Métodos de autenticação no Microsoft Entra ID - tokens OATH

  • Artigo

OATH time-based one-time password (TOTP) é um padrão aberto que especifica como os códigos de senha de uso único (OTP) são gerados. OATH TOTP pode ser implementado usando software ou hardware para gerar os códigos. O Microsoft Entra ID não suporta OATH HOTP, um padrão de geração de código diferente.

Tokens de software OATH

Os tokens OATH de software são normalmente aplicações como a aplicação Microsoft Authenticator e outras aplicações de autenticação. O Microsoft Entra ID gera a chave secreta ou seed, que é a entrada na aplicação e utilizada para gerar cada OTP.

O aplicativo Autenticador gera códigos automaticamente quando configurado para fazer notificações por push para que um usuário tenha um backup, mesmo que seu dispositivo não tenha conectividade. Aplicativos de terceiros que usam OATH TOTP para gerar códigos também podem ser usados.

Alguns tokens de hardware OATH TOTP são programáveis, o que significa que não vêm com uma chave secreta ou semente pré-programada. Esses tokens de hardware programáveis podem ser configurados usando a chave secreta ou semente obtida do fluxo de configuração do token de software. Os clientes podem comprar esses tokens do fornecedor de sua escolha e usar a chave secreta ou semente no processo de configuração do fornecedor.

Tokens de hardware OATH (Pré-visualização)

O Microsoft Entra ID suporta o uso de tokens OATH-TOTP SHA-1 que atualizam códigos a cada 30 ou 60 segundos. Os clientes podem comprar esses tokens do fornecedor de sua escolha. Os tokens OATH de hardware estão disponíveis para usuários com uma licença Microsoft Entra ID P1 ou P2.

Importante

A pré-visualização só é suportada nas nuvens Azure Global e Azure Government.

Os tokens de hardware OATH TOTP normalmente vêm com uma chave secreta, ou semente, pré-programada no token. Essas chaves devem ser inseridas no Microsoft Entra ID conforme descrito nas etapas a seguir. As chaves secretas são limitadas a 128 caracteres, o que não é compatível com alguns tokens. A chave secreta só pode conter os caracteres a-z ou A-Z e os dígitos 2-7, e deve ser codificada em Base32.

Os tokens de hardware OATH TOTP programáveis que podem ser repropagados também podem ser configurados com o ID do Microsoft Entra no fluxo de configuração do token de software.

Os tokens de hardware OATH são suportados como parte de uma visualização pública. Para obter mais informações sobre pré-visualizações, veja Termos de Utilização Suplementares do Microsoft Azure para Pré-visualizações do Microsoft Azure.

Screenshot of OATH token management.

Depois que os tokens são adquiridos, eles devem ser carregados em um formato de arquivo CSV (valores separados por vírgula). O arquivo deve incluir o UPN, número de série, chave secreta, intervalo de tempo, fabricante e modelo, conforme mostrado no exemplo a seguir:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Nota

Certifique-se de incluir a linha de cabeçalho no arquivo CSV.

Uma vez formatado corretamente como um arquivo CSV, um Administrador Global pode entrar no centro de administração do Microsoft Entra, navegar até Tokens OATH de autenticação>multifator de proteção>e carregar o arquivo CSV resultante.

Dependendo do tamanho do arquivo CSV, o processo pode levar alguns minutos. Selecione o botão Atualizar para obter o status atual. Se houver algum erro no arquivo, você pode baixar um arquivo CSV que lista todos os erros para você resolver. Os nomes dos campos no arquivo CSV baixado são diferentes da versão carregada.

Uma vez que quaisquer erros são resolvidos, o administrador pode ativar cada chave selecionando Ativar para o token e inserindo a OTP exibida no token. Você pode ativar um máximo de 200 tokens OATH a cada 5 minutos.

Os usuários podem ter uma combinação de até cinco tokens de hardware OATH ou aplicativos autenticadores, como o aplicativo Microsoft Authenticator, configurado para uso a qualquer momento. Os tokens OATH de hardware não podem ser atribuídos a usuários convidados no locatário do recurso.

Importante

Certifique-se de atribuir apenas cada token a um único usuário. No futuro, o suporte para a atribuição de um único token a vários usuários para para evitar um risco de segurança.

Solução de problemas de uma falha durante o processamento de upload

Às vezes, pode haver conflitos ou problemas que ocorrem com o processamento de um upload do arquivo CSV. Se ocorrer algum conflito ou problema, você receberá uma notificação semelhante à seguinte:

Screenshot of upload error example.

Para determinar a mensagem de erro, certifique-se e selecione Exibir detalhes. A folha Status do token de hardware é aberta e fornece o resumo do status do upload. Ele mostra que houve uma falha, ou várias falhas, como no exemplo a seguir:

Screenshot of hardware token status example.

Para determinar a causa da falha listada, clique na caixa de seleção ao lado do status que você deseja exibir, que ativa a opção Download . Isso baixa um arquivo CSV que contém o erro identificado.

Screenshot of download status example.

O arquivo baixado é nomeado Failures_filename.csv onde filename é o nome do arquivo carregado. Ele é salvo no diretório de downloads padrão do navegador.

Este exemplo mostra o erro identificado como um usuário que não existe atualmente no diretório do locatário:

Screenshot of error reason example.

Depois de resolver os erros listados, carregue o CSV novamente até que ele seja processado com êxito. As informações de status de cada tentativa permanecem por 30 dias. O CSV pode ser removido manualmente clicando na caixa de seleção ao lado do status e, em seguida, selecionando Excluir status , se desejado.

Determinar o tipo de registro de token OATH

Os usuários podem gerenciar e adicionar registros de token OATH acessando mysecurityinfo ou selecionando Informações de segurança em Minha conta. Ícones específicos são usados para diferenciar se o registro do token OATH é baseado em hardware ou software.

Tipo de registo de token Icon
Token de software OATH Software OATH token
Token de hardware de OATH Hardware OATH token

Próximos passos

Saiba mais sobre como configurar métodos de autenticação usando a API REST do Microsoft Graph. Saiba mais sobre os fornecedores de chaves de segurança FIDO2 que são compatíveis com autenticação sem palavra-passe.