Métodos de autenticação no Microsoft Entra ID - tokens OATH
A OATH TOTP (senha única baseada em tempo) é um padrão aberto que especifica como os códigos de senha única (OTP) são gerados. O OATH TOTP pode ser implementado usando software ou hardware para gerar os códigos. O Microsoft Entra ID não dá suporte ao OATH HOTP, um padrão diferente de geração de código.
Tokens OATH de software
Os tokens de software OATH normalmente são aplicativos como o Microsoft Authenticator e outros aplicativos de autenticação. O Microsoft Entra ID gera a chave secreta, ou semente, que é inserida no aplicativo e usada para gerar cada OTP.
O aplicativo Authenticator gera códigos automaticamente quando configurado para fazer notificações por push para que um usuário tenha um backup, mesmo que seu dispositivo não tenha conectividade. Aplicativos de terceiros que usam OATH TOTP para gerar códigos também podem ser usados.
Alguns tokens de hardware OATH TOTP são programáveis, o que significa que eles não vêm com uma chave secreta ou semente previamente programada. Esses tokens de hardware programáveis podem ser configurados usando a chave secreta ou semente obtida do fluxo de configuração do token de software. Os clientes podem comprar esses tokens do fornecedor que preferirem e usar a chave secreta ou semente no processo de configuração do fornecedor.
Tokens OATH de hardware (versão prévia)
O Microsoft Entra ID dá suporte ao uso de tokens SHA-1 e SHA-256 OATH-TOTP que atualizam códigos a cada 30 ou 60 segundos. Os clientes podem adquirir esses tokens do fornecedor que preferirem.
O Microsoft Entra ID tem uma nova API do Microsoft Graph em versão prévia para o Azure. Os administradores podem acessar APIs do Microsoft Graph com funções com menos privilégios para gerenciar tokens na versão prévia. Não há nenhuma opção para gerenciar o token OATH de hardware nesta atualização de visualização no centro de administração do Microsoft Entra.
Você pode continuar a gerenciar tokens da versão prévia original em tokens OATH no centro de administração do Microsoft Entra. Por outro lado, você só pode gerenciar tokens na atualização de visualização usando APIs do Microsoft Graph.
Os tokens OATH de hardware que você adiciona com o Microsoft Graph para esta atualização de visualização aparecem junto com outros tokens no centro de administração. Mas você só pode gerenciá-los usando o Microsoft Graph.
Correção de descompasso de tempo
O Microsoft Entra ID ajusta o descompasso de tempo dos tokens durante a ativação e todas as autenticações. A tabela a seguir lista o ajuste de tempo que o Microsoft Entra ID faz para tokens durante a ativação e a entrada.
| Intervalo de atualização de token | Intervalo de tempo de ativação | Intervalo de tempo de autenticação |
|---|---|---|
| 30 segundos | +/- 1 dia | +/- 1 minuto |
| 60 segundos | +/- 2 dias | +/- 2 minutos |
Melhorias na atualização de visualização
Essa atualização de visualização de token OATH de hardware melhora a flexibilidade e a segurança das organizações removendo os requisitos de Administrador Global. As organizações podem delegar a criação, a atribuição e a ativação de tokens para administradores de autenticação com privilégios ou administradores de política de autenticação.
A tabela a seguir compara os requisitos de função de administrador para gerenciar tokens OATH de hardware na atualização de visualização em comparação com a versão prévia original.
| Tarefa | Função de visualização original | Função de atualização de visualização |
|---|---|---|
| Criar um novo token no inventário do locatário. | Administrador Global | Administrador de Política de Autenticação |
| Ler um token do inventário do locatário; não retorna o segredo. | Administrador Global | Administrador de Política de Autenticação |
| Atualizar um token no locatário. Por exemplo, atualizar fabricante ou módulo; O segredo não pode ser atualizado. | Administrador Global | Administrador de Política de Autenticação |
| Excluir um token do inventário do locatário. | Administrador Global | Administrador de Política de Autenticação |
Como parte da atualização de visualização, os usuários finais também podem atribuir e ativar tokens de suas Informações de segurança. Na atualização de visualização, um token só pode ser atribuído a um usuário. A tabela a seguir lista os requisitos de token e função para atribuir e ativar tokens.
| Tarefa | Estado do token | Requisito de função |
|---|---|---|
| Atribuir um token do inventário a um usuário no locatário. | Atribuído | Membro (self) Administrador de autenticação Administrador de Autenticação Privilegiada |
| Ler o token do usuário, não retorna o segredo. | Ativado/Atribuído (depende se o token já foi ativado ou não) | Membro (self) Administrador de autenticação (só tem leitura restrita, não leitura padrão) Administrador de autenticação privilegiada |
| Atualizar o token do usuário, como fornecer o código atual de 6 dígitos para ativação ou alterar o nome do token. | Ativado | Membro (self) Administrador de autenticação Administrador de Autenticação Privilegiada |
| Remover o token do usuário. O token volta para o inventário de token. | Disponível (de volta ao inventário de locatário) | Membro (self) Administrador de autenticação Administrador de Autenticação Privilegiada |
Na política de MFA (autenticação multifator) herdada, tokens OATH de hardware e software só podem ser habilitados juntos. Se você habilitar tokens OATH na política de MFA herdada, os usuários finais verão uma opção para adicionar tokens OATH de Hardware na página de informações de segurança.
Se você não quiser que os usuários finais vejam uma opção para adicionar tokens OATH de Hardware, migre para a política de métodos de autenticação. Na política de métodos de autenticação, tokens OATH de hardware e software podem ser habilitados e gerenciados separadamente. Para obter mais informações sobre como migrar para a política de métodos de autenticação, consulte Como migrar as configurações de política de MFA e SSPR para a política de métodos de autenticação para o Microsoft Entra ID.
Locatários com uma licença do Microsoft Entra ID P1 ou P2 podem continuar carregando tokens OATH de hardware como na versão prévia original. Para obter mais informações, consulte Carregar tokens OATH de hardware no formato CSV.
Para obter mais informações sobre como habilitar tokens OATH de hardware e APIs do Microsoft Graph que você pode usar para carregar, ativar e atribuir tokens, consulte Como gerenciar tokens OATH.
Ícones de token OATH
Os usuários podem adicionar e gerenciar tokens OATH em Informações de segurança ou selecionar Informações de segurança em Minha conta. Tokens OATH de software e hardware têm ícones diferentes.
| Tipo de registro do token OATH | Ícone |
|---|---|
| Token de software OATH |  |
| Token OATH de hardware |  |
Conteúdo relacionado
Saiba mais sobre como gerenciar tokens OATH. Saiba mais sobre provedores de chave de segurança FIDO2 compatíveis com a autenticação sem senha.