Autentiseringsmetoder i Microsoft Entra-ID – OATH-token
OATH-tidsbaserat engångslösenord (TOTP) är en öppen standard som anger hur engångslösenordkoder (OTP) genereras. OATH TOTP kan implementeras med antingen programvara eller maskinvara för att generera koderna. Microsoft Entra-ID stöder inte OATH HOTP, en annan kodgenereringsstandard.
Oath-token för programvara
OATH-programvarutoken är vanligtvis program som Microsoft Authenticator-appen och andra autentiseringsappar. Microsoft Entra ID genererar den hemliga nyckeln, eller startvärdet, som matas in i appen och används för att generera varje OTP.
Authenticator-appen genererar automatiskt koder när den konfigureras för att skicka push-meddelanden så att en användare har en säkerhetskopia även om deras enhet inte har någon anslutning. Program från tredje part som använder OATH TOTP för att generera koder kan också användas.
Vissa OATH TOTP-maskinvarutoken är programmerbara, vilket innebär att de inte levereras med en hemlig nyckel eller en förprogrammerad startnyckel. Dessa programmerbara maskinvarutoken kan konfigureras med hjälp av den hemliga nyckeln eller det frö som hämtas från installationsflödet för programvarutoken. Kunder kan köpa dessa token från valfri leverantör och använda den hemliga nyckeln eller fröet i leverantörens installationsprocess.
Oath-maskinvarutoken (förhandsversion)
Microsoft Entra ID stöder användning av OATH-TOTP SHA-1- och SHA-256-token som uppdaterar koder var 30:e eller 60:e sekund. Kunder kan köpa dessa token från valfri leverantör.
Microsoft Entra ID har ett nytt Microsoft Graph API i förhandsversion för Azure. Administratörer kan komma åt Microsoft Graph-API:er med minst privilegierade roller för att hantera token i förhandsversionen. Det finns inga alternativ för att hantera maskinvaru-OATH-token i den här förhandsgranskningsuppdateringen i administrationscentret för Microsoft Entra.
Du kan fortsätta att hantera token från den ursprungliga förhandsversionen i OATH-token i administrationscentret för Microsoft Entra. Å andra sidan kan du bara hantera token i förhandsgranskningsuppdateringen med hjälp av Microsoft Graph-API:er.
Maskinvaru-OATH-token som du lägger till med Microsoft Graph för den här förhandsgranskningsuppdateringen visas tillsammans med andra token i administrationscentret. Men du kan bara hantera dem med hjälp av Microsoft Graph.
Tidsavvikelsekorrigering
Microsoft Entra ID justerar tidsavvikelsen för token under aktivering och varje autentisering. I följande tabell visas den tidsjustering som Microsoft Entra-ID gör för token under aktivering och inloggning.
| Intervall för tokenuppdatering | Tidsintervall för aktivering | Tidsintervall för autentisering |
|---|---|---|
| 30 sekunder | +/- 1 dag | +/- 1 minut |
| 60 sekunder | +/- 2 dagar | +/- 2 minuter |
Förbättringar i förhandsgranskningsuppdateringen
Den här uppdateringen av förhandsversionen av OATH-token för maskinvara förbättrar flexibiliteten och säkerheten för organisationer genom att ta bort globala administratörskrav. Organisationer kan delegera skapande, tilldelning och aktivering av token till administratörer för privilegierad autentisering eller administratörer av autentiseringsprinciper.
I följande tabell jämförs kraven för administratörsrollen för att hantera maskinvaru-OATH-token i förhandsgranskningsuppdateringen jämfört med den ursprungliga förhandsversionen.
| Uppgift | Ursprunglig förhandsgranskningsroll | Förhandsgranskningsuppdateringsroll |
|---|---|---|
| Skapa en ny token i klientorganisationens inventering. | Global administratör | Administratör av autentiseringsprincip |
| Läs en token från klientorganisationens inventering. returnerar inte hemligheten. | Global administratör | Administratör av autentiseringsprincip |
| Uppdatera en token i klientorganisationen. Till exempel uppdateringstillverkare eller modul; Hemligheten kan inte uppdateras. | Global administratör | Administratör av autentiseringsprincip |
| Ta bort en token från klientorganisationens inventering. | Global administratör | Administratör av autentiseringsprincip |
Som en del av förhandsgranskningsuppdateringen kan slutanvändarna också självtilldela och aktivera token från sin säkerhetsinformation. I förhandsgranskningsuppdateringen kan en token bara tilldelas till en användare. I följande tabell visas token- och rollkrav för att tilldela och aktivera token.
| Uppgift | Tokentillstånd | Rollkrav |
|---|---|---|
| Tilldela en token från lagret till en användare i klientorganisationen. | Tilldelad | Medlem (själv) Autentiseringsadministratör Administratör av privilegierad autentisering |
| Läs användarens token, returnerar inte hemligheten. | Aktiverad/tilldelad (beror på om token redan har aktiverats eller inte) | Medlem (själv) Autentiseringsadministratör (har endast begränsad läsbehörighet, inte standardläsning) Administratör av privilegierad autentisering |
| Uppdatera användarens token, till exempel ange aktuell 6-siffrig kod för aktivering eller ändra tokennamnet. | Aktiverat | Medlem (själv) Autentiseringsadministratör Administratör av privilegierad autentisering |
| Ta bort token från användaren. Token återgår till tokeninventeringen. | Tillgänglig (tillbaka till klientinventeringen) | Medlem (själv) Autentiseringsadministratör Administratör av privilegierad autentisering |
I den äldre MFA-principen (multifaktorautentisering) kan maskinvaru- och programvaru-OATH-token endast aktiveras tillsammans. Om du aktiverar OATH-token i den äldre MFA-principen ser slutanvändarna ett alternativ för att lägga till OATH-maskinvarutoken på sidan Säkerhetsinformation.
Om du inte vill att slutanvändarna ska se ett alternativ för att lägga till OATH-maskinvarutoken migrerar du till principen Autentiseringsmetoder. I principen Autentiseringsmetoder kan maskinvaru- och programvaru-OATH-token aktiveras och hanteras separat. Mer information om hur du migrerar till principen Autentiseringsmetoder finns i Migrera principinställningar för MFA och SSPR till principen Autentiseringsmetoder för Microsoft Entra-ID.
Klienter med en Microsoft Entra ID P1- eller P2-licens kan fortsätta att ladda upp maskinvaru-OATH-token som i den ursprungliga förhandsversionen. Mer information finns i Ladda upp maskinvaru-OATH-token i CSV-format.
Mer information om hur du aktiverar OATH-maskinvarutoken och Microsoft Graph-API:er som du kan använda för att ladda upp, aktivera och tilldela token finns i Hantera OATH-token.
OATH-tokenikoner
Användare kan lägga till och hantera OATH-token i Säkerhetsinformation, eller välja Säkerhetsinformation från Mitt konto. Oath-token för programvara och maskinvara har olika ikoner.
| Typ av tokenregistrering | Ikon |
|---|---|
| OATH-programvarutoken |  |
| OATH-maskinvarutoken |  |
Relaterat innehåll
Läs mer om hur du hanterar OATH-token. Läs mer om FIDO2-säkerhetsnyckelprovidrar som är kompatibla med lösenordslös autentisering.