Hoe nummerkoppeling werkt in pushmeldingen voor meervoudige verificatie voor Authenticator - Beleid voor verificatiemethoden
In dit onderwerp wordt beschreven hoe nummerkoppeling in Pushmeldingen van Microsoft Authenticator de beveiliging van gebruikersaanmelding verbetert. Nummerkoppeling is een belangrijke beveiligingsupgrade naar traditionele tweede factormeldingen in Authenticator.
Vanaf 8 mei 2023 is nummerkoppeling ingeschakeld voor alle Authenticator-pushmeldingen. Wanneer relevante services worden geïmplementeerd, zien gebruikers over de hele wereld die zijn ingeschakeld voor Authenticator-pushmeldingen, nummerkoppelingen in hun goedkeuringsaanvragen. Gebruikers kunnen worden ingeschakeld voor Verificator-pushmeldingen in het beleid voor verificatiemethoden of het verouderde meervoudige verificatiebeleid als Meldingen via mobiele app is ingeschakeld.
Scenario's voor nummerkoppeling
Nummerkoppeling is beschikbaar voor de volgende scenario's. Wanneer deze optie is ingeschakeld, ondersteunen alle scenario's nummerkoppeling.
- Meervoudige verificatie
- Self-service voor wachtwoord opnieuw instellen
- Gecombineerde SSPR- en MFA-registratie tijdens het instellen van de Authenticator-app
- AD FS-adapter
- NPS-extensie
Nummerkoppeling wordt niet ondersteund voor pushmeldingen voor Apple Watch- of Android-draagbare apparaten. Draagbare apparaatgebruikers moeten hun telefoon gebruiken om meldingen goed te keuren wanneer nummerkoppeling is ingeschakeld.
Meervoudige verificatie
Wanneer een gebruiker reageert op een MFA-pushmelding met behulp van Authenticator, krijgt deze een nummer te zien. De gebruiker moet dat getal in de app typen om de goedkeuring te voltooien. Zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Microsoft Entra multifactor authentication voor meer informatie over het instellen van MFA.
SSPR
Selfservice voor wachtwoordherstel (SSPR) met Authenticator vereist nummerkoppeling bij het gebruik van Authenticator. Tijdens de selfservice voor wachtwoordherstel wordt op de aanmeldingspagina een nummer weergegeven dat de gebruiker moet typen in de Authenticator-melding. Zie Zelfstudie: Gebruikers in staat stellen hun account te ontgrendelen of wachtwoorden opnieuw in te stellen voor meer informatie over het instellen van SSPR.
Gecombineerde registratie
Voor gecombineerde registratie met Authenticator is nummerkoppeling vereist. Wanneer een gebruiker de gecombineerde registratie doorloopt om Authenticator in te stellen, moet de gebruiker een melding goedkeuren om het account toe te voegen. Deze melding toont een nummer dat ze moeten typen in de Authenticator-melding. Zie Gecombineerde registratie van beveiligingsgegevens inschakelen voor meer informatie over het instellen van gecombineerde registratie.
AD FS-adapter
AD FS-adapter vereist nummerkoppeling op ondersteunde versies van Windows Server. In eerdere versies blijven gebruikers de ervaring Weigeren goedkeuren/zien en zien ze geen overeenkomende nummers totdat u een upgrade uitvoert. De AD FS-adapter ondersteunt alleen nummerkoppeling nadat u een van de updates in de volgende tabel hebt geïnstalleerd. Zie Azure Multi-Factor Authentication-server configureren voor gebruik met AD FS in Windows Server voor meer informatie over het instellen van AD FS-adapter.
Notitie
Niet-gepatchte versies van Windows Server bieden geen ondersteuning voor nummerkoppeling. Gebruikers blijven de ervaring Weigeren goedkeuren/zien en zien geen overeenkomende nummers, tenzij deze updates worden toegepast.
Versie | Bijwerken |
---|---|
Windows Server 2022 | 9 november 2021— KB5007205 (os build 20348.350) |
Windows Server 2019 | 9 november 2021— KB5007206 (os build 17763.2300) |
Windows Server 2016 | 12 oktober 2021— KB5006669 (os build 14393.4704) |
NPS-extensie
Hoewel NPS geen ondersteuning biedt voor nummerkoppeling, biedt de nieuwste NPS-extensie wel ondersteuning voor op tijd gebaseerde EENMALIGE wachtwoordmethoden (TOTP), zoals de TOTP die beschikbaar is in Authenticator, andere softwaretokens en hardware-FOBs. TOTP-aanmelding biedt betere beveiliging dan de alternatieve ervaring weigeren goedkeuren/. Zorg ervoor dat u de nieuwste versie van de NPS-extensie uitvoert.
Iedereen die een RADIUS-verbinding met NPS-extensie versie 1.2.2216.1 of hoger uitvoert, wordt gevraagd zich aan te melden met een TOTP-methode in plaats van Weigeren goedkeuren/. Gebruikers moeten een TOTP-verificatiemethode hebben geregistreerd om dit gedrag te kunnen zien. Zonder registratie van een TOTP-methode blijven gebruikers weigeren goedkeuren/.
Organisaties die een van deze eerdere versies van de NPS-extensie uitvoeren, kunnen het register wijzigen zodat gebruikers een TOTP moeten invoeren:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Notitie
NPS-extensies die ouder zijn dan 1.0.1.40 bieden geen ondersteuning voor TOTP die wordt afgedwongen door nummerkoppeling. Deze versies blijven gebruikers presenteren met Weigeren goedkeuren/.
Als u de registervermelding wilt maken om de opties voor weigeren goedkeuren/in pushmeldingen te overschrijven en in plaats daarvan een TOTP te vereisen:
- Open de Register-editor op de NPS-server.
- Navigeer naar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Maak het volgende tekenreeks-/waardepaar:
- Naam: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Waarde = TRUE
- Start de NPS-service opnieuw op.
Aanvullend:
Gebruikers die TOTP uitvoeren, moeten Authenticator zijn geregistreerd als verificatiemethode, of een ander OATH-token voor hardware of software. Een gebruiker die geen TOTP-methode kan gebruiken, ziet altijd opties voor weigeren goedkeuren/ met pushmeldingen als ze een versie van de NPS-extensie gebruiken die ouder is dan 1.2.2216.1.
De NPS-server waarop de NPS-extensie is geïnstalleerd, moet worden geconfigureerd voor het gebruik van het PAP-protocol. Zie Bepalen welke verificatiemethoden uw gebruikers kunnen gebruiken voor meer informatie.
Belangrijk
MSCHAPv2 biedt geen ondersteuning voor TOTP. Als de NPS-server niet is geconfigureerd voor het gebruik van PAP, mislukt de gebruikersautorisatie met gebeurtenissen in het logboek AuthZOptCh van de NPS-extensieserver in Logboeken:
NPS-extensie voor Azure MFA: Uitdaging aangevraagd in Authentication Ext for User npstesting_ap. U kunt de NPS-server configureren ter ondersteuning van PAP. Als PAP geen optie is, kunt u OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE instellen om terug te vallen op Pushmeldingen weigeren goedkeuren/.
Als uw organisatie Extern bureaublad-gateway gebruikt en de gebruiker is geregistreerd voor een TOTP-code, samen met Verificator-pushmeldingen, kan de gebruiker niet voldoen aan de uitdaging voor meervoudige verificatie van Microsoft Entra en mislukt de aanmelding bij Extern bureaublad-gateway. In dit geval kunt u OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE instellen om terug te vallen op /Pushmeldingen weigeren goedkeuren met Authenticator.
Veelgestelde vragen
Kan ik me afmelden voor nummerkoppeling?
Nee, gebruikers kunnen zich niet afmelden voor nummerkoppeling in Authenticator-pushmeldingen.
Relevante services beginnen met het implementeren van deze wijzigingen na 8 mei 2023 en gebruikers zien het aantal overeenkomsten in goedkeuringsaanvragen. Wanneer services worden geïmplementeerd, zien sommigen mogelijk een overeenkomende waarde terwijl andere niet. Om consistent gedrag voor alle gebruikers te garanderen, raden we u ten zeerste aan om vooraf nummerovereenkomsten in te schakelen voor Authenticator-pushmeldingen.
Is nummerkoppeling alleen van toepassing als Verificator-pushmeldingen zijn ingesteld als de standaardverificatiemethode?
Ja. Als de gebruiker een andere standaardverificatiemethode heeft, is er geen wijziging in de standaardaanmelding. Als de standaardmethode Authenticator-pushmeldingen is, krijgen ze nummerkoppeling. Als de standaardmethode iets anders is, zoals TOTP in Authenticator of een andere provider, is er geen wijziging.
Ongeacht de standaardmethode ziet elke gebruiker die wordt gevraagd zich aan te melden met Authenticator-pushmeldingen nummerkoppeling. Als er om een andere methode wordt gevraagd, zien ze geen wijzigingen.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld voor meldingen via een mobiele app in het verouderde beleid voor de hele MFA-tenant?
Gebruikers die zijn ingeschakeld voor MFA-pushmeldingen in het verouderde MFA-beleid, zien ook een overeenkomst met nummers als het verouderde MFA-beleid Meldingen heeft ingeschakeld via een mobiele app. Gebruikers zien nummerkoppeling, ongeacht of ze zijn ingeschakeld voor Authenticator in het beleid voor verificatiemethoden.
Komt het aantal overeen met MFA-server?
Nee, nummerkoppeling wordt niet afgedwongen omdat het geen ondersteunde functie is voor MFA-server, die is afgeschaft.
Wat gebeurt er als een gebruiker een oudere versie van Authenticator uitvoert?
Als een gebruiker een oudere versie van Authenticator uitvoert die geen ondersteuning biedt voor nummerkoppeling, werkt verificatie niet. Gebruikers moeten upgraden naar de nieuwste versie van Authenticator om deze te kunnen gebruiken voor aanmelding.
Hoe kunnen gebruikers het nummer opnieuw controleren op mobiele iOS-apparaten nadat de overeenkomstaanvraag is weergegeven?
Tijdens mobiele iOS-brokerstromen wordt de aanvraag voor het vergelijken van nummers na een vertraging van twee seconden weergegeven. Als u het nummer opnieuw wilt controleren, klikt u nogmaals op Het nummer weergeven. Deze actie vindt alleen plaats in mobiele iOS-brokerstromen.
Wordt Apple Watch ondersteund voor Authenticator?
In de Authenticator-release in januari 2023 voor iOS is er geen aanvullende app voor watchOS omdat deze niet compatibel is met authenticator-beveiligingsfuncties. U kunt Authenticator niet installeren of gebruiken op Apple Watch. We raden u daarom aan Authenticator te verwijderen uit uw Apple Watch en u aan te melden met Authenticator op een ander apparaat.