Azure Active Directory 中的驗證方法 - OATH 權杖

OATH TOTP (時間型單次密碼) 是一項開放標準,可指定單次密碼 (OTP) 程式碼的產生方式。 OATH TOTP 可以使用軟體或硬體予以實作,來產生代碼。 Azure AD 不支援 OATH HOTP,這是不同的程式碼產生標準。

OATH 軟體權杖

軟體 OATH 權杖通常是應用程式,例如 Microsoft Authenticator 應用程式和其他驗證器應用程式。 Azure AD 會產生祕密金鑰或種子,以輸入至應用程式以及用來產生每個 OTP。

Authenticator 應用程式會在設定時自動產生代碼以執行推播通知,讓使用者具有備份,即使其裝置沒有連線也是一樣。 也可以使用利用 OATH TOTP 來產生代碼的第三方應用程式。

有些 OATH TOTP 硬體權杖可程式化,這表示其不會隨附預先編寫的秘密金鑰或種子。 您可使用從軟體權杖安裝流程取得的秘密金鑰或種子來設定這些可程式化的硬體權杖。 客戶可以向他們所選的廠商購買這些權杖,並在其廠商的設定程序中使用秘密金鑰或種子。

OATH 硬體權杖 (預覽)

Azure AD 支援使用 OATH-TOTP SHA-1 權杖,其每隔 30 或 60 秒重新整理一次程式碼。 客戶可以向他們所選的廠商購買這些權杖。

OATH TOTP 硬體權杖通常會隨附在權杖中預先編寫的秘密金鑰或種子。 如下列步驟所述,這些金鑰必須輸入到 Azure AD 中。 祕密金鑰限制為 128 個字元,可能會與所有權杖不相容。 祕密金鑰只能包含字元 a-zA-Z 和數字 2-7,而且必須以 Base32 編碼。

在軟體權杖設定流程中也可使用 Azure AD 來設定可重新植入的可程式化 OATH TOTP 硬體權杖。

OATH 硬體權杖已作為公開預覽的一部分支援。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

將 OATH 權杖上傳到 MFA OATH 權杖刀鋒視窗

取得權杖後,必須使用逗號分隔值 (CSV) 檔案格式進行上傳,包括 UPN、序號、祕密金鑰、時間間隔、製造商和模型,如下列範例所示:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

注意

請確定您在 CSV 檔案中包含標頭資料列。

將格式正確設為 CSV 檔案後,全域管理員接著可以登入 Azure 入口網站、瀏覽至 [Azure Active Directory] > [安全性] > [多重要素驗證] > [OATH 權杖],然後上傳產生的 CSV 檔案。

視 CSV 檔案的大小而定,可能需要數分鐘的時間來處理。 選取 [重新整理] 按鈕來取得目前的狀態。 如果檔案中有任何錯誤,您可下載 CSV 檔案,其中列出您需要解決的任何錯誤。 所下載 CSV 檔案中的欄位名稱與上傳的版本不同。

一旦解決任何錯誤後,系統管理員可接著針對權杖選取 [啟動] 並輸入權杖上顯示的 OTP,以啟動每個金鑰。 每隔 5 分鐘,最多可以啟用 200 個 OATH 權杖。

使用者可設定最多 5 個 OATH 硬體權杖或驗證器應用程式 (例如 Microsoft Authenticator 應用程式) 的組合,以在任何時間點使用。 硬體 OATH 權杖無法指派給資源租用戶中的來賓使用者。

重要

只有 Azure 全域和Azure Government雲端才支援預覽。

後續步驟

深入了解如何使用 Microsoft Graph REST API 設定驗證方法。 了解與無密碼驗證相容的 FIDO2 安全性金鑰提供者