Jeton matériel azure ad
Méthodes d’authentification dans Microsoft Entra ID - Jetons OATH Le
mot de passe à usage unique (TOTP) basé sur le temps OATH est une norme ouverte qui spécifie comment les codes de mot de passe à usage unique (OTP) sont générés. OATH TOTP peut être mis en œuvre à l’aide d’un logiciel ou d’un matériel pour générer les codes. Microsoft Entra ID ne prend pas en charge OATH HOTP, une norme de génération de code différente.
Les
jetons OATH logiciels sont généralement des applications telles que l’application Microsoft Authenticator et d’autres applications d’authentification. Microsoft Entra ID génère la clé secrète, ou graine, qui est entrée dans l’application et utilisée pour générer chaque OTP.
L’application Authenticator génère automatiquement des codes lorsqu’elle est configurée pour exécuter des notifications push, de sorte qu’un utilisateur dispose d’une sauvegarde même si son appareil n’est pas connecté. Des applications tierces qui utilisent OATH TOTP pour générer des codes peuvent également être utilisées.
quelques Les jetons matériels OATH TOTP sont programmables, ce qui signifie qu’ils ne sont pas livrés avec une clé secrète ou une graine préprogrammée. Ces jetons matériels programmables peuvent être configurés à l’aide de la clé secrète ou de la graine obtenue à partir du flux de configuration du jeton logiciel. Les clients peuvent acheter ces jetons auprès du fournisseur de leur choix et utiliser la clé secrète ou la graine dans le processus de configuration de leur fournisseur.
Jetons matériels OATH (préversion)
Microsoft Entra ID prend en charge l’utilisation des jetons OATH-TOTP, SHA-1 et SHA-256 qui actualisent les codes toutes les 30 ou 60 secondes. Les clients peuvent acheter ces jetons auprès du vendeur de leur choix.
Microsoft Entra ID dispose d’une nouvelle API Microsoft Graph en préversion pour Azure. Les administrateurs peuvent accéder aux API Microsoft Graph avec les rôles les moins privilégiés pour gérer les jetons dans la préversion. Il n’existe aucune option pour gérer le jeton OATH matériel dans cette actualisation de préversion dans le centre d’administration Microsoft Entra.
Vous pouvez continuer à gérer les jetons à partir de l’aperçu d’origine dans Jetons OATH dans le centre d’administration Microsoft Entra. D’autre part, vous ne pouvez gérer les jetons dans l’actualisation de la préversion qu’à l’aide des API Microsoft Graph.
Les jetons OATH matériels que vous ajoutez avec Microsoft Graph pour cette actualisation de la préversion apparaissent avec d’autres jetons dans le centre d’administration. Mais vous ne pouvez les gérer qu’à l’aide de Microsoft Graph.
Microsoft
Entra ID ajuste la dérive temporelle des jetons lors de l’activation et de chaque authentification. Le tableau suivant répertorie l’ajustement de l’heure effectué par Microsoft Entra ID pour les jetons lors de l’activation et de la connexion.
| Intervalle d’actualisation du jeton | Plage de temps d’activation | Plage de temps d’authentification |
|---|---|---|
| 30 secondes | +/- 1 jour | +/- 1 minute |
| 60 secondes | +/- 2 jours | +/- 2 minutes |
Améliorations de l’actualisation de la préversion
Cette actualisation matérielle de la préversion du jeton OATH améliore la flexibilité et la sécurité des organisations en supprimant les exigences de l’administrateur général. Les organisations peuvent déléguer la création, l’attribution et l’activation de jetons à des administrateurs d’authentification privilégiée ou à des administrateurs de stratégie d’authentification.
Le tableau suivant compare les exigences du rôle d’administrateur pour gérer les jetons OATH matériels dans l’actualisation de l’aperçu par rapport à l’aperçu d’origine.
| Tâche | Rôle d’aperçu d’origine | Rôle d’actualisation |
|---|---|---|
| d’aperçu Créez un jeton dans l’inventaire du locataire. | global | Lit |
| un jeton de l’inventaire du locataire ; ne renvoie pas le secret. | Stratégie d’authentification | de l’administrateur général | Administrateur
| Mettez à jour un jeton dans le locataire. Par exemple, mettre à jour le fabricant ou le module ; Le secret ne peut pas être mis à jour. | Administrateur de lastratégie d’authentification | de l’administrateur général |
| Supprimez un jeton de l’inventaire du locataire. | Administrateur de lastratégie d’authentification | de l’administrateur général |
Dans le cadre de l’actualisation de la préversion, les utilisateurs finaux peuvent également attribuer et activer eux-mêmes des jetons à partir de leurs informations de sécurité. Dans l’actualisation de l’aperçu, un jeton ne peut être attribué qu’à un seul utilisateur. Le tableau suivant répertorie les exigences en matière de jeton et de rôle à attribuer et Activez les jetons.
| Tâche | État du jeton | Exigence de rôle |
|---|---|---|
| Attribuez un jeton de l’inventaire à un utilisateur du locataire. | Membre affecté | (self) Administrateur d’authentification Administrateur d’authentification privilégiée |
| Lit le jeton de l’utilisateur, ne renvoie pas le secret. | Activé/Attribué (selon que le jeton a déjà été activé ou non) | Administrateur d’authentification (auto-utilisé) membre (n’a que la lecture restreinte, pas la lecture standard) Administrateur d’authentification privilégiée |
| Mettez à jour le jeton de l’utilisateur, par exemple en fournissant le code à 6 chiffres actuel pour l’activation ou en modifiant le nom du jeton. | Authentification | (auto-authentification) du membre activé Administrateur Authentification privilégiée Administrateur |
| Supprimez le jeton de l’utilisateur. Le jeton retourne à l’inventaire des jetons. | Disponible (retour à l’inventaire du locataire) | Membre (self) Administrateur de l’authentification Administrateur de l’authentification privilégiée |
Dans la stratégie d’authentification multifacteur (MFA) héritée, les jetons OATH matériels et logiciels ne peuvent être activés qu’ensemble. Si vous activez les jetons OATH dans la stratégie MFA héritée, les utilisateurs finaux voient une option permettant d’ajouter des jetons OATH matériels dans leur page d’informations de sécurité.
Si vous ne souhaitez pas que les utilisateurs finaux voient une option permettant d’ajouter des jetons OATH matériels , migrez vers la stratégie Méthodes d’authentification. Dans la stratégie Méthodes d’authentification, les jetons OATH matériels et logiciels peuvent être activés et gérés séparément. Pour en savoir plus Pour plus d’informations sur la migration vers la stratégie Méthodes d’authentification, consultez Comment migrer les paramètres de stratégie MFA et SSPR vers la stratégie Méthodes d’authentification pour Microsoft Entra ID.
Les locataires disposant d’une licence Microsoft Entra ID P1 ou P2 peuvent continuer à charger des jetons OATH matériels comme dans la préversion d’origine. Pour plus d’informations, consultez Charger des jetons OATH matériels au format CSV.
Pour plus d’informations sur l’activation des jetons OATH matériels et des API Microsoft Graph que vous pouvez utiliser pour charger, activer et attribuer des jetons, consultez Comment gérer les jetons OATH.
Les
utilisateurs peuvent ajouter et gérer des jetons OATH dans Informations de sécurité, ou ils peuvent sélectionner Informations de sécurité dans Mon compte . Les jetons OATH logiciels et matériels ont des icônes différentes.
| Type d’enregistrement de jeton | Icône |
|---|---|
| Jeton | logiciel |
| OATH Jeton | matériel OATH |
Contenu connexe
En savoir plus sur la gestion des jetons OATH. En savoir plus sur les fournisseurs de clés de sécurité FIDO2 compatibles avec l’authentification sans mot de passe.