Come funziona la corrispondenza dei numeri nelle notifiche push MFA per Authenticator - Criteri di metodo di autenticazione
Questo articolo illustra in che modo la corrispondenza dei numeri nelle notifiche push di Authenticator migliora la sicurezza dell'accesso utente. La corrispondenza dei numeri è un importante aggiornamento di sicurezza rispetto alle tradizionali notifiche di secondo fattore di autenticazione nell'app Authenticator.
L'abbinamento dei numeri è abilitato per tutte le notifiche push Authenticator.
Scenari di corrispondenza dei numeri
La corrispondenza dei numeri è disponibile per le situazioni seguenti. Quando è abilitata, tutti gli scenari supportano la corrispondenza dei numeri:
- MFA
- Reimpostazione della password self-service (SSPR)
- Registrazione combinata per la reimpostazione della password self-service e l'autenticazione a più fattori durante la configurazione dell'app Authenticator
- adattatore Active Directory Federation Services (AD FS)
- Estensione del server dei criteri di rete (NPS)
La corrispondenza dei numeri non è supportata per le notifiche push sui dispositivi indossabili come Apple Watch o Android. Gli utenti dei dispositivi indossabili devono usare il telefono per approvare le notifiche quando la corrispondenza dei numeri è abilitata.
Autenticazione a più fattori
Quando gli utenti rispondono a una notifica push MFA usando Authenticator, visualizzano un numero. Per completare l'approvazione, è necessario immettere tale numero nell'app. Per ulteriori informazioni su come configurare l'autenticazione multifattore, vedere Tutorial: Secure user sign-in events with Microsoft Entra multifactor authentication.
Reimpostazione della password self-service
L'SSPR con Authenticator richiede la corrispondenza dei numeri quando un utente utilizza Authenticator. Durante la reimpostazione della password self-service, nella pagina di accesso viene visualizzato un numero che l'utente deve immettere nella notifica dell'app Authenticator. Per altre informazioni su come configurare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare l'account o reimpostare le password.
Registrazione combinata
La registrazione combinata con Authenticator richiede la corrispondenza dei numeri. Quando un utente passa attraverso la registrazione combinata per configurare Authenticator, l'utente deve approvare una notifica per aggiungere l'account. Questa notifica mostra un numero che l'utente deve immettere nella notifica Authenticator. Per altre informazioni su come configurare la registrazione combinata, vedere Abilitare la registrazione combinata delle informazioni di sicurezza.
Adattatore AD FS
L'adattatore AD FS richiede la corrispondenza dei numeri nelle versioni supportate di Windows Server. Nelle versioni precedenti gli utenti continuano a visualizzare l'esperienza Approva/Nega e non visualizzano la corrispondenza dei numeri fino all'aggiornamento. L'adattatore AD FS supporta l'abbinamento dei numeri solo dopo che è stato installato uno degli aggiornamenti elencati nella tabella seguente. Per altre informazioni su come configurare l'adattatore AD FS, vedere Configurare il server di autenticazione a più fattori di Microsoft Entra per l'uso con AD FS in Windows Server.
Nota
Le versioni senza patch di Windows Server non supportano la corrispondenza dei numeri. Gli utenti continuano a visualizzare l'esperienza Approva/Nega e non visualizzano la corrispondenza dei numeri a meno che non vengano applicati questi aggiornamenti.
| Versione | Aggiornare |
|---|---|
| Windows Server 2022 | 9 novembre 2021—KB5007205 (Build del sistema operativo 20348.350) |
| Windows Server 2019 | 9 novembre 2021 – KB5007206 (Build del sistema operativo 17763.2300) |
| Windows Server 2016 | 12 ottobre 2021—KB5006669 (build del sistema operativo 14393.4704) |
Estensione NPS
Anche se il server dei criteri di rete non supporta la corrispondenza dei numeri, l'ultima estensione NPS supporta metodi TOTP (Time-Based One-Time Password), come quelli disponibili in Authenticator, altri token software e FOB hardware. L'accesso TOTP offre una sicurezza migliore rispetto all'esperienza alternativa Approva/Nega. Assicurati di eseguire la versione più recente dell'estensione NPS.
Chiunque effettui una connessione RADIUS con l'estensione NPS versione 1.2.2216.1 o successiva, viene invitato ad autenticarsi con un metodo TOTP anziché Approvare/Negare. Per visualizzare questo comportamento, gli utenti devono avere un metodo di autenticazione TOTP registrato. Senza un metodo TOTP registrato, gli utenti continuano a visualizzare Approva/Nega.
Le organizzazioni che eseguono una di queste versioni precedenti dell'estensione NPS possono modificare il Registro di sistema per richiedere agli utenti di immettere un TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Le versioni delle estensioni NPS precedenti alla 1.0.1.40 non supportano TOTP applicato dalla corrispondenza dei numeri. Queste versioni continuano a usare Approva/Nega.
Per creare la voce del Registro di sistema che esegue l'override delle opzioni Approva/Nega nelle notifiche push e richieda invece un TOTP:
Nel server nps aprire l'editor del Registro di sistema.
Passare a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Creare la coppia stringa/valore seguente:
- Nome:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Valore =
TRUE
- Nome:
Riavviare il servizio NPS.
Inoltre:
Gli utenti che eseguono TOTP devono avere Authenticator registrato come metodo di autenticazione o un altro token OATH hardware o software. Gli utenti che non possono usare un metodo TOTP vedranno sempre le opzioni Approva/Nega con notifiche push se utilizzano una versione dell'estensione NPS precedente alla 1.2.2216.1.
Il server NPS su cui è installata l'estensione NPS deve essere configurato per utilizzare il Protocollo di autenticazione password (PAP). Per altre informazioni, vedere Determinare quali metodi di autenticazione gli utenti possono usare.
Importante
MSCHAPv2 non supporta TOTP. Se il server NPS non è configurato per utilizzare PAP, l'autorizzazione dell'utente fallisce con eventi nel log AuthZOptCh del server di estensione NPS in Event Viewer.
- Estensione NPS per Azure MFA: sfida richiesta nell'estensione di autenticazione per l'utente
npstesting_ap.
È possibile configurare il server nps per supportare PAP. Se PAP non è un'opzione, imposta
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEper eseguire il fallback su . Approva,/,o nega le notifiche push.- Estensione NPS per Azure MFA: sfida richiesta nell'estensione di autenticazione per l'utente
Se l'organizzazione utilizza Gateway Desktop remoto e l'utente si è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di verifica di Microsoft Entra MFA e il tentativo di accesso a Gateway Desktop remoto fallisce. In questo caso, impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE per eseguire il fallback su Approva/Nega notifiche push con Authenticator.
Domande frequenti
Questa sezione fornisce le risposte alle domande comuni.
Gli utenti possono rifiutare esplicitamente la corrispondenza dei numeri?
No, gli utenti non possono rifiutare esplicitamente la corrispondenza dei numeri nelle notifiche push di Authenticator.
La corrispondenza dei numeri si applica solo se le notifiche push di Authenticator vengono impostate come metodo di autenticazione predefinito?
Sì. Se l'utente ha un metodo di autenticazione predefinito diverso, non viene apportata alcuna modifica all'accesso predefinito. Se il metodo predefinito è Authenticator push notifications, ottengono la corrispondenza dei numeri. Se il metodo predefinito è qualsiasi altro, ad esempio TOTP in Authenticator o un altro provider, non viene apportata alcuna modifica.
Indipendentemente dal metodo predefinito, qualsiasi utente a cui viene richiesto di accedere con le notifiche push authenticator vede la corrispondenza dei numeri. Se viene richiesto un altro metodo, non verranno visualizzate modifiche.
Cosa accade per gli utenti che non sono specificati nei criteri dei metodi di autenticazione, ma sono abilitati per le notifiche tramite l'app per dispositivi mobili nei criteri legacy a livello di tenant MFA?
Gli utenti abilitati per le notifiche push MFA nella politica MFA legacy vedono anche la funzione di corrispondenza numerica se la politica MFA legacy ha abilitato Notifica tramite l'app mobile. Gli utenti visualizzano l'abbinamento dei numeri indipendentemente dal fatto che siano abilitati per Authenticator nei criteri dei metodi di autenticazione.
La corrispondenza dei numeri è supportata dal server Azure Multi-Factor Authentication?
No, la corrispondenza dei numeri non viene applicata perché non è una funzionalità supportata per il server Azure Multi-Factor Authentication, che è deprecato.
Cosa accade se un utente esegue una versione precedente di Authenticator?
Se un utente esegue una versione precedente di Authenticator che non supporta la corrispondenza dei numeri, l'autenticazione non funzionerà. È necessario eseguire l'aggiornamento alla versione più recente di Authenticator per usarlo per l'accesso.
In che modo gli utenti possono ricontrollare il numero sui dispositivi iOS dopo la visualizzazione della richiesta di verifica?
Durante i flussi broker su iOS, la richiesta di corrispondenza numerica appare sopra il numero dopo un ritardo di due secondi. Per ricontrollare il numero, selezionare Mostra di nuovo il numero. Questa azione si verifica solo nei flussi broker iOS per dispositivi mobili.
Apple Watch è supportato per Authenticator?
Nella versione di Authenticator di gennaio 2023 per iOS, non è disponibile alcuna app complementare per watchOS perché questa non è compatibile con le funzionalità di sicurezza di Authenticator. Non è possibile installare o usare Authenticator in Apple Watch. Consigliamo di eliminare Authenticator dall' Apple Watch e accedere con Authenticator su un altro dispositivo.