Jak funguje porovnávání čísel v nabízených oznámeních MFA pro Authenticator – zásady metod ověřování

Tento článek vysvětluje, jak porovnávání čísel v nabízených oznámeních Authenticatoru zlepšuje zabezpečení přihlašování uživatelů. Párování čísel je klíčovým vylepšením zabezpečení tradičních oznámení pomocí druhého faktoru v Authenticatoru.

Porovnávání čísel je povoleno pro všechna push oznámení Authenticatoru.

Scénáře porovnávání čísel

Porovnávání čísel je k dispozici pro následující scénáře. Když je tato možnost povolená, podporují všechny scénáře porovnávání čísel:

• Vícefázové ověřování
• samoobslužné resetování hesla (SSPR)
• kombinovaná registrace SSPR a MFA během nastavení aplikace Authenticator
• adaptér služby Active Directory Federation Services (AD FS)
• rozšíření serveru NPS (Network Policy Server)

Porovnávání čísel není podporováno pro nabízená oznámení pro zařízení Apple Watch nebo Android wearable. Uživatelé nositelných zařízení musí ke schválení oznámení použít telefon, když je povoleno porovnávání čísel.

Vícefaktorové ověřování

Když uživatelé reagují na nabízené oznámení vícefaktorového ověřování pomocí Authenticatoru, uvidí číslo. Aby bylo schválení dokončeno, musí toto číslo zadat do aplikace. Další informace o nastavení vícefaktorového ověřování najdete v tématu Kurz: Zabezpečení událostí přihlašování uživatelů pomocí vícefaktorového ověřování Microsoft Entra.

SSPR

SSPR s authenticatorem vyžaduje porovnávání čísel, když uživatel používá Authenticator. Během SSPR se na přihlašovací stránce zobrazí číslo, které musí uživatel zadat do oznámení Authenticatoru. Další informace o tom, jak nastavit SSPR, najdete v návodu : Povolení uživatelům odemknout si účet nebo resetovat hesla.

Kombinovaná registrace

Kombinovaná registrace s authenticatorem vyžaduje porovnávání čísel. Když uživatel projde kombinovanou registrací, aby nastavil Authenticator, musí schválit oznámení pro přidání účtu. Toto oznámení zobrazuje číslo, které musí uživatel zadat do oznámení authenticatoru. Další informace o tom, jak nastavit kombinovanou registraci, naleznete v tématu Povolit kombinovanou registraci informací o zabezpečení.

Adaptér AD FS

Adaptér služby AD FS vyžaduje shodu čísel v podporovaných verzích Windows Serveru. V dřívějších verzích se uživatelům dál zobrazují možnosti Schválit/Odepřít a dokud se neupgradují, neuvidí porovnávání čísel. Adaptér služby AD FS podporuje párování čísel až po instalaci jedné z aktualizací v následující tabulce. Další informace o tom, jak nastavit adaptér služby AD FS, naleznete v tématu Konfigurace vícefaktorového ověřovacího serveru Microsoft Entra pro práci se službou AD FS v systému Windows Server.

Poznámka

Nepatchované verze Windows Serveru nepodporují porovnávání čísel. Uživatelé nadále vidí rozhraní Schválit/Odepřít a neuvidí shodu čísel, pokud tyto aktualizace nejsou aplikovány.

Verze	Aktualizace
Windows Server 2022	9. listopadu 2021 – KB5007205 (build operačního systému 20348.350)
Windows Server 2019	9. listopadu 2021 – KB5007206 (build operačního systému 17763.2300)
Windows Server 2016	12. října 2021 – KB5006669 (build operačního systému 14393.4704)

Rozšíření NPS

I když NPS nepodporuje párování čísel, nejnovější rozšíření NPS podporuje metody jednorázového hesla (TOTP), jako je TOTP dostupný v Authenticatoru, další softwarové tokeny a hardwarové foby. Přihlášení TOTP poskytuje lepší zabezpečení než alternativní zážitek Schválit/Odmítnout. Ujistěte se, že používáte nejnovější verzi rozšíření NPS.

Kdokoli, kdo provede připojení RADIUS s rozšířením NPS ve verzi 1.2.2216.1 nebo novější, obdrží výzvu k přihlášení pomocí metody TOTP místo Schválit/Odepřít. Aby mohli uživatelé toto chování zobrazit, musí mít zaregistrovanou metodu ověřování TOTP. Bez registrované metody TOTP se uživatelům nadále zobrazují možnosti: Schválit/Odepřít.

Organizace, které používají některou z těchto starších verzí rozšíření NPS, můžou upravit registr tak, aby vyžadovaly, aby uživatelé zadali TOTP:

• 1.2.2131.2
• 1.2.1959.1
• 1.2.1916.2
• 1.1.1892.2
• 1.0.1850.1
• 1.0.1.41
• 1.0.1.40

Poznámka

Verze rozšíření NPS starší než 1.0.1.40 nepodporují TOTP vynucené párováním čísel. Tyto verze nadále používají Schválit/Odepřít.

Chcete-li vytvořit položku registru, která přepíše možnosti Schválit/Odmítnout v push oznámeních a místo toho vyžaduje TOTP:

1. Na serveru NPS otevřete Editor registru.

2. Přejděte na HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.

3. Vytvořte následující dvojici řetězců a hodnot:

   • Název: OVERRIDE_NUMBER_MATCHING_WITH_OTP
   • Hodnota = TRUE

4. Restartujte službu NPS.

Navíc:

• Uživatelé, kteří provádějí TOTP, musí mít buď authenticator zaregistrovaný jako metodu ověřování, nebo nějaký jiný hardwarový nebo softwarový token OATH. Uživatelé, kteří nemohou použít metodu TOTP, vždy vidí možnosti Schválit/Odmítnout s nabízenými oznámeními, pokud používají verzi rozšíření NPS starší než 1.2.2216.1.

• Server NPS, na kterém je nainstalované rozšíření NPS, musí být nakonfigurované tak, aby používal protokol PAP (Password Authentication Protocol). Další informace najdete v tématu Určení metod ověřování, které mohou uživatelé používat.

  Důležitý

  MSCHAPv2 nepodporuje TOTP. Pokud server NPS není nakonfigurovaný tak, aby používal protokol PAP, autorizace uživatele selže a v Prohlížeči událostí se zobrazí události v protokolu AuthZOptCh serveru rozšíření NPS.

  • Rozšíření NPS pro Azure MFA: Výzva požadovaná v rozšíření ověřování pro uživatele npstesting_ap.

  Server NPS můžete nakonfigurovat tak, aby podporoval PAP. Pokud PAP není možnost, nastavte OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE pro přejetí k Schválit/Odepřít push notifikacím.

Pokud vaše organizace používá bránu vzdálené plochy a uživatel se zaregistroval pro kód TOTP spolu s push oznámeními Authenticatoru, nemůže splnit požadavky na ověření Microsoft Entra MFA a přihlášení přes bránu vzdálené plochy selže. V tomto případě nastavte OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE tak, aby se vrátila na Schválit/Odepřít nabízená oznámení pomocí authenticatoru.

Shoda čísel stejných zařízení v aplikaci Authenticator

Když se uživatel přihlásí k vícefaktorové ověřování nebo přihlášení přes telefon s číslem, které odpovídá mobilním aplikacím Microsoftu, jako je Teams a Outlook na stejném zařízení jako aplikace Authenticator, může po zobrazení výzvy odpovědět Ano/Ne, místo aby zadal číslo. Uživatelé, kteří se přihlašují pomocí webových prohlížečů Microsoft Edge, Chrome nebo Safari, budou dál zadávat číslo pro přihlášení.

Výrazně to zlepší uživatelský zážitek pro uživatele, kteří se přihlašují pomocí porovnání čísel na stejném zařízení, které používají ke spuštění aplikace Authenticator. Uživatelům se nezobrazuje žádné zvýšené riziko přepnutím na Ano/Ne, protože výzva se zobrazí jenom na zařízení, které iniciovalo přihlášení.

Podrobnosti scénáře specifické pro konkrétní platformu jsou uvedeny v tomto tématu.

Poznámka

V následujících scénářích se uživatel přihlásí ke stejnému zařízení jako Authenticator. Když uživatelé na jiném zařízení dokončí párování čísel, nic se nezmění.

Příprava

Správci nemusí nic konfigurovat, aby se připravili. Uživatelé musí spouštět jenom nejnovější verzi aplikace Microsoft Authenticator.

Ios

Změny uživatelského prostředí

Scenario	Došlo ke změně?
Uživatel se přihlásí k Authenticatoru a upgraduje účet, který používá pro vícefaktorové ověřování (MFA).	Ano. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V mobilních aplikacích Microsoftu, jako je Authenticator, můžou klepnout na oznámení a odpovědět na Ano/Ne a dokončit přihlášení.
Uživatel se přihlásí k aplikaci Microsoftu, jako je Outlook nebo Teams bez rozšíření jednotného přihlašování (SSO).	Ano. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V mobilních aplikacích Microsoftu, jako je Outlook nebo Teams, můžou klepnout na oznámení a odpovědět na Ano/Ne a dokončit přihlášení.
Uživatel se přihlásí k aplikaci Microsoftu, jako je Outlook nebo Teams, pomocí rozšíření jednotného přihlašování.	Ano. Uživateli se zobrazí výzva Ano/Ne, ale k dokončení přihlášení musí otevřít aplikaci Authenticator.
Uživatel se přihlásí k prohlížeči, jako je Edge nebo Chrome.	Ne. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V prohlížeči musí klepnout na oznámení, aby zadali číslo a schválili přihlášení.

Android

Změny uživatelského prostředí při porovnávání stejných čísel zařízení

Scenario	Došlo ke změně?
Uživatel se přihlásí k Authenticatoru a upgraduje účet, který používá pro vícefaktorové ověřování (MFA).	Ano. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V mobilních aplikacích Microsoftu, jako je Authenticator, můžou klepnout na oznámení a odpovědět na Ano/Ne a dokončit přihlášení.
Uživatel se přihlásí k aplikaci Microsoftu, jako je Outlook nebo Teams.	Ano. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V mobilních aplikacích Microsoftu, jako je Outlook nebo Teams, můžou klepnout na oznámení a odpovědět na Ano/Ne a dokončit přihlášení.
Uživatel se přihlásí k prohlížeči, jako je Edge nebo Chrome.	Ne. Na přihlašovací obrazovce se uživateli zobrazí oznámení s žádostí o shodu čísel. V prohlížeči musí klepnout na oznámení, aby zadali číslo a schválili přihlášení.

Nejčastější dotazy

Tato část obsahuje odpovědi na běžné otázky.

Můžou se uživatelé odhlásit z párování čísel?

Ne, uživatelé nemůžou vyjádřit nesouhlas s počtem odpovídajících čísel v nabízených oznámeních Authenticatoru.

Použije se porovnávání čísel jenom v případě, že jsou nabízená oznámení Authenticator nastavená jako výchozí metoda ověřování?

Ano. Pokud má uživatel jinou výchozí metodu ověřování, neexistuje žádná změna výchozího přihlášení. Pokud je výchozí metodou v aplikaci Authenticator oznámení typu push, obdrží ověření pomocí párování čísel. Pokud je výchozí metoda cokoli jiného, například TOTP v Authenticatoru nebo jiném poskytovateli, neexistuje žádná změna.

Bez ohledu na výchozí metodu se každému uživateli, u kterého se zobrazí výzva k přihlášení pomocí push oznámení Authenticatoru, zobrazí shoda čísel. Pokud se zobrazí výzva k zadání jiné metody, neuvidí žádnou změnu.

Co se stane s uživateli, kteří nejsou uvedeni v zásadách metod ověřování, ale mají ve starších zásadách tenantu MFA povolené oznámení prostřednictvím mobilní aplikace?

Uživatelům, kteří mají povolené push oznámení pro vícefaktorové ověřování ve starších zásadách MFA, se také zobrazí ověření podle čísla, pokud starší zásada MFA povolila oznámení prostřednictvím mobilní aplikace. Uživatelé uvidí shodu čísel bez ohledu na to, jestli jsou v zásadě autentizačních metod povoleni pro aplikaci Authenticator.

Podporuje se porovnávání čísel s Azure Multifactor Authentication Serverem?

Ne, porovnávání čísel se nevynucuje, protože se nejedná o podporovanou funkci pro Azure Multifactor Authentication Server, která je zastaralá.

Co se stane, když uživatel spustí starší verzi Authenticatoru?

Pokud uživatel spustí starší verzi Authenticatoru, která nepodporuje porovnávání čísel, ověřování nebude fungovat. Aby ho mohli používat pro přihlášení, musí upgradovat na nejnovější verzi authenticatoru.

Jak můžou uživatelé po zobrazení žádosti o shodu znovu zkontrolovat číslo na mobilních zařízeních s iOSem?

Během mobilních toků makléře na iOS se žádost o shodu čísel objeví nad číslem po dvousekundovém zpoždění. Pokud chcete číslo znovu zkontrolovat, vyberte Zobrazit číslo znovu. K této akci dochází pouze ve zprostředkovatelských tocích pro mobilní iOS.

Podporuje se Apple Watch pro Authenticator?

Ve verzi Authenticator v lednu 2023 pro iOS neexistuje žádná doprovodná aplikace pro watchOS, protože není kompatibilní s funkcemi zabezpečení Authenticatoru. Na Apple Watch se nedá nainstalovat ani používat Authenticator. Doporučujeme odstranit Authenticator z Apple Watch a přihlásit se pomocí Authenticatoru na jiném zařízení.

Související obsah

• Metody ověřování v Microsoft Entra ID