数字匹配在 Authenticator 的多重身份验证推送通知中的工作原理 - 身份验证方法策略

本文介绍了 Authenticator 推送通知中的数字匹配如何提高用户登录安全性。 在 Authenticator 中,数字匹配是传统双重因素通知的关键安全升级。

为所有 Authenticator 推送通知启用数字匹配功能。

数字匹配方案

数字匹配适用于以下方案。 启用后,所有方案都支持数字匹配:

Apple Watch 或 Android 可穿戴设备的推送通知不支持数字匹配。 可穿戴设备用户需要在启用号码匹配时使用手机批准通知。

多重身份验证

当用户使用 Authenticator 响应 MFA 推送通知时,他们会看到一个数字。 他们需要在应用中输入该号码才能完成审批。 有关如何设置 MFA 的详细信息,请参阅 教程:使用 Microsoft Entra 多重身份验证保护用户登录事件

显示用户输入数字匹配的屏幕截图。

SSPR

当用户使用 Authenticator 时,使用 Authenticator 的 SSPR 需要数字匹配功能。 在 SSPR 期间,登录页会显示一个数字,用户需要将其输入到 Authenticator 应用通知中。 有关如何设置 SSPR 的详细信息,请参阅 教程:让用户解锁其帐户或重置密码

合并注册

与 Authenticator 的组合注册需要数字匹配。 当用户通过合并注册来设置 Authenticator 时,用户需要批准通知以添加帐户。 此通知显示一个数字,用户需要在 Authenticator 应用的通知中输入该数字。 有关如何设置合并注册的详细信息,请参阅 启用组合安全信息注册

AD FS 适配器

AD FS 适配器需要在受支持的 Windows Server 版本上进行数字匹配。 在较早的版本中,用户仍会看到“批准”/“拒绝”体验,并在升级之前不会看到数字匹配。 AD FS 适配器仅在安装下表中的更新之一后才支持数字匹配。 有关如何设置 AD FS 适配器的详细信息,请参阅 配置 Microsoft Entra 多重身份验证服务器以在 Windows Server中使用 AD FS。

注意

未修补版本的 Windows Server 不支持数字匹配。 用户仍会看到“批准”/“拒绝”体验,且在应用这些更新之前不会看到数字匹配

版本 更新
Windows Server 2022 2021 年 11 月 9 日 — KB5007205 (OS 内部版本 20348.350)
Windows Server 2019 2021 年 11 月 9 日 — KB5007206 (OS 内部版本 17763.2300)
Windows Server 2016 2021 年 10 月 12 日 — KB5006669 (OS 内部版本 14393.4704)

NPS 扩展

尽管 NPS 不支持数字匹配,但最新的 NPS 扩展支持基于时间的一次性密码(TOTP)方法,例如 Authenticator 中提供的 TOTP、其他软件令牌和硬件 FOB。 TOTP 登录可提供比备用的“批准”/“拒绝”体验更好的安全性。 请确保运行最新版本的 NPS 扩展

使用 NPS 扩展版本 1.2.2216.1 或更高版本执行 RADIUS 连接的任何人都会被提示使用 TOTP 方法登录,而不是使用“批准”“拒绝”方式登录/。 用户必须注册 TOTP 身份验证方法才能看到此行为。 如果未注册 TOTP 方法,用户将继续看到“批准”/“拒绝”。

运行这些早期版本的 NPS 扩展的组织可以修改注册表,以要求用户输入 TOTP:

  • 1.2.2131.2
  • 1.2.1959.1
  • 1.2.1916.2
  • 1.1.1892.2
  • 1.0.1850.1
  • 1.0.1.41
  • 1.0.1.40

注意

低于 1.0.1.40 的 NPS 扩展版本不支持通过数字匹配强制执行 TOTP。 这些版本仍使用“批准”/“拒绝”

若要创建注册表项以替代推送通知中的“批准”/“拒绝”选项,改为需要 TOTP,请执行以下操作

  1. 在 NPS 服务器上,打开注册表编辑器。

  2. 转到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa

  3. 创建以下字符串/值对:

    • 名称:OVERRIDE_NUMBER_MATCHING_WITH_OTP
    • 值 = TRUE
  4. 重启 NPS 服务。

另外:

  • 执行 TOTP 的用户必须将 Authenticator 注册为身份验证方法,或使用某些其他硬件或软件 OATH 令牌。 如果无法使用 TOTP 方法的用户使用低于 1.2.2216.1 的 NPS 扩展版本,则会始终看到推送通知的“批准”/“拒绝”选项

  • 安装 NPS 扩展的 NPS 服务器必须配置为使用密码身份验证协议 (PAP)。 有关详细信息,请参阅 确定用户可以使用哪些身份验证方法

    重要

    MSCHAPv2 不支持 TOTP。 如果未将 NPS 服务器配置为使用 PAP,则用户授权会失败,并且事件查看器中 NPS 扩展服务器的 AuthZOptCh 日志中将出现事件

    • 适用于 Azure MFA 的 NPS 扩展:在用户 npstesting_ap 的身份验证扩展中请求了质询。

    可以将 NPS 服务器配置为支持 PAP。 如果 PAP 不是一个选项,请将 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 设置为回退到 ,批准/,拒绝 推送通知。

如果组织使用的是远程桌面网关,并且用户已注册 TOTP 代码以及 Authenticator 推送通知,则用户无法通过 Microsoft Entra 多重身份验证质询,并且远程桌面网关登录会失败。 在这种情况下,请将 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 设置为回退到使用 Authenticator“批准”/“拒绝”推送通知。

常见问题解答

本部分提供常见问题的解答。

用户是否可以选择退出数字匹配?

否,用户无法在 Authenticator 推送通知中选择退出数字匹配。

如果将 Authenticator 推送通知设置为默认身份验证方法,号码匹配才适用吗?

是的。 如果用户具有不同的默认身份验证方法,则不会更改其默认登录。 如果默认方法是 Authenticator 推送通知,则他们会获得数字匹配。 如果默认方法是任何其他方法,例如 Authenticator 或其他提供程序中的 TOTP,则不会更改。

无论其默认方法如何,收到系统提示使用 Authenticator 推送通知登录的任何用户都会看到数字匹配。 如果系统提示他们使用其他方法,则不会看到任何更改。

对于未在身份验证方法策略中指定但通过旧版 MFA 租户范围策略启用移动应用通知的用户,会发生什么情况?

如果旧版 MFA 策略启用了“通过移动应用发送通知”,则在旧版 MFA 策略中启用了 MFA 推送通知的用户也会看到数字匹配。 无论是否在身份验证方法策略中启用了 Authenticator,用户都会看到数字匹配。

显示通过移动应用设置通知的屏幕截图。

Azure 多重身份验证服务器是否支持数字匹配?

否,不会强制实施数字匹配功能,因为 Azure 多重身份验证服务器不支持此功能,该功能已过时

如果用户运行旧版 Authenticator,会发生什么情况?

如果用户运行不支持数字匹配的旧版 Authenticator,身份验证将不起作用。 他们需要升级到最新版本的 Authenticator 才能使用它进行登录。

用户如何在匹配请求出现后重新检查移动 iOS 设备上的号码?

在移动 iOS 代理流期间,号码匹配请求会在两秒延迟后显示在数字上。 要重新检查号码,请选择“再次显示号码”。 此操作仅在移动 iOS 代理流中发生。

Authenticator 是否支持 Apple Watch?

在 2023 年 1 月的 iOS 版 Authenticator 中,因为与 Authenticator 的安全功能不兼容,未提供适用于 watchOS 的应用程序。 无法在 Apple Watch 上安装或使用 Authenticator。 建议从 Apple Watch 中删除 Authenticator,然后在另一台设备上使用 Authenticator 登录。