Microsoft Entra ID 中的驗證方法 - OATH 權杖
OATH 時間型單次密碼 (TOTP) 是一項開放標準,可指定單次密碼 (OTP) 程式碼的產生方式。 OATH TOTP 可以使用軟體或硬體予以實作,來產生代碼。 Microsoft Entra ID 不支援 OATH HOTP,這是不同程式碼產生標準。
軟體 OATH 權杖
軟體 OATH 權杖通常是應用程式,例如 Microsoft Authenticator 應用程式和其他驗證器應用程式。 Microsoft Entra ID 會產生祕密金鑰或種子,以輸入至應用程式以及用來產生每個 OTP。
Authenticator 應用程式會在設定時自動產生代碼以執行推播通知,讓使用者具有備份,即使其裝置沒有連線也是一樣。 也可以使用可使用 OATH TOTP 來產生代碼的第三方應用程式。
有些 OATH TOTP 硬體權杖可程式化,這表示其不會隨附預先編寫的秘密金鑰或種子。 您可使用從軟體權杖安裝流程取得的秘密金鑰或種子來設定這些可程式化的硬體權杖。 客戶可以向他們所選的廠商購買這些權杖,並在其廠商的設定程序中使用祕密金鑰或種子。
硬體 OATH 令牌 (預覽)
Microsoft Entra ID 支援使用 OATH-TOTP SHA-1 和 SHA-256 令牌,每 30 或 60 秒重新整理代碼一次。 客戶可向自選廠商購買這些權杖。
Microsoft Entra ID 有新的 Microsoft Graph API 預覽版 Azure。 系統管理員可以存取 Microsoft具有最低特殊許可權角色的圖形 API,以在預覽版中管理令牌。 在此預覽版重新整理的 Microsoft Entra 系統管理中心,沒有任何選項可管理硬體 OATH 令牌。
您可以在 entra 系統管理中心的 OATH 令牌中 ,繼續從原始預覽管理 Microsoft 令牌 。 另一方面,您只能使用 Microsoft Graph API 來管理預覽重新整理中的令牌。
您為此預覽重新整理新增Microsoft Graph 的硬體 OATH 令牌,會連同系統管理中心中的其他令牌一起顯示。 但是,您只能使用 Microsoft Graph 來管理它們。
時間漂移修正
Microsoft Entra ID 會調整啟用期間令牌的時間漂移,以及每個驗證。 下表列出在啟用和登入期間,Microsoft Entra ID 對令牌所做的時間調整。
| 令牌重新整理間隔 | 啟用時間範圍 | 驗證時間範圍 |
|---|---|---|
| 30 秒 | +/- 1 天 | +/- 1 分鐘 |
| 60 秒 | +/- 2 天 | +/- 2 分鐘 |
預覽重新整理中的改善
此硬體 OATH 令牌預覽重新整理可藉由移除全域管理員需求,改善組織的彈性和安全性。 組織可以將令牌建立、指派和啟用委派給特殊許可權驗證系統管理員或驗證原則管理員。
下表比較在預覽重新整理與原始預覽中管理硬體 OATH 令牌的系統管理員角色需求。
| Task | 原始預覽角色 | 預覽重新整理角色 |
|---|---|---|
| 在租使用者的清查中建立新的令牌。 | 全域系統管理員 | 驗證原則管理員 |
| 從租使用者的清查讀取令牌;不會傳回秘密。 | 全域系統管理員 | 驗證原則管理員 |
| 更新租使用者中的令牌。 例如,更新製造商或模組;無法更新秘密。 | 全域系統管理員 | 驗證原則管理員 |
| 從租使用者的清查中刪除令牌。 | 全域系統管理員 | 驗證原則管理員 |
在預覽重新整理期間,使用者也可以從其 安全性資訊自我指派和啟用令牌。 在預覽重新整理中,令牌只能指派給一位使用者。 下表列出指派和啟用令牌的令牌和角色需求。
| Task | 令牌狀態 | 角色需求 |
|---|---|---|
| 將清查中的令牌指派給租使用者中的使用者。 | 已指派 | 成員(自我) 驗證管理員 特殊權限驗證管理員 |
| 讀取使用者的令牌,不會傳回秘密。 | Activated / Assigned (取決於令牌是否已啟動) | 成員(自我) 驗證管理員(僅限限制讀取,而非標準讀取) 特殊權限驗證系統管理員 |
| 更新使用者的令牌,例如提供目前 6 位數的程式代碼進行啟用,或變更令牌名稱。 | 已啟動 | 成員(自我) 驗證管理員 特殊權限驗證管理員 |
| 從使用者移除令牌。 令牌會回到令牌清查。 | 可用 (回到租使用者清查) | 成員(自我) 驗證管理員 特殊權限驗證管理員 |
在舊版多重要素驗證 (MFA) 原則中,硬體和軟體 OATH 令牌只能一起啟用。 如果您在舊版 MFA 原則中啟用 OATH 令牌,終端使用者會在其 [安全性資訊] 頁面中看到新增 硬體 OATH 令牌 的選項。
如果您不希望終端使用者看到新增 硬體 OATH 令牌的選項,請移轉至驗證方法原則。 在驗證方法原則中,可以個別啟用和管理硬體和軟體 OATH 令牌。 如需如何移轉至驗證方法原則的詳細資訊,請參閱 如何將 MFA 和 SSPR 原則設定移轉至 Microsoft Entra ID 的驗證方法原則。
具有Microsoft Entra ID P1 或 P2 授權的租使用者可以繼續上傳硬體 OATH 令牌,如原始預覽所示。 如需詳細資訊,請參閱 以 CSV 格式上傳硬體 OATH 令牌。
如需如何啟用硬體 OATH 令牌和Microsoft Graph API 的詳細資訊,您可以用來上傳、啟用和指派令牌,請參閱 如何管理 OATH 令牌。
OATH 令牌圖示
用戶可以在安全性資訊中新增和管理 OATH 令牌,也可以從 [我的帳戶] 選取 [安全性資訊]。 軟體和硬體 OATH 令牌有不同的圖示。
| 權杖註冊類型 | Icon |
|---|---|
| OATH 軟體權杖 |  |
| OATH 硬體權杖 |  |
相關內容
深入瞭解 如何管理 OATH 令牌。 了解與無密碼驗證相容的 FIDO2 安全性金鑰供應商。