Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les mots de passe à usage unique et durée définie (TOTP) OATH forment une norme ouverte qui spécifie le mode de génération des codes de mot de passe (OTP) à usage unique. Les mots de passe à usage unique et durée définie OATH peuvent être implémentés à l’aide de logiciels ou de matériels permettant de générer des codes. Microsoft Entra ID ne prend pas en charge les HOTP OATH, une norme de génération de code différente.
Jetons logiciels OATH
Les jetons logiciels OATH sont généralement des applications telles que l’application Microsoft Authenticator et d’autres applications d’authentification. Microsoft Entra ID génère la clé secrète, ou la valeur de départ, qui est entrée dans l’application et utilisée pour générer chaque code OTP.
L’application Authenticator génère automatiquement des codes lorsqu’elle est configurée pour effectuer des notifications push, afin que l’utilisateur dispose d’une sauvegarde, même si son appareil n’a pas de connectivité. Les applications tierces qui utilisent les TOTP OATH pour générer des codes peuvent également être utilisées.
Certains jetons matériels TOTP OATH sont programmables, ce qui signifie qu’ils ne sont pas fournis avec une clé secrète ou une valeur de départ préprogrammée. Ces jetons matériels programmables peuvent être configurés à l’aide de la clé secrète ou de la valeur initiale obtenue à partir du flux d’installation du jeton logiciel. Les clients peuvent acheter ces jetons auprès du fournisseur de leur choix et utiliser la clé secrète ou la valeur initiale dans le processus d’installation de leur fournisseur.
Jetons matériels OATH (version préliminaire)
Microsoft Entra ID prend en charge l’utilisation de jetons OATH-TOTP SHA-1 et SHA-256 qui actualisent les codes toutes les 30 ou 60 secondes. Les clients peuvent acheter ces jetons auprès du fournisseur de leur choix.
Microsoft Entra ID a une nouvelle API Microsoft Graph en préversion pour Azure. Les administrateurs peuvent accéder aux API Microsoft Graph avec des rôles moins privilégiés pour gérer les jetons dans la préversion. Il n’existe aucune option permettant de gérer un jeton OATH matériel dans cette actualisation de la préversion dans le centre d’administration Microsoft Entra.
Vous pouvez continuer à gérer les jetons à partir de la préversion d’origine dans Jetons OATH, dans le centre d’administration Microsoft Entra. Par ailleurs, vous pouvez uniquement gérer les jetons dans l’actualisation de la préversion en utilisant des API Microsoft Graph.
Les jetons OATH matériels que vous ajoutez avec Microsoft Graph pour cette actualisation de la préversion apparaissent avec les autres jetons dans le centre d’administration. Cependant, vous pouvez les gérer seulement en utilisant Microsoft Graph.
Correction de la dérive temporelle
Microsoft Entra ID ajuste la dérive temporelle des jetons pendant l’activation et lors de chaque authentification. Le tableau suivant répertorie l’ajustement temporel que Microsoft Entra ID effectue pour les jetons lors de l’activation et de la connexion.
| Intervalle d’actualisation des jetons | Intervalle de temps de l’activation | Intervalle de temps de l’authentification |
|---|---|---|
| 30 secondes | +/- 1 jour | +/- 1 minute |
| 60 secondes | +/- 2 jours | +/- 2 minutes |
Améliorations apportées à l’actualisation de la préversion
Cette actualisation de la préversion du jeton OATH matériel améliore la flexibilité et la sécurité pour les organisations en supprimant les exigences d’un rôle d’administrateur général. Les organisations peuvent déléguer la création, l’affectation et l’activation des jetons à des administrateurs d’authentification privilégiés ou à des administrateurs de stratégie d’authentification.
Le tableau suivant répertorie les exigences de rôle pour gérer les jetons OATH matériels dans l’actualisation de la préversion.
| Tâche | Rôle de l’actualisation de la préversion |
|---|---|
| Créer un jeton dans l’inventaire du locataire. | Administrateur de la stratégie d’authentification |
| Lire un jeton dans l’inventaire du locataire ; ne retourne pas le secret. | Administrateur de la stratégie d’authentification |
| Mettre à jour un jeton dans le locataire. Par exemple, mettre à jour le fabricant ou le module ; le secret ne peut pas être mis à jour. | Administrateur de la stratégie d’authentification |
| Supprimer un jeton de l’inventaire du locataire. | Administrateur de la stratégie d’authentification |
Dans le cadre de l’actualisation de la préversion, les utilisateurs finaux peuvent également s’auto-attribuer et activer des jetons à partir de leurs informations de sécurité. Dans l’actualisation de la préversion, un jeton ne peut être attribué qu’à un seul utilisateur. Le tableau suivant répertorie les exigences des jetons et des rôles pour attribuer et activer des jetons.
| Tâche | État du jeton | Conditions requises pour le rôle |
|---|---|---|
| Attribuer un jeton de l’inventaire à un utilisateur dans le locataire. | Attribué | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
| Lire le jeton de l’utilisateur ; ne retourne pas le secret. | Activé/Attribué (selon que le jeton a été activé ou non) | Membre (lui-même) Administrateur d’authentification (dispose d’un droit de lecture restreint, non standard) Administrateur d’authentification privilégié |
| Mettre à jour le jeton de l’utilisateur, par exemple, fournir le code à 6 chiffres actuel pour l’activation ou changer le nom du jeton. | Activé | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
| Supprimer le jeton de l’utilisateur. Le jeton revient à l’inventaire des jetons. | Disponible (retour à l’inventaire du locataire) | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
Dans la stratégie d’authentification multifacteur (MFA) héritée, les jetons OATH matériels et logiciels peuvent uniquement être activés ensemble. Si vous activez les jetons OATH dans la stratégie d’authentification multifacteur héritée, les utilisateurs finaux voient une option permettant d’ajouter des Jetons OATH matériels dans leur page Informations de sécurité.
Si vous ne voulez pas que les utilisateurs finaux voient une option permettant d’ajouter des Jetons OATH matériels, migrez vers la stratégie des méthodes d’authentification. Dans la stratégie des méthodes d’authentification, les jetons OATH matériels et logiciels peuvent être activés et gérés séparément. Pour plus d’informations sur la migration vers la stratégie des méthodes d’authentification, consultez Comment migrer les paramètres de stratégie MFA et SSPR vers la stratégie des méthodes d’authentification pour Microsoft Entra ID.
Les locataires disposant d’une licence Microsoft Entra ID P1 ou P2 peuvent continuer à charger des jetons OATH matériels comme dans la préversion d’origine. Pour en savoir plus, consultez Charger des jetons OATH matériels au format CSV.
Pour en savoir plus sur l’activation des jetons OATH matériels et des API Microsoft Graph que vous pouvez utiliser pour charger, activer et affecter des jetons, consultez Comment gérer les jetons OATH.
Icônes des jetons OATH
Les utilisateurs peuvent ajouter et gérer des jetons OATH dans Informations de sécurité ou sélectionner Informations de sécurité dans Mon compte. Les jetons logiciels OATH et matériels ont des icônes différentes.
| Type d’inscription de jeton | Icône |
|---|---|
| Jeton logiciel OATH |  |
| Jetons matériels OATH |  |
Contenu associé
En savoir plus sur la gestion des jetons OATH. Découvrez les fournisseurs de clés de sécurité FIDO2 compatibles avec l’authentification sans mot de passe.