Microsoft Entra ID 中的驗證方法 - OATH 權杖

  • 發行項

OATH 限時單次密碼 (TOTP) 是一項開放標準,可指定單次密碼 (OTP) 程式碼的產生方式。 OATH TOTP 可以使用軟體或硬體予以實作,來產生代碼。 Microsoft Entra ID 不支援 OATH HOTP,這是不同程式碼產生標準。

OATH 軟體權杖

軟體 OATH 權杖通常是應用程式,例如 Microsoft Authenticator 應用程式和其他驗證器應用程式。 Microsoft Entra ID 會產生祕密金鑰或種子,以輸入至應用程式以及用來產生每個 OTP。

Authenticator 應用程式會在設定時自動產生代碼以執行推播通知,讓使用者具有備份,即使其裝置沒有連線也是一樣。 也可以使用可使用 OATH TOTP 來產生代碼的第三方應用程式。

有些 OATH TOTP 硬體權杖可程式化,這表示其不會隨附預先編寫的秘密金鑰或種子。 您可使用從軟體權杖安裝流程取得的秘密金鑰或種子來設定這些可程式化的硬體權杖。 客戶可以向他們所選的廠商購買這些權杖,並在其廠商的設定程序中使用祕密金鑰或種子。

OATH 硬體權杖(預覽)

Microsoft Entra ID 支援使用 OATH TOTP SHA-1 權杖,每 30 或 60 秒重新整理代碼一次。 客戶可向自選廠商購買這些權杖。 硬體 OATH 權杖適用於具有 Microsoft Entra ID P1 或 P2 授權的使用者。

重要

只有 Azure 全域和 Azure Government 雲端才支援預覽。

OATH TOTP 硬體權杖通常會隨附在權杖中預先程式設計的秘密金鑰或種子。 如下列步驟所述,這些金鑰必須輸入到 Microsoft Entra ID。 祕密金鑰限制為 128 個字元,可能會與部分權杖不相容。 祕密金鑰只能包含字元 a-zA-Z 和數字 2-7,而且必須以 Base32 編碼。

可程式化的 OATH TOTP 硬體權杖,也可以透過軟體權杖設定流程中的 Microsoft Entra ID 進行設定。

OATH 硬體權杖支援為公開預覽的一部分。 如需有關預覽版的詳細資訊,請參閱 Microsoft Azure 預覽版增補使用條款

OATH 權杖管理的螢幕擷取畫面。

取得權杖之後,必須以逗號分隔值 (CSV) 檔案格式上傳權杖。 檔案中應包含 UPN、序號、祕密金鑰、時間間隔、製造商和型號,如下列範例所示:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

注意

請確定您在 CSV 檔案中包含標頭列。

將格式正確設為 CSV 檔案後,全域管理員接著可以登入 Microsoft Entra 系統管理中心、瀏覽至 [資料保護]>[多重要素驗證]>[OATH 權杖],然後上傳產生的 CSV 檔案。

視 CSV 檔案的大小而定,可能需要數分鐘的時間來處理。 選取 [重新整理] 按鈕來取得目前的狀態。 如果檔案中有任何錯誤,您可下載 CSV 檔案,其中列出您需要解決的任何錯誤。 所下載 CSV 檔案中的欄位名稱與上傳的版本不同。

一旦解決任何錯誤後,系統管理員可接著針對權杖選取 [啟動] 並輸入權杖上顯示的 OTP,啟動每個金鑰。 每隔 5 分鐘,最多可以啟用 200 個 OATH 權杖。

使用者可能最多會合併五個 OATH 硬體權杖或驗證器應用程式 (例如 Microsoft Authenticator 應用程式),設定為可供隨時使用。 硬體 OATH 權杖無法指派給資源租用戶中的來賓使用者。

重要

請務必只將每個權杖指派給單一使用者。 未來將停止支援將單一權杖指派給多個使用者,防止安全性風險。

針對上傳處理過程中的失敗問題進行疑難排解

有時,處理 CSV 檔案上傳時可能會發生衝突或問題。 如果發生任何衝突或問題,您會收到類似下列的通知:

上傳錯誤範例的螢幕擷取畫面。

若要判斷錯誤訊息,請務必選取 [檢視詳細資料]硬體權杖狀態刀鋒視窗隨即開啟,並提供上傳狀態的摘要。 這會顯示發生一次或多次失敗,如下列範例所示:

硬體權杖狀態範例的螢幕擷取畫面。

若要判斷列出的失敗原因,請務必按下您要檢視狀態旁的核取方塊,以啟動 [下載] 選項。 這會下載包含已識別錯誤的 CSV 檔案。

下載狀態範例的螢幕擷取畫面。

下載的檔案名為 Failures_filename.csv,其中 filename 是上傳的檔案名稱。 這會儲存至瀏覽器的預設下載目錄。

此範例顯示識別為目前不存在於租用戶目錄中之使用者的錯誤:

錯誤原因範例的螢幕擷取畫面。

解決列出的錯誤後,請再次上傳 CSV,直到成功處理為止。 每個嘗試的狀態資訊會保留 30 天。 您可以按下狀態旁的核取方塊來手動移除 CSV,然後視需要選取 [刪除狀態]

判斷 OATH 權杖註冊類型

使用者可以存取 mysecurityinfo 或從我的帳戶選取 [安全性資訊],管理並新增 OATH 權杖註冊。 特定圖示可用來區分 OATH 權杖註冊為硬體型或軟體型。

權杖註冊類型 圖示
OATH 軟體權杖 軟體 OATH 權杖
OATH 硬體權杖 硬體 OATH 權杖

下一步

深入了解如何使用 Microsoft Graph REST API 設定驗證方法。 了解與無密碼驗證相容的 FIDO2 安全性金鑰供應商