Microsoft Entra ID 中的驗證方法 - OATH 權杖
OATH 時間型單次密碼 (TOTP) 是一項開放標準,可指定單次密碼 (OTP) 程式碼的產生方式。 OATH TOTP 可以使用軟體或硬體予以實作,來產生代碼。 Microsoft Entra ID 不支援 OATH HOTP,這是不同程式碼產生標準。
軟體 OATH 令牌
軟體 OATH 權杖通常是應用程式,例如 Microsoft Authenticator 應用程式和其他驗證器應用程式。 Microsoft Entra ID 會產生祕密金鑰或種子,將其輸入到應用程式中,並用來生成每個一次性密碼 (OTP)。
Authenticator 應用程式會在設定時自動產生代碼以執行推播通知,讓使用者具有備份,即使其裝置沒有連線也是一樣。 也可以使用可使用 OATH TOTP 來產生代碼的第三方應用程式。
有些 OATH TOTP 硬體權杖可程式化,這表示其不會隨附預先編寫的秘密金鑰或種子。 您可使用從軟體權杖安裝流程取得的秘密金鑰或種子來設定這些可程式化的硬體權杖。 客戶可以向他們所選擇的廠商購買這些代幣,並在其廠商的設定程序中使用密鑰或種子碼。
硬體 OATH 令牌 (預覽)
Microsoft Entra ID 支援使用 OATH-TOTP SHA-1 和 SHA-256 令牌,每 30 或 60 秒重新整理代碼一次。 客戶可以從選擇的供應商購買這些代幣。
Microsoft Entra ID 為 Azure 提供了一個新的 Microsoft Graph API 預覽版。 系統管理員可以使用最低權限角色存取 Microsoft Graph API,進行預覽版中的令牌管理。 在 Microsoft Entra 系統管理中心的此預覽更新中,沒有任何選項可以管理硬體 OATH 令牌。
您可以繼續在 Microsoft Entra 系統管理中心的 OATH 令牌 中管理原始預覽中的令牌。 另一方面,您只能使用 Microsoft Graph API 來管理預覽重新整理中的令牌。
您在 Microsoft Graph 中為此預覽版本更新新增的硬體 OATH 令牌,會與系統管理中心中的其他令牌一起顯示。 但是,您只能使用 Microsoft Graph 來管理它們。
時間漂移修正
Microsoft Entra ID 會在啟用並在每次驗證過程中調整令牌的時間漂移。 下表列出 Microsoft Entra ID 在啟用和登入時針對令牌所做的時間調整。
| 令牌刷新間隔 | 啟用時間範圍 | 驗證時間範圍 |
|---|---|---|
| 30 秒 | +/- 1 天 | +/- 1 分鐘 |
| 60 秒 | +/- 2 天 | +/- 2 分鐘 |
預覽重新整理中的改善
此硬體 OATH 令牌預覽重新整理可藉由移除全域管理員需求,改善組織的彈性和安全性。 組織可以將令牌建立、指派和啟用委派給特殊許可權驗證系統管理員或驗證原則管理員。
下表列出在預覽重新整理中管理硬體 OATH 令牌的角色需求。
| 任務 | 預覽重新整理角色 |
|---|---|
| 在租戶的庫存中建立新的令牌。 | 驗證原則管理員 |
| 從租戶的目錄讀取令牌,而且不會返回秘密。 | 驗證原則管理員 |
| 更新租戶中的令牌。 例如,更新製造商或模組,機密內容不可更新。 | 驗證原則管理員 |
| 從租戶的目錄中刪除令牌。 | 驗證原則管理員 |
在預覽重新整理期間,終端使用者也可以從其 安全性資訊 自我指派和啟用令牌。 在預覽重新整理中,令牌只能指派給一位使用者。 下表列出分配和啟用令牌所需的令牌與角色要求。
| 任務 | 令牌狀態 | 角色需求 |
|---|---|---|
| 將庫存中的令牌指派給租戶中的使用者。 | 已指派 | 成員(自己) 驗證管理員 特殊權限驗證管理員 |
| 檢視使用者的令牌,不會傳回秘密資訊。 | 啟動或分配(視令牌是否已啟動而定) | 成員(個人) 驗證管理員(僅限限制讀取,而非標準讀取) 特殊權限驗證管理員 |
| 更新使用者的令牌,例如提供目前 6 位數的程式代碼進行啟用,或變更令牌名稱。 | 已啟動 | 成員(本身) 驗證管理員 特殊權限驗證管理員 |
| 從使用者移除令牌。 令牌會回到令牌庫存。 | 可用(返回租戶庫存) | 成員(個人) 驗證管理員 特殊權限驗證管理員 |
在舊版多重要素驗證 (MFA) 原則中,硬體和軟體 OATH 令牌只能一起啟用。 如果您在舊版 MFA 原則中啟用 OATH 令牌,終端使用者會在其 [安全性資訊] 頁面中看到新增 硬體 OATH 令牌 的選項。
如果您不希望終端使用者看到新增 硬體 OATH 令牌的選項,請移轉至驗證方法原則。 在驗證方法原則中,可以個別啟用和管理硬體和軟體 OATH 令牌。 如需如何移轉至驗證方法原則的詳細資訊,請參閱 如何將 MFA 和 SSPR 原則設定移轉至 Microsoft Entra ID 的驗證方法原則。
具有Microsoft Entra ID P1 或 P2 授權的租使用者可以繼續上傳硬體 OATH 令牌,如原始預覽所示。 如需詳細資訊,請參閱 以 CSV 格式上傳硬體 OATH 令牌。
如需如何啟用硬體 OATH 令牌和Microsoft Graph API 的詳細資訊,您可以用來上傳、啟用和指派令牌,請參閱 如何管理 OATH 令牌。
OATH 令牌圖示
用戶可以在安全性資訊中新增和管理 OATH 令牌,也可以從 [我的帳戶] 選取 [安全性資訊]。 軟體和硬體 OATH 令牌有不同的圖示。
| 令牌註冊類型 | 圖標 |
|---|---|
| OATH 軟體權杖 |
|
| OATH 硬體令牌 |
|
相關內容
深入瞭解 如何管理 OATH 令牌。 了解與無密碼驗證相容的 FIDO2 安全性金鑰供應商。