Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Kata sandi satu kali berbasis waktu (TOTP) OATH adalah standar terbuka yang menentukan bagaimana kode kata sandi satu kali (OTP) dihasilkan. TOTP OATH dapat diimplementasikan menggunakan perangkat lunak atau perangkat keras untuk menghasilkan kode. MICROSOFT Entra ID tidak mendukung OATH HOTP, standar pembuatan kode yang berbeda.
Token OATH berbasis perangkat lunak
Token OATH Perangkat lunak biasanya merupakan aplikasi seperti aplikasi Microsoft Authenticator dan aplikasi autentikator lainnya. Microsoft Entra ID membuat kunci rahasia, atau seed, yang diinputkan ke aplikasi dan digunakan untuk menghasilkan setiap OTP.
Aplikasi Authenticator secara otomatis menghasilkan kode saat disiapkan untuk melakukan pemberitahuan push sehingga pengguna memiliki cadangan meskipun perangkat mereka tidak memiliki konektivitas. Aplikasi pihak ketiga yang menggunakan TOTP OATH untuk menghasilkan kode juga dapat digunakan.
Beberapa token perangkat keras TOTP OATH dapat diprogram, yang berarti token tersebut tidak dilengkapi dengan kunci rahasia atau benih yang telah diprogram sebelumnya. Token perangkat keras yang dapat diprogram ini dapat diatur menggunakan kunci rahasia atau nilai awal yang diperoleh dari alur pengaturan token perangkat lunak. Pelanggan dapat membeli token ini dari vendor pilihan mereka dan menggunakan kunci rahasia atau nilai awal dalam proses pengaturan vendor mereka.
Token perangkat keras OATH (pratinjau)
Microsoft Entra ID mendukung penggunaan token OATH-TOTP SHA-1 dan SHA-256 yang me-refresh kode setiap 30 atau 60 detik. Pelanggan dapat membeli token ini dari vendor pilihan mereka.
Microsoft Entra ID memiliki API Microsoft Graph baru yang sedang dalam pratinjau untuk Azure. Administrator dapat mengakses Microsoft Graph API dengan peran dengan hak istimewa minimum untuk mengelola token dalam versi pratinjau. Tidak ada opsi untuk mengelola token OATH perangkat keras dalam penyegaran pratinjau ini di Pusat Administrasi Microsoft Entra.
Anda dapat terus mengelola token dari pratinjau asli di bagian token OATH di pusat admin Microsoft Entra. Di sisi lain, Anda hanya dapat mengelola token dalam refresh pratinjau dengan menggunakan Api Microsoft Graph.
Token OATH perangkat keras yang Anda tambahkan dengan Microsoft Graph untuk penyegaran pratinjau ini akan muncul bersama dengan token lainnya di pusat admin. Tetapi Anda hanya dapat mengelolanya dengan menggunakan Microsoft Graph.
Koreksi penyimpangan waktu
MICROSOFT Entra ID menyesuaikan penyimpangan waktu token selama aktivasi dan setiap autentikasi. Tabel berikut mencantumkan penyesuaian waktu yang dilakukan Microsoft Entra ID pada token selama proses aktivasi dan masuk.
| Interval penyegaran token | Rentang waktu aktivasi | Rentang waktu autentikasi |
|---|---|---|
| 30 detik | +/- 1 hari | +/- 1 menit |
| 60 detik | +/- 2 hari | +/- 2 menit |
Penyempurnaan dalam penyegaran pratinjau
Penyegaran pratinjau token OATH perangkat keras ini meningkatkan fleksibilitas dan keamanan untuk organisasi dengan menghapus persyaratan Administrator Global. Organisasi dapat mendelegasikan pembuatan, penugasan, dan aktivasi token ke Administrator Autentikasi Istimewa atau Administrator Kebijakan Autentikasi.
Tabel berikut mencantumkan persyaratan peran untuk mengelola token perangkat keras OATH dalam pratinjau refresh.
| Tugas | Pratinjau penyegaran peran |
|---|---|
| Buat token baru di inventori penyewa. | Admin Kebijakan Autentikasi |
| Membaca token dari inventaris penyewa; tidak mengembalikan kunci rahasia. | Admin Kebijakan Autentikasi |
| Perbarui token di penyewa. Misalnya, memperbarui produsen atau modul; sebuah rahasia tidak dapat diperbarui. | Admin Kebijakan Autentikasi |
| Hapus token dari inventori penyewa. | Admin Kebijakan Autentikasi |
Sebagai bagian dari penyegaran pratinjau, pengguna akhir juga dapat menetapkan dan mengaktifkan token mereka sendiri dari Info Keamanan. Dalam pembaharuan pratinjau, token hanya dapat ditetapkan ke satu pengguna. Tabel berikut mencantumkan token dan persyaratan peran untuk menetapkan dan mengaktifkan token.
| Tugas | Status token | Persyaratan untuk peran |
|---|---|---|
| Tetapkan token dari inventori kepada pengguna di penyewa. | Ditetapkan | Anggota (mandiri) Pengelola Autentikasi Administrator Autentikasi dengan Hak Istimewa |
| Baca token pengguna, tidak mengembalikan rahasia. | Diaktifkan / Ditetapkan (tergantung apakah token sudah diaktifkan atau belum) | Anggota (mandiri) Authentication Administrator (hanya memiliki Hak Baca Terbatas, bukan Hak Baca Standar) Administrator Autentikasi dengan Hak Istimewa |
| Perbarui token pengguna, seperti berikan kode 6 digit saat ini untuk aktivasi, atau ubah nama token. | Diaktifkan | Anggota (mandiri) Pengelola Autentikasi Administrator Autentikasi dengan Hak Istimewa |
| Hapus token dari pengguna. Token dikembalikan ke inventaris token. | Tersedia (kembali ke inventaris penyewa) | Anggota (mandiri) Pengelola Autentikasi Administrator Autentikasi dengan Hak Istimewa |
Dalam kebijakan autentikasi multifaktor (MFA) warisan, token OATH perangkat keras dan perangkat lunak hanya dapat diaktifkan bersama-sama. Jika Anda mengaktifkan token OATH dalam kebijakan MFA warisan, pengguna akhir dapat melihat opsi untuk menambahkan token OATH Perangkat Keras pada halaman informasi keamanan mereka.
Jika Anda tidak ingin pengguna akhir melihat opsi untuk menambahkan token OATH Perangkat Keras, migrasikan ke kebijakan metode autentikasi. Dalam kebijakan Metode autentikasi, token OATH perangkat keras dan perangkat lunak dapat diaktifkan dan dikelola secara terpisah. Untuk informasi selengkapnya tentang cara bermigrasi ke kebijakan Metode autentikasi, lihat Cara memigrasikan pengaturan kebijakan MFA dan SSPR ke kebijakan Metode autentikasi untuk ID Microsoft Entra.
Penyewa dengan lisensi Microsoft Entra ID P1 atau P2 dapat terus mengunggah token OATH perangkat keras seperti dalam pratinjau asli. Untuk informasi selengkapnya, lihat Mengunggah token OATH perangkat keras dalam format CSV.
Untuk informasi selengkapnya tentang cara mengaktifkan token OATH perangkat keras dan API Microsoft Graph yang dapat Anda gunakan untuk mengunggah, mengaktifkan, dan menetapkan token, lihat Cara mengelola token OATH.
Ikon token OATH
Pengguna dapat menambahkan dan mengelola token OATH di Info keamanan, atau mereka dapat memilih Info keamanan dari Akun saya. Token OATH perangkat lunak dan perangkat keras memiliki ikon yang berbeda.
| Jenis pendaftaran token | Ikon |
|---|---|
| Token perangkat lunak OATH |
|
| Token perangkat keras OATH |
|
Konten terkait
Pelajari selengkapnya tentang cara mengelola token OATH. Pelajari tentang penyedia kunci keamanan FIDO2 yang kompatibel dengan autentikasi tanpa sandi.