上传 CSV 格式的硬件 OATH 令牌

硬件 OATH 令牌通常附带一个在令牌中经过预编程的密钥或种子。 在用户可以使用硬件 OATH 令牌登录到其工作或学校帐户 Microsoft Entra ID 之前，管理员需要将令牌添加到租户。 添加令牌的建议方法是使用具有最低特权管理员角色的 Microsoft Graph。 有关详细信息，请参阅硬件 OATH 令牌（预览版）。

作为使用 Microsoft Graph API 的替代方法，具有 Microsoft Entra ID Premium 许可证的租户可以让全局管理员将这些密钥输入 Microsoft Entra ID 中。 密钥限制为 128 个字符，与某些令牌不兼容。 密钥只能包含字符 a-z 或 A-Z，以及数字 2-7，并且必须采用 Base32 编码。

也可以在软件令牌设置流中使用 Microsoft Entra ID 设置可重新设定种子的可编程 OATH 基于时间的一次性密码 (TOTP) 硬件令牌。

获取令牌后，全局管理员必须以逗号分隔值 (CSV) 文件格式上传它们。 此文件应包含 UPN、序列号、密钥、时间间隔、制造商和型号，如以下示例所示：

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

注意

请确保 CSV 文件中包含标题行。

正确格式化为 CSV 文件后，全局管理员便可以登录 Microsoft Entra 管理中心并导航到“保护”>“多重身份验证”>“OATH 令牌”，然后上传生成的 CSV 文件。

根据 CSV 文件的大小，这可能需要花费几分钟来处理。 选择“刷新”按钮可获取当前状态。 如果文件中有任何错误，则可以下载 CSV 文件，其中列出了需要解决的所有错误。 下载的 CSV 文件中的字段名称与上传的版本不同。

解决任何错误后，特权身份验证管理员或最终用户可以激活密钥。 选择“激活”令牌，然后输入令牌上显示的 OTP。 每 5 分钟最多可以激活 200 个 OATH 令牌。

用户最多可以组合使用 5 个 OATH 硬件令牌或验证器应用程序（如配置为可随时使用的 Microsoft Authenticator 应用）。 无法将硬件 OATH 令牌分配给资源租户中的来宾用户。

重要

请确保仅将每个令牌分配给单个用户。 无法将单个令牌分配给多个用户。

排查上传处理过程中的失败问题

有时，处理 CSV 文件的上传可能会出现冲突或问题。 如果发生任何冲突或问题，你会收到类似于以下通知的通知：

若要确定错误消息，请务必选择“查看详细信息”。 “硬件令牌状态”边栏选项卡此时会打开，其中提供了上传状态的摘要。 它表明存在一个或多个失败，如以下示例所示：

若要确定列出的失败的原因，请务必单击要查看的状态旁边的复选框，这会激活“下载”选项。 这将下载包含已标识错误的 CSV 文件。

下载的文件名为 Failures_filename.csv，其中的 filename 是上传的文件的名称。 它保存到浏览器的默认下载目录。

此示例显示的错误表明某个用户目前不存在于租户目录中：

解决列出的错误后，请再次上传 CSV，直至它处理成功。 每次尝试的状态信息保留 30 天。 可以手动删除 CSV，方法是：先单击状态旁边的复选框，然后根据需要选择“删除状态”。

相关内容

详细了解如何管理 OATH 令牌。 了解与无密码身份验证兼容的 FIDO2 安全密钥提供程序。