Namun ulasan lain tentang fitur token perangkat keras OATH di Azure Cloud MFA

Sekitar tiga bulan lalu Microsoft telah mengumumkan ketersediaan token perangkat keras OATH TOTP di Azure MFA. Fitur ini masih dalam "pratinjau publik", tetapi kami melihat banyak pelanggan kami menggunakan fitur dalam produksi sekarang. Saat kami menguji ini selama beberapa bulan terakhir di lingkungan lab kami dan, dalam banyak kasus, kami juga membantu pelanggan kami dengan aktivasi fitur, kami memiliki beberapa pengamatan yang kami yakin layak untuk dibagikan.

Waktu melayang dan dukungan miring

Tidak ada spesifikasi pasti yang diterbitkan oleh Microsoft tentang apakah penyimpangan waktu akan terdeteksi dan disesuaikan sesuai pada sisi server, tetapi karena mereka menyebutkan bahwa implementasi didasarkan pada RFC 6238, ini secara tidak langsung dapat berarti penyimpangan waktu didukung. Rincian dukungan kemiringan waktu juga tidak diungkapkan, tetapi lebih mudah untuk mengetahuinya dengan bereksperimen menggunakan perangkat TOTP kami; ternyata Azure MFA memungkinkan kode OTP dalam rentang waktu 900 detik . Dengan tunjangan miring yang besar, penyesuaian waktu drift bahkan tidak diperlukan.

Token perangkat keras "keunikan"

Anehnya, Azure MFA memungkinkan menetapkan token perangkat keras yang sama untuk banyak pengguna. Ini memungkinkan tidak hanya duplikat benih base32, tetapi juga nomor seri dan model bahkan dalam penyewa yang sama.

Aspek perizinan

Ini bukan pengamatan baru, secara jelas disebutkan bahwa aktivasi token perangkat keras memerlukan lisensi Azure AD P1 atau P2. Kami memiliki beberapa pelanggan yang ingin mengambil manfaat dari memperkenalkan token perangkat keras dengan langganan Office 365 mereka, tetapi tidak siap membayar sekitar 5-6EUR per pengguna per bulan hanya untuk fitur sepele seperti itu.
Rekomendasi kami untuk kasus ini adalah menggunakan salah satu token perangkat keras kami yang dapat diprogram . Tidak ada lisensi tambahan yang diperlukan untuk itu (karena token yang dapat diprogram kami “ dilihat ” oleh sistem sebagai aplikasi Authenticator) karena MFA tersedia di semua langganan Office 365 mulai dari Business Essentials.