Microsoft Entra ID 中的身份验证方法 - OATH 令牌
OATH 基于时间的一次性密码 (TOTP) 是一个开放标准,用于指定如何生成一次性密码 (OTP) 代码。 可以通过使用软件或硬件生成代码来实现 OATH TOTP。 Microsoft Entra ID 不支持 OATH HOTP,这是另一种代码生成标准。
软件 OATH 令牌
软件 OATH 令牌通常是应用程序,如 Microsoft Authenticator 应用和其他验证器应用。 Microsoft Entra ID 生成密钥或种子,密钥或种子会被输入应用中,并用于生成每个 OTP。
Authenticator 应用在设置为发送推送通知后会自动生成代码,以便用户即使在设备没有连接时,也可以有一个备份。 还可以使用通过 OATH TOTP 生成代码的第三方应用程序。
某些 OATH TOTP 硬件令牌是可编程的,这意味着它们不附带密钥或预编程的种子。 这些可编程硬件令牌可以使用从软件令牌设置流获取的密钥或种子进行设置。 客户可以从自己选择的供应商处购买这些令牌,并在供应商的设置过程中使用密钥或种子。
硬件 OATH 令牌(预览版)
Microsoft Entra ID 支持使用每 30 或 60 秒刷新一次代码的 OATH-TOTP SHA-1 和 SHA-256 令牌。 客户可以从所选的供应商处购买这些令牌。
Microsoft Entra ID 在适用于 Azure 的预览版中拥有新的 Microsoft Graph API。 管理员可以访问具有最低特权角色的 Microsoft 图形 API,以在预览版中管理令牌。 在此次 Microsoft Entra 管理中心预览版刷新中,没有提供用于管理硬件 OATH 令牌的选项。
你可以继续在 Microsoft Entra 管理中心 OATH 令牌的原始预览版中管理 OATH 令牌。 而另一方面,你只能使用 Microsoft Graph API 在预览版刷新中管理令牌。
通过 Microsoft Graph 在此次预览刷新中添加的硬件 OATH 令牌与管理中心中的其他令牌一起显示。 但你只能使用 Microsoft Graph 来管理这些令牌。
时间偏移更正
Microsoft Entra ID 会在激活和每次身份验证期间调整令牌的时间偏移。 下表列出了激活和登录期间 Microsoft Entra ID 对令牌做出的时间调整。
| 令牌刷新间隔 | 激活时间范围 | 身份验证时间范围 |
|---|---|---|
| 30 秒 | +/- 1 天 | +/- 1 分钟 |
| 60 秒 | +/- 2 天 | +/- 2 分钟 |
预览版刷新中的改进
此硬件 OATH 令牌预览版刷新通过删除全局管理员要求提高了组织的灵活性和安全性。 组织可以将令牌创建、分配和激活的任务委托给特权身份验证管理员或身份验证策略管理员。
下表比较了在预览版刷新与原始预览版中对管理硬件 OATH 令牌的管理员角色的要求。
| 任务 | 原始预览版角色 | 预览版刷新角色 |
|---|---|---|
| 在租户的清单中创建新令牌。 | 全局管理员 | 身份验证策略管理员 |
| 从租户清单中读取令牌;不返回机密。 | 全局管理员 | 身份验证策略管理员 |
| 更新租户中的令牌。 例如,更新制造商或模块;无法更新机密。 | 全局管理员 | 身份验证策略管理员 |
| 从租户清单中删除令牌。 | 全局管理员 | 身份验证策略管理员 |
作为预览版刷新的一部分,最终用户也可以从其安全信息中自行分配和激活令牌。 在预览版刷新中,只能将一个令牌分配给一个用户。 下表列出了分配和激活令牌的令牌和角色要求。
| 任务 | 令牌状态 | 角色要求 |
|---|---|---|
| 将清单中的令牌分配给租户中的用户。 | 已分配 | 成员(自己) 身份验证管理员 特权身份验证管理员 |
| 读取用户的令牌不会返回机密。 | 已激活/已分配(取决于令牌是否已激活) | 成员(自己) 身份验证管理员(仅拥有受限读取权限,而不是标准读取权限) 特权身份验证管理员 |
| 更新用户的令牌,例如提供当前 6 位数代码进行激活或更改令牌名称。 | 已激活 | 成员(自己) 身份验证管理员 特权身份验证管理员 |
| 从用户中删除令牌。 令牌会返回到令牌清单。 | 可用(返回到租户清单) | 成员(自己) 身份验证管理员 特权身份验证管理员 |
在旧版多重身份验证 (MFA) 策略中,硬件和软件 OATH 令牌只能一起启用。 如果在旧版 MFA 策略中启用 OATH 令牌,最终用户将在其安全信息页中看到添加“硬件 OATH 令牌”的选项。
如果你不希望最终用户看到添加“硬件 OATH 令牌”的选项,请迁移到身份验证方法策略。 在身份验证方法策略中,你可以单独启用和管理硬件和软件 OATH 令牌。 有关如何迁移到身份验证方法策略的详细信息,请参阅如何将 MFA 和 SSPR 策略设置迁移到 Microsoft Entra ID 的身份验证方法策略。
具有 Microsoft Entra ID P1 或 P2 许可证的租户可以继续上传硬件 OATH 令牌,操作方法与原始预览版相同。 有关详细信息,请参阅上传 CSV 格式的硬件 OATH 令牌。
有关如何启用硬件 OATH 令牌以及可用于上传、激活和分配令牌的 Microsoft Graph API 的详细信息,请参阅如何管理 OATH 令牌。
OATH 令牌图标
用户可以在安全信息中添加和管理 OATH 令牌,也可以从“我的帐户”中选择“安全信息”进行添加。 软件和硬件 OATH 令牌的图标不同。
| 令牌注册类型 | 图标 |
|---|---|
| OATH 软件令牌 |  |
| OATH 硬件令牌 |  |
相关内容
详细了解如何管理 OATH 令牌。 了解与无密码身份验证兼容的 FIDO2 安全密钥提供程序。