Hoe nummerkoppeling werkt in MFA-pushmeldingen voor Authenticator - Beleid voor verificatiemethoden
In dit artikel wordt uitgelegd hoe nummerkoppeling in Authenticator-pushmeldingen de beveiliging van gebruikersaanmelding verbetert. Nummervergelijking is een belangrijke beveiligingsupgrade voor traditionele tweedefactormeldingen in Authenticator.
Nummerkoppeling is ingeschakeld voor alle Authenticator-pushmeldingen.
Scenario's voor nummerkoppeling
Nummerkoppeling is beschikbaar voor de volgende scenario's. Wanneer deze optie is ingeschakeld, bieden alle scenario's ondersteuning voor nummerkoppeling:
- MFA
- Zelfservice Wachtwoordherstel (SSPR)
- Gecombineerde SSPR- en MFA-registratie tijdens het instellen van de Authenticator-app
- AD FS-adapter (Active Directory Federation Services)
- NPS-extensie (Network Policy Server)
Nummerkoppeling wordt niet ondersteund voor pushmeldingen voor Apple Watch- of Android-draagbare apparaten. Draagbare apparaatgebruikers moeten hun telefoon gebruiken om meldingen goed te keuren wanneer nummerkoppeling is ingeschakeld.
Meervoudige verificatie
Wanneer gebruikers reageren op een MFA-pushmelding met behulp van Authenticator, zien ze een getal. Ze moeten dat nummer invoeren in de app om de goedkeuring te voltooien. Voor meer informatie over het instellen van MFA, zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Microsoft Entra meervoudige verificatie.
SSPR
SSPR met Authenticator vereist nummerkoppeling wanneer een gebruiker Authenticator gebruikt. Tijdens SSPR toont de aanmeldingspagina een nummer dat de gebruiker moet invoeren in de Authenticator-melding. Zie Zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellenvoor meer informatie over het instellen van SSPR.
Gecombineerde registratie
Voor gecombineerde registratie met Authenticator is nummerkoppeling vereist. Wanneer een gebruiker de gecombineerde registratie doorloopt om Authenticator in te stellen, moet de gebruiker een melding goedkeuren om het account toe te voegen. Deze melding toont een nummer dat de gebruiker moet invoeren in de Authenticator-melding. Zie Gecombineerde registratie van beveiligingsgegevens inschakelenvoor meer informatie over het instellen van gecombineerde registratie van beveiligingsgegevens.
AD FS-adapter
De AD FS-adapter vereist nummerkoppeling op ondersteunde versies van Windows Server. In eerdere versies blijven gebruikers de ervaring Goedkeuren/Weigeren zien en geen overeenkomende nummers zien totdat ze upgraden. De AD FS-adapter ondersteunt alleen nummerkoppeling nadat ze een van de updates in de volgende tabel hebben geïnstalleerd. Zie Microsoft Entra Multifactor Authentication Server configureren voor gebruik met AD FS in Windows Servervoor meer informatie over het instellen van de AD FS-adapter.
Notitie
Niet-gepatchte versies van Windows Server bieden geen ondersteuning voor nummerkoppeling. Gebruikers blijven de Goedkeuren/Weigeren-ervaring zien en zien geen nummerovereenkomst, tenzij deze updates worden toegepast.
| Versie | Bijwerken |
|---|---|
| Windows Server 2022 | 9 november 2021- KB5007205 (os build 20348.350) |
| Windows Server 2019 | 9 november 2021- KB5007206 (os build 17763.2300) |
| Windows Server 2016 | 12 oktober 2021- KB5006669 (os build 14393.4704) |
NPS-extensie
Hoewel NPS geen ondersteuning biedt voor nummerkoppeling, biedt de nieuwste NPS-extensie wel ondersteuning voor op tijd gebaseerde EENMALIGE wachtwoordmethoden (TOTP), zoals de TOTP die beschikbaar is in Authenticator, andere softwaretokens en hardware-FOBs. TOTP-aanmelding biedt betere beveiliging dan de alternatieve goedkeuren--/--weigeren--methode. Zorg ervoor dat u de nieuwste versie van de NPS-extensieuitvoert.
Iedereen die een RADIUS-verbinding met de NPS-extensie versie 1.2.2216.1 of hoger uitvoert, wordt gevraagd zich aan te melden met een TOTP-methode in plaats van Goedkeuren/Weigeren. Gebruikers moeten een TOTP-verificatiemethode hebben geregistreerd om dit gedrag te kunnen zien. Als er geen TOTP-methode is geregistreerd, blijven gebruikers goedkeuren/weigeren.
Organisaties die een van deze eerdere versies van de NPS-extensie uitvoeren, kunnen het register wijzigen zodat gebruikers een TOTP moeten invoeren:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Notitie
NPS-extensies die ouder zijn dan 1.0.1.40 bieden geen ondersteuning voor TOTP die wordt afgedwongen door nummerkoppeling. Deze versies blijven goedkeuren/weigeren.
Als u de registervermelding wilt maken om de goedkeuren/weigeren opties in pushmeldingen te negeren en in plaats daarvan een TOTP te vereisen:
Open de Register-editor op de NPS-server.
Ga naar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Maak het volgende tekst/waardepaar aan:
- Naam:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Waarde =
TRUE
- Naam:
Start de NPS-service opnieuw op.
Bovendien:
Gebruikers die TOTP uitvoeren, moeten Authenticator geregistreerd hebben als een verificatiemethode of een ander hardware- of software-OATH-token. Gebruikers die geen TOTP-methode kunnen gebruiken, zien altijd de opties goedkeuren/weigeren met pushmeldingen als ze een versie van de NPS-extensie gebruiken die ouder is dan 1.2.2216.1.
De NPS-server waarop de NPS-extensie is geïnstalleerd, moet worden geconfigureerd voor het gebruik van het PAP (Password Authentication Protocol). Zie Bepalen welke verificatiemethoden uw gebruikers kunnen gebruikenvoor meer informatie.
Belangrijk
MSCHAPv2 biedt geen ondersteuning voor TOTP. Als de NPS-server niet is geconfigureerd om PAP te gebruiken, mislukt de gebruikersautorisatie en verschijnen er gebeurtenissen in het AuthZOptCh logboek van de NPS-extensieserver in Logboeken.
- NPS-extensie voor Azure MFA: Uitdaging aangevraagd in de verificatie-extensie voor de gebruiker
npstesting_ap.
U kunt de NPS-server configureren ter ondersteuning van PAP. Als PAP geen optie is, stel dan
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEin om over te schakelen naar Goedkeuren/Weigeren pushmeldingen.- NPS-extensie voor Azure MFA: Uitdaging aangevraagd in de verificatie-extensie voor de gebruiker
Als uw organisatie Extern bureaublad-gateway gebruikt en de gebruiker heeft zich geregistreerd voor een TOTP-code samen met Verificator-pushmeldingen, kan de gebruiker niet voldoen aan de Microsoft Entra MFA-uitdaging en mislukt de aanmelding bij Extern bureaublad-gateway. In dit geval stel je OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE in om terug te vallen op en,/,goed te keuren of pushmeldingen met Authenticator te weigeren.
Veelgestelde vragen
In deze sectie vindt u antwoorden op veelgestelde vragen.
Kunnen gebruikers zich afmelden voor nummerkoppeling?
Nee, gebruikers kunnen zich niet afmelden voor nummerkoppeling in Authenticator-pushmeldingen.
Is nummerkoppeling alleen van toepassing als Verificator-pushmeldingen zijn ingesteld als de standaardverificatiemethode?
Ja. Als de gebruiker een andere standaardverificatiemethode heeft, is er geen wijziging in de standaardaanmelding. Als de standaardmethode Authenticator-pushmeldingen is, krijgen ze nummerverificatie. Als de standaardmethode iets anders is, zoals TOTP in Authenticator of een andere provider, is er geen wijziging.
Ongeacht de standaardmethode ziet elke gebruiker die wordt gevraagd zich aan te melden met Authenticator-pushmeldingen nummerkoppeling. Als ze om een andere methode worden gevraagd, zien ze geen wijzigingen.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld voor meldingen via de mobiele app in het verouderde MFA-tenantbrede beleid?
Gebruikers die zijn ingeschakeld voor MFA-pushmeldingen in het verouderde MFA-beleid, zien ook een nummerovereenkomst als in het verouderde MFA-beleid 'Melding via mobiele app' is ingeschakeld . Gebruikers zien nummerkoppeling, ongeacht of ze zijn ingeschakeld voor Authenticator in het beleid voor verificatiemethoden.
Wordt nummerovereenkomst ondersteund door de Azure Multi-Factor Authentication-server?
Nee, nummerkoppeling wordt niet afgedwongen omdat het geen ondersteunde functie is voor de Azure Multi-Factor Authentication-server. Dit is afgeschaft.
Wat gebeurt er als een gebruiker een oudere versie van Authenticator uitvoert?
Als een gebruiker een oudere versie van Authenticator uitvoert die geen ondersteuning biedt voor nummerkoppeling, werkt verificatie niet. Ze moeten een upgrade uitvoeren naar de nieuwste versie van Authenticator om deze te kunnen gebruiken voor aanmelding.
Hoe kunnen gebruikers het nummer opnieuw controleren op mobiele iOS-apparaten nadat het matchingsverzoek is weergegeven?
Tijdens mobiele iOS-brokerstromen verschijnt de aanvraag voor nummervergelijking na twee seconden vertraging boven het nummer. Als u het nummer opnieuw wilt controleren, selecteert u Het nummer opnieuw weergeven. Deze actie vindt alleen plaats in mobiele iOS-brokerstromen.
Wordt Apple Watch ondersteund voor Authenticator?
In de Authenticator-release in januari 2023 voor iOS is er geen aanvullende app voor watchOS omdat deze niet compatibel is met authenticator-beveiligingsfuncties. U kunt Authenticator niet installeren of gebruiken op Apple Watch. U wordt aangeraden Authenticator te verwijderen uit uw Apple Watch- en u aan te melden met Authenticator op een ander apparaat.