Funzionamento della corrispondenza dei numeri nelle notifiche push di autenticazione a più fattori per Authenticator - Criteri dei metodi di autenticazione
Questo argomento illustra il modo in cui la corrispondenza dei numeri nelle notifiche push di Microsoft Authenticator migliora la sicurezza degli accessi utente. La corrispondenza dei numeri è un aggiornamento della sicurezza chiave alle notifiche di secondo fattore tradizionali in Authenticator.
A partire dall'8 maggio 2023, la corrispondenza dei numeri è abilitata per tutte le notifiche push di Authenticator. Man mano che i servizi pertinenti vengono distribuiti, gli utenti di tutto il mondo abilitati per le notifiche push authenticator inizieranno a visualizzare la corrispondenza dei numeri nelle richieste di approvazione. Gli utenti possono essere abilitati per le notifiche push authenticator nei criteri metodi di autenticazione o nei criteri di autenticazione a più fattori legacy se le notifiche tramite l'app per dispositivi mobili sono abilitate.
Scenari di corrispondenza dei numeri
La corrispondenza dei numeri è disponibile per gli scenari seguenti. Se abilitata, tutti gli scenari supportano la corrispondenza dei numeri.
- Autenticazione a più fattori
- Reimpostazione della password self-service
- Registrazione combinata della reimpostazione della password self-service e dell'autenticazione a più fattori durante la configurazione dell'app Authenticator
- Adattatore AD FS
- Estensione server dei criteri di rete
La corrispondenza dei numeri non è supportata per le notifiche push per i dispositivi Indossabili Apple Watch o Android. Gli utenti dei dispositivi indossabili devono usare il telefono per approvare le notifiche quando la corrispondenza dei numeri è abilitata.
Autenticazione a più fattori
Quando un utente risponde a una notifica push MFA tramite Authenticator, verrà visualizzato un numero. È necessario digitare tale numero nell'app per completare l'approvazione. Per altre informazioni su come configurare MFA, vedere Esercitazione: Proteggere gli eventi di accesso utente con l'autenticazione a più fattori Di Microsoft Entra.
Reimpostazione della password self-service
La reimpostazione della password self-service con Authenticator richiede la corrispondenza dei numeri quando si usa Authenticator. Durante la reimpostazione della password self-service, nella pagina di accesso viene visualizzato un numero che l'utente deve digitare nella notifica Authenticator. Per altre informazioni su come configurare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare il proprio account o reimpostare le password.
Registrazione combinata
La registrazione combinata con Authenticator richiede la corrispondenza dei numeri. Quando un utente passa attraverso la registrazione combinata per configurare Authenticator, l'utente deve approvare una notifica per aggiungere l'account. Questa notifica mostra un numero che è necessario digitare nella notifica Authenticator. Per altre informazioni su come configurare la registrazione combinata, vedere Abilitare la registrazione combinata delle informazioni di sicurezza.
Adattatore AD FS
L'adattatore AD FS richiede la corrispondenza dei numeri nelle versioni supportate di Windows Server. Nelle versioni precedenti gli utenti continuano a visualizzare l'esperienza Approva/rifiuto e non visualizzano la corrispondenza dei numeri fino a quando non si esegue l'aggiornamento. L'adattatore AD FS supporta la corrispondenza dei numeri solo dopo l'installazione di uno degli aggiornamenti nella tabella seguente. Per altre informazioni su come configurare l'adapter AD FS, vedere Configurare il server Azure Multi-Factor Authentication per l'uso con AD FS in Windows Server.
Nota
Le versioni senza patch di Windows Server non supportano la corrispondenza dei numeri. Gli utenti continuano a visualizzare l'esperienza Approva/nega e non visualizzano la corrispondenza dei numeri a meno che non vengano applicati questi aggiornamenti.
| Versione | Aggiornamento |
|---|---|
| Windows Server 2022 | 9 novembre 2021 - KB5007205 (Build del sistema operativo 20348.350) |
| Windows Server 2019 | 9 novembre 2021- KB5007206 (Build del sistema operativo 17763.2300) |
| Windows Server 2016 | 12 ottobre 2021 - KB5006669 (Build del sistema operativo 14393.4704) |
Estensione del server dei criteri di rete
Anche se server dei criteri di rete non supporta la corrispondenza dei numeri, l'estensione NPS più recente supporta metodi TOTP (Time-Based One-Time Password), ad esempio TOTP disponibili in Authenticator, altri token software e foB hardware. L'accesso TOTP offre una sicurezza migliore rispetto all'esperienza alternativa Approva/nega. Assicurarsi di eseguire la versione più recente dell'estensione Server dei criteri di rete.
A chiunque esegua una connessione RADIUS con l'estensione NPS versione 1.2.2216.1 o successiva viene richiesto di accedere con un metodo TOTP invece di Approvare/nega. Per visualizzare questo comportamento, gli utenti devono avere un metodo di autenticazione TOTP registrato. Senza un metodo TOTP registrato, gli utenti continuano a vedere Approva/nega.
Le organizzazioni che eseguono una di queste versioni precedenti dell'estensione NPS possono modificare il Registro di sistema per richiedere agli utenti di immettere un TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Le versioni delle estensioni NPS precedenti alla 1.0.1.40 non supportano TOTP applicato dalla corrispondenza dei numeri. Queste versioni continueranno a presentare agli utenti l'opzione Approva/nega.
Per creare la voce del Registro di sistema per eseguire l'override delle opzioni Approva/rifiuto nelle notifiche push e richiedere invece un TOTP:
- Nel server dei criteri di rete aprire l'editor del Registro di sistema.
- Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Creare la coppia Stringa/Valore seguente:
- Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valore = TRUE
- Riavviare il servizio Server dei criteri di rete.
In aggiunta:
Gli utenti che eseguono TOTP devono aver registrato Authenticator come metodo di autenticazione o un altro token OATH hardware o software. Un utente che non può usare un metodo TOTP visualizzerà sempre le opzioni Approva/nega con notifiche push se usa una versione dell'estensione NPS precedente alla 1.2.2216.1.
Il server dei criteri di rete in cui è installata l'estensione NPS deve essere configurato per l'uso del protocollo PAP. Per altre informazioni, vedere Determinare i metodi di autenticazione che gli utenti possono usare.
Importante
MSCHAPv2 non supporta TOTP. Se il server dei criteri di rete non è configurato per l'uso di PAP, l'autorizzazione dell'utente ha esito negativo con eventi nel log AuthZOptCh del server di estensione NPS in Visualizzatore eventi:
Estensione NPS per Azure MFA: richiesta di verifica in Authentication Ext for User npstesting_ap. È possibile configurare il server NPS per supportare PAP. Se PAP non è un'opzione, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL edizione Standard per eseguire il fallback su Approva notifiche/push negate.
Se l'organizzazione usa Gateway Desktop remoto e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di autenticazione a più fattori Di Microsoft Entra e l'accesso a Gateway Desktop remoto ha esito negativo. In questo caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL edizione Standard per eseguire il fallback su Approva/notifiche push negate con Authenticator.
Domande frequenti
È possibile rifiutare esplicitamente la corrispondenza dei numeri?
No, gli utenti non possono rifiutare esplicitamente la corrispondenza dei numeri nelle notifiche push di Authenticator.
I servizi pertinenti inizieranno a distribuire queste modifiche dopo l'8 maggio 2023 e gli utenti inizieranno a visualizzare la corrispondenza del numero nelle richieste di approvazione. Durante la distribuzione dei servizi, alcuni potrebbero vedere la corrispondenza numerica mentre altri non lo sono. Per garantire un comportamento coerente per tutti gli utenti, è consigliabile abilitare in anticipo la corrispondenza dei numeri per le notifiche push di Authenticator.
La corrispondenza dei numeri si applica solo se le notifiche push authenticator vengono impostate come metodo di autenticazione predefinito?
Sì. Se l'utente ha un metodo di autenticazione predefinito diverso, non viene apportata alcuna modifica all'accesso predefinito. Se il metodo predefinito è Authenticator push notifications, ottengono la corrispondenza dei numeri. Se il metodo predefinito è qualsiasi altro, ad esempio TOTP in Authenticator o un altro provider, non viene apportata alcuna modifica.
Indipendentemente dal metodo predefinito, qualsiasi utente che riceve una richiesta di accesso con le notifiche push authenticator vede la corrispondenza dei numeri. Se viene richiesto un altro metodo, non verrà visualizzata alcuna modifica.
Cosa accade per gli utenti che non sono specificati nei criteri dei metodi di autenticazione, ma sono abilitati per le notifiche tramite l'app per dispositivi mobili nei criteri legacy a livello di tenant MFA?
Gli utenti abilitati per le notifiche push MFA nei criteri di autenticazione a più fattori legacy vedranno anche la corrispondenza dei numeri se il criterio MFA legacy ha abilitato le notifiche tramite l'app per dispositivi mobili. Gli utenti vedranno la corrispondenza dei numeri indipendentemente dal fatto che siano abilitati per Authenticator nei criteri metodi di autenticazione.
La corrispondenza dei numeri è supportata con il server MFA?
No, la corrispondenza dei numeri non viene applicata perché non è una funzionalità supportata per il server MFA, che è deprecata.
Cosa accade se un utente esegue una versione precedente di Authenticator?
Se un utente esegue una versione precedente di Authenticator che non supporta la corrispondenza dei numeri, l'autenticazione non funzionerà. Gli utenti devono eseguire l'aggiornamento alla versione più recente di Authenticator per usarlo per l'accesso.
In che modo gli utenti possono ricontrollare il numero nei dispositivi iOS mobili dopo la visualizzazione della richiesta di corrispondenza?
Durante i flussi del broker iOS per dispositivi mobili, la richiesta di corrispondenza numerica viene visualizzata sul numero dopo un ritardo di due secondi. Per ricontrollare il numero, fare clic su Mostra di nuovo il numero. Questa azione si verifica solo nei flussi broker iOS per dispositivi mobili.
Apple Watch è supportato per Authenticator?
Nella versione authenticator di gennaio 2023 per iOS non esiste alcuna app complementare per watchOS perché non è compatibile con le funzionalità di sicurezza authenticator. Non è possibile installare o usare Authenticator in Apple Watch. È quindi consigliabile eliminare Authenticator da Apple Watch e accedere con Authenticator in un altro dispositivo.