Wie der Nummernabgleich in MFA-Pushbenachrichtigungen für Authenticator funktioniert – Richtlinie zu Authentifizierungsmethoden
In diesem Artikel wird erläutert, wie der Nummernabgleich in Authenticator-Pushbenachrichtigungen die Sicherheit der Benutzeranmeldung verbessert. Der Nummernabgleich stellt ein wichtiges Sicherheitsupgrade für die herkömmlichen zweistufigen Benachrichtigungen in Authenticator dar.
Der Nummernabgleich ist für alle Authentifikator-Pushbenachrichtigungen aktiviert.
Szenarien für den Nummernabgleich
Der Nummernabgleich ist für die folgenden Szenarien verfügbar. Wenn sie aktiviert ist, unterstützen alle Szenarien den Nummernabgleich:
- MFA
- Self-Service-Kennwortzurücksetzung(Self-Service Password Reset, SSPR)
- Kombinierte SSPR- und MFA-Registrierung bei der Einrichtung der Authenticator-App
- AD FS-Adapter (Active Directory Federation Services, Active Directory-Verbunddienste)
- NPS-Erweiterung (Network Policy Server, Netzwerkrichtlinienserver)
Ein Vergleich von Nummern wird für Push-Benachrichtigungen auf tragbaren Geräten wie der Apple Watch oder Android-Wearables nicht unterstützt. Tragbare Gerätebenutzer müssen ihr Telefon verwenden, um Benachrichtigungen zu genehmigen, wenn der Nummernabgleich aktiviert ist.
Mehrstufige Authentifizierung
Wenn Benutzer mithilfe von Authenticator auf eine MFA-Pushbenachrichtigung antworten, wird eine Zahl angezeigt. Sie müssen diese Nummer in die App eingeben, um die Genehmigung abzuschließen. Weitere Informationen zum Einrichten der Multi-Faktor-Authentifizierung (MFA) finden Sie unter Tutorial: Schützen von Anmeldeereignissen für Benutzende mit der Multi-Faktor-Authentifizierung in Microsoft Entra.
SSPR
SSPR mit Authenticator erfordert einen Nummernabgleich, wenn Benutzende Authenticator verwenden. Bei der SSPR wird auf der Anmeldeseite eine Nummer angezeigt, die Benutzende in der Authenticator-Benachrichtigung eingeben müssen. Weitere Informationen zum Einrichten von SSPR finden Sie in der Anleitung: Sorgen Sie dafür, dass Benutzer ihre Konten entsperren oder Kennwörter zurücksetzen können.
Kombinierte Registrierung
Die kombinierte Registrierung mit Authenticator erfordert einen Nummernabgleich. Wenn ein Benutzer die kombinierte Registrierung zum Einrichten von Authenticator durchläuft, muss der Benutzer eine Benachrichtigung genehmigen, um das Konto hinzuzufügen. Diese Benachrichtigung zeigt eine Nummer an, die der Benutzer in die Authenticator-Benachrichtigung eingeben muss. Weitere Informationen zum Einrichten der kombinierten Registrierung finden Sie unter Aktivieren der kombinierten Registrierung von Sicherheitsinformationen.
AD FS-Adapter
Der AD FS-Adapter erfordert einen Nummernabgleich in den unterstützten Versionen von Windows Server. Bei früheren Versionen wird Benutzenden weiterhin Genehmigen/Ablehnen angezeigt. Der Nummernabgleich wird erst nach einem Upgrade angezeigt. Der AD FS-Adapter unterstützt den Nummernabgleich erst nach der Installation eines der in der folgenden Tabelle aufgeführten Updates. Weitere Informationen zum Einrichten des AD FS-Adapters finden Sie unter Konfigurieren des Microsoft Entra-Multifaktor-Authentifizierungsservers für die Zusammenarbeit mit AD FS in Windows Server.
Anmerkung
Nicht gepatchte Versionen von Windows Server unterstützen keinen Nummernabgleich. Benutzenden wird weiterhin Genehmigen/Ablehnen angezeigt und erst nach Anwendung dieser Updates der Nummernabgleich.
| Version | Update |
|---|---|
| Windows Server 2022 | 09. November 2021 – KB5007205 (Betriebssystembuild 20348.350) |
| Windows Server 2019 | 09. November 2021 – KB5007206 (Betriebssystembuild 17763.2300) |
| Windows Server 2016 | 12. Oktober 2021 – KB5006669 (Betriebssystembuild 14393.4704) |
NPS-Erweiterung
NPS unterstützt keinen Nummernabgleich. Allerdings unterstützt die aktuelle NPS-Erweiterung Methoden mit zeitbasiertem Einmal-Passcode (Time-based One-Time Password, TOTP) wie der in Authenticator verfügbare TOTP, andere Softwaretoken und Hardware-FOBs. Die TOTP-Anmeldung bietet eine höhere Sicherheit als der alternative Vorgang mit Genehmigen/Ablehnen. Stellen Sie sicher, dass Sie die neueste Version der NPS-Erweiterungausführen.
Alle Benutzenden, die eine RADIUS-Verbindung mit der NPS-Erweiterung Version 1.2.2216.1 oder höher herstellen, werden aufgefordert, sich mit einer TOTP-Methode anzumelden anstatt mit Genehmigen/Ablehnen. Benutzer müssen eine TOTP-Authentifizierungsmethode registriert haben, um dieses Verhalten zu sehen. Wenn keine TOTP-Methode registriert ist, wird den Benutzenden weiterhin die Abfrage Genehmigen/Ablehnen angezeigt.
Organisationen, die eine dieser früheren Versionen der NPS-Erweiterung ausführen, können die Registrierung so ändern, dass Benutzer ein TOTP eingeben müssen:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Anmerkung
NPS-Erweiterungen vor Version 1.0.1.40 unterstützen keinen durch Nummernabgleich erzwungenen TOTP. Diese Versionen verwenden nach wie vor Genehmigen/Ablehnen.
So erstellen Sie den Registrierungseintrag, um die Optionen Genehmigen/Ablehnen in Pushbenachrichtigungen außer Kraft zu setzen und stattdessen einen TOTP anzufordern
Öffnen Sie auf dem NPS-Server den Registrierungs-Editor.
Navigieren Sie zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Erstellen Sie das folgende String/Wert-Paar:
- Name:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Wert =
TRUE
- Name:
Starten Sie den NPS-Dienst neu.
Berücksichtigen Sie zudem Folgendes:
Benutzer, die TOTP ausführen, müssen entweder Authenticator als Authentifizierungsmethode oder ein anderes Hardware- oder Software-OATH-Token registriert haben. Benutzende, die keine TOTP-Methode verwenden können, sehen bei Verwendung einer Version der NPS-Erweiterung vor 1.2.2216.1 stets die Optionen Genehmigen/Ablehnen in den Pushbenachrichtigungen.
Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss für die Verwendung des Password Authentication Protocol (PAP) konfiguriert werden. Weitere Informationen finden Sie unter Bestimmen, welche Authentifizierungsmethoden Ihre Benutzerverwenden können.
Wichtig
MSCHAPv2 unterstützt TOTP nicht. Wenn der NPS-Server nicht für die Verwendung von PAP konfiguriert ist, schlägt die Benutzerautorisierung mit Ereignissen im AuthZOptCh-Protokoll des NPS-Erweiterungsservers in der Ereignisanzeige fehl:
- NPS-Erweiterung für Azure MFA: Abfrage in der Authentifizierungserweiterung für benutzende Person
npstesting_apangefordert.
Sie können den NPS-Server so konfigurieren, dass PAP unterstützt wird. Wenn PAP keine Option ist, legen Sie
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEfest, um auf Pushbenachrichtigungen mit Genehmigen/Ablehnen zurückzugreifen.- NPS-Erweiterung für Azure MFA: Abfrage in der Authentifizierungserweiterung für benutzende Person
Wenn Ihre Organisation Remotedesktopgateway verwendet und Benutzende für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert sind, können sie die Microsoft Entra-MFA-Abfrage nicht erfüllen, und bei der Anmeldung bei Remotedesktopgateway tritt ein Fehler auf. Legen Sie in diesem Fall fest, dass OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE in Authenticator auf Pushbenachrichtigungen mit Genehmigen/Ablehnen zurückgreift.
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.
Können Benutzer den Nummernabgleich deaktivieren?
Nein, Benutzer können den Nummernabgleich in Pushbenachrichtigungen von Authenticator nicht deaktivieren.
Gilt der Nummernabgleich nur, wenn Authentifikator-Pushbenachrichtigungen als Standardauthentifizierungsmethode festgelegt werden?
Ja. Wenn der Benutzer über eine andere Standardauthentifizierungsmethode verfügt, gibt es keine Änderung an der Standardanmeldung. Wenn die Standardmethode Authenticator-Pushbenachrichtigungen sind, erhalten Benutzende einen Nummernabgleich. Wenn eine andere Standardmethode verwendet wird, z. B. TOTP in Authenticator oder ein anderer Anbieter, gibt es keine Änderung.
Unabhängig von der ausgewählten Standardmethode wird allen Benutzenden,die der zum Anmelden mit Authenticator-Pushbenachrichtigungen aufgefordert werden, der Nummernabgleich angezeigt. Wenn sie zur Eingabe einer anderen Methode aufgefordert werden, werden keine Änderungen angezeigt.
Was geschieht mit Benutzern, die in der Richtlinie für Authentifizierungsmethoden nicht angegeben sind, aber für Benachrichtigungen durch die mobile App in der mandantenweiten MFA-Standardrichtlinie aktiviert sind?
Benutzenden, für die MFA-Pushbenachrichtigungen in der MFA-Legacyrichtlinie aktiviert ist, wird auch ein Nummernabgleich angezeigt, wenn in der MFA-Legacyrichtlinie Benachrichtigung über mobile Apps aktiviert ist. Benutzenden wird ein Nummernabgleich angezeigt, unabhängig davon, ob sie in der Richtlinie für Authentifizierungsmethoden für Authenticator aktiviert sind.
Wird der Nummernabgleich mit dem Azure Multi-Factor Authentication Server unterstützt?
Nein. Der Nummernabgleich wird nicht erzwungen, da es sich nicht um ein unterstütztes Feature für Azure MFA-Server handelt, das veraltet ist.
Was geschieht, wenn ein Benutzer eine ältere Version von Authenticator ausführt?
Wenn ein Benutzer eine ältere Version von Authenticator ausführt, die den Nummernabgleich nicht unterstützt, funktioniert die Authentifizierung nicht. Sie müssen ein Upgrade auf die neueste Version von Authenticator durchführen, um sie für die Anmeldung zu verwenden.
Wie können Benutzende die Nummer auf mobilen iOS-Geräten erneut überprüfen, nachdem die Abgleichsanforderung angezeigt wurde?
Während Brokerflows auf mobilen iOS-Geräten wird nach einer Verzögerung von zwei Sekunden die Anforderung zum Nummernabgleich über der Nummer angezeigt. Um die Nummer erneut zu überprüfen, wählen Sie Zeig mir die Nummer nochmal. Diese Aktion tritt nur in mobilen iOS-Brokerflüssen auf.
Wird Apple Watch für Authenticator unterstützt?
In der Authenticator-Version im Januar 2023 für iOS gibt es keine Begleit-App für WatchOS, da sie nicht mit Authenticator-Sicherheitsfeatures kompatibel ist. Sie können Authenticator nicht auf Apple Watch installieren oder verwenden. Es wird empfohlen, Authenticator von der Apple Watch zu löschen und sich mit Authenticator auf einem anderen Gerät anzumelden.