Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo la coincidencia de números en las notificaciones push de Authenticator mejora la seguridad de inicio de sesión del usuario. La coincidencia de números es una actualización de seguridad clave para las notificaciones de segundo factor tradicionales en la aplicación Authenticator.
La coincidencia de números está habilitada para todas las notificaciones push de Authenticator.
Escenarios de coincidencia de números
La coincidencia de números está disponible para los escenarios siguientes. Cuando está habilitado, todos los escenarios admiten la coincidencia de números:
- MFA
- Restablecimiento de contraseña de autoservicio (SSPR)
- registro combinado de SSPR y MFA durante la configuración de la aplicación Authenticator
- Adaptador de Servicios de federación de Active Directory (AD FS)
- Extensión de Network Policy Server (NPS)
La coincidencia de números no es compatible con las notificaciones push para dispositivos portátiles Apple Watch o Android. Los usuarios de dispositivos portátiles deben usar su teléfono para aprobar las notificaciones cuando la coincidencia de números está habilitada.
Autenticación multifactor
Cuando los usuarios responden a una notificación push de MFA mediante Authenticator, ven un número. Deben escribir ese número en la aplicación para completar la aprobación. Para obtener más información sobre cómo configurar MFA, consulte Tutorial: Protección de eventos de inicio de sesión de usuario con la autenticación multifactor de Microsoft Entra.
SSPR
SSPR con Authenticator requiere coincidencia de números cuando un usuario usa Authenticator. Durante SSPR, la página de inicio de sesión muestra un número que el usuario debe escribir en la notificación Authenticator. Para obtener más información sobre cómo configurar SSPR, consulte Tutorial: Habilitar a los usuarios para desbloquear su cuenta o restablecer contraseñas.
Registro combinado
El registro combinado con Authenticator requiere coincidencia de números. Cuando un usuario pasa por el registro combinado para configurar Authenticator, el usuario debe aprobar una notificación para agregar la cuenta. Esta notificación muestra un número que el usuario debe escribir en la notificación Authenticator. Para obtener más información sobre cómo configurar el registro combinado, consulte Habilitación del registro de información de seguridad combinado.
Adaptador de AD FS
El adaptador de AD FS requiere la coincidencia de números en versiones compatibles de Windows Server. En versiones anteriores, los usuarios siguen viendo la experiencia Aprobar/Denegar y no ven la coincidencia de números hasta que actualizan. El adaptador de AD FS solo admite la coincidencia de números después de instalar una de las actualizaciones de la tabla siguiente. Para obtener más información sobre cómo configurar el adaptador de AD FS, consulte Configurar el servidor de autenticación multifactor de Microsoft Entra para trabajar con AD FS en Windows Server.
Nota
Las versiones sin parches de Windows Server no admiten la coincidencia de números. Los usuarios siguen viendo la experiencia Aprobar/Rechazar y no ven la coincidencia de números a menos que se apliquen estas actualizaciones.
Versión | Actualizar |
---|---|
Windows Server 2022 | 9 de noviembre de 2021: KB5007205 (compilación del sistema operativo 20348.350) |
Windows Server 2019 | 9 de noviembre de 2021: KB5007206 (compilación del sistema operativo 17763.2300) |
Windows Server 2016 | 12 de octubre de 2021: KB5006669 (compilación del sistema operativo 14393.4704) |
Extensión NPS
Aunque NPS no admite la coincidencia de números, la extensión de NPS más reciente admite métodos de contraseñas de un solo uso y duración definida (TOTP), como la funcionalidad TOTP disponible en Authenticator, otros tókenes de software y FOB de hardware. El inicio de sesión TOTP proporciona mayor seguridad que la experiencia alternativa Aprobar/Denegar. Asegúrese de ejecutar la versión más reciente de la extensión NPS.
Se pide a cualquier persona que realice una conexión RADIUS con la extensión NPS versión 1.2.2216.1 o posterior que inicie sesión con un método TOTP en lugar de Aprobar/Denegar. Los usuarios deben tener registrado un método de autenticación TOTP para ver este comportamiento. Sin un método TOTP registrado, los usuarios siguen viendo Aprobar/Denegar.
Las organizaciones que ejecutan cualquiera de estas versiones anteriores de la extensión NPS pueden modificar el registro para requerir que los usuarios escriban un TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Las versiones de extensiones NPS anteriores a 1.0.1.40 no admiten TOTP por coincidencia de números. Estas versiones siguen utilizando Aprobar/Denegar.
Para crear la entrada de registro para anular las opciones Aprobar/Denegar en las notificaciones push y requerir un TOTP en su lugar:
En el servidor NPS, abra el Editor del Registro.
Vaya a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa
.Cree el siguiente par cadena-valor:
- Nombre:
OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valor =
TRUE
- Nombre:
Reinicie el servicio NPS.
Además:
Los usuarios que realizan TOTP deben tener el Authenticator registrado como método de autenticación o algún otro token OATH de hardware o software. Los usuarios que no pueden utilizar un método TOTP siempre ven las opciones Aprobar/Denegar con las notificaciones push si utilizan una versión de la extensión NPS anterior a la 1.2.2216.1.
El servidor NPS donde está instalada la extensión NPS debe configurarse para usar el Protocolo de autenticación de contraseñas (PAP). Para obtener más información, vea Determinar qué métodos de autenticación pueden usar los usuarios.
Importante
MSCHAPv2 no admite TOTP. Si el servidor de NPS no está configurado para utilizar PAP, la autorización del usuario falla con eventos en el registro AuthZOptCh del servidor de la extensión de NPS en el Visor de sucesos:
- Extensión NPS para Azure MFA: desafío solicitado en la extensión de autenticación para el usuario
npstesting_ap
.
Puede configurar el servidor NPS para admitir PAP. Si PAP no es una opción, configure
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE
para volver a Aprobar/Rechazar notificaciones push.- Extensión NPS para Azure MFA: desafío solicitado en la extensión de autenticación para el usuario
Si su organización usa la puerta de enlace de Escritorio remoto y el usuario está registrado para el código TOTP junto con las notificaciones push de Authenticator, el usuario no podrá cumplir el desafío de MFA de Microsoft Entra y se producirá un error en el inicio de sesión de la puerta de enlace de Escritorio remoto. En este caso, configure OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE
para volver a Aprobar/Rechazar notificaciones push con Authenticator.
Preguntas más frecuentes
En esta sección se proporcionan respuestas a preguntas comunes.
¿Pueden los usuarios no participar en la coincidencia de números?
No, los usuarios no pueden rechazar la coincidencia de números en las notificaciones push de Authenticator.
¿La coincidencia de números solo se aplica si las notificaciones push de Authenticator se establecen como el método de autenticación predeterminado?
Sí. Si el usuario tiene un método de autenticación predeterminado diferente, no hay ningún cambio en el inicio de sesión predeterminado. Si el método predeterminado es las notificaciones push de Authenticator, se usará la coincidencia de números. Si el método predeterminado es cualquier otra cosa, como TOTP en Authenticator u otro proveedor, no hay ningún cambio.
Independientemente de su método predeterminado, cualquier usuario que se le pida que inicie sesión con las notificaciones push de Authenticator ve la coincidencia de números. Si se les pide otro método, no verán ningún cambio.
¿Qué ocurre con los usuarios que no están especificados en la directiva de métodos de autenticación pero que están habilitados para recibir notificaciones a través de la aplicación móvil en la directiva heredada de MFA para todo el inquilino?
Los usuarios habilitados para notificaciones push de MFA en la directiva de MFA heredada también verán el número de coincidencia si la directiva de MFA heredada habilitó Notificación a través de aplicación móvil. Los usuarios ven la coincidencia de números independientemente de si están habilitados para Authenticator en la directiva de métodos de autenticación.
¿Se admite la coincidencia de números con azure Multi-Factor Authentication Server?
No, la coincidencia de números no se aplica porque no es una función compatible con Servidor Multi-Factor Authentication, que está en desuso.
¿Qué ocurre si un usuario ejecuta una versión anterior de Authenticator?
Si un usuario ejecuta una versión anterior de Authenticator que no admite la coincidencia de números, la autenticación no funcionará. Deben actualizar a la versión más reciente de Authenticator para usarla para el inicio de sesión.
¿Cómo pueden los usuarios volver a comprobar el número en dispositivos iOS móviles después de que aparezca la solicitud de coincidencia?
Durante los flujos de agente de iOS móviles, la solicitud de coincidencia de número aparece sobre el número después de un retraso de dos segundos. Para volver a comprobar el número, seleccione Mostrarme el número de nuevo. Esta acción solo se produce en los flujos de intermediarios de iOS móvil.
¿Apple Watch es compatible con Authenticator?
En la versión de Authenticator de enero de 2023 para iOS, no hay ninguna aplicación complementaria para watchOS porque no es compatible con las características de seguridad de Authenticator. No se puede instalar ni usar Authenticator en Apple Watch. Te recomendamos que elimines Authenticator de tu Apple Watch e inicies sesión con Authenticator en otro dispositivo.