Jak działa dopasowywanie liczb w powiadomieniach push MFA dla aplikacji Authenticator — polityka metod uwierzytelniania
Artykuł ten wyjaśnia, w jaki sposób dopasowywanie liczb w powiadomieniach push aplikacji Authenticator zwiększa bezpieczeństwo logowania użytkowników. Dopasowywanie liczb jest kluczowym uaktualnieniem zabezpieczeń do tradycyjnych powiadomień dwuskładnikowych w aplikacji Authenticator.
Dopasowanie liczb jest włączone dla wszystkich powiadomień push aplikacji Authenticator.
Scenariusze dopasowywania liczb
Dopasowywanie liczb jest dostępne w następujących scenariuszach. Po jej włączeniu wszystkie scenariusze obsługują dopasowywanie numerów:
- MFA
- samoobsługowe resetowanie hasła (SSPR)
- rejestrację połączonego samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego podczas konfigurowania aplikacji Authenticator
- adaptera usług Active Directory Federation Services (AD FS)
- Rozszerzenie serwera zasad sieciowych (NPS)
Dopasowywanie numerów nie jest obsługiwane w przypadku powiadomień wypychanych dla Apple Watch ani urządzeń noszonych z Androidem. Użytkownicy urządzeń noszonych muszą używać telefonu do zatwierdzania powiadomień po włączeniu dopasowania numerów.
Uwierzytelnianie wieloskładnikowe
Gdy użytkownicy reagują na powiadomienie push uwierzytelniania wieloskładnikowego przy użyciu aplikacji Authenticator, widzą liczbę. Aby ukończyć zatwierdzenie, muszą wprowadzić ten numer w aplikacji. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania wieloskładnikowego (MFA), zobacz Samouczek: zabezpieczanie logowania użytkowników za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft w usłudze Entra.
Samoobsługowe resetowanie hasła
Funkcja samoobsługowego resetowania hasła z Authenticator wymaga dopasowania numerów, gdy użytkownik z niej korzysta. Podczas samoobsługowego resetowania hasła na stronie logowania wyświetlana jest liczba, którą użytkownik musi wprowadzić w powiadomieniu aplikacji Authenticator. Aby uzyskać więcej informacji na temat konfigurowania SSPR, zobacz samouczek : Umożliwienie użytkownikom odblokowania konta lub resetowania hasła.
Rejestracja połączona
Połączona rejestracja z aplikacją Authenticator wymaga dopasowania liczb. Gdy użytkownik przechodzi przez rejestrację połączoną w celu skonfigurowania aplikacji Authenticator, użytkownik musi zatwierdzić powiadomienie, aby dodać konto. To powiadomienie zawiera liczbę, którą użytkownik musi wprowadzić w powiadomieniu Authenticator. Aby uzyskać więcej informacji na temat konfigurowania rejestracji połączonej, zobacz Włączanie rejestracji połączonych informacji zabezpieczających.
Adapter AD FS
Adapter AD FS wymaga uzgadniania numerów w obsługiwanych wersjach systemu Windows Server. Na wcześniejszych wersjach użytkownicy nadal widzą interfejs Zatwierdź/Odmów i nie widzą dopasowania liczb, dopóki nie zaktualizują oprogramowania. Adapter usług AD FS obsługuje dopasowanie numerów tylko po zainstalowaniu jednej z aktualizacji wymienionych w poniższej tabeli. Aby uzyskać więcej informacji o sposobie konfigurowania adaptera usług AD FS, zobacz Skonfiguruj Microsoft Entra Multifactor Authentication Server, aby działał z AD FS w Windows Server.
Notatka
Niesprawdzone wersje systemu Windows Server nie obsługują dopasowywania numerów. Użytkownicy nadal widzą środowisko Zatwierdź/Odmów i nie widzą dopasowania liczb, chyba że zostaną zastosowane te aktualizacje.
| Wersja | Aktualizacja |
|---|---|
| Windows Server 2022 | 9 listopada 2021 r. — KB5007205 (kompilacja systemu operacyjnego 20348.350) |
| Windows Server 2019 | 9 listopada 2021 r. — KB5007206 (kompilacja systemu operacyjnego 17763.2300) |
| Windows Server 2016 | 12 października 2021 r. — KB5006669 (kompilacja systemu operacyjnego 14393.4704) |
Rozszerzenie serwera NPS
Mimo że serwer NPS nie obsługuje dopasowywania numerów, najnowsze rozszerzenie NPS obsługuje metody jednorazowe oparte na czasie (TOTP), takie jak TOTP dostępne w aplikacji Authenticator, inne tokeny programowe i sprzętowe klucze FOB. Logowanie TOTP zapewnia lepsze zabezpieczenia niż alternatywne rozwiązanie Zatwierdź/Odmów. Upewnij się, że uruchomiono najnowszą wersję rozszerzenia serwera NPS .
Każdy, kto wykonuje połączenie RADIUS z rozszerzeniem NPS w wersji 1.2.2216.1 lub nowszej, otrzyma monit o zalogowanie się przy użyciu metody TOTP zamiast Zatwierdź/Odmów. Aby zobaczyć to zachowanie, użytkownicy muszą zarejestrować metodę uwierzytelniania TOTP. Bez zarejestrowanej metody TOTP użytkownicy nadal widzą Zatwierdź/Odmów.
Organizacje, które uruchamiają dowolną z tych wcześniejszych wersji rozszerzenia serwera NPS, mogą modyfikować rejestr, aby wymagać od użytkowników wprowadzenia protokołu TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Notatka
Rozszerzenia serwera NPS w wersjach starszych niż 1.0.1.40 nie obsługują protokołu TOTP wymuszanego przez dopasowanie liczb. Wersje te nadal używają Zatwierdź/Odmów.
Aby utworzyć wpis rejestru, który zastąpi opcje Zatwierdź/Odmów w powiadomieniach push oraz zamiast tego wymagać użycia protokołu TOTP:
Na serwerze NPS otwórz Edytor rejestru.
Przejdź do
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Utwórz następującą parę: ciąg/wartość.
- Nazwa:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Wartość =
TRUE
- Nazwa:
Uruchom ponownie usługę NPS.
W dodatku:
Użytkownicy, którzy wykonują operację TOTP, muszą mieć zarejestrowaną aplikację Authenticator jako metodę uwierzytelniania lub dysponować innym sprzętowym albo programowym tokenem OATH. Użytkownicy, którzy nie mogą używać metody TOTP, zawsze widzą opcje Zatwierdź i/Odmów w powiadomieniach push, jeśli używają wersji rozszerzenia NPS wcześniejszej niż 1.2.2216.1.
Serwer NPS, na którym zainstalowano rozszerzenie serwera NPS, musi być skonfigurowany do używania protokołu uwierzytelniania haseł (PAP). Aby uzyskać więcej informacji, zobacz Określanie metod uwierzytelniania, których użytkownicy mogą używać.
Ważny
Protokół MSCHAPv2 nie obsługuje protokołu TOTP. Jeśli serwer NPS nie jest skonfigurowany do używania protokołu PAP, autoryzacja użytkownika kończy się niepowodzeniem w przypadku zdarzeń w dzienniku AuthZOptCh rozszerzenia serwera NPS w Podglądzie zdarzeń.
- Rozszerzenie NPS dla Azure MFA: wyzwanie żądane w rozszerzeniu uwierzytelniania dla użytkownika
npstesting_ap.
Serwer NPS można skonfigurować tak, aby obsługiwał protokół PAP. Jeśli PAP nie jest opcją, ustaw
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby wrócić do Zatwierdź/Odmów powiadomień push.- Rozszerzenie NPS dla Azure MFA: wyzwanie żądane w rozszerzeniu uwierzytelniania dla użytkownika
Jeśli Twoja organizacja używa Bramy Pulpitu Zdalnego i użytkownik zarejestrował się na kod TOTP wraz z powiadomieniami push z aplikacji uwierzytelniającej, użytkownik nie może spełnić wyzwania Microsoft Entra MFA i logowanie na Bramę Pulpitu Zdalnego kończy się niepowodzeniem. W takim przypadku ustaw OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby przejść na Zatwierdź/, a następnie Odmów powiadomień push przy użyciu aplikacji Authenticator.
Często zadawane pytania
Ta sekcja zawiera odpowiedzi na typowe pytania.
Czy użytkownicy mogą zrezygnować z dopasowywania liczb?
Nie, użytkownicy nie mogą zrezygnować z dopasowywania liczb w powiadomieniach push Authenticator.
Czy dopasowywanie numerów ma zastosowanie tylko wtedy, gdy powiadomienia push z aplikacji Authenticator są ustawione jako domyślna metoda uwierzytelniania?
Tak. Jeśli użytkownik ma inną domyślną metodę uwierzytelniania, nie ma żadnych zmian w domyślnym logowaniu. Jeśli domyślną metodą są powiadomienia wypychane w aplikacji Authenticator, występuje dopasowanie numeru. Jeśli metoda domyślna to coś innego, takiego jak TOTP w aplikacji Authenticator lub inny dostawca, nie ma żadnych zmian.
Niezależnie od domyślnej metody każdy użytkownik, który otrzymuje monit o zalogowanie się przy użyciu powiadomień push Authenticator, widzi dopasowane liczby. Jeśli zostanie wyświetlony monit o inną metodę, nie będą widzieć żadnych zmian.
Co się stanie z użytkownikami, którzy nie są określeni w zasadach metod uwierzytelniania, ale są włączeni do powiadomień za pośrednictwem aplikacji mobilnej w starszych zasadach uwierzytelniania wieloskładnikowego obejmujących całą dzierżawę?
Użytkownicy, którzy mają włączone powiadomienia push MFA w starszych zasadach uwierzytelniania wieloskładnikowego, zobaczą również dopasowanie liczb, jeśli została włączona funkcja powiadomienia za pośrednictwem aplikacji mobilnej. Użytkownicy widzą dopasowywanie numerów niezależnie od tego, czy są włączeni do aplikacji Authenticator w zasadzie metod uwierzytelniania.
Czy dopasowanie liczb jest obsługiwane przez serwer Azure Multi-Factor Authentication?
Nie, dopasowywanie liczb nie jest wymuszane, ponieważ nie jest to obsługiwana funkcja dla serwera usługi Azure Multi-Factor Authentication, która jest przestarzała.
Co się stanie, jeśli użytkownik uruchamia starszą wersję aplikacji Authenticator?
Jeśli użytkownik uruchamia starszą wersję aplikacji Authenticator, która nie obsługuje dopasowywania numerów, uwierzytelnianie nie będzie działać. Aby używać go do logowania, muszą przeprowadzić uaktualnienie do najnowszej wersji aplikacji Authenticator.
Jak użytkownicy mogą ponownie sprawdzić numer na urządzeniach przenośnych z systemem iOS po pojawieniu się żądania dopasowania?
Podczas przepływów brokera na urządzeniach mobilnych z systemem iOS, żądanie dopasowania liczby pojawia się nad numerem po dwusekundowym opóźnieniu. Aby ponownie sprawdzić liczbę, wybierz pozycję Pokaż mi liczbę ponownie. Ta akcja występuje tylko w przepływach brokera na urządzeniach mobilnych z systemem iOS.
Czy usługa Apple Watch jest obsługiwana dla aplikacji Authenticator?
W wersji Authenticator w styczniu 2023 r. dla systemu iOS nie ma aplikacji towarzyszącej dla systemu watchOS, ponieważ jest niezgodna z funkcjami zabezpieczeń aplikacji Authenticator. Nie można zainstalować ani używać aplikacji Authenticator na zegarku Apple Watch. Zalecamy, aby usunąć aplikację Authenticator z Apple Watch i zalogować się na innym urządzeniu za pomocą aplikacji Authenticator.