منذ حوالي ثلاثة أشهر ،
أعلنت Microsoft
عن توفر رموز الأجهزة OATH TOTP في Azure MFA. لا تزال الميزة في "المعاينة العامة" ، لكننا نرى العديد من عملائنا يستخدمون الميزة بالفعل في الإنتاج الآن. نظرًا لأننا نختبر هذا خلال الشهرين الماضيين في بيئة مختبرنا ، وفي العديد من الحالات ، نساعد عملائنا أيضًا على تنشيط الميزة ، لدينا بعض الملاحظات التي نعتقد أنها تستحق المشاركة.
الوقت الانجراف ودعم الانحراف
لا توجد مواصفات دقيقة تنشرها Microsoft حول ما إذا كان سيتم الكشف عن وقت الانجراف وتعديله وفقًا لذلك من جانب الخادم ، ولكن بما أن ذلك يذكر أن التنفيذ يستند إلى RFC 6238 ، فقد يعني هذا بشكل غير مباشر أن وقت الانجراف مدعوم. لا يتم أيضًا الكشف عن تفاصيل دعم انحراف الوقت ، ولكن كان من السهل اكتشاف ذلك من خلال تجربة استخدام
مجموعة أدوات TOTP الخاصة بنا ؛ اتضح أن برنامج Azure MFA يسمح برموز OTP من خلال نطاق زمني يبلغ
900 ثانية . مع مثل هذا الانحراف الكبير المسموح به ، فإن تعديلات الوقت غير ضرورية.
الرمز المميز للأجهزة "التفرد"
من المثير للدهشة ، أن Azure MFA يسمح بتعيين نفس الرمز المميز للجهاز لعدة مستخدمين. لا يسمح فقط بتكرار بذور base32 ، ولكن أيضًا بالأرقام والنماذج التسلسلية حتى داخل نفس المستأجر.
جوانب الترخيص
هذه ليست ملاحظة جديدة ، فقد ذكر بوضوح أن تنشيط الرمز المميز للأجهزة يتطلب
تراخيص Azure AD P1 أو P2. كان لدينا عدد قليل من العملاء المستعدين للاستفادة من تقديم الرموز المميزة للأجهزة مع اشتراكات Office 365 الخاصة بهم ، ولكننا غير مستعدين للدفع حوالي 5-6EUR لكل مستخدم شهريًا لمثل هذه الميزة البسيطة.
توصيتنا لهذه الحالة هي استخدام أحد الرموز المميزة للأجهزة
القابلة للبرمجة . لا توجد حاجة إلى ترخيص إضافي لذلك (نظرًا لأن "الرموز" القابلة للبرمجة من قِبل النظام بمثابة تطبيقات Authenticator) حيث
تتوفر MFA في جميع اشتراكات Office 365 بدءًا من Business Essentials.