Métodos de autenticação no Microsoft Entra ID - tokens OATH
OATH time-based one-time password (TOTP) é um padrão aberto que especifica como os códigos de senha de uso único (OTP) são gerados. OATH TOTP pode ser implementado usando software ou hardware para gerar os códigos. O Microsoft Entra ID não suporta OATH HOTP, um padrão de geração de código diferente.
Tokens OATH de software
Os tokens OATH de software são normalmente aplicações como a aplicação Microsoft Authenticator e outras aplicações de autenticação. O Microsoft Entra ID gera a chave secreta ou seed, que é a entrada na aplicação e utilizada para gerar cada OTP.
O aplicativo Autenticador gera códigos automaticamente quando configurado para fazer notificações por push para que um usuário tenha um backup, mesmo que seu dispositivo não tenha conectividade. Aplicativos de terceiros que usam OATH TOTP para gerar códigos também podem ser usados.
Alguns tokens de hardware OATH TOTP são programáveis, o que significa que não vêm com uma chave secreta ou semente pré-programada. Esses tokens de hardware programáveis podem ser configurados usando a chave secreta ou semente obtida do fluxo de configuração do token de software. Os clientes podem comprar esses tokens do fornecedor de sua escolha e usar a chave secreta ou semente no processo de configuração do fornecedor.
Tokens OATH de hardware (visualização)
O Microsoft Entra ID suporta o uso de tokens OATH-TOTP SHA-1 e SHA-256 que atualizam códigos a cada 30 ou 60 segundos. Os clientes podem comprar esses tokens do fornecedor de sua escolha.
O Microsoft Entra ID tem uma nova API do Microsoft Graph em pré-visualização para o Azure. Os administradores podem acessar APIs do Microsoft Graph com funções menos privilegiadas para gerenciar tokens na visualização. Não há opções para gerenciar o token OATH de hardware nesta atualização de visualização no centro de administração do Microsoft Entra.
Pode continuar a gerir tokens a partir da pré-visualização original em tokens OATH no centro de administração do Microsoft Entra. Por outro lado, você só pode gerenciar tokens na atualização de visualização usando APIs do Microsoft Graph.
Os tokens OATH de hardware que você adiciona com o Microsoft Graph para esta atualização de visualização aparecem junto com outros tokens no centro de administração. Mas você só pode gerenciá-los usando o Microsoft Graph.
Correção de desvio de tempo
O Microsoft Entra ID ajusta o desvio de tempo dos tokens durante a ativação e cada autenticação. A tabela a seguir lista o ajuste de tempo que o Microsoft Entra ID faz para tokens durante a ativação e entrada.
| Intervalo de atualização do token | Intervalo de tempo de ativação | Intervalo de tempo de autenticação |
|---|---|---|
| 30 segundos | +/- 1 dia | +/- 1 minuto |
| 60 segundos | +/- 2 dias | +/- 2 minutos |
Melhorias na atualização da pré-visualização
Esta atualização de pré-visualização de token OATH de hardware melhora a flexibilidade e a segurança para as organizações, removendo os requisitos do Administrador Global. As organizações podem delegar a criação, atribuição e ativação de tokens a Administradores de Autenticação Privilegiada ou a Administradores de Política de Autenticação.
A tabela a seguir compara os requisitos de função de administrador para gerenciar tokens OATH de hardware na atualização de visualização versus a visualização original.
| Task | Função de pré-visualização original | Visualizar função de atualização |
|---|---|---|
| Crie um novo token no inventário do locatário. | Administrador Global | Administrador da Política de Autenticação |
| Leia um token do inventário do inquilino; não devolve o segredo. | Administrador Global | Administrador da Política de Autenticação |
| Atualize um token no locatário. Por exemplo, atualize o fabricante ou módulo; O segredo não pode ser atualizado. | Administrador Global | Administrador da Política de Autenticação |
| Exclua um token do inventário do locatário. | Administrador Global | Administrador da Política de Autenticação |
Como parte da atualização de visualização, os usuários finais também podem autoatribuir e ativar tokens de suas informações de segurança. Na atualização de visualização, um token só pode ser atribuído a um usuário. A tabela a seguir lista os requisitos de token e função para atribuir e ativar tokens.
| Task | Estado do token | Requisito de função |
|---|---|---|
| Atribua um token do inventário a um usuário no locatário. | Atribuído | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
| Leia o token do usuário, não retorna o segredo. | Ativado / Atribuído (depende se o token já foi ativado ou não) | Membro (próprio) Administrador de autenticação (só tem Leitura restrita, não Leitura padrão) Administrador de Autenticação Privilegiada |
| Atualize o token do usuário, como fornecer o código atual de 6 dígitos para ativação ou alterar o nome do token. | Ativado | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
| Remova o token do usuário. O token volta para o inventário de tokens. | Disponível (voltar ao inventário do inquilino) | Membro (próprio) Administrador de Autenticação Administrador de Autenticação Privilegiada |
Na política de autenticação multifator (MFA) herdada, os tokens OATH de hardware e software só podem ser habilitados juntos. Se você habilitar tokens OATH na política de MFA herdada, os usuários finais verão uma opção para adicionar tokens OATH de hardware em sua página Informações de segurança.
Se você não quiser que os usuários finais vejam uma opção para adicionar tokens OATH de hardware, migre para a política de métodos de autenticação. Na política de métodos de autenticação, os tokens OATH de hardware e software podem ser habilitados e gerenciados separadamente. Para obter mais informações sobre como migrar para a política de métodos de autenticação, consulte Como migrar as configurações de diretiva MFA e SSPR para a política de métodos de autenticação para Microsoft Entra ID.
Os locatários com uma licença do Microsoft Entra ID P1 ou P2 podem continuar a carregar tokens OATH de hardware como na visualização original. Para obter mais informações, consulte Carregar tokens OATH de hardware no formato CSV.
Para obter mais informações sobre como habilitar tokens OATH de hardware e APIs do Microsoft Graph que você pode usar para carregar, ativar e atribuir tokens, consulte Como gerenciar tokens OATH.
Ícones de token OATH
Os usuários podem adicionar e gerenciar tokens OATH em Informações de segurança ou podem selecionar Informações de segurança em Minha conta. Os tokens OATH de software e hardware têm ícones diferentes.
| Tipo de registo de token | Ícone |
|---|---|
| Token de software OATH |  |
| Token de hardware de OATH |  |
Conteúdos relacionados
Saiba mais sobre como gerenciar tokens OATH. Saiba mais sobre os fornecedores de chaves de segurança FIDO2 que são compatíveis com autenticação sem palavra-passe.