Partager via


Comment gérer des jetons OATH matériels dans Microsoft Entra ID (Préversion)

Cette rubrique aborde la gestion des jetons OATH matériels dans Microsoft Entra ID, notamment les API Microsoft Graph que vous pouvez utiliser pour charger, activer et affecter des jetons OATH matériels.

Activation de jetons OATH matériels dans la stratégie des méthodes d’authentification

Vous pouvez afficher et activer les jetons OATH matériels dans la stratégie des méthodes d’authentification en utilisant les API Microsoft Graph ou le centre d’administration Microsoft Entra.

  • Si vous souhaitez afficher l’état de la stratégie des jetons OATH matériels en utilisant les API :

    GET https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOath
    
  • Pour activer la stratégie des jetons OATH matériels en utilisant les API.

    PATCH https://graph.microsoft.com/beta/policies/authenticationMethodsPolicy/authenticationMethodConfigurations/hardwareOath
    

    Dans le corps de la demande, ajoutez :

    {
      "state": "enabled"
    }
    

Pour activer les jetons OATH matériels dans le centre d’administration Microsoft Entra :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification au moins.

  2. Accédez à Entra ID>méthodes d'authentification>Jetons OATH matériels (préversion).

  3. Sélectionnez Activer, choisissez les groupes d’utilisateurs à inclure dans la stratégie, puis sélectionnez Enregistrer.

    Capture d’écran montrant comment activer les jetons OATH matériels dans le Centre d’administration Microsoft Entra.

Nous vous recommandons de migrer vers la stratégie des méthodes d’authentification pour gérer les jetons OATH matériels. Si vous activez les jetons OATH dans la stratégie MFA héritée, accédez à la stratégie dans le Centre d’administration Microsoft Entra en tant qu’administrateur de stratégie d’authentification : Entra ID>Authentification multifacteur>Paramètres supplémentaires d’authentification multifacteur basée sur le cloud. Désactivez la case à cocher pour le code de vérification à partir d’une application mobile ou d’un jeton matériel.

Scénario : l’administrateur crée, attribue et active un jeton OATH matériel

Ce scénario aborde la façon de créer, attribuer et activer un jeton OATH matériel en tant qu’administrateur, notamment les étapes de vérification et les appels d’API nécessaires. Pour plus d’informations sur les autorisations requises pour appeler ces API et pour inspecter les exemples de demande-réponse, consultez Create hardwareOathTokenAuthenticationMethodDevice.

Remarque

Un retard de 20 minutes peut se produire pour la propagation de stratégie. Prévoyez une heure pour que la stratégie soit mise à jour avant que les utilisateurs ne puissent se connecter avec leur jeton matériel OATH et le voir dans leurs informations de sécurité.

Regardons un exemple où un Administrateur de la stratégie d’authentification crée un jeton et l’attribue à un utilisateur. Vous pouvez autoriser l’attribution sans activation.

Pour le corps du post dans cet exemple, vous pouvez trouver le numéro de série de votre appareil et secretKey vous est remis.

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w", 
"timeIntervalInSeconds": 30, 
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}

La réponse inclut l’ID de jeton et l’ID d’utilisateur auquel le jeton est affecté :

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
    "id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
    "displayName": null,
    "serialNumber": "GALT11420104",
    "manufacturer": "Thales",
    "model": "OTP 110 Token",
    "secretKey": null,
    "timeIntervalInSeconds": 30,
    "status": "available",
    "lastUsedDateTime": null,
    "hashFunction": "hmacsha1",
    "assignedTo": {
        "id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
        "displayName": "Test User"
    }
}

Voici comment l’Administrateur de la stratégie d’authentification peut activer le jeton. Remplacez le code de vérification dans le corps de la demande par le code de votre jeton OATH matériel.

POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods/3dee0e53-f50f-43ef-85c0-b44689f2d66d/activate

{ 
    "verificationCode" : "903809" 
}

Pour valider l’activation du jeton, connectez-vous aux informations de sécurité en tant qu’utilisateur de test. Si vous êtes invité à approuver la demande de connexion à partir de Microsoft Authenticator, sélectionnez Utiliser un code de vérification.

Vous pouvez effectuer un GET pour répertorier les jetons :

GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices 

Cet exemple crée un jeton unique :

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices

Dans le corps de la demande, ajoutez :

{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "abcdef2234567abcdef2234567", 
"timeIntervalInSeconds": 30, 
"hashFunction": "hmacsha1" 
}

La réponse inclut l’ID de jeton.

#### Response
{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#directory/authenticationMethodDevices/hardwareOathDevices/$entity",
    "id": "3dee0e53-f50f-43ef-85c0-b44689f2d66d",
    "displayName": null,
    "serialNumber": "GALT11420104",
    "manufacturer": "Thales",
    "model": "OTP 110 Token",
    "secretKey": null,
    "timeIntervalInSeconds": 30,
    "status": "available",
    "lastUsedDateTime": null,
    "hashFunction": "hmacsha1",
    "assignedTo": null
}

Les Administrateurs de la stratégie d’authentification ou un utilisateur final peuvent annuler l’attribution d’un jeton :

DELETE https://graph.microsoft.com/beta/users/66aa66aa-bb77-cc88-dd99-00ee00ee00ee/authentication/hardwareoathmethods/6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0

Cet exemple montre comment supprimer un jeton avec l’ID de jeton 3dee0e53-f50f-43ef-85c0-b44689f2d66d :

DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/3dee0e53-f50f-43ef-85c0-b44689f2d66d

Scénario : l’administrateur crée et affecte un jeton OATH matériel qu’un utilisateur active

Dans ce scénario, un Administrateur de la stratégie d’authentification crée et attribue un jeton, puis un utilisateur peut l’activer sur la page de ses Informations de sécurité ou en utilisant l’Explorateur Microsoft Graph. Lorsque vous attribuez un jeton, vous pouvez partager les étapes permettant à l’utilisateur de se connecter aux informations de sécurité pour activer son jeton. Ils peuvent choisir Ajouter une méthode de connexion>jeton matériel. Il doit fournir le numéro de série du jeton matériel qui se trouve généralement à l’arrière de l’appareil.

POST https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{ 
"serialNumber": "GALT11420104", 
"manufacturer": "Thales", 
"model": "OTP 110 Token", 
"secretKey": "C2dE3fH4iJ5kL6mN7oP1qR2sT3uV4w", 
"timeIntervalInSeconds": 30, 
"assignTo": {"id": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee"}
}

La réponse inclut une valeur d’ID pour chaque jeton. Un Administrateur de l’authentification peut attribuer le jeton à un utilisateur :

POST https://graph.microsoft.com/beta/users/00aa00aa-bb11-cc22-dd33-44ee44ee44ee/authentication/hardwareOathMethods
{
    "device": 
    {
        "id": "6c0272a7-8a5e-490c-bc45-9fe7a42fc4e0" 
    }
}

Voici les étapes qu’un utilisateur peut suivre pour activer automatiquement son jeton OATH matériel dans les Informations de sécurité :

  1. Connectez-vous aux informations de sécurité.

  2. Sélectionnez Ajouter une méthode de connexion et choisissez Jeton matériel.

    Capture d’écran montrant comment ajouter une nouvelle méthode de connexion dans les informations de sécurité.

  3. Après avoir sélectionné le jeton matériel, sélectionnez Ajouter.

    Capture d’écran montrant comment ajouter un jeton OATH matériel dans les informations de sécurité.

  4. Vérifiez l’arrière de l’appareil pour le numéro de série, entrez-le, puis sélectionnez suivant.

    Capture d’écran montrant comment ajouter le numéro de série d’un jeton OATH matériel.

  5. Créez un nom convivial pour vous aider à choisir cette méthode pour terminer l’authentification multifacteur, puis sélectionnez Suivant.

    Capture d’écran montrant comment ajouter un nom convivial pour un jeton OATH matériel.

  6. Fournissez le code de vérification aléatoire qui s’affiche lorsque vous appuyez sur l’appareil. Pour un jeton qui actualise son code toutes les 30 secondes, vous devez entrer le code et sélectionner Suivant dans une minute. Pour qu’un jeton réinitialise toutes les 60 secondes, vous disposez de deux minutes.

    Capture d’écran montrant comment ajouter un code de vérification pour activer un jeton OATH matériel.

  7. Lorsque vous voyez que le jeton OATH matériel est correctement ajouté, sélectionnez Terminé.

    Capture d’écran d’un jeton OATH matériel après son ajout.

  8. Le jeton OATH matériel s’affiche dans la liste de vos méthodes d’authentification disponibles.

    Capture d’écran d’un jeton OATH matériel dans les informations de sécurité.

Voici les étapes que les utilisateurs peuvent suivre pour activer eux-mêmes leur jeton OATH matériel en utilisant l’Explorateur Graph.

  1. Ouvrez l’Explorateur Microsoft Graph, connectez-vous et donnez votre consentement pour les autorisations requises.

  2. Assurez-vous de disposer des autorisations requises. Pour qu’un utilisateur puisse effectuer les opérations d’API en libre-service, le consentement administrateur est requis pour Directory.Read.All, User.Read.All et User.ReadWrite.All.

  3. Obtenez la liste des jetons OATH matériels attribués à votre compte, mais pas encore activés.

    GET https://graph.microsoft.com/beta/me/authentication/hardwareOathMethods
    
  4. Copiez l’ID de l’appareil à jetons et ajoutez-le à la fin de l’URL, suivie par /activate. Vous devez entrer le code de vérification dans le corps de la demande et soumettre l’appel POST avant les modifications de code.

    POST https://graph.microsoft.com/beta/me/authentication/hardwareOathMethods/b65fd538-b75e-4c88-bd08-682c9ce98eca/activate
    

    Corps de la demande :

    {
       "verificationCode": "988659"
    }
    

Scénario : l’administrateur crée plusieurs jetons OATH matériels en bloc que les utilisateurs auto-attribuent et activent

Dans ce scénario, un Administrateur d’authentification crée des jetons sans attribution et les utilisateurs s’attribuent et activent les jetons. Vous pouvez charger de nouveaux jetons en bloc dans le tenant. Les utilisateurs peuvent se connecter aux informations de sécurité pour activer leur jeton. Ils peuvent choisir Ajouter une méthode de connexion>jeton matériel. Il doit fournir le numéro de série du jeton matériel qui se trouve généralement à l’arrière de l’appareil.

Pour assurer que le jeton est uniquement activé par un utilisateur spécifique, attribuez le jeton à l’utilisateur et envoyez-lui l’appareil à des fins d’auto-activation.

PATCH https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices
{
"@context":"#$delta", 
"value": [ 
    { 
        "@contentId": "1", 
        "serialNumber": "GALT11420108", 
        "manufacturer": "Thales", 
        "model": "OTP 110 Token", 
        "secretKey": "abcdef2234567abcdef2234567", 
        "timeIntervalInSeconds": 30, 
        "hashFunction": "hmacsha1" 
        },
    { 
        "@contentId": "2", 
        "serialNumber": "GALT11420112", 
        "manufacturer": "Thales", 
        "model": "OTP 110 Token", 
        "secretKey": "2234567abcdef2234567abcdef", 
        "timeIntervalInSeconds": 30, 
        "hashFunction": "hmacsha1" 
        }
    ]          
} 

Résolution des problèmes liés aux jetons OATH matériels

Cette section couvre les points courants

L’utilisateur a deux jetons avec le même numéro de série

Il est possible qu’un utilisateur ait deux instances du même jeton OATH matériel inscrites comme méthodes d’authentification. Cela se produit si le jeton hérité n’est pas supprimé des jetons OATH (préversion) dans le Centre d’administration Microsoft Entra après son chargement à l’aide de Microsoft Graph.

Lorsque cela se produit, les deux instances du jeton sont répertoriées comme inscrites pour l’utilisateur :

GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods

Les deux instances du token sont également répertoriées dans les tokens OATH (préversion) du Centre d'administration de Microsoft Entra :

Capture d’écran des jetons dupliqués dans le Centre d’administration Microsoft Entra.

Pour identifier et supprimer le jeton hérité.

  1. Répertoriez tous les jetons OATH matériels sur l’utilisateur.

    GET https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods
    

    Recherchez l’ID des deux jetons et copiez le numéro de série du jeton dupliqué.

  2. Identifiez le jeton hérité. Un seul jeton est retourné dans la réponse de la commande suivante. Ce jeton a été créé en utilisant Microsoft Graph.

    GET https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices?$filter=serialNumber eq '20033752'
    
  3. Supprimez l’attribution de jeton hérité à partir de l’utilisateur. Maintenant que vous connaissez l’ID du nouveau jeton, vous pouvez identifier l’ID du jeton hérité de la liste retournée à l’étape 1. Créez l’URL à l’aide du token hérité id.

    DELETE https://graph.microsoft.com/beta/users/{user-upn-or-objectid}/authentication/hardwareOathMethods/{legacyHardwareOathMethodId}
    
  4. Supprimez le jeton hérité en utilisant l'identifiant du jeton hérité dans cet appel.

    DELETE https://graph.microsoft.com/beta/directory/authenticationMethodDevices/hardwareOathDevices/{legacyHardwareOathMethodId}
    

En savoir plus sur les jetons OATH. Découvrez comment créer un ou plusieurs hardwareOathTokenAuthenticationMethodDevices.