Funcionamiento de la coincidencia de números en las notificaciones push de autenticación multifactor para Authenticator: directiva de métodos de autenticación
En este tema, se explica cómo la coincidencia de números en las notificaciones push de Microsoft Authenticator mejora la seguridad en el inicio de sesión del usuario. La coincidencia de números es una actualización de seguridad importante de las notificaciones tradicionales de segundo factor de Authenticator.
A partir del 8 de mayo de 2023, la coincidencia de números está habilitada para todas las notificaciones push de Authenticator. A medida que se implementan los servicios pertinentes, los usuarios de todo el mundo que están habilitados para las notificaciones push de Authenticator comenzarán a ver la coincidencia de números en sus solicitudes de aprobación. Los usuarios se pueden habilitar para las notificaciones push de Authenticator en la directiva de métodos de autenticación o en la directiva de autenticación multifactor heredada si las notificaciones a través de la aplicación móvil están habilitadas.
Escenarios de coincidencia de números
La coincidencia de números está disponible para los escenarios siguientes. Si se habilita, la coincidencia de números se admite en todos los escenarios.
- Autenticación multifactor
- Restablecimiento de la contraseña de autoservicio
- Registro combinado de autoservicio de restablecimiento de contraseña y autenticación multifactor al configurar la aplicación Authenticator
- Adaptador de AD FS
- Extensión NPS
La coincidencia de números no es compatible con las notificaciones de inserción para un dispositivo para llevar puesto Apple Watch o Android. Los usuarios de dispositivos para llevar puestos tienen que usar su teléfono para aprobar las notificaciones si la coincidencia de números está habilitada.
Autenticación multifactor
Cuando un usuario responde a una notificación push de autenticación multifactor mediante Authenticator, se le mostrará un número. que debe escribir en la aplicación para completar la aprobación. Para más información sobre cómo configurar la MFA, consulte Tutorial: Protección de los eventos de inicio de sesión de usuario mediante la autenticación multifactor de Microsoft Entra.
SSPR
El autoservicio de restablecimiento de contraseña (SSPR) con Authenticator requiere la coincidencia de números al usar Authenticator. Durante el autoservicio de restablecimiento de contraseña, la página de inicio de sesión muestra un número que el usuario debe escribir en la notificación de Authenticator. Para obtener más información sobre cómo configurar SSPR, consulte Plan de implementación de autoservicio de restablecimiento de contraseña de Azure Active Directory.
Registro combinado
El registro combinado con Authenticator requiere que los números coincidan. Cuando el usuario realiza el registro combinado para configurar Authenticator, debe aprobar una notificación para agregar la cuenta. Esta notificación muestra un número que debe escribir en la notificación de Authenticator. Para obtener más información sobre cómo configurar el registro combinado, consulte Habilitación del registro de información de seguridad combinado en Azure Active Directory.
Adaptador de AD FS
El adaptador de AD FS requiere la coincidencia de números en las versiones compatibles de Windows Server. En versiones anteriores, los usuarios siguen viendo la opción de Aprobar/Denegar y no pueden ver la coincidencia de números hasta que realicen la actualización. El adaptador de AD FS solo admite la coincidencia de números después de instalar una de las actualizaciones de la tabla siguiente. Para obtener más información sobre cómo configurar el adaptador de AD FS, consulte Configuración del Servidor Azure Multi-Factor Authentication para trabajar con AD FS en Windows Server.
Nota:
Las versiones de Windows Server que no tienen aplicada esta revisión no admiten la coincidencia de números. Los usuarios siguen viendo la experiencia de Aprobar/Denegar y no verán la coincidencia de números a menos que se apliquen esta actualizaciones.
Versión | Actualización |
---|---|
Windows Server 2022 | 9 de noviembre de 2021: KB5007205 (compilación del sistema operativo 20348.350) |
Windows Server 2019 | 9 de noviembre de 2021: KB5007206 (compilación del sistema operativo 17763.2300) |
Windows Server 2016 | 12 de octubre de 2021: KB5006669 (compilación 14393.4704 del sistema operativo) |
Extensión NPS
Aunque NPS no admite la coincidencia de números, la extensión de NPS más reciente admite métodos de contraseñas de un solo uso y duración definida (TOTP), como la funcionalidad TOTP disponible en Authenticator, otros tókenes de software y FOB de hardware. El inicio de sesión de TOTP proporciona una seguridad mejor que la experiencia alternativa de Aprobar/Denegar. Asegúrese de ejecutar la versión más reciente de la extensión NPS.
A todos los usuarios que establezcan una conexión RADIUS con la extensión NPS versión 1.2.2216.1 o posterior, se les pedirá que inicien sesión con un método TOTP en lugar de Aprobar/Denegar. Los usuarios deben tener un método de autenticación TOTP registrado para ver este comportamiento. Sin un método TOTP registrado, los usuarios seguirán viendo Aprobar/Denegar.
Las organizaciones que ejecutan cualquiera de estas versiones anteriores de la extensión NPS pueden modificar el registro para exigir a los usuarios que escriban una TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Las versiones de extensiones NPS anteriores a 1.0.1.40 no admiten TOTP por coincidencia de números. Estas versiones seguirán presentando Aprobar o denegar a los usuarios.
Para crear la entrada del registro para invalidar las opciones Aprobar/Denegar en las notificaciones push y requerir una TOTP en su lugar, haga lo siguiente:
- En el servidor NPS, abra el Editor del Registro.
- Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Cree el siguiente par cadena/valor:
- Nombre: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valor = TRUE
- Reinicie el servicio NPS.
Además:
Los usuarios que usen TOTP deben tener Authenticator registrado como método de autenticación o algún otro token OATH de hardware o software. Un usuario que no pueda usar un método TOTP siempre verá las opciones de Aprobar/Denegar con las notificaciones push si usa una versión de la extensión NPS anterior a 1.2.2216.1.
El servidor NPS donde está instalada la extensión NPS debe configurarse para usar el protocolo PAP. Para más información, consulte Determinación de los métodos de autenticación que pueden utilizar los usuarios.
Importante
MSCHAPv2 no admite TOTP. Si el servidor NPS no está configurado para usar PAP, se produce un error en la autorización del usuario con eventos en el registro AuthZOptCh del servidor de extensión NPS en Visor de eventos:
Extensión NPS para MFA de Azure: desafío solicitado en la ext. de autenticación para usuario npstesting_ap. Puede configurar el servidor NPS para admitir PAP. Si PAP no es posible, puede establecer OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a Aprobar/Denegar notificaciones push.
Si su organización usa la puerta de enlace de Escritorio remoto y el usuario está registrado para el código TOTP junto con las notificaciones push de Authenticator, el usuario no podrá cumplir el desafío de la autenticación multifactor de Microsoft Entra y se producirá un error en el inicio de sesión de la puerta de enlace de Escritorio remoto. En este caso, puede establecer OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para revertir a las notificaciones push Aprobar/Denegar con Authenticator.
Preguntas más frecuentes
¿Puedo no participar en la coincidencia de números?
No, los usuarios no pueden optar por no usar la coincidencia de números en las notificaciones push de Authenticator.
Los servicios pertinentes comenzarán a implementar estos cambios a partir del 8 de mayo de 2023 y los usuarios comenzarán a ver la coincidencia de números en las solicitudes de aprobación. A medida que se implementan los servicios, es posible que algunos usuarios vean la coincidencia de números y otros no. Para garantizar un comportamiento coherente para todos los usuarios, se recomienda encarecidamente habilitar la coincidencia de números para las notificaciones push de Authenticator de antemano.
¿Solo se aplica la coincidencia de números si las notificaciones push de Authenticator se establecen como el método de autenticación predeterminado?
Sí. Si el usuario tiene otro método de autenticación predeterminado, no se produce ningún cambio en el inicio de sesión predeterminado. Si el método predeterminado es las notificaciones push de Authenticator, se usará la coincidencia de números. Si el método predeterminado es cualquier otra cosa, como TOTP en Authenticator u otro proveedor, no habrá ningún cambio.
Independientemente de su método predeterminado, todos los usuarios a los que se les pida que inicien sesión con las notificaciones push de Authenticator usarán la característica de coincidencia de números. Si se les solicita otro método, no verán ningún cambio.
¿Qué ocurre para los usuarios que no se especifican en la directiva Métodos de autenticación, pero están habilitados para las notificaciones mediante la aplicación móvil en la directiva heredada para todo el inquilino de MFA?
Los usuarios que están habilitados para usar las notificaciones push de MFA en la directiva MFA heredada también usarán la coincidencia de números si la directiva MFA heredada ha habilitado las notificaciones a través de la aplicación móvil. Los usuarios verán la coincidencia de números independientemente de si están habilitados para usar Authenticator en la directiva de métodos de autenticación.
¿Se admite la coincidencia de números con el servidor de MFA?
No, no se aplica la coincidencia de números porque no es una característica compatible con el servidor de MFA, que está en desuso.
¿Qué ocurre si un usuario ejecuta una versión anterior de Authenticator?
Si un usuario ejecuta una versión anterior de Authenticator que no admite la coincidencia de números, la autenticación no funcionará. Los usuarios deben actualizar a la versión más reciente de Authenticator para su uso en el inicio de sesión.
¿Cómo pueden los usuarios volver a comprobar el número en dispositivos iOS móviles después de que aparezca la solicitud de coincidencia?
Durante los flujos de agente de iOS móviles, la solicitud de coincidencia de número aparece sobre el número después de un retraso de dos segundos. Para volver a comprobar el número, haga clic en Mostrar el número de nuevo. Esta acción solo se produce en flujos de agente de iOS móviles.
¿Apple Watch es compatible con Authenticator?
En la versión de Authenticator de enero de 2023 para iOS, no existe ninguna aplicación complementaria para watchOS, ya que no es compatible con las características de seguridad de Authenticator. No puede instalar ni usar Authenticator en Apple Watch. Por tanto, se recomienda eliminar Authenticator del Apple Watch e iniciar sesión con Authenticator en otro dispositivo.