Så här fungerar nummermatchning i MFA-push-meddelanden för Authenticator – princip för autentiseringsmetoder
Den här artikeln beskriver hur nummermatchning i Authenticator-push-meddelanden förbättrar säkerheten för användarens inloggning. Nummermatchning är en viktig säkerhetsuppgradering till traditionella andrafaktormeddelanden i Authenticator.
Nummermatchning är aktiverat för alla Authenticator-push-meddelanden.
Scenarier för nummermatchning
Nummermatchning är tillgängligt för följande scenarier. När den är aktiverad stöder alla scenarier nummermatchning:
- MFA
- självbetjäning av lösenordsåterställning (SSPR)
- Kombinerad SSPR- och MFA-registrering under konfigurationen av Authenticator-appen
- Active Directory Federation Services (AD FS) adapter
- Network Policy Server (NPS)-tillägg
Nummermatchning stöds inte för push-meddelanden för bärbara Apple Watch- eller Android-enheter. Användare av bärbara enheter måste använda sin telefon för att godkänna meddelanden när nummermatchning är aktiverat.
Multifaktorautentisering
När användarna svarar på ett MFA-push-meddelande med hjälp av Authenticator ser de ett tal. De måste ange det numret i appen för att slutföra godkännandet. Mer information om hur du konfigurerar multifaktorautentisering finns i Handledning: Skydda användarinloggningshändelser med Microsoft Entra multifaktorautentisering.
SSPR
SSPR med Authenticator kräver nummermatchning när en användare använder Authenticator. Under SSPR visar inloggningssidan ett tal som användaren måste ange i Authenticator-meddelandet. Mer information om hur du konfigurerar SSPR finns i Självstudie: Aktivera användare att låsa upp sitt konto eller återställa lösenord.
Kombinerad registrering
Kombinerad registrering med Authenticator kräver nummermatchning. När en användare går igenom kombinerad registrering för att konfigurera Authenticator måste användaren godkänna ett meddelande för att lägga till kontot. Det här meddelandet visar ett tal som användaren måste ange i Authenticator-meddelandet. Mer information om hur du konfigurerar kombinerad registrering finns i Aktivera kombinerad registrering av säkerhetsinformation.
AD FS-adapter
AD FS-adaptern kräver nummermatchning i versioner av Windows Server som stöds. I tidigare versioner fortsätter användarna att se Godkänn/Neka-upplevelsen och ser inte nummermatchning förrän de uppgraderar. AD FS-adaptern stöder endast nummermatchning när de har installerat en av uppdateringarna i följande tabell. Mer information om hur du konfigurerar AD FS-adaptern finns i Konfigurera Microsoft Entra Multifactor Authentication Server att fungera med AD FS i Windows Server.
Notera
Okopplade versioner av Windows Server stöder inte nummermatchning. Användarna ser fortsättningsvis Godkänn/Neka-upplevelsen och ser inte nummermatchning förrän dessa uppdateringar har tillämpats.
| Version | Uppdatera |
|---|---|
| Windows Server 2022 | 9 november 2021 – KB5007205 (OS Build 20348.350) |
| Windows Server 2019 | 9 november 2021 – KB5007206 (OS Build 17763.2300) |
| Windows Server 2016 | 12 oktober 2021 – KB5006669 (OS Build 14393.4704) |
NPS-tillägg
Även om NPS inte stöder nummermatchning stöder det senaste NPS-tillägget tidsbaserade engångslösenordmetoder (TOTP), till exempel TOTP som är tillgängligt i Authenticator, andra programvarutoken och maskinvaru-FOB. TOTP-inloggning ger bättre säkerhet än den alternativa metoden med Godkänn/Neka. Kontrollera att du kör den senaste versionen av NPS-tillägget.
Alla som utför en RADIUS-anslutning med NPS-tillägget version 1.2.2216.1 eller senare uppmanas att logga in med en TOTP-metod i stället för Godkänn/Neka. Användare måste ha en TOTP-autentiseringsmetod registrerad för att se det här beteendet. Utan att en TOTP-metod har registrerats fortsätter användarna att se Godkänn/Neka.
Organisationer som kör någon av dessa tidigare versioner av NPS-tillägget kan ändra registret så att användarna måste ange en TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Notera
NPS-tilläggsversioner som är tidigare än 1.0.1.40 stöder inte TOTP när det krävs nummermatchning. Dessa versioner fortsätter att använda Godkänn/Neka.
Om du vill skapa registerposten för att åsidosätta Godkänn/Neka alternativ i push-meddelanden och kräva en TOTP i stället:
Öppna Registereditorn på NPS-servern.
Gå till
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Skapa följande sträng/värde-par:
- Namn:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Värde =
TRUE
- Namn:
Starta om NPS-tjänsten.
Ytterligare:
Användare som utför TOTP måste ha antingen Authenticator registrerad som en autentiseringsmetod eller någon annan OATH-token för maskinvara eller programvara. Användare som inte kan använda en TOTP-metod kommer alltid att se Godkänn/Neka alternativen vid push-meddelanden om de använder en version av NPS-tillägget tidigare än 1.2.2216.1.
NPS-servern där NPS-tillägget är installerat måste konfigureras för att använda PROTOKOLLET för lösenordsautentisering (PAP). Mer information finns i Avgöra vilka autentiseringsmetoder användarna kan använda.
Viktig
MSCHAPv2 stöder inte TOTP. Om NPS-servern inte är konfigurerad att använda PAP, sker användarauktoriseringsfel med händelser i AuthZOptCh-loggen för NPS-tilläggsservern i Händelseloggen.
- NPS-tillägg för Azure MFA: Utmaning som begärs i autentiseringstillägget för användaren
npstesting_ap.
Du kan konfigurera NPS-servern så att den stöder PAP. Om PAP inte är ett alternativ anger du att
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEska återgå till Godkänn/Neka push-meddelanden.- NPS-tillägg för Azure MFA: Utmaning som begärs i autentiseringstillägget för användaren
Om din organisation använder Fjärrskrivbordsgateway och användaren har registrerat sig för en TOTP-kod tillsammans med push-meddelanden för Authenticator kan användaren inte uppfylla Microsoft Entra MFA-utmaningen och inloggningen till Fjärrskrivbordsgatewayen misslyckas. I det här fallet anger du att OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE ska återgå till Godkänn/Neka push-meddelanden med Authenticator.
Vanliga frågor och svar
Det här avsnittet innehåller svar på vanliga frågor.
Kan användare välja bort nummermatchning?
Nej, användarna kan inte välja bort nummermatchning i Authenticator-push-meddelanden.
Gäller nummermatchning endast om Authenticator-push-meddelanden anges som standardautentiseringsmetod?
Ja. Om användaren har en annan standardautentiseringsmetod ändras inte standardinloggningen. Om standardmetoden är Authenticator-push-meddelanden får de nummermatchning. Om standardmetoden är något annat, till exempel TOTP i Authenticator eller någon annan provider, sker ingen ändring.
Oavsett deras standardmetod ser alla användare som uppmanas att logga in med Authenticator push-meddelanden nummermatchning. Om de uppmanas att ange en annan metod ser de ingen ändring.
Vad händer för användare som inte har angetts i principen Autentiseringsmetoder, men som är aktiverade för meddelanden via mobilappen i den äldre MFA-principen för hela klientorganisationen?
Användare som är aktiverade för MFA-push-meddelanden i den äldre MFA-principen ser också nummermatchning om den äldre MFA-principen aktiverad Meddelande via mobilappen. Användarna ser nummermatchning oavsett om de är aktiverade för Authenticator i autentiseringsmetodernas policy.
Stöds nummermatchning med Azure Multi-Factor Authentication Server?
Nej, nummermatchning tillämpas inte eftersom det inte är en funktion som stöds för Azure Multi-Factor Authentication Server, som är föråldrad.
Vad händer om en användare kör en äldre version av Authenticator?
Om en användare kör en äldre version av Authenticator som inte stöder nummermatchning fungerar inte autentiseringen. De måste uppgradera till den senaste versionen av Authenticator för att kunna använda den för inloggning.
Hur kan användarna kontrollera numret igen på mobila iOS-enheter när matchningsbegäran visas?
Under iOS-mäklarflöden visas en begäran om nummermatchning över numret efter två sekunders fördröjning. Om du vill kontrollera talet igen väljer du Visa numret igen. Den här åtgärden sker endast i mobila iOS-koordinatorflöden.
Stöds Apple Watch för Authenticator?
I authenticatorversionen i januari 2023 för iOS finns det ingen tillhörande app för watchOS eftersom den inte är kompatibel med Authenticator-säkerhetsfunktioner. Du kan inte installera eller använda Authenticator på Apple Watch. Vi rekommenderar att du ta bort Authenticator från din Apple Watch- och logga in med Authenticator på en annan enhet.