Методы проверки подлинности в идентификаторе Microsoft Entra — OATH-токены
Однократный пароль (TOTP) на основе OATH — это открытый стандарт, указывающий, как создаются коды одноразового пароля (OTP). OATH TOTP можно реализовать с помощью программного или аппаратного обеспечения для создания кодов. Идентификатор Microsoft Entra не поддерживает HOTP OATH, другой стандарт создания кода.
Токены OATH программного обеспечения
Программные маркеры OATH, как правило, представляют собой приложение (например, Microsoft Authenticator и ряд других). Microsoft Entra ID создает секретный ключ или начальное значение, которое вводится в приложение и используется для создания каждого OTP.
Приложение Microsoft Authenticator автоматически создает коды при настройке для отправки push-уведомлений, чтобы пользователь имел резервную копию, даже если устройства не подключены. Также можно использовать сторонние приложения, использующие OATH TOTP для создания кодов.
Некоторые аппаратные маркеры OATH TOTP программируются, что означает, что они не приходят с секретным ключом или предварительно пропрограммированы. Эти программируемые аппаратные маркеры можно настроить с помощью секретного ключа или начального значения, полученного в процессе настройки программного маркера. Клиенты могут приобрести эти маркеры у любого выбранного поставщика и использовать секретный ключ или начальное значение в предусмотренном поставщиком процессе настройки.
Аппаратные токены OATH (предварительная версия)
Идентификатор Microsoft Entra поддерживает использование токенов OATH-TOTP SHA-1 и SHA-256, обновляющих коды каждые 30 или 60 секунд. Клиенты могут приобрести эти маркеры у любого поставщика по выбору.
Идентификатор Microsoft Entra имеет новый API Microsoft Graph в предварительной версии для Azure. Администраторы могут получить доступ к API Microsoft Graph с минимальными привилегиями для управления маркерами в предварительной версии. В этом предварительном обновлении в Центре администрирования Microsoft Entra не существует никаких параметров управления аппаратным токеном OATH.
Вы можете продолжать управлять маркерами из исходной предварительной версии в токенах OATH в Центре администрирования Microsoft Entra. С другой стороны, вы можете управлять маркерами только в предварительной версии обновления с помощью API Microsoft Graph.
Аппаратные токены OATH, добавленные с помощью Microsoft Graph для этого предварительного обновления, отображаются вместе с другими маркерами в Центре администрирования. Но управлять ими можно только с помощью Microsoft Graph.
Исправление смещения времени
Идентификатор Microsoft Entra настраивает смещение маркеров во время активации и каждой проверки подлинности. В следующей таблице приведена корректировка времени, которую идентификатор Microsoft Entra делает для маркеров во время активации и входа.
| Интервал обновления маркера | Диапазон времени активации | Диапазон времени проверки подлинности |
|---|---|---|
| 30 секунд | +/- 1 день | +/- 1 минута |
| 60 секунд | +/- 2 дня | +/- 2 минуты |
Улучшения в обновлении предварительной версии
Это обновление предварительного просмотра токена OATH повышает гибкость и безопасность для организаций путем удаления требований глобального администратора. Организации могут делегировать создание маркера, назначение и активацию администраторам привилегированной проверки подлинности или администраторам политик проверки подлинности.
В следующей таблице сравниваются требования к роли администратора для управления аппаратными токенами OATH в предварительной версии обновления и исходной предварительной версии.
| Задача | Исходная роль предварительного просмотра | Предварительная версия роли обновления |
|---|---|---|
| Создайте новый маркер в инвентаризации клиента. | Глобальный администратор | Администратор политики проверки подлинности |
| Чтение маркера из инвентаризации клиента; не возвращает секрет. | Глобальный администратор | Администратор политики проверки подлинности |
| Обновите маркер в клиенте. Например, производитель обновлений или модуль; Не удается обновить секрет. | Глобальный администратор | Администратор политики проверки подлинности |
| Удалите маркер из инвентаризации клиента. | Глобальный администратор | Администратор политики проверки подлинности |
В рамках обновления предварительной версии конечные пользователи также могут самостоятельно назначать и активировать маркеры из сведений о безопасности. В предварительной версии обновления маркер может быть назначен только одному пользователю. В следующей таблице перечислены требования к маркерам и роли для назначения и активации маркеров.
| Задача | Состояние токена | Требование роли |
|---|---|---|
| Назначьте маркер из инвентаризации пользователю в клиенте. | Назначенные | Член (self) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
| Чтение маркера пользователя не возвращает секрет. | Активировано или назначено (зависит от того, был ли маркер уже активирован или нет) | Член (self) Администратор проверки подлинности (только ограничен чтением, а не стандартным чтением) Привилегированный администратор проверки подлинности |
| Обновите маркер пользователя, например укажите текущий 6-значный код для активации или измените имя маркера. | Активировано | Член (self) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
| Удалите маркер от пользователя. Маркер возвращается к инвентаризации маркеров. | Доступно (назад к инвентаризации клиента) | Член (self) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
В устаревшей политике многофакторной проверки подлинности (MFA) аппаратные и программные токены OATH можно включить только вместе. Если вы включите токены OATH в устаревшей политике MFA, конечные пользователи видят возможность добавить токены HARDWARE OATH на странице сведений о безопасности.
Если вы не хотите, чтобы конечные пользователи видели параметр добавления токенов HARDWARE OATH, перейдите в политику методов проверки подлинности. В политике методов проверки подлинности аппаратные и программные токены OATH можно включить и управлять отдельно. Дополнительные сведения о миграции в политику методов проверки подлинности см. в статье "Как перенести параметры политики MFA и SSPR" в политику методов проверки подлинности для идентификатора Microsoft Entra ID.
Клиенты с лицензией Microsoft Entra ID P1 или P2 могут продолжать отправлять аппаратные токены OATH, как в исходной предварительной версии. Дополнительные сведения см. в разделе "Отправка аппаратных токенов OATH" в формате CSV.
Дополнительные сведения о включении аппаратных токенов OATH и API Microsoft Graph, которые можно использовать для отправки, активации и назначения маркеров, см. в статье "Управление токенами OATH".
Значки токена OATH
Пользователи могут добавлять маркеры OATH и управлять ими в сведениях о безопасности или выбирать сведения о безопасности из моей учетной записи. Маркеры ПРОГРАММНОго обеспечения и оборудования OATH имеют разные значки.
| Тип регистрации токена | Icon |
|---|---|
| Программный маркер OATH |  |
| Токен оборудования OATH |  |
Связанный контент
Узнайте больше об управлении токенами OATH. Сведения о поставщиках ключей безопасности FIDO2, которые поддерживают проверку подлинности без пароля.