Zum Inhalt
Azure MFA OATH TOTP Token
Home » Azure MFA: Return of the Hardware Token (OATH TOTP)

Azure MFA: Return of the Hardware Token (OATH TOTP)

Microsoft 365 beziehungsweise das Azure AD bietet die Möglichkeit anstelle des Authenticator Apps einen Hardware-Token mit dem OATH TOTP Standard für MFA zu nutzen. Ein Hardware-Token ist nur eine alternative Option zum klassischen Popup auf dem Handy. Genauso gibt es die Passwortlose Anmeldung mit einem FIDO Security Key oder der Authenticator App. Hierzu habe ich bereits zwei Beiträge verfasst.

Warum einen OATH Token?

Sehr viele Angriffe werden aufgrund unsicherer oder mehrfach verwendeter Passwörter erfolgreich durchgeführt. Darum ist für mich klar, jedes Konto muss mit MFA oder einer passwortlosen Authentifizierung geschützt werden. Trotzdem stehe ich immer wieder vor der Herausforderung verschiedene Personen und Organisationen davon überzeugen zu müssen. Dabei sind häufige Gegenargumente: "Nicht alle meine Mitarbeiter sind bereit auf ihrem privaten Smartphone eine geschäftliche App zu installieren." oder: ""Einige Mitarbeiter haben kein Smartphone."
Genau in solchen Situationen können die altbekannten, klassischen Hardware-Token wieder Anklang finden.

Setup: OATH TOTP Hardware-Token für with Azure MFA

Voraussetzungen

  • Azure Active Directory Plan 1 oder 2
  • OATH TOTP Token
    • Wichtig ist hier TOTP (Time-based One-time Password), HOTP (Hash-based One-time Password) werden nicht unterstützt
    • Beispiel für Token: Feitian c200 oder Token2 c202

Bestellung eines OATH Token

Bei dem nicht programmierbaren Token muss bei der Bestellung zusätzlich eine Datei mit Seriennummer und Secret Key beantrag werden. Dieses wird in einem zweiten Schritt mit den Benutzern (UPN) in ein CSV abgefüllt und ins Azure AD importieren.
Das CSV schaut dann so aus:

upn,serial number,secret key,time interval,manufacturer,model michael.scott@scloud.work,1234567891011,ABCBISYZQWERTZUIO,30,Feitian,HardwareKey
Codesprache: CSS (css)

Import und Zuweisung

Die Zuweisung haben wir faktisch bereits mit dem CSV gemacht. Nun müssen wir dieses noch importieren.

Dazu Navigieren wir im Azure AD in die OATH Settings (Security > MFA > OATH tokens) und laden die Datei hoch. (Nur als Global Administrator möglich.)

OATH TOTP token upload Azure MFA

Nach ein paar Sekunden und einem Refresh ist dann der Benutzer mit dem Token ersichtlich. In der letzten Spalte ist der Link zur Aktivierung. Diese muss pro Benutzer einmalig durchgeführt werden.

Azure MFA OATH token

Wir geben lediglich den Token, welcher uns auf dem Display angezeigt wird, ein und klicken auf OK.

OATH activation, Azure MFA

Daraufhin wird der Status mit einem "Häklein" als aktiv angezeigt:

OATH TOTP token activated in Azure MFA

Login mit dem Hardware-Token

Der Login innerhalb von Microsoft 365 oder einer Azure AD Applikation funktioniert identisch wie mit dem Authenticator App. Der Benutzer gibt seinen Benutzername und Passwort ein und wird anschliessend aufgefordert den Token vom Display einzugeben.

Microsoft 365 Login OATH Hardware token
Microsoft 365 Login OATH Hardware token

1 Gedanke zu „Azure MFA: Return of the Hardware Token (OATH TOTP)“

  1. There are always a couple of users who don't want to use their 'personal' phone for securing their work accounts, but at the same time, want their emails accessible on it. They will be dragging around a hardware token with them!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.