驗證器的 MFA 推送通知中的數字匹配如何運作 - 驗證方法原則
本文說明 Authenticator 推播通知中的數位比對如何改善使用者登入安全性。 數位比對是 Authenticator 中傳統次要因素通知的重要安全性升級。
所有 Authenticator 推播通知已啟用數字比對。
數字比對情境
下列情境提供號碼匹配。 啟用時,所有範例都支援數字匹配:
- MFA
- 自助式密碼重設 (SSPR)
- 在驗證器應用程式設定期間,合併 SSPR 和 MFA 註冊
- Active Directory 同盟服務 (AD FS) 配接器
- 網路原則伺服器 (NPS) 擴充功能
Apple Watch 或 Android 穿戴裝置上的推播通知不支援數字比對。 可穿戴裝置用戶必須在啟用數位比對時,使用手機核准通知。
多重要素驗證
當使用者使用 Authenticator 回應 MFA 推播通知時,他們會看到數位。 他們需要在應用程式中輸入該號碼,才能完成核准。 如需如何設定 MFA 的詳細資訊,請參閱 教學課程:使用 Microsoft Entra 多重要素驗證來保護使用者登入事件。
SSPR
當使用者使用 Authenticator 時,SSPR 與 Authenticator 需要數位比對。 在 SSPR 期間,登入頁面會顯示用戶必須輸入 Authenticator 通知的數位。 如需如何設定 SSPR 的詳細資訊,請參閱 教學課程:讓使用者解除鎖定其帳戶或重設密碼。
合併註冊
與 Authenticator 的合併註冊需要數位比對。 當用戶經過合併註冊以設定 Authenticator 時,用戶必須核准通知以新增帳戶。 此通知會顯示用戶必須輸入 Authenticator 通知的數位。 如需如何設定合併註冊的詳細資訊,請參閱 啟用合併的安全性資訊註冊。
AD FS 配接器
AD FS 配接器需要在支援的 Windows Server 版本上進行數位比對。 在舊版中,用戶會繼續看到 核准/拒絕 的流程,並且在升級之前不會看見數字匹配的功能。 僅在安裝了下表中的其中一個更新後,AD FS 配接器才支援數字比對。 如需如何設定 AD FS 配接器的詳細資訊,請參閱 設定 Microsoft Entra Multifactor Authentication Server 以在 Windows Server中使用 AD FS。
注意
未修補的 Windows Server 版本不支援數位比對。 用戶會繼續看到 核准/拒絕 體驗,只有在套用這些更新後才會看到數字匹配。
| 版本 | 更新 |
|---|---|
| Windows Server 2022 | 2021 年 11 月 9 日 — KB5007205 (OS 組建 20348.350) |
| Windows Server 2019 | 2021 年 11 月 9 日 — KB5007206 (OS 組建 17763.2300) |
| Windows Server 2016 | 2021 年 10 月 12 日 — KB5006669 (OS 組建 14393.4704) |
NPS 擴充功能
雖然 NPS 不支援數位比對,但最新的 NPS 擴充功能確實支援以時間為基礎的單次密碼 (TOTP) 方法,例如 Authenticator 中提供的 TOTP、其他軟體令牌和硬體 FOB。 TOTP 登入比替代的 核准、、/、拒絕、 體驗提供更好的安全性。 請確定您執行最新版的 NPS 擴充功能。
任何人使用 1.2.2216.1 版或更新版本的 NPS 擴充功能進行 RADIUS 連線時,會被提示改用 TOTP 方法登入,而不是 核准/否決。 用戶必須註冊 TOTP 驗證方法,才能看到此行為。 若未註冊 TOTP 方法,使用者仍會看到 核准/拒絕。
執行上述任何舊版 NPS 延伸模組的組織可以修改登錄,以要求使用者輸入 TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
注意
版本早於 1.0.1.40 的 NPS 擴充功能不支援以數字比對來強制執行的 TOTP。 這些版本會繼續使用 核准/拒絕。
若要建立登錄項目以覆蓋推播通知中的選項 (核准)/及 (拒絕),而需要使用 TOTP:
在 NPS 伺服器上,開啟註冊表編輯器。
移至
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa。建立下列字串/值群組:
- 名稱:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Value =
TRUE
- 名稱:
重新啟動 NPS 服務。
另外:
執行 TOTP 的用戶必須將 Authenticator 註冊為驗證方法或其他一些硬體或軟體 OATH 令牌。 若無法使用 TOTP 方法的使用者使用 1.2.2216.1 之前的 NPS 擴充功能版本,則在推播通知中一律會看到 核准/拒絕 選項。
安裝 NPS 擴充功能的 NPS 伺服器必須設定為使用密碼驗證通訊協定 (PAP)。 如需詳細資訊,請參閱 決定使用者可以使用的驗證方法。
重要
MSCHAPv2 不支援 TOTP。 如果未將 NPS 伺服器設定為使用 PAP,使用者授權會失敗,且在事件查看器中可見到 NPS 擴充伺服器的 AuthZOptCh 記錄:
- 適用於 Azure MFA 的 NPS 擴充功能:在使用者驗證擴充功能中提出的挑戰
npstesting_ap。
您可以設定 NPS 伺服器以支援 PAP。 如果 PAP 不是選項,請將
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE設定為回復為 [核准/拒絕 推播通知]。- 適用於 Azure MFA 的 NPS 擴充功能:在使用者驗證擴充功能中提出的挑戰
如果您的組織使用遠端桌面閘道,並且使用者註冊了 TOTP 程式碼和 Authenticator 推播通知,那麼該使用者可能無法通過 Microsoft Entra MFA 驗證要求,導致遠端桌面閘道登入失敗。 在此情況下,請將 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 設定為回退至 ,並使用 Authenticator 核准、/、,拒絕 的推播通知。
常見問題
本節提供常見問題的解答。
使用者可以退出數位比對嗎?
否,使用者無法退出 Authenticator 推播通知中的數字比對功能。
只有在 Authenticator 推播通知設定為預設驗證方法時,才會套用數位比對嗎?
是的。 如果使用者有不同的預設驗證方法,則不會變更其默認登入。 如果預設方法是 Authenticator 推播通知,則會啟用數字匹配功能。 如果預設方法是任何其他方法,例如 Authenticator 中的 TOTP 或其他提供者,則不會有任何變更。
無論用戶的預設方法為何,任何需要使用 Authenticator 推播通知登入的用戶都會看到數字比對。 如果系統提示您輸入其他方法,則不會看到任何變更。
未在驗證方法原則中指定的使用者,如果在舊版 MFA 租用戶原則中通過行動應用程式啟用了通知,會發生什麼事?
在舊版 MFA 原則中啟用 MFA 推播通知的使用者,如果透過行動應用程式啟用舊版 MFA 原則 通知,則也會看到數位相符。 無論使用者是否在驗證方法原則中啟用 Authenticator,使用者都會看到號碼比對。
Azure Multi-Factor Authentication Server 是否支持數字比對?
否,不會強制執行數位比對,因為 Azure Multi-Factor Authentication Server 不支援此功能,已被取代。
如果使用者執行舊版的 Authenticator,會發生什麼事?
如果使用者執行不支持數位比對的舊版 Authenticator,驗證將無法運作。 他們需要升級至最新版本的 Authenticator,才能使用它進行登入。
使用者在比對要求出現之後,如何重新檢查行動 iOS 裝置上的號碼?
在 iOS 行動裝置的代理流程中,數字匹配請求會在兩秒延遲後顯示在數字上。 若要重新檢查數字,請選擇 [再次顯示號碼]。 此動作只會發生在行動 iOS 訊息代理程式流程中。
驗證器是否支援Apple Watch?
在 iOS 2023 年 1 月的 Authenticator 版本中,沒有 watchOS 的隨附應用程式,因為它與 Authenticator 安全性功能不相容。 您無法在 Apple Watch 上安裝或使用 Authenticator。 建議您 從 Apple Watch 刪除 Authenticator,然後在其他裝置上使用 Authenticator 登入。