Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az OATH időalapú egyszeri jelszava (TOTP) egy nyílt szabvány, amely meghatározza az egyszeri jelszókódok (OTP) létrehozását. Az OATH TOTP szoftverrel vagy hardverrel implementálható a kódok létrehozásához. A Microsoft Entra ID nem támogatja az OATH HOTP-t, egy másik kódgenerálási szabványt.
Szoftveres OATH-jogkivonatok
A szoftveres OATH-tokenek jellemzően olyan alkalmazások, mint a Microsoft Authenticator alkalmazás és más hitelesítési alkalmazások. A Microsoft Entra ID generálja a titkos kulcsot vagy magot, amelyet az alkalmazásba kell bevinni, és minden egyes OTP generálásához kell használni.
Az Authenticator alkalmazás automatikusan generál kódokat, amikor leküldéses értesítésekre van beállítva, így a felhasználó akkor is rendelkezik biztonsági mentéssel, ha az eszköz nem rendelkezik kapcsolattal. Olyan külső alkalmazások is használhatók, amelyek az OATH TOTP protokollt használják kódok létrehozásához.
Egyes OATH TOTP hardveres tokenek programozhatók, ami azt jelenti, hogy nem rendelkeznek titkos kulccsal vagy előre beprogramozott maggal. Ezek a programozható hardveres jogkivonatok a szoftverjogkivonat beállítási folyamatából beszerzett titkos kulcs vagy mag használatával állíthatók be. Az ügyfelek megvásárolhatják ezeket a tokeneket a választott szállítótól, és használhatják a titkos kulcsot vagy a magot a szállító telepítési folyamatában.
Hardveres OATH-tokenek (előzetes verzió)
A Microsoft Entra ID támogatja az OATH-TOTP SHA-1 és SHA-256 tokenek használatát, amelyek 30 vagy 60 másodpercenként frissítik a kódokat. Az ügyfelek megvásárolhatják ezeket a tokeneket a választott szállítótól.
A Microsoft Entra ID előzetes verzióban egy új Microsoft Graph API-val rendelkezik az Azure-hoz. A rendszergazdák hozzáférhetnek a Microsoft Graph API-khoz a legkevésbé kiemelt szerepkörökkel a jogkivonatok előzetes verzióban való kezeléséhez. Ebben az előzetes frissítésben a Microsoft Entra felügyeleti központban nincs lehetőség a hardveres OATH-jogkivonat kezelésére.
Továbbra is kezelheti az eredeti előnézetben található jogkivonatokat az OATH-jogkivonatokban a Microsoft Entra felügyeleti központban. Másrészt, csak a Microsoft Graph API-k használatával kezelheti a jogkivonatokat az előzetes frissítés során.
Az előzetes frissítéshez a Microsoft Graphtal hozzáadott hardveres OATH-jogkivonatok a felügyeleti központban más jogkivonatokkal együtt jelennek meg. Ezeket azonban csak a Microsoft Graph használatával kezelheti.
Időeltolódás korrekciója
A Microsoft Entra ID a tokenek időeltolódását aktiváláskor és minden hitelesítés során módosítja. Az alábbi táblázat felsorolja azokat az időkorrekciókat, amelyeket a Microsoft Entra ID a tokenek számára végez az aktiválás és bejelentkezés során.
| Jogkivonat frissítési intervallum | Aktiválási időtartomány | Hitelesítési időtartomány |
|---|---|---|
| 30 másodperc | +/- 1 nap | ±1 perc |
| 60 másodperc | plusz-mínusz 2 nap | +/- 2 perc |
Az előzetes verzió frissítésének fejlesztései
Ez a hardveres OATH-jogkivonat előzetes frissítése a globális rendszergazdai követelmények eltávolításával javítja a vállalatok rugalmasságát és biztonságát. A szervezetek a token létrehozását, hozzárendelését és aktiválását delegálhatják a kiemelt hitelesítési rendszergazdáknak vagy a hitelesítési házirend rendszergazdáinak.
Az alábbi táblázat a hardveres OATH-jogkivonatok előzetes frissítésben való kezeléséhez szükséges szerepkör-követelményeket sorolja fel.
| Feladat | Előnézet frissítési szerepkör |
|---|---|
| Hozzon létre egy új tokent a bérlő leltárában. | Hitelesítési szabályzatot felügyelő rendszergazda |
| Token olvasása a bérlő leltárából; nem adja ki a titkot. | Hitelesítési szabályzatot felügyelő rendszergazda |
| Frissítsen egy tokent a bérlői környezetben. Például frissítse a gyártót vagy a modult; A titkos kód nem frissíthető. | Hitelesítési szabályzatot felügyelő rendszergazda |
| Egy token törlése a bérlő leltárából. | Hitelesítési szabályzatot felügyelő rendszergazda |
Az előzetes verziójú frissítés részeként a végfelhasználók saját maguk is hozzárendelhetnek és aktiválhatnak jogkivonatokat a biztonsági adataikból. Az előnézeti frissítésben egy token csak egy felhasználóhoz rendelhető hozzá. Az alábbi táblázat a jogkivonatok hozzárendelésére és aktiválására vonatkozó jogkivonat- és szerepkörkövetelményeket sorolja fel.
| Feladat | Token állapota | Szerepkör-követelmény |
|---|---|---|
| Token hozzárendelése a készletből a bérlő egyik felhasználójának. | Hozzárendelt | Önmaga tagja Hitelesítési rendszergazda Kiemelt hitelesítési rendszergazda |
| Olvassa el a felhasználó tokent, és nem adja vissza a titkot. | Aktiválva/hozzárendelve (attól függ, hogy a jogkivonat már aktiválva volt-e vagy sem) | Önmaga tagja Hitelesítési rendszergazda (csak korlátozott olvasási, nem szabványos olvasási jogosultságokkal rendelkezik) Kiemelt hitelesítési rendszergazda |
| Frissítse a felhasználó jogkivonatát, például adja meg az aktuális 6 jegyű kódot az aktiváláshoz, vagy módosítsa a jogkivonat nevét. | Aktivált | Önmaga tagja Hitelesítési rendszergazda Kiemelt hitelesítési rendszergazda |
| Távolítsa el a tokent a felhasználótól. A token visszamegy a tokenkészletbe. | Elérhető (vissza a bérlői leltárhoz) | Önmaga tagja Hitelesítési rendszergazda Kiemelt hitelesítési rendszergazda |
Az örökölt többtényezős hitelesítési (MFA- ) szabályzatban a hardver- és szoftverESÉB-jogkivonatok csak együtt engedélyezhetők. Ha engedélyezi az OATH-jogkivonatokat az örökölt MFA-házirendben, a végfelhasználók a Biztonsági információs oldalon megtekinthetik a hardveres OATH-jogkivonatok hozzáadásának lehetőségét.
Ha nem szeretné, hogy a végfelhasználók lássák a hardveres OATH-jogkivonatok hozzáadásának lehetőségét, migráljon a hitelesítési módszerek szabályzatára. A hitelesítési módszerek szabályzatában a hardveres és szoftveres OATH-jogkivonatok külön engedélyezhetők és kezelhetők. A Hitelesítési módszerek házirendbe való migrálásról további információt az MFA és az SSPR házirend-beállításainak migrálása a Microsoft Entra ID hitelesítési metódusszabályzatára című témakörben talál.
A Microsoft Entra-azonosítójú P1 vagy P2 licenccel rendelkező bérlők továbbra is feltölthetik a hardveres OATH-jogkivonatokat az eredeti előzetes verzióhoz hasonlóan. További információ: Hardveres OATH-jogkivonatok feltöltése CSV formátumban.
A tokenek feltöltéséhez, aktiválásához és hozzárendeléséhez használható hardveres OATH-jogkivonatok és Microsoft Graph API-k engedélyezéséről további információt az OATH-jogkivonatok kezelése című témakörben talál.
OATH-jogkivonat ikonjai
A felhasználók hozzáadhatnak és kezelhetnek OATH-jogkivonatokat a Biztonsági adatok lapon, vagy kiválaszthatják a Saját fiók biztonsági adatait. A szoftveres és hardveres OATH-jogkivonatok különböző ikonokkal rendelkeznek.
| Token regisztráció típusa | Ikon |
|---|---|
| OATH szoftverjogkivonat |
|
| OATH hardver token |
|
Kapcsolódó tartalom
További információ az OATH-jogkivonatok kezeléséről. További információ a jelszó nélküli hitelesítéssel kompatibilis FIDO2 biztonsági kulcsszolgáltatókról.