Authenticator の多要素認証プッシュ通知で数の一致がどのように機能するか - 認証方法ポリシー
このトピックでは、Microsoft Authenticator のプッシュ通知の数値の一致によってユーザーのサインイン セキュリティを向上する方法について説明します。 数値の一致は、Authenticator の従来の第 2 要素通知への重要なセキュリティ アップグレードです。
2023 年 5 月 8 日より、すべての Authenticator プッシュ通知で数値の一致が有効になります。 関連するサービスがデプロイされると、Authenticator プッシュ通知が有効になっている世界中のユーザーには、承認要求で数値の一致が求められるようになります。 ユーザーは、モバイル アプリ経由の通知が有効になっている場合、認証方法ポリシーまたは従来の多要素認証ポリシーで Authenticator プッシュ通知を有効にすることができます。
数値の一致のシナリオ
数値の一致は、次のシナリオで使用できます。 数値の一致を有効にすると、すべてのシナリオでサポートされるようになります。
Apple Watch および Android ウェアラブル デバイスのプッシュ通知では、数値の一致はサポートされていません。 ウェアラブル デバイスのユーザーは、数値の一致が有効になっている場合、スマートフォンを使用して通知を承認する必要があります。
多要素認証
ユーザーが Authenticator を使用して MFA プッシュ通知に応答すると、ユーザーに数値が表示されます。 承認を完了するために、その数値をアプリに入力する必要があります。 MFA の設定方法の詳細については、「チュートリアル: Microsoft Entra 多要素認証を使用してユーザー サインイン イベントをセキュリティで保護する」を参照してください。
SSPR
Authenticator でのセルフサービス パスワード リセット (SSPR) では、Authenticator を使用する場合に数値の一致が必要になります。 セルフサービス パスワード リセット中に、サインイン ページに数値が表示され、ユーザーはそれを Authenticator の通知に入力する必要があります。 SSPR の設定方法の詳細については、ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにするためのチュートリアルを参照してください。
統合された登録
Authenticator との統合された登録では、数値の一致が必要です。 ユーザーは、統合された登録を行って Authenticator アプリを設定すると、アカウントを追加するためには通知を承認する必要があります。 この通知には、Authenticator 通知に入力する必要がある数値が表示されます。 統合された登録を設定する方法の詳細については、統合されたセキュリティ情報の登録を有効にする方法に関するページを参照してください。
AD FS アダプター
AD FS アダプターでは、サポートされているバージョンの Windows Server で数値の一致が必要です。 以前のバージョンでは、ユーザーには引き続き [承認]/[拒否] のエクスペリエンスが表示され、アップグレードするまで数値の一致は表示されません。 AD FS アダプターでは、次の表のいずれかの更新プログラムをインストールした後にのみ、数値の一致がサポートされます。 AD FS アダプターを設定する方法の詳細については、Windows Server で AD FS と連携するように Azure Multi-Factor Authentication Server を構成する方法に関する記事を参照してください。
Note
パッチが適用されていないバージョンの Windows Server では、数値の一致はサポートされません。 ユーザーには引き続き [承認]/[拒否] のエクスペリエンスが表示されますが、更新プログラムを適用するまで数値の一致は表示されません。
| バージョン | 更新 |
|---|---|
| Windows Server 2022 | 2021 年 11 月 9 日 — KB5007205 (OS ビルド 20348.350) |
| Windows Server 2019 | 2021 年 11 月 9 日 — KB5007206 (OS ビルド 17763.2300) |
| Windows Server 2016 | 2021 年 10 月 12 日 — KB5006669 (OS ビルド 14393.4704) |
NPS 拡張機能
NPS では数値の一致をサポートしませんが、最新の NPS 拡張機能では、Authenticator で使用できる TOTP、その他のソフトウェア トークン、ハードウェア FOB など、時間ベースのワンタイム パスワード (TOTP) 方式をサポートします。 TOTP サインインでは、代替の [承認]/[禁止] のエクスペリエンスより優れたセキュリティを実現します。 必ず最新バージョンの NPS 拡張機能をお使いください。
NPS 拡張機能バージョン 1.2.2216.1 以降で RADIUS 接続を実行するユーザーは、[承認]/[拒否] ではなく TOTP メソッドを使用してサインインするように求められます。 この動作を得るには、ユーザーは TOTP 認証方法を登録する必要があります。 TOTP 方式を登録していないユーザーには、引き続き [承認]/[禁止] が表示されます。
これらの以前のバージョンの NPS 拡張機能を実行する組織は、ユーザーに TOTP の入力を求めるようにレジストリを変更できます。
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
注意
1.0.1.40 より前のバージョンの NPS 拡張機能では、数値の一致によって適用される TOTP をサポートしません。 これらのバージョンでは、引き続きユーザーに [承認]/[禁止] が表示されます。
レジストリ エントリを作成してプッシュ通知の [承認]/[禁止] オプションをオーバーライドし、代わりに TOTP を要求するには、次のようにします。
- NPS サーバーで、レジストリ エディターを開きます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa に移動します。
- 以下の文字列と値のペアを作成します。
- 名前: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- 値 = TRUE
- NPS サービスを再起動します。
さらに:
TOTP を実行するユーザーは、Authenticator を認証方法として登録すること、または他の何らかのハードウェアまたはソフトウェア OATH トークンが必要です。 TOTP 方式を使用できないユーザーには、1.2.2216.1 より前のバージョンの NPS 拡張機能を使用している場合、常にプッシュ通知での [承認]/[拒否] オプションが表示されます。
NPS 拡張機能がインストールされている NPS サーバーが、PAP プロトコルを使用するように構成されている必要があります。 詳細については、ユーザーが使用できる認証方法の決定に関するページを参照してください。
重要
MSCHAPv2 では TOTP をサポートしていません。 NPS サーバーが PAP を使用するように構成されていない場合、イベント ビューアーで NPS 拡張機能サーバーの AuthZOptCh ログにイベントが表示され、ユーザーの承認は失敗します。
NPS Extension for Azure MFA: Challenge requested in Authentication Ext for User npstesting_ap. (Azure MFA 用 NPS 拡張機能: ユーザー npstesting_ap の認証拡張機能でチャレンジが要求されました。) NPS サーバーは PAP をサポートするように構成できます。 PAP がオプションでない場合は OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE に設定して、プッシュ通知の [承認]/[拒否] にフォールバックできます。
組織がリモート デスクトップ ゲートウェイを使用していて、ユーザーが Authenticator のプッシュ通知と合わせて TOTP コードに対しても登録されている場合、ユーザーは Microsoft Entra 多要素認証チャレンジを満たすことができず、リモート デスクトップ ゲートウェイのサインインが失敗します。 この場合、OVERRIDE_NUMBER_MATCHING_WITH_TOP = FALSE と設定することで、Authenticator の [承認]/[拒否] プッシュ通知にフォールバックできます。
FAQ
数値の一致をオプトアウトできますか?
いいえ、Authenticator のプッシュ通知の数値の一致からオプトアウトすることはできません。
関連するサービスは 2023 年 5 月 8 日以降これらの変更のデプロイを開始し、ユーザーは承認要求で数値の一致を確認できるようになります。 サービスがデプロイされる際に、番号の一致が表示される場合もあれば、一致しないものもあります。 すべてのユーザーで一貫した動作が確保されるように、Authenticator プッシュ通知の数値の一致を事前に有効にしておくことを強くお勧めします。
数値の一致が適用されるのは、Authenticator プッシュ通知が既定の認証方法として設定されている場合のみですか?
はい。 ユーザーが別の既定の認証方法を使用している場合、既定のサインインに変更はありません。 既定のメソッドが Authenticator プッシュ通知の場合は、番号の一致が課されます。 既定のメソッドが他のもの (Authenticator の TOTP や別のプロバイダーなど) の場合、変更はありません。
既定のメソッドに関係なく、Authenticator プッシュ通知でサインインするように求められたユーザーに数値の一致が表示されます。 別のメソッドを求められた場合、ユーザーへの表示に変更はありません。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで [Notifications through mobile app] (モバイル アプリによる通知) が有効になっているユーザーはどうなりますか?
従来の MFA ポリシーで MFA プッシュ通知が有効になっているユーザーには、従来の MFA ポリシーで [モバイル アプリ経由の通知] が有効になっている場合も、数値の一致が表示されます。 認証方法ポリシーで Authenticator が有効になっているかどうかに関係なく、ユーザーには数値の一致が表示されます。
MFA Server では数値の一致がサポートされていますか?
いいえ。数値の一致は適用されません。MFA Server でサポートされている機能ではない (非推奨である) ためです。
ユーザーが古いバージョンの Authenticator を実行するとどうなりますか?
ユーザーが数値の一致をサポートしていない古いバージョンの Authenticator を実行している場合、認証は機能しません。 ユーザーがサインインに使用するには、最新バージョンの Authenticator にアップグレードする必要があります。
一致要求が表示された後にユーザーがモバイル iOS デバイスで番号を再確認するにはどうすればよいですか?
モバイル iOS ブローカー フロー中、2 秒の遅延後に番号の一致要求が番号上に表示されます。 番号を再確認するには、[Show me the number again] (もう一度番号を表示する) をクリックします。 このアクションは、モバイル iOS ブローカー フローでのみ発生します。
Apple Watch では Authenticator はサポートされていますか?
2023 年 1 月の iOS 用 Authenticator の次期リリースには、Authenticator のセキュリティ機能と互換性がないため、watchOS 用のコンパニオン アプリはありません。 Apple Watch に Authenticator をインストールしたり使用したりすることはできません。 そのため、Apple Watch から Authenticator を削除し、別のデバイスで Authenticator を使用してサインインすることをお勧めします。