Jak funguje porovnávání čísel v nabízených oznámeních MFA pro Authenticator – zásady metod ověřování
Tento článek vysvětluje, jak porovnávání čísel v nabízených oznámeních Authenticatoru zlepšuje zabezpečení přihlašování uživatelů. Párování čísel je klíčovým vylepšením zabezpečení tradičních oznámení pomocí druhého faktoru v Authenticatoru.
Porovnávání čísel je povoleno pro všechna push oznámení Authenticatoru.
Scénáře porovnávání čísel
Porovnávání čísel je k dispozici pro následující scénáře. Když je tato možnost povolená, podporují všechny scénáře porovnávání čísel:
- vícefaktorové ověřování
- samoobslužné resetování hesla (SSPR)
- kombinovaná registrace SSPR a MFA během nastavení aplikace Authenticator
- adaptéru služby Active Directory Federation Services (AD FS)
- rozšíření serveru NPS (Network Policy Server)
Porovnávání čísel není podporováno pro nabízená oznámení pro zařízení Apple Watch nebo Android wearable. Uživatelé nositelných zařízení musí ke schválení oznámení použít telefon, když je povoleno porovnávání čísel.
Vícefaktorové ověřování
Když uživatelé reagují na nabízené oznámení vícefaktorového ověřování pomocí Authenticatoru, uvidí číslo. Aby bylo schválení dokončeno, musí toto číslo zadat do aplikace. Další informace o nastavení vícefaktorového ověřování najdete v tématu Kurz: Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.
Samoobslužné resetování hesla (SSPR)
SSPR s authenticatorem vyžaduje porovnávání čísel, když uživatel používá Authenticator. Během SSPR se na přihlašovací stránce zobrazí číslo, které musí uživatel zadat do oznámení Authenticatoru. Další informace o tom, jak nastavit SSPR, najdete v návodu : Povolení uživatelům odemknout si účet nebo resetovat hesla.
Kombinovaná registrace
Kombinovaná registrace s authenticatorem vyžaduje porovnávání čísel. Když uživatel projde kombinovanou registrací, aby nastavil Authenticator, musí schválit oznámení pro přidání účtu. Toto oznámení zobrazuje číslo, které musí uživatel zadat do oznámení authenticatoru. Další informace o tom, jak nastavit kombinovanou registraci, naleznete v tématu Povolit kombinovanou registraci informací o zabezpečení.
Adaptér AD FS
Adaptér služby AD FS vyžaduje shodu čísel v podporovaných verzích Windows Serveru. V dřívějších verzích se uživatelům dál zobrazují možnosti Schválit/Odepřít a dokud se neupgradují, neuvidí porovnávání čísel. Adaptér služby AD FS podporuje párování čísel až po instalaci jedné z aktualizací v následující tabulce. Další informace o tom, jak nastavit adaptér služby AD FS, naleznete v tématu Konfigurace vícefaktorového ověřovacího serveru Microsoft Entra pro práci se službou AD FS v systému Windows Server.
Poznámka
Nepatchované verze Windows Serveru nepodporují porovnávání čísel. Uživatelé nadále vidí rozhraní Schválit/Odepřít a neuvidí shodu čísel, pokud tyto aktualizace nejsou aplikovány.
| Verze | Aktualizace |
|---|---|
| Windows Server 2022 | 9. listopadu 2021 – KB5007205 (build operačního systému 20348.350) |
| Windows Server 2019 | 9. listopadu 2021 – KB5007206 (build operačního systému 17763.2300) |
| Windows Server 2016 | 12. října 2021 – KB5006669 (build operačního systému 14393.4704) |
Rozšíření NPS
I když NPS nepodporuje párování čísel, nejnovější rozšíření NPS podporuje metody jednorázového hesla (TOTP), jako je TOTP dostupný v Authenticatoru, další softwarové tokeny a hardwarové foby. Přihlášení TOTP poskytuje lepší zabezpečení než alternativní prostředí Schválit/Odmítnout. Ujistěte se, že používáte nejnovější verzi rozšíření NPS.
Kdokoli, kdo provede připojení RADIUS s rozšířením NPS ve verzi 1.2.2216.1 nebo novější, obdrží výzvu k přihlášení pomocí metody TOTP místo Schválit/Odepřít. Aby mohli uživatelé toto chování zobrazit, musí mít zaregistrovanou metodu ověřování TOTP. Bez registrované metody TOTP se uživatelům nadále zobrazují možnosti: Schválit/Odepřít.
Organizace, které používají některou z těchto starších verzí rozšíření NPS, můžou upravit registr tak, aby vyžadovaly, aby uživatelé zadali TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Poznámka
Verze rozšíření NPS starší než 1.0.1.40 nepodporují TOTP vynucené párováním čísel. Tyto verze nadále používají Schválit/Odepřít.
Chcete-li vytvořit položku registru, která přepíše možnosti Schválit/Odmítnout v push oznámeních a místo toho vyžaduje TOTP:
Na serveru NPS otevřete Editor registru.
Přejděte na
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Vytvořte následující dvojici řetězců a hodnot:
- Název:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Hodnota =
TRUE
- Název:
Restartujte službu NPS.
Navíc:
Uživatelé, kteří provádějí TOTP, musí mít buď authenticator zaregistrovaný jako metodu ověřování, nebo nějaký jiný hardwarový nebo softwarový token OATH. Uživatelé, kteří nemohou použít metodu TOTP, vždy vidí možnosti Schválit/Odmítnout s nabízenými oznámeními, pokud používají verzi rozšíření NPS starší než 1.2.2216.1.
Server NPS, na kterém je nainstalované rozšíření NPS, musí být nakonfigurované tak, aby používal protokol PAP (Password Authentication Protocol). Další informace najdete v tématu Určení metod ověřování, které mohou uživatelé používat.
Důležitý
MSCHAPv2 nepodporuje TOTP. Pokud server NPS není nakonfigurovaný tak, aby používal protokol PAP, autorizace uživatele selže a v Prohlížeči událostí se zobrazí události v protokolu AuthZOptCh serveru rozšíření NPS.
- Rozšíření NPS pro Azure MFA: Výzva požadovaná v rozšíření ověřování pro uživatele
npstesting_ap.
Server NPS můžete nakonfigurovat tak, aby podporoval PAP. Pokud pap není možnost, nastavte
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby se vrátil na Schválit/Odepřít nabízená oznámení.- Rozšíření NPS pro Azure MFA: Výzva požadovaná v rozšíření ověřování pro uživatele
Pokud vaše organizace používá bránu vzdálené plochy a uživatel se zaregistroval pro kód TOTP spolu s push oznámeními Authenticatoru, nemůže splnit požadavky na ověření Microsoft Entra MFA a přihlášení přes bránu vzdálené plochy selže. V tomto případě nastavte OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE tak, aby se vrátila na Schválit/Odepřít nabízená oznámení pomocí authenticatoru.
Nejčastější dotazy
Tato část obsahuje odpovědi na běžné otázky.
Můžou se uživatelé odhlásit z párování čísel?
Ne, uživatelé nemůžou vyjádřit nesouhlas s počtem odpovídajících čísel v nabízených oznámeních Authenticatoru.
Použije se porovnávání čísel jenom v případě, že jsou nabízená oznámení Authenticator nastavená jako výchozí metoda ověřování?
Ano. Pokud má uživatel jinou výchozí metodu ověřování, neexistuje žádná změna výchozího přihlášení. Pokud je výchozí metodou oznámení typu push v aplikaci Authenticator, obdrží spárování čísel. Pokud je výchozí metoda cokoli jiného, například TOTP v Authenticatoru nebo jiném poskytovateli, neexistuje žádná změna.
Bez ohledu na výchozí metodu se každému uživateli, u kterého se zobrazí výzva k přihlášení pomocí push oznámení Authenticatoru, zobrazí shoda čísel. Pokud se zobrazí výzva k zadání jiné metody, neuvidí žádnou změnu.
Co se stane s uživateli, kteří nejsou uvedeni v zásadách metod ověřování, ale mají ve starších zásadách tenantu MFA povolené oznámení prostřednictvím mobilní aplikace?
Uživatelům, kteří mají povolené push oznámení pro vícefaktorové ověřování ve starších zásadách MFA, se také zobrazí ověření podle čísla, pokud starší zásada MFA povolila oznámení prostřednictvím mobilní aplikace. Uživatelé uvidí porovnávání čísel bez ohledu na to, jestli jsou v zásadách metod ověřování povoleny pro aplikaci Authenticator.
Podporuje se porovnávání čísel se serverem Azure Multi-Factor Authentication?
Ne, porovnávání čísel se nevynucuje, protože se nejedná o podporovanou funkci pro Azure Multi-Factor Authentication Server, což je zastaralé.
Co se stane, když uživatel spustí starší verzi Authenticatoru?
Pokud uživatel spustí starší verzi Authenticatoru, která nepodporuje porovnávání čísel, ověřování nebude fungovat. Aby ho mohli používat pro přihlášení, musí upgradovat na nejnovější verzi authenticatoru.
Jak můžou uživatelé po zobrazení žádosti o shodu znovu zkontrolovat číslo na mobilních zařízeních s iOSem?
Během mobilních toků makléře na iOS se žádost o shodu čísel objeví nad číslem po dvousekundovém zpoždění. Pokud chcete číslo znovu zkontrolovat, vyberte Zobrazit číslo znovu. K této akci dochází pouze v tocích zprostředkovatele pro mobilní iOS.
Podporuje se Apple Watch pro Authenticator?
Ve verzi Authenticator v lednu 2023 pro iOS neexistuje žádná doprovodná aplikace pro watchOS, protože není kompatibilní s funkcemi zabezpečení Authenticatoru. Na Apple Watch se nedá nainstalovat ani používat Authenticator. Doporučujeme odstranit Authenticator z Apple Watch a přihlásit se pomocí Authenticatoru na jiném zařízení.