Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie der Nummernabgleich in Authenticator-Pushbenachrichtigungen die Sicherheit der Benutzeranmeldung verbessert. Der Nummernabgleich stellt ein wichtiges Sicherheitsupgrade für die herkömmlichen zweistufigen Benachrichtigungen in Authenticator dar.
Der Nummernabgleich ist für alle Authentifikator-Pushbenachrichtigungen aktiviert.
Szenarien für den Nummernabgleich
Der Nummernabgleich ist für die folgenden Szenarien verfügbar. Wenn sie aktiviert ist, unterstützen alle Szenarien den Nummernabgleich:
- MFA
- Self-Service-Kennwortzurücksetzung (SSPR)
- Kombinierte SSPR- und MFA-Registrierung bei der Einrichtung der Authenticator-App
- AD FS-Adapter (Active Directory-Verbunddienste)
- Netzwerkrichtlinien-Server (NPS) Erweiterung
Ein Vergleich von Nummern wird für Push-Benachrichtigungen auf tragbaren Geräten wie der Apple Watch oder Android-Wearables nicht unterstützt. Tragbare Gerätebenutzer müssen ihr Telefon verwenden, um Benachrichtigungen zu genehmigen, wenn der Nummernabgleich aktiviert ist.
Mehrstufige Authentifizierung
Wenn Benutzer mithilfe von Authenticator auf eine MFA-Pushbenachrichtigung antworten, wird eine Zahl angezeigt. Sie müssen diese Nummer in die App eingeben, um die Genehmigung abzuschließen. Weitere Informationen zum Einrichten von der Multi-Faktor-Authentifizierung (MFA) finden Sie im Tutorial: Schützen von Benutzeranmeldeereignissen mit der Multi-Faktor-Authentifizierung von Microsoft Entra.
SSPR
SSPR mit Authenticator erfordert einen Nummernabgleich, wenn ein Benutzer Authenticator benutzt. Während SSPR wird auf der Anmeldeseite eine Nummer angezeigt, die der Benutzer in die Authenticator-Benachrichtigung eingeben muss. Weitere Informationen zum Einrichten von SSPR finden Sie in der Anleitung: Sorgen Sie dafür, dass Benutzer ihre Konten entsperren oder Kennwörter zurücksetzen können.
Kombinierte Registrierung
Die kombinierte Registrierung mit Authenticator erfordert einen Nummernabgleich. Wenn ein Benutzer die kombinierte Registrierung zum Einrichten von Authenticator durchläuft, muss der Benutzer eine Benachrichtigung genehmigen, um das Konto hinzuzufügen. Diese Benachrichtigung zeigt eine Nummer an, die der Benutzer in die Authenticator-Benachrichtigung eingeben muss. Weitere Informationen zum Einrichten der kombinierten Registrierung finden Sie unter Aktivieren der kombinierten Registrierung von Sicherheitsinformationen.
AD FS-Adapter
Der AD FS-Adapter erfordert einen Nummernabgleich für unterstützte Versionen von Windows Server. Bei früheren Versionen werden den Benutzer*innen weiterhin die Optionen zum Genehmigen/ bzw. Ablehnen angezeigt. Der Nummernabgleich steht erst nach einem Upgrade zur Verfügung. Der AD FS-Adapter unterstützt den Nummernabgleich erst nach der Installation eines der in der folgenden Tabelle aufgeführten Updates. Weitere Informationen zum Einrichten des AD FS-Adapters finden Sie unter Konfigurieren des Microsoft Entra-Multifaktor-Authentifizierungsservers für die Zusammenarbeit mit AD FS in Windows Server.
Anmerkung
Nicht gepatchte Versionen von Windows Server unterstützen keinen Nummernabgleich. Benutzenden wird weiterhin Genehmigen/Ablehnen angezeigt und erst nach Anwendung dieser Updates der Nummernabgleich.
| Version | Aktualisierung |
|---|---|
| Windows Server 2022 | 9. November 2021 – KB5007205 (Betriebssystembuild 20348.350) |
| Windows Server 2019 | 9. November 2021 – KB5007206 (Betriebssystembuild 17763.2300) |
| Windows Server 2016 | 12. Oktober 2021—KB5006669 (OS Build 14393.4704) |
NPS-Erweiterung
NPS unterstützt keinen Nummernabgleich. Allerdings unterstützt die neueste NPS-Erweiterung Methoden mit zeitbasiertem Einmalkennwort (TOTP) wie das in Authenticator verfügbare TOTP, andere Softwaretoken und Hardware-FOBs. Die TOTP-Anmeldung bietet eine höhere Sicherheit als der alternative Vorgang mit Genehmigen/Ablehnen. Stellen Sie sicher, dass Sie die neueste Version der NPS-Erweiterungausführen.
Alle Benutzer, die eine RADIUS-Verbindung mit der NPS-Erweiterung Version 1.2.2216.1 oder höher ausführen, werden aufgefordert, sich mit einer TOTP-Methode anzumelden anstatt mit Genehmigen/Ablehnen. Benutzer müssen eine TOTP-Authentifizierungsmethode registriert haben, um dieses Verhalten zu sehen. Wenn keine TOTP-Methode registriert ist, wird den Benutzern weiterhin die Abfrage Genehmigen/Ablehnen angezeigt.
Organisationen, die eine dieser früheren Versionen der NPS-Erweiterung ausführen, können die Registrierung so ändern, dass Benutzer ein TOTP eingeben müssen:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Anmerkung
NPS-Erweiterungen vor Version 1.0.1.40 unterstützen keinen durch Nummernabgleich erzwungenen TOTP. Diese Versionen verwenden nach wie vor Genehmigen/Ablehnen.
So erstellen Sie den Registrierungseintrag, um die Optionen Genehmigen/Ablehnen in Pushbenachrichtigungen außer Kraft zu setzen und stattdessen ein TOTP anzufordern
Öffnen Sie auf dem NPS-Server den Registrierungs-Editor.
Wechseln Sie zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Erstellen Sie das folgende String/Wert-Paar:
- Name:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Wert =
TRUE
- Name:
Starten Sie den NPS-Dienst neu.
Außerdem:
Benutzer, die TOTP ausführen, müssen entweder Authenticator als Authentifizierungsmethode oder ein anderes Hardware- oder Software-OATH-Token registriert haben. Benutzer, die keine TOTP-Methode verwenden kann, werden immer die Optionen Genehmigen/Ablehnen mit Pushbenachrichtigungen angezeigt, wenn er eine NPS-Erweiterung vor Version 1.2.2216.1 verwendet.
Der NPS-Server, auf dem die NPS-Erweiterung installiert ist, muss für die Verwendung des Password Authentication Protocol (PAP) konfiguriert werden. Weitere Informationen finden Sie unter Bestimmen, welche Authentifizierungsmethoden Ihre Benutzerverwenden können.
Wichtig
MSCHAPv2 unterstützt TOTP nicht. Wenn der NPS-Server nicht für die Verwendung von PAP konfiguriert ist, schlägt die Benutzerautorisierung mit Ereignissen im AuthZOptCh-Protokoll des NPS-Erweiterungsservers in der Ereignisanzeige fehl:
- NPS-Erweiterung für Azure MFA: Abfrage in der Authentifizierungserweiterung für benutzende Person
npstesting_apangefordert.
Sie können den NPS-Server so konfigurieren, dass PAP unterstützt wird. Wenn PAP keine Option ist, legen Sie
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEfest, um auf Zulassen/Verweigern Push-Benachrichtigungen zurückzugreifen.- NPS-Erweiterung für Azure MFA: Abfrage in der Authentifizierungserweiterung für benutzende Person
Wenn Ihr Unternehmen Remotedesktopgateway verwendet und der Benutzer für einen TOTP-Code zusammen mit Authenticator-Pushbenachrichtigungen registriert ist, kann der Benutzer die Microsoft Entra MFA-Abfrage nicht erfüllen, und die Anmeldung bei Remotedesktopgateway schlägt fehl. Legen Sie in diesem Fall fest, dass OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE in Authenticator auf Pushbenachrichtigungen mit Genehmigen/Ablehnen zurückgreift.
Häufig gestellte Fragen
Dieser Abschnitt enthält Antworten auf häufig gestellte Fragen.
Können Benutzer den Nummernabgleich deaktivieren?
Nein, Benutzer können den Nummernabgleich in Pushbenachrichtigungen von Authenticator nicht deaktivieren.
Gilt der Nummernabgleich nur, wenn Authentifikator-Pushbenachrichtigungen als Standardauthentifizierungsmethode festgelegt werden?
Ja. Wenn der Benutzer über eine andere Standardauthentifizierungsmethode verfügt, gibt es keine Änderung an der Standardanmeldung. Wenn die Standardmethode Authenticator-Pushbenachrichtigungen sind, erhält der Benutzer einen Zahlenabgleich. Wenn die Standardmethode etwas anderes ist, z. B. TOTP in Authenticator oder ein anderer Anbieter, gibt es keine Änderung.
Unabhängig von der ausgewählten Standardmethode wird allen Benutzenden,die zum Anmelden mit Authenticator-Pushbenachrichtigungen aufgefordert werden, der Nummernabgleich angezeigt. Wenn sie zur Eingabe einer anderen Methode aufgefordert werden, werden keine Änderungen angezeigt.
Was geschieht mit Benutzern, die in der Richtlinie für Authentifizierungsmethoden nicht angegeben sind, aber für Benachrichtigungen durch die mobile App in der mandantenweiten MFA-Standardrichtlinie aktiviert sind?
Benutzende, die in der veralteten Richtlinie für MFA Push-Benachrichtigungen aktiviert sind, sehen ebenfalls einen Nummernabgleich, wenn in der veralteten Richtlinie Benachrichtigung durch mobile App aktiviert ist. Benutzenden wird ein Nummernabgleich angezeigt, unabhängig davon, ob sie in der Richtlinie für Authentifizierungsmethoden für Authenticator aktiviert sind.
Wird der Nummernabgleich mit dem Azure Multi-Factor Authentication Server unterstützt?
Nein. Der Nummernabgleich wird nicht erzwungen, da es sich nicht um ein unterstütztes Feature für Azure Multi-Factor Authentication Server handelt, der veraltet ist.
Was geschieht, wenn ein Benutzer eine ältere Version von Authenticator ausführt?
Wenn ein Benutzer eine ältere Version von Authenticator ausführt, die den Nummernabgleich nicht unterstützt, funktioniert die Authentifizierung nicht. Sie müssen ein Upgrade auf die neueste Version von Authenticator durchführen, um sie für die Anmeldung zu verwenden.
Wie können Benutzende die Nummer auf mobilen iOS-Geräten erneut überprüfen, nachdem die Abgleichsanforderung angezeigt wurde?
Während mobiler iOS-Broker-Flows wird nach einer Verzögerung von zwei Sekunden die Anforderung zum Nummernabgleich über der Nummer angezeigt. Um die Nummer erneut zu überprüfen, wählen Sie Zeig mir die Nummer nochmal. Diese Aktion tritt nur in mobilen iOS-Brokerflüssen auf.
Wird Apple Watch für Authenticator unterstützt?
In der Authenticator-Version im Januar 2023 für iOS gibt es keine Begleit-App für WatchOS, da sie nicht mit Authenticator-Sicherheitsfeatures kompatibel ist. Sie können Authenticator nicht auf Apple Watch installieren oder verwenden. Wir empfehlen Ihnen daher, Authenticator von der Apple Watch zu löschen und sich mit Authenticator auf einem anderen Gerät anzumelden.