Funktionsweise des Nummernabgleichs in MFA-Pushbenachrichtigungen für Authenticator – Richtlinie für Authentifizierungsmethoden
In diesem Thema wird beschrieben, wie durch den Nummernabgleich in Microsoft Authenticator-Pushbenachrichtigungen die Anmeldesicherheit für Benutzer verbessert wird. Der Nummernabgleich stellt ein wichtiges Sicherheitsupgrade für die herkömmlichen zweistufigen Benachrichtigungen in Authenticator dar.
Ab dem 8. Mai 2023 ist der Nummernabgleich für alle Authenticator-Pushbenachrichtigungen aktiviert. Wenn relevante Dienste bereitgestellt werden, sehen Benutzer weltweit, die für Authenticator-Pushbenachrichtigungen aktiviert sind, den Nummernabgleich in ihren Genehmigungsanforderungen. Benutzer können für Authenticator-Pushbenachrichtigungen entweder in der Richtlinie für Authentifizierungsmethoden oder in der Legacyrichtlinie für die Multi-Faktor-Authentifizierung (MFA) aktiviert werden, wenn die Option Benachrichtigungen über mobile App aktiviert ist.
Szenarien für den Nummernabgleich
Der Nummernabgleich ist für die folgenden Szenarien verfügbar. Wenn der Nummernabgleich aktiviert ist, wird er von allen Szenarien unterstützt.
- Mehrstufige Authentifizierung
- Self-Service-Kennwortzurücksetzung
- Kombinierte SSPR- und MFA-Registrierung bei der Einrichtung der Authenticator-App
- AD FS-Adapter
- NPS-Erweiterung
Der Nummernabgleich wird für Pushbenachrichtigungen für Apple Watch- oder Android-Wearables nicht unterstützt. Benutzer von Wearables müssen ihr Telefon verwenden, um Benachrichtigungen zu genehmigen, wenn der Nummernabgleich aktiviert ist.
Mehrstufige Authentifizierung
Wenn ein Benutzer mit Authenticator auf eine MFA-Pushbenachrichtigung antwortet, wird eine Nummer angezeigt. Sie müssen diese Nummer in die App eingeben, um die Genehmigung abzuschließen. Weitere Informationen zum Einrichten von der Multi-Faktor-Authentifizierung (MFA) finden Sie im Tutorial: Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra.
SSPR
Die Self-Service-Kennwortzurücksetzung (Self-Service Password Reset, SSPR) mit Authenticator erfordert einen Nummernabgleich, wenn Authenticator verwendet wird. Bei der Self-Service-Kennwortzurücksetzung wird auf der Anmeldeseite eine Nummer angezeigt, die der Benutzer in der Authenticator-Benachrichtigung eingeben muss. Weitere Informationen zum Einrichten von SSPR finden Sie im Tutorial: Ermöglichen der Kontoentsperrung oder Kennwortzurücksetzung für Benutzer.
Kombinierte Registrierung
Die kombinierte Registrierung mit Authenticator erfordert einen Nummernabgleich. Wenn ein Benutzer die kombinierte Registrierung durchläuft, um Authenticator einzurichten, muss er eine Benachrichtigung genehmigen, um das Konto hinzuzufügen. Diese Benachrichtigung zeigt eine Nummer, die in die Authenticator-Benachrichtigung eingegeben werden muss. Weitere Informationen zum Einrichten der kombinierten Registrierung finden Sie unter Aktivieren der kombinierten Registrierung von Sicherheitsinformationen.
AD FS-Adapter
Der AD FS-Adapter erfordert einen Nummernabgleich für unterstützte Versionen von Windows Server. Bei früheren Versionen werden den Benutzern weiterhin die Optionen Genehmigen/Ablehnen und erst nach einem Upgrade der Nummernabgleich angezeigt. Der AD FS-Adapter unterstützt den Nummernabgleich erst nach der Installation eines der in der folgenden Tabelle aufgeführten Updates. Weitere Informationen zum Einrichten des AD FS-Adapters finden Sie unter Konfigurieren von Azure Multi-Factor Authentication-Server zur Verwendung mit AD FS unter Windows Server.
Hinweis
Ungepatchte Versionen von Windows Server unterstützen den Nummernabgleich nicht. Die Benutzer sehen weiterhin das Genehmigen/Ablehnen angezeigt und sehen keinen Nummernabgleich, bis diese Updates angewendet werden.
Version | Aktualisieren |
---|---|
Windows Server 2022 | 09. November 2021 – KB5007205 (OS Build 20348.350) |
Windows Server 2019 | 09. November 2021 – KB5007206 (OS Build 17763.2300) |
Windows Server 2016 | 12. Oktober 2021—KB5006669 (OS Build 14393.4704) |
NPS-Erweiterung
NPS unterstützt keinen Nummernabgleich. Allerdings unterstützt die neueste NPS-Erweiterung Methoden mit zeitbasiertem Einmalkennwort (TOTP) wie das in Authenticator verfügbare TOTP, andere Softwaretoken und Hardware-FOBs. Die TOTP-Anmeldung bietet eine höhere Sicherheit als der alternative Vorgang mit Genehmigen/Ablehnen. Stellen Sie sicher, dass Sie die aktuelle Version der NPS-Erweiterung ausführen.
Alle Benutzer, die eine RADIUS-Verbindung mit der NPS-Erweiterung Version 1.2.2216.1 oder höher ausführen, werden aufgefordert, sich mit einer TOTP-Methode anzumelden anstatt mit Genehmigen/Ablehnen. Für Benutzer muss eine TOTP-Authentifizierungsmethode registriert sein, damit dieses Verhalten erfolgt. Wenn keine TOTP-Methode registriert ist, wird den Benutzern weiterhin die Abfrage Genehmigen/Ablehnen angezeigt.
Organisationen, die eine der früheren Versionen der NPS-Erweiterung nutzen, können die Registrierung so ändern, dass Benutzer zur Eingabe eines TOTP aufgefordert werden:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Hinweis
NPS-Erweiterungen vor Version 1.0.1.40 unterstützen kein durch Nummernabgleich erzwungenes TOTP. In diesen Versionen wird Benutzern weiterhin die Abfrage Genehmigen/Ablehnen angezeigt.
So erstellen Sie den Registrierungseintrag, um die Optionen Genehmigen/Ablehnen in Pushbenachrichtigungen außer Kraft zu setzen und stattdessen ein TOTP anzufordern
- Öffnen Sie auf dem NPS-Server den Registrierungs-Editor.
- Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Erstellen Sie das folgende Zeichenfolge/Wert-Paar:
- Name: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Wer = TRUE
- Starten Sie den NPS-Dienst neu.
Zusätzlich:
Benutzer, die die TOTP-Methode verwenden, müssen entweder Authenticator als Authentifizierungsmethode oder ein anderes OATH-Hardware- oder Softwaretoken registriert haben. Einem Benutzer, der keine TOTP-Methode verwenden kann, werden immer die Optionen Genehmigen/Ablehnen mit Pushbenachrichtigungen angezeigt, wenn er eine NPS-Erweiterung vor Version 1.2.2216.1 verwendet.
Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss für die Verwendung des PAP-Protokolls konfiguriert sein. Weiterführende Informationen finden Sie unter Bestimmen der Authentifizierungsmethoden, die Ihre Benutzer verwenden können.
Wichtig
MSCHAPv2 unterstützt TOTP nicht. Wenn der NPS-Server nicht für die Verwendung von PAP konfiguriert ist, schlägt die Benutzerautorisierung mit Ereignissen im AuthZOptCh-Protokoll des NPS-Erweiterungsservers in der Ereignisanzeige fehl:
NPS-Erweiterung für Azure MFA: Abfrage in Authenticator-Erweiterung für Benutzer „npstesting_ap“ angefordert. Sie können den NPS-Server für die Unterstützung von PAP konfigurieren. Wenn PAP keine Option ist, können Sie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE festlegen, um ein Fallback auf Pushbenachrichtigungen mit Genehmigen/Ablehnen auszuführen.
Wenn Ihr Unternehmen Remotedesktopgateway verwendet und der Benutzer für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert ist, kann er die Microsoft Entra-MFA-Abfrage nicht erfüllen, und die Anmeldung bei Remotedesktopgateway schlägt fehl. In diesem Fall können Sie OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE festlegen, um Authenticator und Pushbenachrichtigungen mit Genehmigen/Ablehnen als Fallback zu verwenden.
FAQs
Kann ich den Nummernabgleich deaktivieren?
Nein, Benutzer können den Nummernabgleich in Authenticator-Pushbenachrichtigungen nicht deaktivieren.
Relevante Dienste werden mit der Bereitstellung dieser Änderungen nach dem 8. Mai 2023 beginnen und Benutzer dann den Nummernabgleich in Genehmigungsanforderungen sehen. Während Dienste bereitgestellt werden, sehen einige Benutzer möglicherweise den Nummernabgleich, andere dagegen nicht. Um ein einheitliches Verhalten für alle Benutzer sicherzustellen, empfehlen wir dringend, vorab den Nummernabgleich für Authenticator-Pushbenachrichtigungen zu aktivieren.
Wird der Nummernabgleich nur angewendet, wenn Authenticator-Pushbenachrichtigungen als Standardauthentifizierungsmethode festgelegt sind?
Ja. Wenn der Benutzer eine andere Standardauthentifizierungsmethode verwendet, erfolgt keine Änderung seiner Standardanmeldung. Wenn die Standardmethode Authenticator-Pushbenachrichtigungen sind, erhält der Benutzer einen Zahlenabgleich. Wenn die Standardmethode etwas anderes ist, z. B. TOTP in Authenticator oder ein anderer Anbieter, gibt es keine Änderung.
Unabhängig von der ausgewählten Standardmethode wird jedem Benutzer, der zum Anmelden mit Authenticator-Pushbenachrichtigungen aufgefordert wird, nach dem 8. Mai 2023 der Nummernabgleich angezeigt. Wenn der Benutzer zur Durchführung einer anderen Methode aufgefordert wird, erfolgt keine Änderung.
Was geschieht bei Benutzern, die nicht in der Authentifizierungsmethoden-Richtlinie angegeben sind, aber in der mandantenweiten MFA-Legacyrichtlinie für Benachrichtigungen über mobile App aktiviert sind?
Benutzern, die für MFA-Pushbenachrichtigungen in der MFA-Legacy-Richtlinie aktiviert sind, wird auch ein Nummernabgleich angezeigt, wenn in der MFA-Legacy-Richtlinie Benachrichtigungen über mobile Apps aktiviert ist. Benutzern wird ein Nummernabgleich angezeigt, unabhängig davon, ob sie in der Richtlinie für Authentifizierungsmethoden für Authenticator aktiviert sind.
Wird der Nummernabgleich mit MFA Server unterstützt?
Nein. Der Nummernabgleich wird nicht erzwungen, da es sich nicht um ein unterstütztes Feature für MFA Server handelt, der veraltet ist.
Was passiert, wenn ein Benutzer eine ältere Version von Authenticator verwendet?
Wenn ein Benutzer eine ältere Version von Authenticator ohne Unterstützung des Nummernabgleichs verwendet, funktioniert die Authentifizierung nicht. Benutzer müssen ein Upgrade auf die neueste Version von Authenticator durchführen, um die App für die Anmeldung verwenden zu können.
Wie können Benutzer die Nummer auf mobilen iOS-Geräten erneut überprüfen, nachdem die Abgleichsanforderung angezeigt wurde?
Während mobiler iOS-Broker-Flows wird nach einer Verzögerung von zwei Sekunden die Anforderung zum Nummernabgleich über der Nummer angezeigt. Um die Nummer erneut zu überprüfen, klicken Sie auf Nummer erneut anzeigen. Diese Aktion tritt nur in mobilen iOS-Broker-Flows auf.
Gibt es eine Apple Watch-Unterstützung für Authenticator?
Im Authenticator-Release vom Januar 2023 für iOS gibt es keine Begleit-App für watchOS, da dieses Betriebssystem nicht mit den Microsoft Authenticator-Sicherheitsfeatures kompatibel ist. Sie können Authenticator auf einer Apple Watch nicht installieren oder verwenden. Wir empfehlen daher, Authenticator von der Apple Watch zu löschen und sich mit Authenticator auf einem anderen Gerät anzumelden.