Cómo funciona la coincidencia de números en las notificaciones push de MFA para Authenticator: política de métodos de autenticación
En este artículo se explica cómo la coincidencia de números en las notificaciones push de Authenticator mejora la seguridad de inicio de sesión del usuario. La coincidencia de números es una actualización de seguridad clave para las notificaciones de segundo factor tradicionales en la aplicación Authenticator.
La coincidencia de números está habilitada para todas las notificaciones push de Authenticator.
Escenarios de coincidencia de números
La coincidencia de números está disponible para los escenarios siguientes. Cuando está habilitado, todos los escenarios admiten la coincidencia de números:
- MFA
- Restablecimiento de contraseña de autoservicio (SSPR)
- registro combinado de SSPR y MFA durante la configuración de la aplicación Authenticator
- Adaptador para Servicios de federación de Active Directory (AD FS)
- Extensión del servidor de directivas de redes (NPS)
La coincidencia de números no es compatible con las notificaciones push para dispositivos portátiles Apple Watch o Android. Los usuarios de dispositivos portátiles deben usar su teléfono para aprobar las notificaciones cuando la coincidencia de números está habilitada.
Autenticación multifactor
Cuando los usuarios responden a una notificación push de MFA mediante Authenticator, ven un número. Deben escribir ese número en la aplicación para completar la aprobación. Para obtener más información sobre cómo configurar MFA, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra.
SSPR
SSPR con Authenticator requiere coincidencia de números cuando un usuario usa Authenticator. Durante SSPR, la página de inicio de sesión muestra un número que el usuario debe escribir en la notificación Authenticator. Para obtener más información sobre cómo configurar SSPR, consulte Tutorial: Habilitar a los usuarios para desbloquear su cuenta o restablecer contraseñas.
Registro combinado
El registro combinado con Authenticator requiere coincidencia de números. Cuando un usuario pasa por el registro combinado para configurar Authenticator, el usuario debe aprobar una notificación para agregar la cuenta. Esta notificación muestra un número que el usuario debe escribir en la notificación Authenticator. Para obtener más información sobre cómo configurar el registro combinado, consulte Habilitación del registro de información de seguridad combinado.
Adaptador de AD FS
El adaptador de AD FS requiere la coincidencia de números en versiones compatibles de Windows Server. En estas versiones, los usuarios aún deben usar Aprobar/Denegar, pero no ven la experiencia de coincidencia de números hasta que realicen la actualización. El adaptador de AD FS solo admite la coincidencia de números después de instalar una de las actualizaciones de la tabla siguiente. Para obtener más información sobre cómo configurar el adaptador de AD FS, consulte Configurar el servidor de autenticación multifactor de Microsoft Entra para trabajar con AD FS en Windows Server.
Nota
Las versiones sin parches de Windows Server no admiten la coincidencia de números. Los usuarios siguen viendo la experiencia de Aprobar/Denegar y no verán la coincidencia de números a menos que se apliquen esta actualizaciones.
| Versión | Actualizar |
|---|---|
| Windows Server 2022 | 9 de noviembre de 2021: KB5007205 (compilación del sistema operativo 20348.350) |
| Windows Server 2019 | 9 de noviembre de 2021: KB5007206 (compilación del sistema operativo 17763.2300) |
| Windows Server 2016 | 12 de octubre de 2021: KB5006669 (compilación del sistema operativo 14393.4704) |
Extensión NPS
Aunque NPS no admite la coincidencia de números, la extensión de NPS más reciente admite métodos de contraseñas de un solo uso y duración definida (TOTP), como la funcionalidad TOTP disponible en Authenticator, otros tókenes de software y FOB de hardware. El inicio de sesión de TOTP proporciona una seguridad mejor que la experiencia alternativa de Aprobar/Denegar. Asegúrese de ejecutar la versión más reciente de la extensión NPS.
Se pide a cualquier persona que realice una conexión RADIUS con la extensión NPS versión 1.2.2216.1 o posterior que inicie sesión con un método TOTP en lugar de Aprobar/Denegar. Los usuarios deben tener registrado un método de autenticación TOTP para ver este comportamiento. Sin un método TOTP registrado, los usuarios seguirán viendo Aprobar/Denegar.
Las organizaciones que ejecutan cualquiera de estas versiones anteriores de la extensión NPS pueden modificar el registro para requerir que los usuarios escriban un TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Las versiones de extensiones NPS anteriores a 1.0.1.40 no admiten TOTP por coincidencia de números. Estas versiones siguen usando Aprobar/Denegar.
Para crear la entrada del registro para invalidar las opciones Aprobar/Denegar en las notificaciones push y requerir una TOTP en su lugar, haga lo siguiente:
En el servidor NPS, abra el Editor del Registro.
Ir a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Cree el siguiente par cadena-valor:
- Nombre:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Valor =
TRUE
- Nombre:
Reinicie el servicio NPS.
Además:
Los usuarios que realizan TOTP deben tener el Authenticator registrado como método de autenticación o algún otro token OATH de hardware o software. Los usuarios que no pueden usar un método TOTP siempre ven las opciones Aprobar/ Denegar con notificaciones push, si usan una versión de la extensión NPS anterior a la 1.2.2216.1.
El servidor NPS donde está instalada la extensión NPS debe configurarse para usar el Protocolo de autenticación de contraseñas (PAP). Para obtener más información, vea Determinar qué métodos de autenticación pueden usar los usuarios.
Importante
MSCHAPv2 no admite TOTP. Si el servidor NPS no está configurado para usar PAP, se produce un error en la autorización del usuario con eventos en el registro AuthZOptCh del servidor de extensión NPS en Visor de eventos:
- Extensión NPS para Azure MFA: desafío solicitado en la extensión de autenticación para el usuario
npstesting_ap.
Puede configurar el servidor NPS para admitir PAP. Si PAP no es una opción, establezca
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEpara revertir a Aprobar/Denegar notificaciones push.- Extensión NPS para Azure MFA: desafío solicitado en la extensión de autenticación para el usuario
Si su organización usa la puerta de enlace de Escritorio remoto y el usuario está registrado para el código TOTP junto con las notificaciones push de Authenticator, el usuario no podrá cumplir el desafío de MFA de Microsoft Entra y se producirá un error en el inicio de sesión de la puerta de enlace de Escritorio remoto. En este caso, establezca OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a Aprobar/Denegar notificaciones push con Authenticator.
Preguntas más frecuentes
En esta sección se proporcionan respuestas a preguntas comunes.
¿Pueden los usuarios no participar en la coincidencia de números?
No, los usuarios no pueden rechazar la coincidencia de números en las notificaciones push de Authenticator.
¿La coincidencia de números solo se aplica si las notificaciones push de Authenticator se establecen como el método de autenticación predeterminado?
Sí. Si el usuario tiene un método de autenticación predeterminado diferente, no hay ningún cambio en el inicio de sesión predeterminado. Si el método predeterminado es las notificaciones push de Authenticator, se usará la coincidencia de números. Si el método predeterminado es cualquier otra cosa, como TOTP en Authenticator u otro proveedor, no hay ningún cambio.
Independientemente de su método predeterminado, cualquier usuario que se le pida que inicie sesión con las notificaciones push de Authenticator ve la coincidencia de números. Si se les pide otro método, no verán ningún cambio.
¿Qué ocurre para los usuarios que no se especifican en la directiva Métodos de autenticación, pero están habilitados para las notificaciones mediante la aplicación móvil en la directiva heredada para todo el inquilino de MFA?
Los usuarios habilitados para notificaciones push de MFA en la directiva de MFA heredada también verán el número de coincidencia si la directiva de MFA heredada habilitó Notificación a través de aplicación móvil. Los usuarios verán la coincidencia de números independientemente de si están habilitados para usar Authenticator en la directiva de métodos de autenticación.
¿Se admite la coincidencia de números con azure Multi-Factor Authentication Server?
No, la coincidencia de números no se aplica porque no es una función compatible con el servidor de autenticación multifactor de Azure, que está en desuso.
¿Qué ocurre si un usuario ejecuta una versión anterior de Authenticator?
Si un usuario ejecuta una versión anterior de Authenticator que no admite la coincidencia de números, la autenticación no funcionará. Deben actualizar a la versión más reciente de Authenticator para usarla para el inicio de sesión.
¿Cómo pueden los usuarios volver a comprobar el número en dispositivos iOS móviles después de que aparezca la solicitud de coincidencia?
Durante los flujos de agente de iOS móviles, la solicitud de coincidencia de número aparece sobre el número después de un retraso de dos segundos. Para volver a comprobar el número, seleccione Mostrarme el número de nuevo. Esta acción solo se produce en los flujos de intermediarios de iOS móvil.
¿Apple Watch es compatible con Authenticator?
En la versión de Authenticator de enero de 2023 para iOS, no hay ninguna aplicación complementaria para watchOS porque no es compatible con las características de seguridad de Authenticator. No se puede instalar ni usar Authenticator en Apple Watch. Te recomendamos que elimines Authenticator de tu Apple Watch e inicies sesión con Authenticator en otro dispositivo.