu OATH nie mogą być przypisane do użytkowników-gości w dzierżawie zasobów.

Ważne

Pamiętaj, aby przypisać tylko każdy token do pojedynczego użytkownika. Nie można przypisać pojedynczego tokenu do wielu użytkowników.

Rozwiązywanie problemów z błędem podczas przetwarzania przekazywania

Czasami mogą występować konflikty lub problemy występujące podczas przetwarzania przekazywania pliku CSV. Jeśli wystąpi jakikolwiek konflikt lub problem, otrzymasz powiadomienie podobne do następującego:

Zrzut ekranu przedstawiający przykład błędu przekazywania.

Aby określić komunikat o błędzie, upewnij się, że wybierz pozycję Wyświetl szczegóły. Zostanie otwarty blok Stan tokenu sprzętowego i zawiera podsumowanie stanu przekazywania. Pokazuje, że wystąpił błąd lub wiele błędów, jak w poniższym przykładzie:

Zrzut ekranu przedstawiający przykład stanu tokenu sprzętowego.

Aby określić przyczynę błędu na liście, kliknij pole wyboru obok stanu, który chcesz wyświetlić, co aktywuje opcję Pobierz . Spowoduje to pobranie pliku CSV zawierającego zidentyfikowany błąd.

Zrzut ekranu przedstawiający przykład stanu pobierania.

Pobrany plik ma nazwę Failures_filename.csv gdzie nazwa pliku jest nazwą przekazanego pliku. Jest on zapisywany w domyślnym katalogu pobierania dla przeglądarki.

W tym przykładzie pokazano błąd zidentyfikowany jako użytkownik, który obecnie nie istnieje w katalogu dzierżawy:

Zrzut ekranu przedstawiający przykład przyczyny błędu.

Po usunięciu wymienionych błędów przekaż plik CSV ponownie do momentu pomyślnego jego przetwarzania. Informacje o stanie każdej próby pozostają przez 30 dni. Wolumin CSV można usunąć ręcznie, klikając pole wyboru obok stanu, a następnie wybierając pozycję Usuń stan w razie potrzeby.

Powiązana zawartość

Dowiedz się więcej na temat zarządzania tokenami OATH. Dowiedz się więcej o dostawcach kluczy zabezpieczeń FIDO2, którzy są zgodni z uwierzytelnianiem bez hasła.