Como gerenciar tokens OATH de hardware no Microsoft Entra ID (Visualização)
Este tópico aborda como gerenciar tokens de juramento de hardware no Microsoft Entra ID, incluindo APIs do Microsoft Graph que você pode usar para carregar, ativar e atribuir tokens OATH de hardware.
Habilitar tokens OATH de hardware na política de métodos de autenticação
Você pode exibir e habilitar tokens OATH de hardware na política de métodos de autenticação usando APIs do Microsoft Graph ou o centro de administração do Microsoft Entra.
Para exibir o status da política de tokens OATH de hardware usando as APIs:
GET https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOathPara habilitar a política de tokens OATH de hardware usando as APIs.
PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOathNo corpo da solicitação, adicione:
{ "state": "enabled" }
Para habilitar tokens OATH de hardware no centro de administração do Microsoft Entra:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>Tokens OATH de hardware (Visualização).
Selecione Ativar, escolha quais grupos de usuários incluir na política e clique em Salvar.
Recomendamos que você migre para a política de métodos de autenticação para gerenciar tokens OATH de hardware. Se você habilitar tokens OATH na política de MFA herdada, navegue até a política no centro de administração do Microsoft Entra como um Administrador de Política de Autenticação: Proteção>>multifator Configurações adicionais de autenticação multifator baseadas em nuvem. Desmarque a caixa de seleção Código de verificação do aplicativo móvel ou token de hardware.
Cenário: o administrador cria, atribui e ativa um token OATH de hardware
Este cenário aborda como criar, atribuir e ativar um token OATH de hardware como administrador, incluindo as chamadas de API necessárias e as etapas de verificação.
Nota
Pode haver um atraso de até 20 minutos para a propagação da política. Aguarde uma hora para que a política seja atualizada antes que os usuários possam entrar com seu token OATH de hardware e vê-lo em suas informações de segurança.
Vejamos um exemplo em que um Administrador de Política de Autenticação cria um token e o atribui a um usuário. Você pode permitir a atribuição sem ativação.
Para o corpo do POST neste exemplo, você pode encontrar o serialNumber do seu dispositivo e a secretKey é entregue a você.
POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{
"serialNumber": "GALT11420104",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w",
"timeIntervalInSeconds": 30,
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}
A resposta inclui a ID do token e a ID do usuário à qual o token é atribuído:
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
"id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
"displayName": null,
"serialNumber": "GALT11420104",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": null,
"timeIntervalInSeconds": 30,
"status": "available",
"lastUsedDateTime": null,
"hashFunction": "hmacsha1",
"assignedTo": {
"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
"displayName": "Test User"
}
}
Veja como o Administrador de Política de Autenticação pode ativar o token. Substitua o código de verificação no corpo da solicitação pelo código do seu token OATH de hardware.
POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods/3dee0e53-f50f-43ef-85c0-b44689f2d66d/activate
{
"verificationCode" : "903809"
}
Para validar que o token está ativado, entre nas Informações de segurança como o usuário de teste. Se lhe for pedido para aprovar um pedido de início de sessão do Microsoft Authenticator, selecione Utilizar um código de verificação.
Você pode CHEGAR à lista de tokens:
GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
Este exemplo cria um único token:
POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
No corpo da solicitação, adicione:
{
"serialNumber": "GALT11420104",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": "abcdef2234567abcdef2234567",
"timeIntervalInSeconds": 30,
"hashFunction": "hmacsha1"
}
A resposta inclui o ID do token.
#### Response
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
"id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
"displayName": null,
"serialNumber": "GALT11420104",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": null,
"timeIntervalInSeconds": 30,
"status": "available",
"lastUsedDateTime": null,
"hashFunction": "hmacsha1",
"assignedTo": null
}
Política de autenticação Os administradores ou um usuário final podem cancelar a atribuição de um token:
DELETE https://graph.microsoft.com/beta/users/66aa66aa-bb77-cc88-dd99-00ee00ee00ee/authentication/hardwareoathmethods/6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0
Este exemplo mostra como excluir um token com ID de token 3dee0e53-f50f-43ef-85c0-b44689f2d66d:
DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/3dee0e53-f50f-43ef-85c0-b44689f2d66d
Cenário: o administrador cria e atribui um token OATH hardare que um usuário ativa
Nesse cenário, um administrador de diretiva de autenticação cria e atribui um token e, em seguida, um usuário pode ativá-lo em sua página de informações de segurança ou usando o Microsoft Graph Explorer. Ao atribuir um token, você pode compartilhar etapas para que o usuário entre nas Informações de segurança para ativar seu token. Eles podem escolher Adicionar método>de entrada Token de hardware. Eles precisam fornecer o número de série do token de hardware, que normalmente está na parte traseira do dispositivo.
POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{
"serialNumber": "GALT11420104",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w",
"timeIntervalInSeconds": 30,
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}
A resposta inclui um valor id para cada token. Um administrador de autenticação pode atribuir o token a um usuário:
POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods
{
"device":
{
"id": "6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0"
}
}
Aqui estão as etapas que um usuário pode seguir para autoativar seu token OATH de hardware em Informações de segurança:
Inicie sessão nas Informações de segurança.
Clique em Adicionar método de entrada e escolha Token de hardware.
Depois de selecionar Token de hardware, clique em Adicionar.
Verifique o número de série na parte traseira do dispositivo, introduza-o e clique em Seguinte.
Crie um nome amigável para ajudá-lo a escolher esse método para concluir a autenticação multifator e clique em Avançar.
Forneça o código de verificação aleatório que aparece quando você toca no botão no dispositivo. Para um token que atualiza seu código a cada 30 segundos, você precisa inserir o código e clicar em Avançar dentro de um minuto. Para um token que é atualizado a cada 60 segundos, você tem dois minutos.
Quando vir que o token OATH de hardware foi adicionado com êxito, clique em Concluído.
O token OATH de hardware aparece na lista de seus métodos de autenticação disponíveis.
Aqui estão as etapas que os usuários podem seguir para autoativar seu token OATH de hardware usando o Graph Explorer.
Abra o Microsoft Graph Explorer, entre e consinta com as permissões necessárias.
Certifique-se de que tem as permissões necessárias. Para que um usuário possa fazer as operações de API de autoatendimento, é necessário o consentimento do administrador para
Directory.Read.All,User.Read.AlleUser.ReadWrite.All.Obtenha uma lista de tokens OATH de hardware atribuídos à sua conta, mas ainda não ativados.
GET https://graph.microsoft.com/beta/me/authentication/hardwareOathMethodsCopie o id do dispositivo de token e adicione-o ao final do URL seguido de /activate. Você precisa inserir o código de verificação no corpo da solicitação e enviar a chamada POST antes que o código seja alterado.
POST https://graph.microsoft.com/beta/me/authentication/hardwareOathMethods/b65fd538-b75e-4c88-bd08-682c9ce98eca/activateCorpo do pedido:
{ "verificationCode": "988659" }
Cenário: o administrador cria vários tokens OATH de hardware em massa que os usuários autoatribuem e ativam
Nesse cenário, um administrador de autenticação cria tokens sem atribuição e os usuários autoatribuem e ativam os tokens. Você pode carregar novos tokens para o locatário em massa. Os usuários podem entrar nas Informações de segurança para ativar seu token. Eles podem escolher Adicionar método>de entrada Token de hardware. Eles precisam fornecer o número de série do token de hardware, que normalmente está na parte traseira do dispositivo.
Para maior garantia de que o token só é ativado por um usuário específico, você pode atribuir o token ao usuário e enviar o dispositivo para ele para autoativação.
PATCH https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{
"@context":"#$delta",
"value": [
{
"@contentId": "1",
"serialNumber": "GALT11420108",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": "abcdef2234567abcdef2234567",
"timeIntervalInSeconds": 30,
"hashFunction": "hmacsha1"
},
{
"@contentId": "2",
"serialNumber": "GALT11420112",
"manufacturer": "Thales",
"model": "OTP 110 Token",
"secretKey": "2234567abcdef2234567abcdef",
"timeIntervalInSeconds": 30,
"hashFunction": "hmacsha1"
}
]
}
Solução de problemas de token OATH de hardware
Esta secção cobre tópicos comuns
O usuário tem dois tokens com o mesmo número de série
Um usuário pode ter duas instâncias do mesmo token OATH de hardware registradas como métodos de autenticação. Isso acontece se o token herdado não for removido dos tokens OATH (Visualização) no centro de administração do Microsoft Entra depois de ser carregado usando o Microsoft Graph.
Quando isso acontece, ambas as instâncias do token são listadas como registradas para o usuário:
GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods
Ambas as instâncias do token também estão listadas em tokens OATH (Preview) no centro de administração do Microsoft Entra:
Para identificar e remover o token herdado.
Liste todos os tokens OATH de hardware no usuário.
GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethodsEncontre o id de ambos os tokens e copie o número de série do token duplicado.
Identifique o token herdado. Apenas um token é retornado na resposta do comando a seguir. Esse token foi criado usando o Microsoft Graph.
GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices?$filter=serialNumber eq '20033752'Remova a atribuição de token herdada do usuário. Agora que você sabe a id do novo token, você pode identificar a id do token herdado na lista retornada na etapa 1. Crie a URL usando a ID de token herdada.
DELETE https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods/{legacyHardwareOathMethodId}Exclua o token herdado usando a ID do token herdado nesta chamada.
DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/{legacyHardwareOathMethodId}
Conteúdos relacionados
Saiba mais sobre os tokens OATH.