次の方法で共有

CSV 形式でハードウェア OATH トークンをアップロードする

  • [アーティクル]

ハードウェア OATH トークンには、通常、トークン内に事前にプログラムされた秘密鍵 (シード) が付属しています。 ユーザーがハードウェア OATH トークンを使用して Microsoft Entra ID で職場または学校アカウントにサインインできるようにするには、管理者がテナントにトークンを追加する必要があります。 トークンを追加する推奨される方法は、最小限の特権を持つ管理者ロールで Microsoft Graph を使用することです。 詳細については、「ハードウェア OATH トークン (プレビュー)」を参照してください。

Microsoft Graph API を使用する代わりに、Microsoft Entra ID Premium ライセンスを持つテナントでは、Microsoft Entra ID に対してこれらのキーを全体管理者に入力させることができます。 秘密キーは 128 文字に制限されており、一部のトークンと互換性がありません。 秘密キーに含めることができるのは、文字 a-z または A-Z と数字 2-7 のみです。また、Base32 でエンコードする必要があります。

再シードできるプログラミング可能な OATH 時間ベースのワンタイム パスコード (TOTP) ハードウェア トークンは、ソフトウェア トークンの設定フローで Microsoft Entra ID を使用して設定することもできます。

OATH トークン管理のスクリーンショット。

トークンを取得したら、全体管理者はトークンをコンマ区切り値 (CSV) ファイル形式でアップロードする必要があります。 ファイルには、次の例に示すように、UPN、シリアル番号、秘密鍵、時間間隔、製造元、モデルが含まれている必要があります:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Note

CSV ファイルにヘッダー行が含まれていることを確認します。

CSV ファイルとして正しく書式設定されたら、全体管理者は Microsoft Entra 管理センターにサインインし、[保護]>[多要素認証]>[OATH トークン] に移動し、作成した CSV ファイルをアップロードできます。

CSV ファイルのサイズによって異なりますが、この処理には数分間かかることがあります。 [最新の情報に更新] ボタンを選択して、現在の状態を取得します。 ファイルにエラーがある場合、修正するために、エラーが含まれる CSV ファイルをダウンロードできます。 ダウンロードした CSV ファイル内のフィールド名は、アップロードされたバージョンとは異なります。

エラーが解決されたら、特権認証管理者またはエンド ユーザーはキーをアクティブ化できます。 トークンの [アクティブ化] を選択し、トークンに表示されている OTP を入力します。 5 分ごとに最大 200 の OATH トークンをアクティブにできます。

ユーザーは、最大 5 つの OATH ハードウェア トークンまたはいつでも使用されるように構成された認証アプリケーション (Microsoft Authenticator アプリなど) を組み合わせることもできます。 ハードウェア OATH トークンは、リソース テナントのゲスト ユーザーに割り当てることはできません。

重要

各トークンを 1 人のユーザーのみに割り当てるようにしてください。 1 つのトークンを複数のユーザーに割り当てることはできません。

アップロード処理中のエラーのトラブルシューティング

場合によっては、CSV ファイルのアップロード処理で競合や問題などが発生する可能性があります。 競合や問題が発生した場合は、次のような通知を受け取ります:

アップロード エラーの例のスクリーンショット。

エラー メッセージを確認するには、必ず [詳細の表示] を選択 してください。 [ハードウェア トークンの状態] ブレードが開き、アップロードの状態の概要が表示されます。 次の例のように、エラーまたは複数のエラーが発生したことを示します:

ハードウェア トークンの状態の例のスクリーンショット。

表示されるエラーの原因を特定するには、表示する状態の横にあるチェック ボックスをオンにして、[ダウンロード] オプションをアクティブにします。 これにより、特定されたエラーを含む CSV ファイルがダウンロードされます。

ダウンロード状態の例のスクリーンショット。

ダウンロードしたファイルの名前 はFailures_filename.csv で、ファイル名 はアップロードされたファイルの名前です。 ブラウザーの既定のダウンロード ディレクトリに保存されます。

この例では、テナント ディレクトリに現在存在しないユーザーとして識別されるエラーを示します。

エラー理由の例のスクリーンショット。

一覧表示されたエラーに対処したら、正常に処理されるまで CSV をもう一度アップロードします。 各試行の状態情報は 30 日間保持されます。 CSV を手動で削除するには、状態の横にあるチェックボックスをクリックし、必要に応じて [状態の削除] を選択します。

関連するコンテンツ

詳細については、OATH トークンの管理方法に関するページを参照してください。 パスワードなし認証対応の FIDO2 セキュリティ キー プロバイダーについてご確認ください。