Методы проверки подлинности в службе Microsoft Entra — OATH-токены
Однократный пароль (TOTP) на основе OATH — это открытый стандарт, указывающий, как создаются коды одноразового пароля (OTP). OATH TOTP можно реализовать с помощью программного или аппаратного обеспечения для создания кодов. Идентификатор Microsoft Entra не поддерживает HOTP OATH, другой стандарт создания кода.
Токены OATH программного обеспечения
Программные маркеры OATH обычно представляют собой такие приложения, как Microsoft Authenticator и другие приложения-аутентификаторы. Microsoft Entra ID создает секретный ключ или начальное значение, которое вводится в приложение и используется для создания каждого OTP.
Приложение Microsoft Authenticator автоматически создает коды при настройке для отправки push-уведомлений, чтобы пользователь имел резервную копию, даже если устройства не подключены. Также можно использовать сторонние приложения, использующие OATH TOTP для создания кодов.
Некоторые аппаратные маркеры OATH TOTP программируемые, то есть не имеют предварительно запрограммированных секретных ключей или семян. Эти программируемые аппаратные маркеры можно настроить с помощью секретного ключа или начального значения, полученного в процессе настройки программного маркера. Клиенты могут приобрести эти токены у поставщика по своему выбору и использовать секретный ключ или начальное значение в процессе настройки у поставщика.
Аппаратные токены OATH (предварительная версия)
Идентификатор Microsoft Entra поддерживает использование токенов OATH-TOTP SHA-1 и SHA-256, обновляющих коды каждые 30 или 60 секунд. Клиенты могут приобрести эти маркеры у любого поставщика по выбору.
Идентификатор Microsoft Entra имеет новый API Microsoft Graph в предварительной версии для Azure. Администраторы могут получить доступ к API Microsoft Graph с минимальными привилегиями для управления маркерами в предварительной версии. В этом предварительном обновлении в Центре администрирования Microsoft Entra не существует никаких параметров управления аппаратным токеном OATH.
Вы можете продолжать управлять маркерами из исходной предварительной версии в токенах OATH в Центре администрирования Microsoft Entra. С другой стороны, вы можете управлять маркерами только в предварительной версии обновления с помощью API Microsoft Graph.
Аппаратные токены OATH, добавленные с помощью Microsoft Graph для этого предварительного обновления, отображаются вместе с другими маркерами в Центре администрирования. Но управлять ими можно только с помощью Microsoft Graph.
Исправление смещения времени
Идентификатор Microsoft Entra корректирует временной дрейф токенов во время активации и при каждой аутентификации. В следующей таблице приведена настройка времени, которую Microsoft Entra ID выполняет для токенов во время активации и аутентификации.
| Интервал обновления маркера | Диапазон времени активации | Диапазон времени проверки подлинности |
|---|---|---|
| 30 секунд | +/- 1 день | +/- 1 минута |
| 60 секунд | +/- 2 дня | +/- 2 минуты |
Улучшения в обновлении предварительной версии
Эта предварительная версия обновления токена OATH улучшает гибкость и безопасность для организаций за счёт устранения требований к глобальному администратору. Организации могут делегировать создание маркера, назначение и активацию администраторам привилегированной проверки подлинности или администраторам политик проверки подлинности.
В следующей таблице перечислены требования к роли для управления аппаратными токенами OATH в предварительной версии обновления.
| Задача | Роль обновления предварительного просмотра |
|---|---|
| Создайте новый токен в инвентаризации тенанта. | Администратор политики проверки подлинности |
| Чтение токена из инвентаря арендатора; не возвращает секрет. | Администратор политики проверки подлинности |
| Обновите токен в арендаторе. Например, обновите производителя или модуль; Секрет нельзя обновить. | Администратор политики проверки подлинности |
| Удалите токен из инвентаря арендатора. | Администратор политики проверки подлинности |
В рамках обновления предварительной версии конечные пользователи также могут самостоятельно назначать и активировать маркеры из сведений о безопасности. В предварительной версии обновления маркер может быть назначен только одному пользователю. В следующей таблице перечислены требования к токенам и ролям для их назначения и активации.
| Задача | Состояние токена | Требование роли |
|---|---|---|
| Назначьте токен из инвентаря пользователю в арендаторе. | Назначено | Член (self) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
| Чтение токена пользователя не возвращает секрет. | Активировано или назначено (зависит от того, был ли маркер уже активирован или нет) | Член (самостоятельно) Администратор проверки подлинности (имеет только ограниченные права на чтение, но не стандартные права на чтение) Привилегированный администратор проверки подлинности |
| Обновите маркер пользователя, например укажите текущий 6-значный код для активации или измените имя маркера. | Активировано | Член (сам) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
| Удалите токен у пользователя. Маркер возвращается в инвентарь. | Доступно (назад к инвентаризации клиента) | Член (собственный) Администратор проверки подлинности Привилегированный администратор проверки подлинности |
В устаревшей политике многофакторной проверки подлинности (MFA) аппаратные и программные токены OATH можно включить только вместе. Если вы включите токены OATH в устаревшей политике MFA, конечные пользователи видят возможность добавить аппаратные токены OATH на странице сведений о безопасности.
Если вы не хотите, чтобы конечные пользователи видели параметр добавления HARDWARE OATH токенов, переходите к политике методов проверки подлинности. В политике методов проверки подлинности аппаратные и программные токены OATH можно включить и управлять отдельно. Дополнительные сведения о миграции в политику методов проверки подлинности см. в статье "Как перенести параметры политики MFA и SSPR" в политику методов проверки подлинности для идентификатора Microsoft Entra ID.
Клиенты с лицензией Microsoft Entra ID P1 или P2 могут продолжать отправлять аппаратные токены OATH, как в исходной предварительной версии. Дополнительные сведения см. в разделе "Отправка аппаратных токенов OATH" в формате CSV.
Дополнительные сведения о включении аппаратных токенов OATH и API Microsoft Graph, которые можно использовать для отправки, активации и назначения маркеров, см. в статье "Управление токенами OATH".
Значки токена OATH
Пользователи могут добавлять маркеры OATH и управлять ими в сведениях о безопасности или выбирать сведения о безопасности из моей учетной записи. Токены программного и аппаратного обеспечения OATH имеют разные значки.
| Тип регистрации токена | Иконка |
|---|---|
| Программный маркер OATH |
|
| Токен оборудования OATH |
|
Связанный контент
Узнайте больше об управлении токенами OATH. Сведения о поставщиках ключей безопасности FIDO2, которые поддерживают проверку подлинности без пароля.