Вы можете расширить свой MFA, используя Аппаратные OATH-токены в Azure MFA
Как Microsoft анонсирует аппаратные OATH-токены с многофакторной аутентификацией Azure.
Требования:
Ниже приведены предварительные требования для выполнения этой конфигурации :
Устройства для CSV
Так как у меня сейчас нет устройства, этопочему я использую эмулятор виртуального устройства, см. здесь
Вы должны создать секрет с этим устройством.Секрет требуется для загрузки в Azure AD и требуется в форме файла CSV с шестью столбцами:
Секрет будет выглядеть следующим образом:
Этот CSV-файл должен содержать следующую информацию:
upn, серийный номер, секретный ключ, интервал времени, производитель, модель
Что должно соответствоватьс лазурным порталом, как показано ниже:
Убедитесь, что каждый UPN в первом столбце соответствует устройству, которое вы выдаете пользователю, и загрузитеCSV-файл для Azure AD.
Это делается из Портал Azure> Левое меню Azure Active Directory> MFA (в области безопасности)> Токены OAUTH (в области настроек)
Загрузить CSV
После того, как вы создали CSV-файл из указанного эмулятора, который имеет , указанный выше
Вы должны загрузить свой файл на портал Azure.
Формат CSV
upn, серийный номер, секретный ключ, интервал времени, производитель, модель gulnara @ token2.onmicrosoft.com, 60234567,1234567890abcdef1234567890abcdef, 30, Token2, c101
Примечание: Убедитесь, что вы включили строку заголовка в файл CSV, как показано выше.Кроме того, пожалуйста, не редактируйте файл CSV в Excel, используйте вместо этого текстовый редактор (Блокнот)
Нажмите Загрузить и найдите файл CSV .Пока нет ошибок, он будет загружаться нормально.Ошибки отображаются в области уведомлений.После завершения загрузки нажмите «Обновить», чтобы увидеть импортированные аппаратные токены.Токены, назначенные несуществующим пользователям, появятся после создания пользователя, если пользователь создан в течение 30 дней
Затем вам просто нужно активировать аппаратный токен, нажав Активировать
См. Снимок экрана ниже
Как только вы скоро активируете код подтверждения, появится, как показано ниже:
Как только токен OATH активирован и установлен в качестве метода MFA по умолчанию, пользователи могут использовать его для входа в систему. Как показано ниже
Обратите внимание , что на странице входа все еще будет запрашиваться код «приложения-аутентификатора» на странице входа в систему, но OTP, сгенерированный аппаратным токеномнаверняка будет принят без проблем.
Теперь введите код с аппаратного обеспечения или эмулятора .Токен меняется каждые 30 секунд и действует в течение короткого промежутка времени, в течение которого он отображается на устройстве.
См. Снимок экрана:
Для крупных организаций они также могут устанавливать дополнительные методы MFA в дополнение к аппаратным токенам.Это обеспечит пользователям возможность входа в систему в случае потери или повреждения аппаратного токена.Дополнительные факторы MFA, такие как SMS или мобильное приложение, могут быть настроены самими пользователями на этой странице .
Как показано ниже:
Если вам нужна дополнительная информация, вы можете обратиться здесь
Ссылка Microsoft на проверку здесь
Информация об аппаратном токене устройства указана здесь