Microsoft Entra ID 中的身份验证方法 - OATH 令牌

OATH 基于时间的一次性密码 (TOTP) 是一个开放标准,用于指定如何生成一次性密码 (OTP) 代码。 可以通过使用软件或硬件生成代码来实现 OATH TOTP。 Microsoft Entra ID 不支持 OATH HOTP,这是另一种代码生成标准。

OATH 软件令牌

软件 OATH 令牌通常是应用程序,如 Microsoft Authenticator 应用和其他验证器应用。 Microsoft Entra ID 会生成密钥或种子,密钥或种子会被输入应用中,并用于生成每个 OTP。

Authenticator 应用在设置为发送推送通知后会自动生成代码,以便用户即使在设备没有连接时,也可以有一个备份。 还可以使用通过 OATH TOTP 生成代码的第三方应用程序。

某些 OATH TOTP 硬件令牌是可编程的,这意味着它们不附带密钥或预编程的种子。 这些可编程硬件令牌可以使用从软件令牌设置流获取的密钥或种子进行设置。 客户可以从自己选择的供应商处购买这些令牌,并在供应商的设置过程中使用密钥或种子。

OATH 硬件令牌(预览版)

Microsoft Entra ID 支持使用每 30 或 60 秒刷新一次代码的 OATH-TOTP SHA-1 令牌。 客户可以从所选的供应商处购买这些令牌。 硬件 OATH 令牌适用于具有 Microsoft Entra ID P1 或 P2 许可证的用户。

重要

只有 Azure 全球云和 Azure 政府云支持此预览版。

OATH TOTP 硬件令牌通常附带一个在令牌中经过预编程的密钥或种子。 必须将这些密钥输入到 Microsoft Entra ID 中,如以下步骤所述。 密钥限制为 128 个字符,与某些令牌不兼容。 密钥只能包含字符 a-z 或 A-Z,以及数字 2-7,并且必须采用 Base32 编码。

也可以在软件令牌设置流中使用 Microsoft Entra ID 设置可重新设定种子的可编程 OATH TOTP 硬件令牌。

OATH 硬件令牌目前作为公共预览版的一部分受支持。 有关预览版的详细信息,请参阅 Microsoft Azure 预览版补充使用条款

OATH 令牌管理的屏幕截图。

获取令牌后,必须以逗号分隔值 (CSV) 文件格式上传它们。 此文件应包含 UPN、序列号、密钥、时间间隔、制造商和型号,如以下示例所示:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

注意

请确保 CSV 文件中包含标题行。

正确格式化为 CSV 文件后,管理员便可以登录 Microsoft Entra 管理中心并导航到“保护”>“多重身份验证”>“OATH 令牌”,然后上传生成的 CSV 文件。

根据 CSV 文件的大小,这可能需要花费几分钟来处理。 选择“刷新”按钮可获取当前状态。 如果文件中有任何错误,则可以下载 CSV 文件,其中列出了需要解决的所有错误。 下载的 CSV 文件中的字段名称与上传的版本不同。

解决所有错误后,管理员可以对令牌选择“激活”,然后输入令牌上显示的 OTP,以此来激活每个密钥。 每 5 分钟最多可以激活 200 个 OATH 令牌。

用户最多可以组合使用 5 个 OATH 硬件令牌或验证器应用程序(如配置为可随时使用的 Microsoft Authenticator 应用)。 无法将硬件 OATH 令牌分配给资源租户中的来宾用户。

重要

请确保仅将每个令牌分配给单个用户。 将来,将停止对向多个用户分配单个令牌的支持,以预防安全风险。

排查上传处理过程中的失败问题

有时,处理 CSV 文件的上传可能会出现冲突或问题。 如果发生任何冲突或问题,你会收到类似于以下通知的通知:

上传错误示例的屏幕截图。

若要确定错误消息,请务必选择“查看详细信息”。 “硬件令牌状态”边栏选项卡此时会打开,其中提供了上传状态的摘要。 它表明存在一个或多个失败,如以下示例所示:

硬件令牌状态示例的屏幕截图。

若要确定列出的失败的原因,请务必单击要查看的状态旁边的复选框,这会激活“下载”选项。 这将下载包含已标识错误的 CSV 文件。

下载状态示例的屏幕截图。

下载的文件名为 Failures_filename.csv,其中的 filename 是上传的文件的名称。 它保存到浏览器的默认下载目录。

此示例显示的错误表明某个用户目前不存在于租户目录中:

错误原因示例的屏幕截图。

解决列出的错误后,请再次上传 CSV,直至它处理成功。 每次尝试的状态信息保留 30 天。 可以手动删除 CSV,方法是:先单击状态旁边的复选框,然后根据需要选择“删除状态”

确定 OATH 令牌注册类型

用户可访问 mysecurityinfo 或从“我的帐户”中选择“安全信息”来管理和添加 OATH 令牌注册。 使用特定图标来区分 OATH 令牌注册是基于硬件还是基于软件。

令牌注册类型 图标
OATH 软件令牌 软件 OATH 令牌
OATH 硬件令牌 硬件 OATH 令牌

后续步骤

详细了解如何使用 Microsoft Graph REST API 配置身份验证方法。 了解与无密码身份验证兼容的 FIDO2 安全密钥提供程序