多要素認証 (MFA) 通知で数値の一致を使用する方法 - 認証方法ポリシー
このトピックでは、ユーザーのサインイン セキュリティを向上するために、Microsoft Authenticator のプッシュ通知で数値の一致を有効にする方法について説明します。
注意
数値の一致は、Microsoft Authenticator の従来の第 2 要素通知への重要なセキュリティ アップグレードです。 2023 年 5 月 8 日から、管理者コントロールを削除し、Microsoft Authenticator プッシュ通知のすべてのユーザーに対してテナント規模の数値の一致エクスペリエンスを適用する予定です。
サインイン セキュリティを強化するために、数値の一致をすぐに有効にすることをぜひお勧めします。 関連するサービスは 2023 年 5 月 8 日以降これらの変更のデプロイを開始し、ユーザーは承認要求で数値の一致を確認できるようになります。 サービスがデプロイされる際に、番号の一致が表示される場合もあれば、一致しないものもあります。 すべてのユーザーで一貫した動作が確保されるように、Microsoft Authenticator プッシュ通知の数値の一致を事前に有効にしておくことを強くお勧めします。
前提条件
組織では、新しい認証方法ポリシーを使用して Microsoft Authenticator (従来の第 2 要素) プッシュ通知を一部のユーザーまたはグループに対して有効にする必要があります。 認証方法ポリシーは、Azure portal または Microsoft Graph API を使用して編集できます。
組織で AD FS アダプターまたは NPS 拡張機能を使用している場合は、エクスペリエンスが整合するように最新バージョンにアップグレードしてください。
数値の一致
数値の一致は 1 つのグループのみを対象にすることができ、動的または入れ子の場合があります。 認証方法ポリシーでは、オンプレミスの同期されたセキュリティ グループとクラウド専用のセキュリティ グループがサポートされます。
数値の一致は、次のシナリオで使用できます。 数値の一致を有効にすると、すべてのシナリオでサポートされるようになります。
Apple Watch および Android ウェアラブル デバイスのプッシュ通知では、数値の一致はサポートされていません。 ウェアラブル デバイスのユーザーは、数値の一致が有効になっている場合、スマートフォンを使用して通知を承認する必要があります。
多要素認証
ユーザーが Authenticator アプリを使用して MFA プッシュ通知に応答すると、ユーザーに数値が表示されます。 承認を完了するために、その数値をアプリに入力する必要があります。 MFA の設定方法の詳細については、「チュートリアル: Azure AD Multi-Factor Authentication を使用したユーザー サインイン イベントのセキュリティ保護」を参照してください。
SSPR
Microsoft Authenticator でのセルフサービス パスワード リセット (SSPR) では、Microsoft Authenticator を使用する場合に数値の一致が必要になります。 セルフサービス パスワード リセット中に、サインイン ページに数値が表示され、ユーザーはそれを Microsoft Authenticator の通知に入力する必要があります。 この数値は、数値の一致が有効になっているユーザーにのみ表示されます。 SSPR の設定方法の詳細については、ユーザーが自分のアカウントのロック解除またはパスワードのリセットを実行できるようにするためのチュートリアルを参照してください。
統合された登録
Microsoft Authenticator との統合された登録では、数値の一致が必要です。 ユーザーは、統合された登録を行って Authenticator アプリを設定すると、アカウント追加の一環として通知を承認するように求められます。 数値の一致が有効になっているユーザーの場合、この通知に数値が表示され、それを Authenticator アプリ通知に入力する必要があります。 統合された登録を設定する方法の詳細については、統合されたセキュリティ情報の登録を有効にする方法に関するページを参照してください。
AD FS アダプター
AD FS アダプターでは、サポートされているバージョンの Windows Server で数値の一致が必要になります。 以前のバージョンでは、ユーザーには引き続き [承認]/[拒否] のエクスペリエンスが表示され、アップグレードするまで数値の一致は表示されません。 AD FS アダプターでは、次の表のいずれかの更新プログラムをインストールした後にのみ、数値の一致がサポートされます。 AD FS アダプターを設定する方法の詳細については、Windows Server で AD FS と連携するように Azure Active Directory (Azure AD) Multi-Factor Authentication Server を構成する方法に関する記事を参照してください。
注意
パッチが適用されていないバージョンの Windows Server では、数値の一致はサポートされません。 ユーザーには引き続き [承認]/[拒否] のエクスペリエンスが表示されますが、更新プログラムを適用するまで数値の一致は表示されません。
| バージョン | 更新 |
|---|---|
| Windows Server 2022 | 2021 年 11 月 9 日 — KB5007205 (OS ビルド 20348.350) |
| Windows Server 2019 | 2021 年 11 月 9 日 — KB5007206 (OS ビルド 17763.2300) |
| Windows Server 2016 | 2021 年 10 月 12 日 — KB5006669 (OS ビルド 14393.4704) |
NPS 拡張機能
NPS では数値の一致をサポートしませんが、最新の NPS 拡張機能では、Microsoft Authenticator で使用できる OTP、その他のソフトウェア トークン、ハードウェア FOB など、ワンタイム パスワード (OTP) 方式をサポートします。 OTP サインインでは、代替の [承認]/[禁止] のエクスペリエンスより優れたセキュリティを実現します。 必ず最新バージョンの NPS 拡張機能をお使いください。
2023 年 5 月 8 日以降、すべてのユーザーに対して数値の一致が有効になっている場合、NPS 拡張機能バージョン 1.2.2216.1 以降との RADIUS 接続を実行するユーザーは、代わりに OTP 方式でサインインするように求められます。
この動作を得るには、ユーザーは OTP 認証方法を登録する必要があります。 OTP 方式を登録していないユーザーには、引き続き [承認]/[禁止] が表示されます。
2023 年 5 月 8 日以降、NPS 拡張機能バージョン 1.2.2216.1 のリリース前には、これらの以前のバージョンの NPS 拡張機能を実行する組織は、ユーザーに OTP の入力を求めるようにレジストリを変更できます。
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Note
1.0.1.40 より前のバージョンの NPS 拡張機能では、数値の一致によって適用される OTP をサポートしません。 これらのバージョンでは、引き続きユーザーに [承認]/[禁止] が表示されます。
レジストリ エントリを作成してプッシュ通知の [承認]/[禁止] オプションをオーバーライドし、代わりに OTP を要求するには、次のようにします。
- NPS サーバーで、レジストリ エディターを開きます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa に移動します。
- 次の文字列と値のペアを作成します。名前: OVERRIDE_NUMBER_MATCHING_WITH_OTP 値 = TRUE
- NPS サービスを再起動します。
さらに:
OTP を実行するユーザーは、Microsoft Authenticator を認証方法として登録すること、または他の何らかのハードウェアまたはソフトウェア OATH トークンが必要です。 OTP 方式を使用できないユーザーには、1.2.2216.1 より前のバージョンの NPS 拡張機能を使用している場合、常にプッシュ通知での [承認]/[禁止] オプションが表示されます。
ユーザーに対して、数値の一致が有効になっている必要があります。
NPS 拡張機能がインストールされている NPS サーバーが、PAP プロトコルを使用するように構成されている必要があります。 詳細については、ユーザーが使用できる認証方法の決定に関するページを参照してください。
重要
MSCHAPv2 では OTP をサポートしていません。 NPS サーバーが PAP を使用するように構成されていない場合、イベント ビューアーで NPS 拡張機能サーバーの AuthZOptCh ログにイベントが表示され、ユーザーの承認は失敗します。
NPS Extension for Azure MFA: Challenge requested in Authentication Ext for User npstesting_ap. (Azure MFA 用 NPS 拡張機能: ユーザー npstesting_ap の認証拡張機能でチャレンジが要求されました。) NPS サーバーは PAP をサポートするように構成できます。 PAP がオプションでない場合は、OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE に設定して、プッシュ通知の [承認]/[禁止] にフォールバックできます。
組織でリモート デスクトップ ゲートウェイを使っていて、ユーザーが Microsoft Authenticator のプッシュ通知と共に OTP コードを登録している場合、ユーザーは Azure AD MFA チャレンジを満たすことができず、リモート デスクトップ ゲートウェイでのサインインに失敗します。 この場合、OVERRIDE_NUMBER_MATCHING_WITH_TOP = FALSE と設定することで、Microsoft Authenticator の [承認]/[禁止] プッシュ通知にフォールバックできます。
Microsoft Authenticator での Apple Watch のサポート
2023 年 1 月の iOS 用 Microsoft Authenticator の次期リリースには、Authenticator のセキュリティ機能と互換性がないため、watchOS 用のコンパニオン アプリはありません。 Apple Watch に Microsoft Authenticator をインストールおよび使用することはできません。 そのため、Apple Watch から Microsoft Authenticator を削除し、別のデバイスで Microsoft Authenticator を使用してサインインすることをお勧めします。
ポータルで数値の一致を有効にする
Azure portal で数値の一致を有効にするには、次の手順を実行します。
Azure portal で、[セキュリティ]>[認証方法]>[Microsoft Authenticator] をクリックします。
[有効化およびターゲット] タブで [はい] と [すべてのユーザー] をクリックして、すべてのユーザーに対してポリシーを有効にするか、選択したユーザーとグループを追加します。 それらのユーザーまたはグループの [認証モード] を [すべて] または [プッシュ] に設定します。
サインインに数値の一致を要求するポリシーに含められる、または除外できるのは、ここで Microsoft Authenticator が有効になっているユーザーだけです。 Microsoft Authenticator が有効になっていないユーザーは、この機能を表示できません。
[構成] タブで、[プッシュ通知に数値の一致が必要] の [状態] を [有効] に変更し、数値の一致に含める、または除外するユーザーを選択し、[保存] をクリックします。
Graph API を使用して番号照合を有効にする
スキーマ構成の単一のターゲット グループを特定します。 その後、次の API エンドポイントを使用して、featureSettings の numberMatchingRequiredState プロパティを enabled に変更し、グループを含めるか除外します。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
注意
Graph Explorer で、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
MicrosoftAuthenticatorAuthenticationMethodConfiguration プロパティ
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| id | String | 認証方法ポリシー識別子。 |
| state | authenticationMethodState | 指定できる値: enabled disabled |
リレーションシップ
| リレーションシップ | 型 | 説明 |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget コレクション | この認証方法を使用できるユーザーまたはグループのコレクション。 |
| featureSettings | microsoftAuthenticatorFeatureSettings コレクション | Microsoft Authenticator 機能のコレクション。 |
MicrosoftAuthenticator includeTarget プロパティ
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| authenticationMode | String | 次のいずれかの値になります。 any: パスワードレスの電話によるサインインと従来の第 2 要素通知の両方を使用できます。 deviceBasedPush: パスワードレスの電話によるサインイン通知のみを使用できます。 push: 従来の第 2 要素プッシュ通知のみを使用できます。 |
| id | String | Azure AD ユーザーまたはグループのオブジェクト ID。 |
| targetType | authenticationMethodTargetType | 指定できる値: user、group。 |
MicrosoftAuthenticator featureSettings プロパティ
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | MFA 通知には数値の一致が必要です。 電話によるサインイン通知では、値は無視されます。 |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | ユーザーが Microsoft Authenticator 通知にアプリケーション名を表示するかどうかを決定します。 |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | ユーザーが Microsoft Authenticator 通知に地理的な場所のコンテキストを表示するかどうかを決定します。 |
認証方法機能の構成プロパティ
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 数値の一致の対象から除外できるグループは 1 つのみです。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 数値の一致の対象に含めることができるグループは 1 つのみです。 |
| State | advancedConfigState | 次のいずれかの値になります。 enabled では、選択したグループに対してこの機能を明示的に有効にします。 disabled では、選択したグループに対してこの機能を明示的に無効にします。 default では、選択したグループに対してこの機能を有効にするかどうかを Azure AD で管理できます。 |
機能ターゲット プロパティ
プロパティ
| プロパティ | 種類 | 説明 |
|---|---|---|
| id | String | ターゲットとなるエンティティの ID。 |
| targetType | featureTargetType | グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、‘group’、‘administrativeUnit’、‘role’、‘unknownFutureValue' です。 |
注意
数値の一致は、1 つのグループに対してのみ有効にできます。
すべてのユーザーに対して数値の一致を有効にする方法の例
featureSettings で、numberMatchingRequiredState を default から enabled に変更する必要があります。
認証モードの値は、パスワードレスの電話によるサインインも有効にするかどうかに応じて、any または push のどちらにでも指定できます。 これらの例では any を使用しますが、パスワードレスを許可しない場合は、push を使用します。
注意
パスワードレスのユーザーには、数値の一致を有効にしても無効にしても影響はありません。パスワードレス エクスペリエンスに既に含まれているためです。
以前の構成が上書きされるのを防ぐために、スキーマ全体へのパッチの適用が必要になる場合があります。 その場合は、最初に GET を行い、関連するフィールドのみを更新してからパッチを適用します。 次の例では featureSettings の numberMatchingRequiredState に対する更新のみを示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、数値の一致の要件が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"numberMatchingRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
変更が適用されていることを確認するには、次のエンドポイントを使用して GET 要求を実行します。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
1 つのグループに対して数値の一致を有効にする方法の例
featureSettings で、numberMatchingRequiredState の値を default から enabled に変更する必要があります。includeTarget 内で、Azure portal を使用して id を all_users からグループの ObjectID に変更する必要があります。
除外されたグループを数値の一致から削除するには、excludeTarget の ID を 00000000-0000-0000-0000-000000000000 に変更します。
以前の構成が上書きされるのを防ぐために、構成全体へのパッチの適用が必要です。 最初に GET を実行してから関連するフィールドのみを更新し、その後にパッチを適用すすることをお勧めします。 次の例では numberMatchingRequiredState に対する更新のみを示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、数値の一致の要件が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"numberMatchingRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
確認するには、GET をもう一度実行し、ObjectID を確認します。
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
FAQ
Azure portal または Graph API を使用して変更をロールアウトしない場合、テナントに一致する番号が表示されるのはいつですか?
数値の一致は、2023 年 5 月 8 日以降 Microsoft Authenticator プッシュ通知のすべてのユーザーに対して有効になります。 以前、2023 年 2 月 27 日から、管理者コントロールを削除し、Microsoft Authenticator プッシュ通知のすべてのユーザーに対してテナント規模の数値の一致エクスペリエンスを適用することを発表しました。 お客様の声を聞いた結果、ロールアウト制御の提供をさらに数週間延長します。
関連するサービスは 2023 年 5 月 8 日以降これらの変更のデプロイを開始し、ユーザーは承認要求で数値の一致を確認できるようになります。 サービスがデプロイされる際に、番号の一致が表示される場合もあれば、一致しないものもあります。 すべてのユーザーに対して一貫した動作を確保するには、Azure portal または Graph API を使用して、すべての Microsoft Authenticator ユーザーに対して一致する番号をロールアウトすることを強くお勧めします。
2023 年 5 月 8 日以降に変更を行うと、認証方法ポリシーのグループに対して構成された数値の一致の設定がオーバーライドされますか?
いいえ。5 月 8 日以降に変更しても、認証方法ポリシーの Microsoft Authenticator の [有効化およびターゲット] タブには影響しません。 管理者は引き続き、Microsoft Authenticator の [プッシュ] または [Any] (任意) 認証モードで特定のユーザーとグループ、またはすべてのユーザーを対象にすることができます。
2023 年 5 月 8 日以降に数値の一致が有効になり、Microsoft によるすべての組織の保護が開始されると、管理者には、Microsoft Authenticator ポリシーの [構成] タブの [プッシュ通知に番号の一致が必要] の設定が [すべてのユーザー] に対して [有効] に設定されていることが表示され、無効にすることはできません。 さらに、この設定の [除外] オプションは削除されます。
認証方法ポリシーには指定されていないが、レガシ MFA のテナント全体のポリシーで [Notifications through mobile app] (モバイル アプリによる通知) が有効になっているユーザーはどうなりますか?
レガシ MFA ポリシーで MFA プッシュ通知が有効になっているユーザーにも、2023 年 5 月 8 日以降に数値の一致が表示されます。 レガシ MFA ポリシーで [Notifications through mobile app] (モバイル アプリによる通知) が有効になっている場合、認証方法ポリシーの Microsoft Authenticator の [有効化およびターゲット] タブでそれが有効になっているかどうかに関係なく、ユーザーには数値の一致が表示されます。
![[Notifications through mobile app] (モバイル アプリによる通知) 設定のスクリーンショット。](media/how-to-mfa-number-match/notifications-through-mobile-app.png)
ユーザーは既定の数値の一致にどのように対応する必要がありますか?
数値の一致が既定で有効になった後に Microsoft Authenticator ユーザーに表示されるサインイン シナリオの違いを次に示します。
認証フローでは、ユーザーが Microsoft Authenticator を使用する際に数値の一致を行う必要があります。 Microsoft Authenticator のバージョンで数値の一致がサポートされていない場合、認証は失敗します。
セルフサービス パスワード リセット (SSPR) と統合された登録でも、Microsoft Authenticator を使用する場合に数値の一致が必要になります。
AD FS アダプターでは、サポートされているバージョンの Windows Server で数値の一致が必要になります。 以前のバージョンでは、ユーザーには引き続き [承認]/[拒否] のエクスペリエンスが表示され、アップグレードするまで数値の一致は表示されません。
1.2.2131.2 以降の NPS 拡張機能バージョンでは、ユーザーは数値の一致を行う必要があります。 NPS 拡張機能は数値を表示できないため、ユーザーはワンタイム パスコード (OTP) の入力を求められます。 この動作を表示するには、ユーザーに Microsoft Authenticator やソフトウェア OATH トークンなどの OTP 認証方法が登録されている必要があります。 OTP 方式を登録していないユーザーには、引き続き [承認]/[拒否] のエクスペリエンスが表示されます。
この動作をオーバーライドし、ユーザーに [承認]/[拒否] を表示するレジストリ エントリを作成するには:
- NPS サーバーで、レジストリ エディターを開きます。
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa に移動します。
- 次の文字列と値を作成します。名前: OVERRIDE_NUMBER_MATCHING_WITH_OTP 値 = FALSE
- NPS サービスを再起動します。
Apple Watch では、数値の一致は引き続きサポートされません。 電話で通知を承認する必要があるため、Microsoft Authenticator Apple Watch アプリをアンインストールすることをお勧めします。
ユーザーが NPS 拡張機能を使用して OTP を入力するにはどうすればよいですか?
OTP プロンプトを表示するために、VPN および NPS サーバーで PAP プロトコルを使用する必要があります。 MSCHAPv2 などの OTP をサポートしていないプロトコルを使用している場合は、引き続き [許可]/[禁止] の通知が表示されます。
ユーザーには数値の一致プロンプトのようなプロンプトが表示され、OTP を入力する必要がありますか?
確認コードを入力するように求めるダイアログが表示されます。 Microsoft Authenticator で自分のアカウントを選択し、そこに表示されるランダムに生成されたコードを入力する必要があります。
数値の一致をオプトアウトできますか?
はい。現在、数値の一致を無効にすることができます。 MFA 疲労攻撃から身を守るために、テナント内のすべてのユーザーに対して数値の一致を有効にすることを強くお勧めします。 エコシステムを保護し、これらの脅威を軽減するために、Microsoft は 2023 年 5 月 8 日からすべてのテナントで番号照合を有効にします。 既定で保護を有効にすると、ユーザーは Microsoft Authenticator プッシュ通知で数値の一致をオプトアウトできなくなります。
関連するサービスは 2023 年 5 月 8 日以降これらの変更のデプロイを開始し、ユーザーは承認要求で数値の一致を確認できるようになります。 サービスがデプロイされる際に、番号の一致が表示される場合もあれば、一致しないものもあります。 すべてのユーザーで一貫した動作が確保されるように、Microsoft Authenticator プッシュ通知の数値の一致を事前に有効にしておくことを強くお勧めします。
数値の一致が適用されるのは、Microsoft Authenticator が既定の認証方法として設定されている場合のみですか?
ユーザーが別の既定の認証方法を使用している場合、既定のサインインは変更されません。 既定の方法が Microsoft Authenticator である場合、ユーザーは次のいずれかのポリシーに指定されていれば、2023 年 5 月 8 日から数値の一致の承認を受け取ります。
- 認証方法ポリシー (ポータルで、[セキュリティ]>[認証方法]>[ポリシー] の順にクリックします)
- レガシ MFA のテナント全体のポリシー (ポータルで、[セキュリティ]>[多要素認証]>[追加のクラウドベースの多要素認証設定] の順にクリックします)
2023 年 5 月 8 日以降は、既定の方法に関係なく、Authenticator プッシュ通知でサインインするように求められたユーザーに数値の一致が表示されます。 別のメソッドを求められた場合、ユーザーへの表示に変更はありません。
MFA Server では数値の一致がサポートされていますか?
いいえ。数値の一致は適用されません。MFA Server でサポートされている機能ではない (非推奨である) ためです。
ユーザーが古いバージョンの Microsoft Authenticator を実行するとどうなりますか?
ユーザーが数値の一致をサポートしていない古いバージョンの Microsoft Authenticator を実行している場合、数値の一致が有効になっていると認証は機能しません。 ユーザーは、6.2006.4198 より前の Android バージョン、または 6.4.12 より前の iOS バージョンを使用している場合、最新バージョンの Microsoft Authenticator にアップグレードしてサインインに使用する必要があります。
ユーザーが Microsoft Authenticator アプリに番号を入力する代わりに 3 つの数字のうち 1 つをタップするように求められるのはなぜですか?
以前のバージョンの Microsoft Authenticator では、ユーザーは Microsoft Authenticator に番号を入力する代わりに番号をタップして選択するように求められます。 これらの認証は失敗しませんが、ユーザーが 6.2108.5654 より前の Android バージョン、または 6.5.82 より前の iOS バージョンを使用している場合は、数値の一致を使用できるように、最新バージョンの Microsoft Authenticator にアップグレードすることを強くお勧めします。
数値の一致をサポートする Microsoft Authenticator の最小バージョン:
- Android: 6.2006.4198
- iOS: 6.4.12
数値の入力を求める数値の一致の Microsoft Authenticator の最小バージョン:
- Android 6.2111.7701
- iOS 6.5.85