Microsoft Entra ID 中的驗證方法 - OATH 權杖

  • 發行項

OATH 時間型單次密碼 (TOTP) 是一個開放標準,可指定一次性密碼 (OTP) 程式代碼的產生方式。 OATH TOTP 可以使用軟體或硬體予以實作,來產生代碼。 Microsoft Entra ID 不支援 OATH HOTP,這是不同程式碼產生標準。

OATH 軟體權杖

軟體 OATH 權杖通常是應用程式,例如 Microsoft Authenticator 應用程式和其他驗證器應用程式。 Microsoft Entra ID 會產生祕密金鑰或種子,以輸入至應用程式以及用來產生每個 OTP。

Authenticator 應用程式會在設定時自動產生代碼以執行推播通知,讓使用者具有備份,即使其裝置沒有連線也是一樣。 也可以使用可使用 OATH TOTP 來產生代碼的第三方應用程式。

某些 OATH TOTP 硬體令牌可程式化,這表示它們不會隨附秘密密鑰或種子預先程式。 您可以使用從軟體令牌設定流程取得的秘密金鑰或種子來設定這些可程式化的硬體令牌。 客戶可以從所選廠商購買這些令牌,並在廠商的設定程式中使用秘密密鑰或種子。

OATH 硬體令牌 (預覽)

Microsoft Entra ID 支援使用 OATH-TOTP SHA-1 權杖,每 30 或 60 秒即可重新整理代碼。 客戶可向自選廠商購買這些權杖。 硬體 OATH 令牌適用於具有 Microsoft Entra ID P1 或 P2 授權的使用者。

重要

預覽僅適用於 Azure Global 和 Azure Government 雲端。

OATH TOTP 硬體權杖通常會隨附在權杖中預先程式設計的秘密金鑰或種子。 這些密鑰必須輸入 Microsoft Entra ID,如下列步驟所述。 秘密密鑰限為 128 個字元,這與某些令牌不相容。 秘密密鑰只能包含 a-zA-Z 字元和數位 2-7,而且必須在 Base32編碼。

可程式化的 OATH TOTP 硬體權杖,也可以透過軟體權杖設定流程中的 Microsoft Entra ID 進行設定。

OATH 硬體權杖支援為公開預覽的一部分。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

OATH 令牌管理的螢幕快照。

取得令牌之後,必須以逗號分隔值 (CSV) 檔案格式上傳令牌。 檔案應包含UPN、序號、秘密金鑰、時間間隔、製造商和型號,如下列範例所示:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

注意

請確定您在 CSV 檔案中包含標頭數據列。

正確格式化為 CSV 檔案之後,Global 管理員 istrator 就可以登入 Microsoft Entra 系統管理中心、流覽至 [保護>多重要素驗證>OATH 令牌],然後上傳產生的 CSV 檔案。

視 CSV 檔案的大小而定,可能需要幾分鐘的時間才能處理。 選取 [重新 整理] 按鈕以取得目前狀態。 如果檔案中有任何錯誤,您可以下載 CSV 檔案,其中列出要解決的任何錯誤。 下載 CSV 檔案中的功能變數名稱與上傳的版本不同。

一旦解決任何錯誤,系統管理員就可以選取 [為 令牌啟用],然後輸入令牌上顯示的 OTP 來啟用每個密鑰。 每 5 分鐘最多可以啟用 200 個 OATH 令牌。

使用者可能最多會合併五個 OATH 硬體權杖或驗證器應用程式 (例如 Microsoft Authenticator 應用程式),設定為可供隨時使用。 硬體 OATH 令牌無法指派給資源租使用者中的來賓使用者。

重要

請務必只將每個令牌指派給單一使用者。 未來,支援將單一令牌指派給多個使用者停止,以防止安全性風險。

針對上傳處理期間失敗進行疑難解答

有時,處理 CSV 檔案時可能會發生衝突或問題。 如果發生任何衝突或問題,您會收到類似下列的通知:

上傳錯誤範例的螢幕快照。

若要判斷錯誤訊息,請確定並選取 [ 檢視詳細數據]。 [ 硬體令牌狀態 ] 刀鋒視窗隨即開啟,並提供上傳狀態的摘要。 它會顯示失敗或多次失敗,如下列範例所示:

硬體令牌狀態範例的螢幕快照。

若要判斷列出的失敗原因,請務必按下您要檢視狀態旁的複選框,以啟動 [下載 ] 選項。 這會下載包含所識別錯誤的 CSV 檔案。

下載狀態範例的螢幕快照。

下載的檔案名為 Failures_filename.csv ,其中 filename 是上傳的檔名。 它會儲存至瀏覽器的預設下載目錄。

這個範例顯示識別為租使用者目錄中目前不存在之使用者的錯誤:

錯誤原因範例的螢幕快照。

解決列出的錯誤后,請再次上傳 CSV,直到成功處理為止。 每個嘗試的狀態資訊會保留 30 天。 您可以按下狀態旁的複選框來手動移除 CSV,然後視需要選取 [ 刪除狀態 ]。

判斷 OATH 令牌註冊類型

用戶可以存取 mysecurityinfo 或從 [我的帳戶] 選取 [安全性資訊],來管理並新增 OATH 令牌註冊。 特定圖示可用來區分 OATH 令牌註冊是否為硬體或軟體型。

令牌註冊類型 Icon
OATH 軟體權杖 軟體 OATH 令牌
OATH 硬體權杖 硬體 OATH 令牌

下一步

深入瞭解如何使用 Microsoft Graph REST API 設定驗證方法。 瞭解 與無密碼驗證相容的 FIDO2 安全性金鑰提供者