Métodos de autenticação no Microsoft Entra ID - tokens OATH
OATH TOTP (palavra-passe de uso único baseada no tempo) é um padrão aberto que especifica como os códigos de senha de uso único (OTP) são gerados. OATH TOTP pode ser implementado usando software ou hardware para gerar os códigos. O Microsoft Entra ID não suporta OATH HOTP, um padrão de geração de código diferente.
Tokens de software OATH
Os tokens OATH de software são normalmente aplicações como a aplicação Microsoft Authenticator e outras aplicações de autenticação. O Microsoft Entra ID gera a chave secreta, ou semente, que é introduzida na aplicação e utilizada para gerar cada OTP (Um Código de Autenticação Única).
O aplicativo Autenticador gera códigos automaticamente quando configurado para fazer notificações por push para que um usuário tenha um backup, mesmo que seu dispositivo não tenha conectividade. Aplicativos de terceiros que usam OATH TOTP para gerar códigos também podem ser usados.
Alguns tokens de hardware OATH TOTP são programáveis, o que significa que não vêm com uma chave secreta ou semente pré-programada. Esses tokens de hardware programáveis podem ser configurados usando a chave secreta ou semente obtida do fluxo de configuração do token de software. Os clientes podem comprar esses tokens do fornecedor de sua escolha e usar a chave secreta ou semente no processo de configuração do fornecedor.
Tokens de hardware OATH (em visualização)
O Microsoft Entra ID suporta o uso de tokens OATH-TOTP SHA-1 e SHA-256 que atualizam códigos a cada 30 ou 60 segundos. Os clientes podem comprar esses tokens do fornecedor de sua escolha.
O Microsoft Entra ID tem uma nova API do Microsoft Graph em pré-visualização para o Azure. Os administradores podem acessar APIs do Microsoft Graph com funções menos privilegiadas para gerenciar tokens na visualização. Não há opções para gerenciar o token OATH de hardware nesta atualização de visualização no centro de administração do Microsoft Entra.
Pode continuar a gerir tokens a partir da pré-visualização original em OATH tokens no centro de administração Microsoft Entra. Por outro lado, você só pode gerenciar tokens na atualização de visualização usando APIs do Microsoft Graph.
Os tokens OATH de hardware que você adiciona com o Microsoft Graph para esta atualização de visualização aparecem junto com outros tokens no centro de administração. Mas você só pode gerenciá-los usando o Microsoft Graph.
Correção de desvio de tempo
O Microsoft Entra ID ajusta o desvio de tempo dos tokens durante a ativação e cada autenticação. A tabela a seguir lista o ajuste de tempo que o Microsoft Entra ID faz para tokens durante a ativação e entrada.
| Intervalo de atualização do token | Intervalo de tempo de ativação | Intervalo de tempo de autenticação |
|---|---|---|
| 30 segundos | +/- 1 dia | +/- 1 minuto |
| 60 segundos | +/- 2 dias | +/- 2 minutos |
Melhorias na atualização da pré-visualização
Esta atualização de pré-visualização de token de hardware OATH melhora a flexibilidade e a segurança para as organizações ao remover os requisitos do Administrador Global. As organizações podem delegar a criação, atribuição e ativação de tokens a Administradores de Autenticação Privilegiada ou a Administradores de Política de Autenticação.
A tabela a seguir lista os requisitos de função para gerir tokens OATH de hardware na atualização prévia.
| Tarefa | Visualizar função de atualização |
|---|---|
| Crie um novo token no inventário do locatário. | Administrador da Política de Autenticação |
| Leia um token do inventário do arrendatário; não revela o segredo. | Administrador da Política de Autenticação |
| Atualize um token no locatário. Por exemplo, atualize o fabricante ou módulo; O segredo não pode ser atualizado. | Administrador da Política de Autenticação |
| Exclua um token do inventário do locatário. | Administrador da Política de Autenticação |
Como parte da atualização de visualização, os utilizadores finais também podem atribuir automaticamente e ativar tokens nas suas Informações de segurança. Na atualização de pré-visualização, um token só pode ser atribuído a um utilizador. A tabela a seguir lista os requisitos de token e função para atribuir e ativar tokens.
| Tarefa | Estado do token | Requisito de função |
|---|---|---|
| Atribua um token do inventário a um usuário no locatário. | Atribuído | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
| Leia o token do usuário, não retorna o segredo. | Ativado / Atribuído (depende se o token já foi ativado ou não) | Membro (próprio) Administrador de autenticação (só tem Leitura restrita, não Leitura padrão) Administrador de Autenticação Privilegiada |
| Atualize o token do usuário, como fornecer o código atual de 6 dígitos para ativação ou alterar o nome do token. | Ativado | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
| Remova o token do usuário. O token volta para o inventário de tokens. | Disponível (voltar ao inventário do inquilino) | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
Na política de autenticação de múltiplos fatores (MFA) herdada, os tokens OATH de hardware e software só podem ser ativados em conjunto. Se ativar tokens OATH na política de MFA herdada, os utilizadores finais verão uma opção para adicionar tokens OATH de hardware na sua página de informações de segurança.
Caso não deseje que os utilizadores finais vejam a opção para adicionar tokens de hardware OATH, mude para a política de métodos de autenticação. Na política de métodos de autenticação, os tokens OATH de hardware e software podem ser habilitados e gerenciados separadamente. Para obter mais informações sobre como migrar para a política de métodos de autenticação, consulte Como migrar as configurações de diretiva MFA e SSPR para a política de métodos de autenticação para Microsoft Entra ID.
Os clientes com uma licença do Microsoft Entra ID P1 ou P2 podem continuar a fazer o upload de tokens OATH de hardware como na visualização original. Para obter mais informações, consulte Carregar tokens OATH de hardware no formato CSV.
Para obter mais informações sobre como habilitar tokens OATH de hardware e APIs do Microsoft Graph que você pode usar para carregar, ativar e atribuir tokens, consulte Como gerenciar tokens OATH.
Ícones de token OATH
Os usuários podem adicionar e gerenciar tokens OATH em Informações de segurança ou podem selecionar Informações de segurança em Minha conta. Os tokens OATH de software e hardware têm ícones diferentes.
| Tipo de registo de token | Ícone |
|---|---|
| Token de software OATH |
|
| Token de hardware de OATH |
|
Conteúdos relacionados
Saiba mais sobre como gerenciar tokens OATH. Saiba mais sobre os fornecedores de chaves de segurança FIDO2 que são compatíveis com autenticação sem palavra-passe.