Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini menjelaskan bagaimana pencocokan angka di pemberitahuan push Authenticator meningkatkan keamanan masuk pengguna. Pencocokan angka adalah peningkatan keamanan utama untuk pemberitahuan faktor kedua tradisional di dalam Authenticator.
Pencocokan angka diaktifkan untuk semua pemberitahuan push Authenticator.
Skenario pencocokan angka
Pencocokan angka tersedia untuk skenario berikut. Saat diaktifkan, semua skenario mendukung pencocokan nomor:
- MFA
- pengaturan ulang kata sandi mandiri (SSPR)
- Pendaftaran SSPR dan MFA Gabungan selama penyiapan aplikasi Authenticator
- adaptor Active Directory Federation Service (AD FS)
- Ekstensi Server Kebijakan Jaringan (NPS)
Pencocokan angka tidak didukung untuk pemberitahuan push untuk perangkat yang dapat dipakai Apple Watch atau Android. Pengguna perangkat yang dapat dikenakan perlu menggunakan ponsel mereka untuk menyetujui pemberitahuan saat pencocokan nomor diaktifkan.
Autentikasi multifaktor
Saat pengguna menanggapi pemberitahuan push MFA dengan menggunakan Authenticator, mereka akan melihat angka. Mereka perlu memasukkan nomor tersebut ke dalam aplikasi untuk menyelesaikan persetujuan. Untuk informasi selengkapnya tentang cara menyiapkan MFA, lihat Tutorial : Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra.
SSPR
SSPR dengan Authenticator memerlukan pencocokan angka saat pengguna menggunakan Authenticator. Selama SSPR, halaman masuk menunjukkan nomor yang perlu dimasukkan pengguna ke pemberitahuan Authenticator. Untuk informasi selengkapnya tentang cara menyiapkan SSPR, lihat Tutorial : Mengaktifkan pengguna untuk membuka kunci akun mereka atau mengatur ulang kata sandi.
Pendaftaran gabungan
Pendaftaran gabungan dengan Authenticator memerlukan pencocokan angka. Ketika pengguna melalui pendaftaran gabungan untuk menyiapkan Authenticator, pengguna perlu menyetujui pemberitahuan untuk menambahkan akun. Pemberitahuan ini menunjukkan nomor yang perlu dimasukkan pengguna ke pemberitahuan Authenticator. Untuk informasi selengkapnya tentang cara menyiapkan pendaftaran gabungan, lihat Mengaktifkan pendaftaran informasi keamanan gabungan.
Adaptor AD FS
Adapter AD FS memerlukan pencocokan angka pada versi Windows Server yang didukung. Pada versi sebelumnya, pengguna terus mengalami proses Menyetujui/Menolak dan tidak melihat fitur pencocokan angka hingga mereka melakukan peningkatan. Adaptor AD FS mendukung pencocokan angka hanya setelah mereka menginstal salah satu pembaruan dalam tabel berikut. Untuk informasi selengkapnya tentang cara menyiapkan adaptor Layanan Federasi Direktori Aktif, lihat Konfigurasi Microsoft Entra Multifactor Authentication Server untuk bekerja dengan Layanan Federasi Direktori Aktif di Windows Server.
Nota
Versi Windows Server yang belum diperbarui tidak mendukung pencocokan nomor. Pengguna terus melihat pengalaman Setujui/Tolak dan tidak melihat pencocokan angka kecuali pembaruan ini diterapkan.
| Versi | Pemutakhiran |
|---|---|
| Windows Server 2022 | 9 November 2021—KB5007205 (OS Build 20348.350) |
| Windows Server 2019 | 9 November 2021—KB5007206 (OS Build 17763.2300) |
| Windows Server 2016 | 12 Oktober 2021—KB5006669 (BUILD OS 14393.4704) |
Ekstensi NPS
Meskipun NPS tidak mendukung pencocokan angka, ekstensi NPS terbaru memang mendukung metode kata sandi satu kali berbasis waktu (TOTP) seperti TOTP yang tersedia di Authenticator, token perangkat lunak lainnya, dan FOB perangkat keras. Masuk dengan TOTP memberikan keamanan yang lebih baik daripada metode alternatif Setujui/Tolak. Pastikan Anda menjalankan versi terbaru ekstensi NPS .
Siapa pun yang melakukan koneksi RADIUS dengan ekstensi NPS versi 1.2.2216.1 atau yang lebih baru diminta untuk masuk dengan metode TOTP alih-alih Setujui/Tolak. Pengguna harus memiliki metode autentikasi TOTP yang terdaftar untuk melihat perilaku ini. Tanpa metode TOTP terdaftar, pengguna terus melihat Setujui/Tolak.
Organisasi yang menjalankan salah satu versi ekstensi NPS sebelumnya ini dapat memodifikasi registri untuk mengharuskan pengguna memasukkan TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Versi ekstensi NPS yang lebih lama dari 1.0.1.40 tidak mendukung TOTP yang menggunakan metode pencocokan angka. Versi ini terus menggunakan Setujui/Tolak.
Untuk membuat entri registri untuk mengganti opsi Setujui/Tolak dalam pemberitahuan push dan memerlukan TOTP sebagai pengganti:
Di server NPS, buka Editor Registri.
Pergi ke
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Buat pasangan string/nilai berikut:
- Nama:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Nilai =
TRUE
- Nama:
Mulai ulang layanan NPS.
Sebagai tambahan:
Pengguna yang melakukan TOTP harus memiliki Authenticator yang terdaftar sebagai metode autentikasi atau beberapa token OATH perangkat keras atau perangkat lunak lainnya. Pengguna yang tidak dapat menggunakan metode TOTP selalu melihat opsi Setujui/Tolak dengan pemberitahuan push jika mereka menggunakan versi ekstensi NPS yang lebih lama dari 1.2.2216.1.
Server NPS tempat ekstensi NPS diinstal harus dikonfigurasi untuk menggunakan Protokol Autentikasi Kata Sandi (PAP). Untuk informasi selengkapnya, lihat Menentukan metode autentikasi mana yang dapat digunakan pengguna Anda.
Penting
MSCHAPv2 tidak mendukung TOTP. Jika server NPS tidak dikonfigurasi untuk menggunakan PAP, otorisasi pengguna gagal dengan peristiwa di log AuthZOptCh server ekstensi NPS di Pemantau Peristiwa:
- Ekstensi NPS untuk Azure MFA: Tantangan yang diajukan dalam ekstensi Autentikasi untuk pengguna
npstesting_ap.
Anda dapat mengonfigurasi server NPS untuk mendukung PAP. Jika PAP bukan opsi, atur
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEuntuk kembali ke Setujui/Tolak pemberitahuan push.- Ekstensi NPS untuk Azure MFA: Tantangan yang diajukan dalam ekstensi Autentikasi untuk pengguna
Jika organisasi Anda menggunakan Remote Desktop Gateway dan pengguna mendaftar untuk kode TOTP serta pemberitahuan push Authenticator, pengguna tidak dapat memenuhi tantangan Microsoft Entra MFA sehingga gagal masuk ke Remote Desktop Gateway. Dalam hal ini, atur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE untuk kembali ke Setujui/Tolak pemberitahuan push dengan Authenticator.
Tanya Jawab Umum
Bagian ini menyediakan jawaban atas pertanyaan umum.
Bisakah pengguna menolak pencocokan jumlah?
Tidak, pengguna tidak dapat menolak pencocokan jumlah di pemberitahuan push Authenticator.
Apakah pencocokan angka hanya berlaku jika pemberitahuan push Authenticator diatur sebagai metode autentikasi default?
Ya. Jika pengguna memiliki metode autentikasi default yang berbeda, tidak ada perubahan pada rincian masuk default mereka. Jika metode default adalah notifikasi dorong Authenticator, mereka akan menerima pencocokan angka. Jika metode default adalah hal lain, seperti TOTP di Authenticator atau penyedia lain, tidak ada perubahan.
Terlepas dari metode default mereka, setiap pengguna yang diminta untuk masuk dengan pemberitahuan push Authenticator akan melihat pencocokan nomor. Jika diminta untuk metode lain, mereka tidak akan melihat perubahan apa pun.
Apa yang terjadi pada pengguna yang tidak disebutkan dalam kebijakan metode autentikasi tetapi diaktifkan untuk pemberitahuan melalui aplikasi seluler dalam kebijakan MFA penyewa lama secara menyeluruh?
Pengguna yang diaktifkan untuk pemberitahuan push MFA dalam kebijakan MFA lama juga akan melihat kecocokan angka jika kebijakan MFA lama diaktifkan Pemberitahuan melalui aplikasi ponsel. Pengguna akan melihat pencocokan nomor, terlepas dari apakah mereka telah diaktifkan untuk menggunakan Authenticator dalam kebijakan metode autentikasi.
Apakah pencocokan angka didukung dengan Azure Multi-Factor Authentication Server?
Tidak, pencocokan angka tidak diberlakukan karena bukan fitur yang didukung untuk Azure Multi-Factor Authentication Server, yang tidak digunakan lagi.
Apa yang terjadi jika pengguna menjalankan versi Authenticator yang lebih lama?
Jika pengguna menjalankan versi Authenticator lama yang tidak mendukung pencocokan nomor, autentikasi tidak akan berfungsi. Mereka perlu meningkatkan ke versi terbaru Authenticator untuk menggunakannya untuk masuk.
Bagaimana pengguna dapat mencentang ulang nomor di perangkat iOS seluler setelah permintaan pencocokan muncul?
Pada alur broker iOS seluler, permintaan pencocokan nomor muncul di atas nomor setelah jeda dua detik. Untuk mencentang ulang nomor, pilih Tampilkan nomor lagi. Tindakan ini hanya terjadi di alur kerja broker mobile iOS.
Apakah Apple Watch didukung untuk Authenticator?
Dalam rilis Authenticator pada Januari 2023 untuk iOS, tidak ada aplikasi pendamping untuk watchOS karena tidak kompatibel dengan fitur keamanan Authenticator. Anda tidak dapat menginstal atau menggunakan Authenticator di Apple Watch. Sebaiknya Anda menghapus Authenticator dari Apple Watch dan menggunakan Authenticator untuk masuk di perangkat lain.
Konten terkait
- Metode autentikasi di Microsoft Entra ID