Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogy az Authenticator leküldéses értesítéseiben szereplő számegyeztetés hogyan javítja a felhasználók bejelentkezési biztonságát. A szám-összehasonlítás kulcsfontosságú biztonsági frissítés a hagyományos második tényezős értesítések esetében az Authenticator alkalmazásban.
A számegyeztetés minden Authenticator leküldéses értesítéshez engedélyezve van.
Számegyeztetési forgatókönyvek
A következő forgatókönyvek esetén a számegyezés elérhető. Ha engedélyezve van, minden forgatókönyv támogatja a számegyezést:
- MFA
- önkiszolgáló jelszó-visszaállítás (SSPR)
- SSPR és MFA együttes regisztrálása az Authenticator alkalmazás beállítása során
- Active Directory Föderációs Szolgáltatások (AD FS) adapter
- Hálózati házirend-kiszolgáló (NPS) bővítmény
A számösszevetés nem támogatott az Apple Watch vagy az Android viselhető eszközök push értesítéseinél. A hordható eszköz felhasználóinak a telefonjukkal kell jóváhagyniuk az értesítéseket, ha engedélyezve van a számegyezés.
Többtényezős hitelesítés
Amikor a felhasználók az Authenticator használatával válaszolnak az MFA leküldéses értesítésére, egy szám jelenik meg. A jóváhagyás befejezéséhez be kell írniuk ezt a számot az alkalmazásba. További információ az MFA beállításáról: Oktatóanyag: Felhasználói bejelentkezési események védelme a Microsoft Entra többtényezős hitelesítéssel.
SSPR
Az Authenticatorral rendelkező SSPR-hez számegyeztetés szükséges, ha egy felhasználó az Authenticatort használja. Az SSPR során a bejelentkezési oldal egy számot jelenít meg, amelyet a felhasználónak be kell írnia az Authenticator értesítésbe. További információ az SSPR beállításáról: Oktatóanyag: A felhasználók számára lehetővé teszi a fiók zárolásának feloldását vagy a jelszavak alaphelyzetbe állítását.
Kombinált regisztráció
Az Authenticator együttes regisztrációja számegyeztetést igényel. Amikor egy felhasználó összevont regisztráción megy keresztül az Authenticator beállításához, a felhasználónak jóvá kell hagynia egy értesítést a fiók hozzáadásához. Ez az értesítés egy számot jelenít meg, amelyet a felhasználónak be kell írnia az Authenticator értesítésbe. További információ a kombinált regisztráció beállításáról: Kombinált biztonsági adatok regisztrálásának engedélyezése.
AD FS-adapter
Az AD FS-adapterhez számegyezésre van szükség a Windows Server támogatott verzióiban. A korábbi verziókban a felhasználók továbbra is a Jóváhagyás/Megtagadás élményt látják, és a számösszevetés csak a frissítés után jelenik meg. Az AD FS-adapter csak akkor támogatja a számegyeztetéseket, ha az alábbi táblázatban szereplő frissítések egyikét telepítik. További információ az AD FS-adapter beállításáról: A Microsoft Entra Multifactor Authentication Server konfigurálása az AD FS használatához Windows Server.
Jegyzet
A nem javított verziói a Windows Servernek nem támogatják a számegyezést. A felhasználók továbbra is látják a Jóváhagyás/Megtagadás élményt, és nem jelenik meg a számegyeztetés, amíg ezek a frissítések nincsenek alkalmazva.
| Verzió | Frissít |
|---|---|
| Windows Server 2022 | 2021. november 9-i KB5007205 (OS build: 20348.350) |
| Windows Server 2019 | 2021. november 9. – KB5007206 (operációs rendszer build: 17763.2300) |
| Windows Server 2016 | 2021. október 12. KB5006669 (operációsrendszer-Build: 14393.4704) |
NPS-bővítmény
Bár az NPS nem támogatja a számegyeztetéseket, a legújabb NPS-bővítmény támogatja az időalapú egyszeri jelszó (TOTP) metódusokat, például az Authenticatorban elérhető TOTP-t, más szoftverjogkivonatokat és hardveres FOB-okat. A TOTP bejelentkezés nagyobb biztonságot nyújt, mint az alternatív Jóváhagyás/Elutasítás folyamata. Győződjön meg arról, hogy a NPS-bővítmény legújabb verzióját futtatja.
Bárki, aki RADIUS-kapcsolatot létesít az 1.2.2216.1-es vagy újabb verziójú NPS-bővítménnyel, a rendszer felszólítja, hogy TOTP-módszerrel jelentkezzen be ahelyett, hogy a jóváhagy/ vagy megtagad. Ennek a viselkedésnek a megtekintéséhez a felhasználóknak regisztrált TOTP hitelesítési módszerrel kell rendelkezniük. TOTP-metódus regisztrálása nélkül a felhasználók továbbra is láthatják Jóváhagyás/Megtagadás.
Azok a szervezetek, amelyek az NPS-bővítmény ezen korábbi verzióinak bármelyikét futtatják, módosíthatják a beállításjegyzéket, hogy a felhasználók TOTP-t írjanak be:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Jegyzet
Az 1.0.1.40-nél korábbi NPS-bővítmények nem támogatják a számegyeztetés által kikényszerített TOTP-t. Ezek a verziók továbbra is Jóváhagy/Megtagad.
Ha létre szeretné hozni a rendszerleíró bejegyzést, hogy felülírja a jóváhagy/elutasít lehetőségeket a push értesítésekben, és ehelyett TOTP-t írjon elő:
Nyissa meg a Beállításszerkesztőt az NPS-kiszolgálón.
Lépjen a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Hozza létre a következő sztring/érték párot:
- Név:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Érték =
TRUE
- Név:
Indítsa újra az NPS szolgáltatást.
Ráadásul:
A TOTP-t végrehajtó felhasználóknak hitelesítési módszerként kell regisztrálniuk az Authenticatort, vagy valamilyen más hardveres vagy szoftveres OATH-jogkivonatot. Azok a felhasználók, akik nem tudnak TOTP-metódust használni, mindig látni fogják a leküldéses értesítések Jóváhagyás/Elutasítás lehetőségeket, ha az NPS-bővítmény 1.2.2216.1-nél korábbi verzióját használják.
Az NPS-kiszolgálót, amelyen az NPS-bővítmény telepítve van, konfigurálnia kell a Jelszó-hitelesítési protokoll (PAP) használatára. További információ: Annak meghatározása, hogy a felhasználók milyen hitelesítési módszereket használhatnak.
Fontos
Az MSCHAPv2 nem támogatja a TOTP-t. Ha az NPS-kiszolgáló nincs a PAP használatára konfigurálva, a felhasználói engedélyezés meghiúsul az eseményekkel a AuthZOptCh az NPS-bővítménykiszolgáló eseménynaplójában az Eseménynaplóban:
- NPS-bővítmény az Azure MFA-hoz: Kihívás kérése történt a
npstesting_apfelhasználó hitelesítési bővítményében.
Konfigurálhatja az NPS-kiszolgálót a PAP támogatásához. Ha a PAP nem elérhető, állítsa be a
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE-t úgy, hogy használja tartalékként a Jóváhagyás/ és Elutasítás értesítéseit.- NPS-bővítmény az Azure MFA-hoz: Kihívás kérése történt a
Ha a szervezet Remote Desktop Gateway-t használ, és a felhasználó TOTP-kódra és Authenticator leküldéses értesítésekre is regisztrált, akkor a felhasználó nem tud megfelelni a Microsoft Entra MFA-kihívásnak, és a Remote Desktop Gateway bejelentkezése meghiúsul. Ebben az esetben állítsa OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE úgy, hogy visszaálljon a Jóváhagyás vagy az / értesítések fogadására az Authenticator használatával.
Hitelesítő alkalmazás azonos eszközszám egyeztetése
Amikor egy felhasználó MFA-val vagy számmegfeleltetős telefonos bejelentkezést végez Microsoft mobilalkalmazásokkal, mint a Teams-szel és az Outlook-kal ugyanazon az eszközön, amelyen az Authenticator alkalmazás is van, a szám megadása helyett igennel/nemmel válaszolhat a felszólításra. A Microsoft Edge, a Chrome vagy a Safari böngészővel bejelentkező felhasználók továbbra is beírják a bejelentkezéshez használt számot.
Ez jelentősen javítja a felhasználói élményt azon felhasználók számára, akik ugyanazon az eszközön jelentkeznek be, ahol az Authenticatort futtatják. Nincs nagyobb kockázat a felhasználók számára az Igen/Nem értékre való váltással, mert a kérés csak a bejelentkezést kezdeményező eszközön jelenik meg.
A platformspecifikus forgatókönyv részleteit ebben a témakörben találja.
Jegyzet
Az alábbi esetekben a felhasználó ugyanazon az eszközön jelentkezik be, mint az Authenticator. A felhasználói élmény nem változik, amikor a felhasználók egy másik eszközön végzik el a számegyezést.
Hogyan kell felkészülni
A rendszergazdáknak nem kell semmit konfigurálnia a felkészüléshez. A felhasználóknak csak a Microsoft Authenticator legújabb verzióját kell futtatniuk.
A felhasználói élmény változásai
| Scenario | Változás a tapasztalatban? |
|---|---|
| A felhasználó bejelentkezik az Authenticatorba a többtényezős hitelesítéshez (MFA) használt fiók frissítéséhez. | Igen. A felhasználó megjelenik egy értesítés a számegyeztetés kérésével a bejelentkezési képernyőn. A Microsoft-mobilalkalmazásokban, például az Authenticatorban az értesítésre koppintva igen/nem választ kaphatnak a bejelentkezés befejezéséhez. |
| A felhasználó egyszeri bejelentkezési (SSO) bővítmény nélkül jelentkezik be egy Microsoft-alkalmazásba, például az Outlookba vagy a Teamsbe. | Igen. A felhasználó megjelenik egy értesítés a számegyeztetés kérésével a bejelentkezési képernyőn. A Microsoft-mobilalkalmazásokban, például az Outlookban vagy a Teamsben az értesítésre koppintva igen/nem választ kaphatnak a bejelentkezés befejezéséhez. |
| A felhasználó egyszeri bejelentkezéssel bejelentkezik egy Microsoft-alkalmazásba, például az Outlookba vagy a Teamsbe. | Igen. A felhasználó az Igen/Nem üzenetet látja, de meg kell nyitnia az Authenticator alkalmazást a bejelentkezés befejezéséhez. |
| A felhasználó bejelentkezik egy böngészőbe, például az Edge-be vagy a Chrome-ba. | Nem. A felhasználó megjelenik egy értesítés a számegyeztetés kérésével a bejelentkezési képernyőn. A böngészőben az értesítésre koppintva meg kell adniuk a számot, és jóvá kell hagyniuk a bejelentkezést. |
Gyakori kérdések
Ez a szakasz választ ad a gyakori kérdésekre.
Letilthatják a felhasználók a számegyezést?
A felhasználók nem vonhatják vissza a számegyezést az Authenticator leküldéses értesítéseiben, így tehát nincs lehetőség az opt-out-ra.
Csak akkor vonatkozik a számok összehasonlítása, ha az Authenticator értesítéseket alapértelmezett hitelesítési módszerként állították be?
Igen. Ha a felhasználó eltérő alapértelmezett hitelesítési módszerrel rendelkezik, nincs változás az alapértelmezett bejelentkezésben. Ha az alapértelmezett módszer az Authenticator push értesítések, számegyezést kapnak. Ha az alapértelmezett módszer bármi más, például az Authenticator TOTP-je vagy egy másik szolgáltató, nincs változás.
Az alapértelmezett módszertől függetlenül minden felhasználó, akit az Authenticator alkalmazás push értesítései segítségével való bejelentkezésre kérnek, számegyezést lát. Ha a rendszer egy másik metódust kér, nem fog változást látni.
Mi történik azon felhasználók esetében, akik nincsenek megadva a hitelesítési módszerek házirendjében, de engedélyezve vannak az értesítésekhez a mobilalkalmazáson keresztül az örökölt MFA-bérlői szabályzatban?
Azok a felhasználók, akik engedélyezve vannak az MFA leküldéses értesítéseihez a régi MFA-házirendben, akkor is láthatják a számegyeztetést, ha a régi MFA-házirend engedélyezi a Értesítést mobilalkalmazáson keresztül. A felhasználók számegyezést látnak, függetlenül attól, hogy engedélyezve vannak-e az Authenticatorhoz a hitelesítési módszerek házirendjében.
Támogatott a számok egyeztetése az Azure Multifactor Authentication Serverrel?
Nem, a számegyeztetés nincs kényszerítve, mert nem támogatott szolgáltatás az Azure Multifactor Authentication Server esetében, amely elavult.
Mi történik, ha egy felhasználó az Authenticator régebbi verzióját futtatja?
Ha egy felhasználó az Authenticator régebbi verzióját futtatja, amely nem támogatja a számegyezést, a hitelesítés nem fog működni. A bejelentkezéshez frissíteniük kell az Authenticator legújabb verziójára.
Hogyan ellenőrizhetik újra a felhasználók a számot a mobil iOS-eszközökön a találati kérelem megjelenése után?
A mobil iOS-közvetítőfolyamatok során a számegyeztetési kérelem két másodperces késés után jelenik meg a számon. A szám ismételt ellenőrzéséhez válassza a A szám újbóli megjelenítéselehetőséget. Ez a művelet csak mobil iOS-közvetítőfolyamatokban történik.
Támogatja az Apple Watch az Authenticatort?
Az iOS-hez készült Authenticator 2023. januári kiadásában nincs társalkalmazás a watchOS-hoz, mert nem kompatibilis az Authenticator biztonsági funkcióival. Az Authenticator nem telepíthető és nem használható az Apple Watchon. Javasoljuk, hogy törölje az Authenticatort az Apple Watch, és jelentkezzen be az Authenticator szolgáltatással egy másik eszközön.