Funzionamento della corrispondenza dei numeri nelle notifiche push di autenticazione a più fattori (MFA) per Authenticator - Criteri dei metodi di autenticazione
Questo argomento illustra come la corrispondenza dei numeri nelle notifiche push di Microsoft Authenticator migliora la sicurezza dell'accesso utente. La corrispondenza dei numeri è un aggiornamento della sicurezza chiave alle tradizionali notifiche di secondo fattore in Authenticator.
A partire dall'8 maggio 2023, la corrispondenza dei numeri è abilitata per tutte le notifiche push di Authenticator. Man mano che i servizi pertinenti vengono distribuiti, gli utenti in tutto il mondo abilitati per le notifiche push authenticator inizieranno a visualizzare la corrispondenza dei numeri nelle richieste di approvazione. Gli utenti possono essere abilitati per le notifiche push authenticator nei criteri Dei metodi di autenticazione o nei criteri di autenticazione a più fattori legacy se le notifiche tramite l'app per dispositivi mobili sono abilitate.
Scenari di corrispondenza dei numeri
La corrispondenza dei numeri è disponibile per gli scenari seguenti. Se abilitata, tutti gli scenari supportano la corrispondenza dei numeri.
- Autenticazione a più fattori
- Reimpostazione della password self-service
- Registrazione combinata della reimpostazione della password self-service e MFA durante la configurazione dell'app Authenticator
- Adattatore AD FS
- Estensione NPS
La corrispondenza dei numeri non è supportata per le notifiche push per dispositivi indossabili Apple Watch o Android. Gli utenti dei dispositivi indossabili devono usare il telefono per approvare le notifiche quando la corrispondenza dei numeri è abilitata.
Autenticazione a più fattori
Quando un utente risponde a una notifica push MFA tramite Authenticator, verrà visualizzato un numero. È necessario digitare tale numero nell'app per completare l'approvazione. Per altre informazioni su come configurare l'autenticazione a più fattori, vedere Esercitazione: Proteggere gli eventi di accesso utente con Azure AD Multi-Factor Authentication.
Reimpostazione della password self-service
La reimpostazione della password self-service con Authenticator richiede la corrispondenza dei numeri quando si usa Authenticator. Durante la reimpostazione della password self-service, la pagina di accesso mostra un numero che l'utente deve digitare nella notifica Authenticator. Per altre informazioni su come configurare la reimpostazione della password self-service, vedere Esercitazione: Abilitare gli utenti a sbloccare il proprio account o reimpostare le password.
Registrazione combinata
La registrazione combinata con Authenticator richiede la corrispondenza dei numeri. Quando un utente passa attraverso la registrazione combinata per configurare Authenticator, l'utente deve approvare una notifica per aggiungere l'account. Questa notifica mostra un numero che è necessario digitare nella notifica Authenticator. Per altre informazioni su come configurare la registrazione combinata, vedere Abilitare la registrazione combinata delle informazioni di sicurezza.
Adattatore AD FS
L'adattatore AD FS richiede la corrispondenza dei numeri nelle versioni supportate di Windows Server. Nelle versioni precedenti gli utenti continuano a visualizzare l'esperienza Approva/nega e non vedono la corrispondenza dei numeri fino a quando non si esegue l'aggiornamento. L'adattatore AD FS supporta la corrispondenza dei numeri solo dopo l'installazione di uno degli aggiornamenti nella tabella seguente. Per altre informazioni su come configurare la scheda AD FS, vedere Configurare il server Multi-Factor Authentication di Azure Active Directory (Azure AD) per l'uso con AD FS in Windows Server.
Nota
Le versioni senza patch di Windows Server non supportano la corrispondenza dei numeri. Gli utenti continuano a visualizzare l'esperienza Approva/nega e non vedono la corrispondenza dei numeri a meno che non vengano applicati questi aggiornamenti.
| Versione | Aggiornamento |
|---|---|
| Windows Server 2022 | 9 novembre 2021- KB5007205 (Build del sistema operativo 20348.350) |
| Windows Server 2019 | 9 novembre 2021- KB5007206 (Build del sistema operativo 17763.2300) |
| Windows Server 2016 | 12 ottobre 2021 - KB5006669 (Build del sistema operativo 14393.4704) |
Estensione del server dei criteri di rete
Anche se NPS non supporta la corrispondenza dei numeri, l'estensione NPS più recente supporta metodi TOTP (Time-Based One-Time Password), ad esempio TOTP disponibili in Authenticator, altri token software e FOB hardware. L'accesso TOTP offre una sicurezza migliore rispetto all'esperienza alternativa Approva/nega . Assicurarsi di eseguire la versione più recente dell'estensione NPS.
A chiunque esegua una connessione RADIUS con l'estensione NPS versione 1.2.2216.1 o successiva viene richiesto di accedere con un metodo TOTP invece di Approvare nega/. Per visualizzare questo comportamento, gli utenti devono avere un metodo di autenticazione TOTP registrato. Senza un metodo TOTP registrato, gli utenti continuano a vedere Approva/negazione.
Le organizzazioni che eseguono una di queste versioni precedenti dell'estensione NPS possono modificare il Registro di sistema per richiedere agli utenti di immettere un TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
Le versioni delle estensioni NPS precedenti alla 1.0.1.40 non supportano TOTP applicato dalla corrispondenza dei numeri. Queste versioni continueranno a presentare agli utenti l'approvazione/della negazione.
Per creare la voce del Registro di sistema per eseguire l'override delle opzioni Approva/nega nelle notifiche push e richiedere invece un TOTP:
- Nel server dei criteri di rete aprire l'editor del Registro di sistema.
- Passare a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Creare la coppia Stringa/Valore seguente:
- Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valore = TRUE
- Riavviare il servizio Server dei criteri di rete.
Inoltre:
Gli utenti che eseguono TOTP devono aver registrato Authenticator come metodo di autenticazione o un altro token OATH hardware o software. Un utente che non può usare un metodo TOTP visualizzerà sempre le opzioni Approva/nega con le notifiche push se usa una versione dell'estensione NPS precedente alla 1.2.2216.1.
Il server dei criteri di rete in cui è installata l'estensione NPS deve essere configurato per l'uso del protocollo PAP. Per altre informazioni, vedere Determinare i metodi di autenticazione che gli utenti possono usare.
Importante
MSCHAPv2 non supporta TOTP. Se il server dei criteri di rete non è configurato per l'uso di PAP, l'autorizzazione utente ha esito negativo con eventi nel log AuthZOptCh del server di estensione nps in Visualizzatore eventi:
Estensione NPS per Azure MFA: richiesta di verifica in Authentication Ext for User npstesting_ap. È possibile configurare il server dei criteri di rete per supportare PAP. Se PAP non è un'opzione, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE per eseguire il fallback su Approva/notifiche push nega .
Se l'organizzazione usa Gateway Desktop remoto e l'utente è registrato per un codice TOTP insieme alle notifiche push di Authenticator, l'utente non può soddisfare la richiesta di verifica di Azure AD MFA e l'accesso al gateway Desktop remoto ha esito negativo. In questo caso, è possibile impostare OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE per eseguire il fallback su Approva/notifiche push nega con Authenticator.
Domande frequenti
È possibile rifiutare esplicitamente la corrispondenza dei numeri?
No, gli utenti non possono rifiutare esplicitamente la corrispondenza del numero nelle notifiche push di Authenticator.
I servizi pertinenti inizieranno a distribuire queste modifiche dopo l'8 maggio 2023 e gli utenti inizieranno a visualizzare la corrispondenza del numero nelle richieste di approvazione. Durante la distribuzione dei servizi, alcuni potrebbero vedere la corrispondenza tra numeri mentre altri non lo sono. Per garantire un comportamento coerente per tutti gli utenti, è consigliabile abilitare in anticipo la corrispondenza dei numeri per le notifiche push di Authenticator.
La corrispondenza dei numeri si applica solo se le notifiche push authenticator sono impostate come metodo di autenticazione predefinito?
Sì. Se l'utente ha un metodo di autenticazione predefinito diverso, non viene apportata alcuna modifica all'accesso predefinito. Se il metodo predefinito è Le notifiche push Authenticator, ottengono la corrispondenza dei numeri. Se il metodo predefinito è qualsiasi altro, ad esempio TOTP in Authenticator o un altro provider, non viene apportata alcuna modifica.
Indipendentemente dal metodo predefinito, qualsiasi utente a cui viene richiesto di accedere con le notifiche push authenticator vede la corrispondenza dei numeri. Se viene richiesto un altro metodo, non verrà visualizzata alcuna modifica.
Cosa accade per gli utenti che non sono specificati nei criteri dei metodi di autenticazione, ma sono abilitati per le notifiche tramite l'app per dispositivi mobili nei criteri legacy a livello di tenant MFA?
Gli utenti abilitati per le notifiche push MFA nei criteri MFA legacy vedranno anche la corrispondenza tra il numero se i criteri MFA legacy hanno abilitato Notifiche tramite app per dispositivi mobili. Gli utenti visualizzeranno il numero corrispondente indipendentemente dal fatto che siano abilitati per Authenticator nei criteri Metodi di autenticazione.
Perché il portale mostra ancora il controllo per abilitare la corrispondenza dei numeri?
Potrebbe essere necessario aggiornare il browser per aggiornare il portale dopo che la corrispondenza dei numeri è abilitata per impostazione predefinita a partire dal 8 maggio 2023.
La corrispondenza del numero è supportata con MFA Server?
No, la corrispondenza dei numeri non viene applicata perché non è una funzionalità supportata per MFA Server, deprecata.
Cosa accade se un utente esegue una versione precedente di Authenticator?
Se un utente esegue una versione precedente di Authenticator che non supporta la corrispondenza del numero, l'autenticazione non funzionerà. Gli utenti devono eseguire l'aggiornamento alla versione più recente di Authenticator per usarla per l'accesso.
Come è possibile ricontrollare il numero nei dispositivi iOS mobili dopo la visualizzazione della richiesta di corrispondenza?
Durante i flussi di broker iOS per dispositivi mobili, la richiesta di corrispondenza numero viene visualizzata sul numero dopo un ritardo di due secondi. Per ricontrollare il numero, fare clic su Mostra di nuovo il numero. Questa azione si verifica solo nei flussi di broker iOS per dispositivi mobili.
Apple Watch è supportato per Authenticator?
Nella versione di Authenticator nel gennaio 2023 per iOS non è disponibile alcuna app complementare per watchOS a causa dell'incompatibilità con le funzionalità di sicurezza authenticator. Non è possibile installare o usare Authenticator in Apple Watch. È quindi consigliabile eliminare Authenticator dal tuo Apple Watch e accedere con Authenticator in un altro dispositivo.