硬件 OATH 令牌通常附带一个在令牌中经过预编程的密钥或种子。 在用户可以使用硬件 OATH 令牌登录到其工作或学校帐户 Microsoft Entra ID 之前,管理员需要将令牌添加到租户。
添加令牌的建议方法是使用具有最低特权管理员角色的 Microsoft Graph。 使用最低特权角色的更新过程处于预览状态。 有关详细信息,请参阅硬件 OATH 令牌(预览版)。
作为使用 Microsoft Graph API 的替代方法,具有 Microsoft Entra ID Premium 许可证的租户可以让全局管理员将这些密钥输入 Microsoft Entra ID 中。
如果上传 CSV 格式的令牌,它们与预览版中的新功能不兼容。
若要使用硬件 OATH 令牌预览而不是 CSV 上传,请参阅 如何在 Microsoft Entra ID(预览版)中管理 OATH 令牌。
CSV 格式
密钥限制为 128 个字符,与某些令牌不兼容。 密钥只能包含字符 a-z 或 A-Z,以及数字 2-7,并且必须采用 Base32 编码。
也可以在软件令牌设置流中使用 Microsoft Entra ID 设置可重新设定种子的可编程 OATH 基于时间的一次性密码 (TOTP) 硬件令牌。
获取令牌后,全局管理员必须以逗号分隔值 (CSV) 文件格式上传它们。 此文件应包含 UPN、序列号、密钥、时间间隔、制造商和型号,如以下示例所示:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey
注意
请确保 CSV 文件中包含标题行。
正确格式化为 CSV 文件后,全局管理员可以登录到 Microsoft Entra 管理中心,导航到 Entra ID>多重身份验证>OATH 令牌,并上传生成的 CSV 文件。
根据 CSV 文件的大小,这可能需要花费几分钟来处理。 选择“刷新”按钮可获取当前状态。 如果文件中有任何错误,则可以下载 CSV 文件,其中列出了需要解决的所有错误。 下载的 CSV 文件中的字段名称与上传的版本不同。
用户最多可以组合使用 5 个 OATH 硬件令牌或验证器应用程序(如配置为可随时使用的 Microsoft Authenticator 应用)。 无法将硬件 OATH 令牌分配给资源租户中的来宾用户。
重要
请确保仅将每个令牌分配给单个用户。 无法将单个令牌分配给多个用户。
排查上传处理过程中的失败问题
有时,处理 CSV 文件的上传可能会出现冲突或问题。 如果发生任何冲突或问题,将收到如下通知:
若要确定错误消息,请务必选择“查看详细信息”。 “硬件令牌状态”边栏选项卡此时会打开,其中提供了上传状态的摘要。 它显示是否存在故障或多次失败,如以下示例所示:
若要确定列出的失败原因,请确保选中要查看的状态旁边的复选框,这会激活 “下载 ”选项。 此选项下载包含标识错误的 CSV 文件。
下载的文件名为 Failures_filename.csv,其中 文件名 是上传的文件的名称。 该文件将保存到浏览器的默认下载目录。
此示例显示的错误表明某个用户目前不存在于租户目录中:
修复列出的错误后,请再次上传 CSV,直到它成功处理。 每次尝试的状态信息保留 30 天。 若要删除 CSV,请选择状态旁边的复选框,然后选择“ 删除状态”。