Jak funguje párování čísel v nabízených oznámeních vícefaktorového ověřování pro Authenticator – zásady metod ověřování
Toto téma popisuje, jak porovnávání čísel v nabízených oznámeních Microsoft Authenticatoru zlepšuje zabezpečení přihlašování uživatelů. Párování čísel je klíčovým upgradem zabezpečení na tradiční oznámení druhého faktoru v Authenticatoru.
Od 8. května 2023 je pro všechna nabízená oznámení Authenticator povolená porovnávání čísel. Při nasazování relevantních služeb začnou uživatelé po celém světě, kteří mají povoleno nabízená oznámení Authenticatoru, vidět čísla odpovídající jejich žádostem o schválení. Uživatelům je možné povolit nabízená oznámení Authenticatoru v zásadách metod ověřování nebo starších zásadách vícefaktorového ověřování, pokud je povolená oznámení prostřednictvím mobilní aplikace .
Scénáře porovnávání čísel
Porovnávání čísel je k dispozici pro následující scénáře. Pokud je tato možnost povolená, podporují všechny scénáře porovnávání čísel.
- Vícefaktorové ověřování
- Samoobslužné resetování hesla
- Kombinovaná registrace SSPR a MFA během nastavení aplikace Authenticator
- Adaptér SLUŽBY AD FS
- Rozšíření NPS
Porovnávání čísel není podporováno pro nabízená oznámení pro zařízení Apple Watch nebo Android wearable. Uživatelé zařízení, která se dají používat, musí k schválení oznámení použít telefon, když je povolené párování čísel.
Vícefaktorové ověřování
Když uživatel odpoví na nabízené oznámení vícefaktorového ověřování pomocí Authenticatoru, zobrazí se mu číslo. Aby bylo schválení dokončeno, musí toto číslo zadat do aplikace. Další informace o nastavení vícefaktorového ověřování najdete v tématu Kurz: Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.
SSPR
Samoobslužné resetování hesla (SSPR) s authenticatorem vyžaduje při použití authenticatoru párování čísel. Během samoobslužného resetování hesla se na přihlašovací stránce zobrazuje číslo, které musí uživatel zadat do oznámení Authenticatoru. Další informace o tom, jak nastavit SSPR, najdete v kurzu : Povolení uživatelům odemknout svůj účet nebo resetovat hesla.
Kombinovaná registrace
Kombinovaná registrace s authenticatorem vyžaduje porovnávání čísel. Když uživatel projde kombinovanou registrací, aby nastavil Authenticator, musí schválit oznámení pro přidání účtu. Toto oznámení zobrazuje číslo, které musí zadat do oznámení Authenticatoru. Další informace o tom, jak nastavit kombinovanou registraci, naleznete v tématu Povolení kombinované registrace informací o zabezpečení.
Adaptér SLUŽBY AD FS
Adaptér SLUŽBY AD FS vyžaduje shodu čísel v podporovaných verzích Windows Serveru. V dřívějších verzích se uživatelům dál zobrazuje prostředí Schválit/zamítnutí a dokud neupgradujete, neuvidí porovnávání čísel. Adaptér služby AD FS podporuje porovnávání čísel až po instalaci jedné z aktualizací v následující tabulce. Další informace o tom, jak nastavit adaptér služby AD FS, najdete v tématu Konfigurace serveru Azure Multi-Factor Authentication pro práci se službou AD FS ve Windows Serveru.
Poznámka:
Nepatchované verze Windows Serveru nepodporují porovnávání čísel. Uživatelé budou dál zobrazovat možnosti Schválit/zamítnutí a neuvidí shodu čísel, pokud se tyto aktualizace nepoužijí.
Verze | Aktualizovat |
---|---|
Windows Server 2022 | 9. listopadu 2021 – KB5007205 (build operačního systému 20348.350) |
Windows Server 2019 | 9. listopadu 2021 – KB5007206 (build operačního systému 17763.2300) |
Windows Server 2016 | 12. října 2021 – KB5006669 (build operačního systému 14393.4704) |
Rozšíření NPS
I když NPS nepodporuje párování čísel, nejnovější rozšíření NPS podporuje metody jednorázového hesla (TOTP), jako je TOTP dostupný v Authenticatoru, další softwarové tokeny a hardwarové foby. Přihlášení TOTP poskytuje lepší zabezpečení než alternativní prostředí schválit/zamítnutí. Ujistěte se, že používáte nejnovější verzi rozšíření NPS.
Každý, kdo provádí připojení RADIUS s rozšířením NPS verze 1.2.2216.1 nebo novější, se místo schválení/zamítnutí zobrazí výzva k přihlášení pomocí metody TOTP. Aby mohli uživatelé toto chování zobrazit, musí mít zaregistrovanou metodu ověřování TOTP. Bez zaregistrované metody TOTP se uživatelům dál zobrazuje schválení/zamítnutí.
Organizace, které používají některou z těchto starších verzí rozšíření NPS, můžou změnit registr tak, aby vyžadovaly, aby uživatelé zadali TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Poznámka:
Verze rozšíření NPS starší než 1.0.1.40 nepodporují totp vynucené pomocí párování čísel. Tyto verze budou i nadále prezentovat uživatele se schválením /zamítnutí.
Pokud chcete vytvořit položku registru pro přepsání možností Schválit/zamítnutí v nabízených oznámeních a místo toho vyžadovat toTP:
- Na serveru NPS otevřete Editor registru.
- Přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Vytvořte následující dvojici řetězců a hodnot:
- Název: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Hodnota = PRAVDA
- Restartujte službu NPS.
Kromě toho:
Uživatelé, kteří provádějí TOTP, musí mít buď authenticator zaregistrovaný jako metodu ověřování, nebo nějaký jiný hardwarový nebo softwarový token OATH. Uživatel, který nemůže použít metodu TOTP, vždy uvidí možnosti Schválit/zamítnutí s nabízenými oznámeními, pokud používá verzi rozšíření NPS starší než 1.2.2216.1.
Server NPS, na kterém je nainstalované rozšíření NPS, musí být nakonfigurované tak, aby používal protokol PAP. Další informace najdete v tématu Určení metod ověřování, které můžou uživatelé použít.
Důležité
MSCHAPv2 nepodporuje TOTP. Pokud server NPS není nakonfigurovaný tak, aby používal pap, autorizace uživatele selže s událostmi v protokolu AuthZOptCh serveru rozšíření NPS v Prohlížeč událostí:
Rozšíření NPS pro Azure MFA: Výzva požadovaná v rozšíření ověřování pro uživatelskou npstesting_ap Server NPS můžete nakonfigurovat tak, aby podporoval PAP. Pokud pap není možnost, můžete nastavit OVERRIDE_NUMBER_MATCHING_WITH_OTP = NEPRAVDA, aby se vrátila ke schválení/nabízených oznámení Odepřít.
Pokud vaše organizace používá bránu vzdálené plochy a uživatel je zaregistrovaný pro kód TOTP spolu s nabízenými oznámeními Authenticatoru, nemůže splnit výzvu vícefaktorového ověřování Microsoft Entra a přihlášení brány vzdálené plochy selže. V tomto případě můžete nastavit OVERRIDE_NUMBER_MATCHING_WITH_OTP = NEPRAVDA tak, aby se vrátila na Schválení/nabízených oznámení Odepřít pomocí Authenticatoru.
Nejčastější dotazy k
Můžu se odhlásit z párování čísel?
Ne, uživatelé nemůžou vyjádřit nesouhlas s počtem odpovídajících čísel v nabízených oznámeních Authenticatoru.
Příslušné služby začnou tyto změny nasazovat po 8. květnu 2023 a uživatelé začnou vidět shodu čísel v žádostech o schválení. Při nasazování služeb se některé můžou zobrazovat shodná čísla, zatímco jiné ne. Pokud chcete zajistit konzistentní chování pro všechny uživatele, důrazně doporučujeme povolit shodu čísel pro nabízená oznámení Authenticatoru předem.
Použije se porovnávání čísel jenom v případě, že jsou nabízená oznámení Authenticator nastavená jako výchozí metoda ověřování?
Ano. Pokud má uživatel jinou výchozí metodu ověřování, neexistuje žádná změna výchozího přihlášení. Pokud je výchozí metoda Authenticator nabízená oznámení, obdrží shodu čísel. Pokud je výchozí metoda cokoli jiného, například TOTP v Authenticatoru nebo jiném poskytovateli, neexistuje žádná změna.
Bez ohledu na výchozí metodu se všem uživatelům, kteří se zobrazí výzva k přihlášení pomocí nabízených oznámení Authenticatoru, uvidí shodu čísel. Pokud se zobrazí výzva k zadání jiné metody, nezobrazí se žádná změna.
Co se stane pro uživatele, kteří nejsou v zásadách metod ověřování zadaná, ale mají povolené oznámení prostřednictvím mobilní aplikace ve starších zásadách tenanta vícefaktorového ověřování?
Uživatelé, kteří mají povolené nabízená oznámení vícefaktorového ověřování ve starších zásadách vícefaktorového ověřování, uvidí také shodu čísel v případě, že starší zásada vícefaktorového ověřování povolila oznámení prostřednictvím mobilní aplikace. Uživatelé uvidí shodu čísel bez ohledu na to, jestli jsou v zásadách metod ověřování povolená pro Authenticator.
Podporuje se porovnávání čísel s MFA Serverem?
Ne, porovnávání čísel se nevynucuje, protože se nejedná o podporovanou funkci pro MFA Server, která je zastaralá.
Co se stane, když uživatel spustí starší verzi Authenticatoru?
Pokud uživatel používá starší verzi Authenticatoru, která nepodporuje porovnávání čísel, ověřování nebude fungovat. Uživatelé musí upgradovat na nejnovější verzi authenticatoru, aby ho mohli používat pro přihlášení.
Jak můžou uživatelé po zobrazení žádosti o shodu znovu zkontrolovat číslo na mobilních zařízeních s iOSem?
Během toků zprostředkovatele pro mobilní iOS se požadavek na shodu čísel zobrazí po dvousekundovém zpoždění. Pokud chcete číslo znovu zkontrolovat, klikněte znovu na Zobrazit číslo. Tato akce se provádí pouze v tocích zprostředkovatele pro mobilní iOS.
Podporuje se Apple Watch pro Authenticator?
Ve verzi Authenticator v lednu 2023 pro iOS neexistuje žádná doprovodná aplikace pro watchOS, protože není kompatibilní s funkcemi zabezpečení Authenticator. Na Apple Watch se nedá nainstalovat ani používat Authenticator. Proto doporučujeme odstranit Authenticator z Apple Watch a přihlásit se pomocí Authenticatoru na jiném zařízení.