Méthodes d’authentification dans Microsoft Entra ID - Jetons OATH
Les mots de passe à usage unique et durée définie (TOTP) OATH sont une norme ouverte qui spécifie la manière dont les codes de mot de passe (OTP) à usage unique sont générés. Les mots de passe à usage unique et durée définie OATH peuvent être implémentés à l’aide de logiciels ou de matériels permettant de générer des codes. Microsoft Entra ID ne prend pas en charge les HOTP OATH, une norme de génération de code différente.
Jetons OATH logiciels
Les jetons logiciels OATH sont généralement des applications telles que l’application Microsoft Authenticator et d’autres applications d’authentification. Microsoft Entra ID génère la clé secrète, ou la valeur de départ, qui est entrée dans l’application et utilisée pour générer chaque code OTP.
L’application Authenticator génère automatiquement des codes lorsqu’elle est configurée pour effectuer des notifications push, afin que l’utilisateur dispose d’une sauvegarde, même si son appareil n’a pas de connectivité. Les applications tierces qui utilisent les TOTP OATH pour générer des codes peuvent également être utilisées.
Certains jetons matériels TOTP OATH sont programmables, ce qui signifie qu’ils ne sont pas fournis avec une clé secrète ou une valeur initiale préprogrammée. Ces jetons matériels programmables peuvent être configurés à l’aide de la clé secrète ou de la valeur initiale obtenue à partir du flux d’installation du jeton logiciel. Les clients peuvent acheter ces jetons auprès du fournisseur de leur choix et utiliser la clé secrète ou la valeur initiale dans le processus d’installation de leur fournisseur.
Jetons OATH matériels (préversion)
Microsoft Entra ID prend en charge l’utilisation de jetons OATH-TOTP SHA-1 et SHA-256 qui actualisent les codes toutes les 30 ou 60 secondes. Les clients peuvent acheter ces jetons auprès du fournisseur de leur choix.
Microsoft Entra ID a une nouvelle API Microsoft Graph en préversion pour Azure. Les administrateurs peuvent accéder aux API Microsoft Graph avec des rôles moins privilégiés pour gérer les jetons dans la préversion. Il n’existe aucune option permettant de gérer un jeton OATH matériel dans cette actualisation de la préversion dans le centre d’administration Microsoft Entra.
Vous pouvez continuer à gérer les jetons à partir de la préversion d’origine dans Jetons OATH, dans le centre d’administration Microsoft Entra. En revanche, vous pouvez seulement gérer les jetons dans l’actualisation de la préversion en utilisant des API Microsoft Graph.
Les jetons OATH matériels que vous ajoutez avec Microsoft Graph pour cette actualisation de la préversion apparaissent avec les autres jetons dans le centre d’administration. Cependant, vous pouvez les gérer seulement en utilisant Microsoft Graph.
Correction de la dérive temporelle
Microsoft Entra ID ajuste la dérive temporelle des jetons pendant l’activation et lors de chaque authentification. Le tableau suivant liste l’ajustement temporel que Microsoft Entra ID effectue pour les jetons lors de l’activation et lors de la connexion.
Intervalle d’actualisation des jetons | Intervalle de temps de l’activation | Intervalle de temps de l’authentification |
---|---|---|
30 secondes | +/- 1 jour | +/- 1 minute |
60 secondes | +/- 2 jours | +/- 2 minutes |
Améliorations apportées à l’actualisation de la préversion
Cette actualisation de la préversion du jeton OATH matériel améliore la flexibilité et la sécurité pour les organisations en supprimant les exigences d’un rôle d’administrateur général. Les organisations peuvent déléguer la création, l’affectation et l’activation des jetons à des administrateurs d’authentification privilégiés ou à des administrateurs de stratégie d’authentification.
Le tableau suivant compare les exigences des rôles d’administrateur pour gérer les jetons OATH matériels dans l’actualisation de la préversion et dans la préversion d’origine.
Tâche | Rôle de la préversion d’origine | Rôle de l’actualisation de la préversion |
---|---|---|
Créer un jeton dans l’inventaire du locataire. | Administrateur général | Administrateur de la stratégie d’authentification |
Lire un jeton dans l’inventaire du locataire ; ne retourne pas le secret. | Administrateur général | Administrateur de la stratégie d’authentification |
Mettre à jour un jeton dans le locataire. Par exemple, mettre à jour le fabricant ou le module ; le secret ne peut pas être mis à jour. | Administrateur général | Administrateur de la stratégie d’authentification |
Supprimer un jeton de l’inventaire du locataire. | Administrateur général | Administrateur de la stratégie d’authentification |
Dans le cadre de l’actualisation de la préversion, les utilisateurs finaux peuvent également s’auto-affecter et activer des jetons à partir de leurs informations de sécurité. Dans l’actualisation de la préversion, un jeton ne peut être affecté qu’à un seul utilisateur. Le tableau suivant liste les exigences des jetons et des rôles pour affecter et activer des jetons.
Tâche | État du jeton | Exigence de rôle |
---|---|---|
Affecter un jeton de l’inventaire à un utilisateur du locataire. | Affecté | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
Lire le jeton de l’utilisateur ; ne retourne pas le secret. | Activé / Affecté (dépend de ce que le jeton a ou non déjà été activé) | Membre (lui-même) Administrateur d’authentification (a seulement un droit de lecture restreint, pas un droit lecture standard) Administrateur d’authentification privilégié |
Mettre à jour le jeton de l’utilisateur, comme fournir le code à 6 chiffres actuel pour l’activation ou changer le nom du jeton. | Activé | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
Supprimer le jeton de l’utilisateur. Le jeton revient à l’inventaire des jetons. | Disponible (retour à l’inventaire du locataire) | Membre (lui-même) Administrateur d’authentification Administrateur d’authentification privilégié |
Dans la stratégie d’authentification multifacteur (MFA) héritée, les jetons OATH matériels et logiciels ne peuvent être activés qu’ensemble. Si vous activez les jetons OATH dans la stratégie MFA héritée, les utilisateurs finaux voient une option permettant d’ajouter Jetons OATH matériels dans leur page Informations de sécurité.
Si vous ne voulez pas que les utilisateurs finaux voient une option permettant d’ajouter Jetons OATH matériels, migrez vers la stratégie des méthodes d’authentification. Dans la stratégie des méthodes d’authentification, les jetons OATH matériels et logiciels peuvent être activés et gérés séparément. Pour plus d’informations sur la migration vers la stratégie des méthodes d’authentification, consultez Comment migrer les paramètres de stratégie MFA et SSPR vers la stratégie des méthodes d’authentification pour Microsoft Entra ID.
Les locataires disposant d’une licence Microsoft Entra ID P1 ou P2 peuvent continuer à charger des jetons OATH matériels comme dans la préversion d’origine. Pour plus d’informations, consultez Charger des jetons OATH matériels au format CSV.
Pour plus d’informations sur l’activation des jetons OATH matériels et des API Microsoft Graph que vous pouvez utiliser pour charger, activer et affecter des jetons, consultez Comment gérer les jetons OATH.
Icônes des jetons OATH
Les utilisateurs peuvent ajouter et gérer des jetons OATH dans Informations de sécurité, ou ils peuvent sélectionner Informations de sécurité dans Mon compte. Les jetons OATH logiciels et matériels ont des icônes différentes.
Type d’inscription de jeton | Icône |
---|---|
Jeton logiciel OATH | |
Jetons matériels OATH |
Contenu connexe
En savoir plus sur la gestion des jetons OATH. Découvrez les fournisseurs de clés de sécurité FIDO2 compatibles avec l’authentification sans mot de passe.