Jak działa dopasowywanie liczb w powiadomieniach wypychanych uwierzytelniania wieloskładnikowego dla aplikacji Authenticator — zasady metod uwierzytelniania

Artykuł
10/25/2023

W tym temacie opisano, jak dopasowanie liczb w powiadomieniach wypychanych aplikacji Microsoft Authenticator zwiększa bezpieczeństwo logowania użytkownika. Dopasowywanie liczb jest kluczowym uaktualnieniem zabezpieczeń do tradycyjnych powiadomień o drugim współczynniku w aplikacji Authenticator.

Od 8 maja 2023 r. dla wszystkich powiadomień wypychanych aplikacji Authenticator jest włączone dopasowywanie liczb. W miarę wdrażania odpowiednich usług użytkownicy na całym świecie, którzy są włączeni dla powiadomień wypychanych Authenticator, zaczną widzieć liczbę zgodną w żądaniach zatwierdzenia. Użytkownicy mogą być włączeni dla powiadomień wypychanych Authenticator w zasadach metod uwierzytelniania lub starszych zasad uwierzytelniania wieloskładnikowego, jeśli powiadomienia za pośrednictwem aplikacji mobilnej są włączone.

Scenariusze dopasowywania liczb

Dopasowanie liczb jest dostępne w następujących scenariuszach. Po włączeniu wszystkie scenariusze obsługują dopasowywanie numerów.

Uwierzytelnianie wieloskładnikowe
Samoobsługowe resetowanie haseł
Łączna rejestracja samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego podczas konfigurowania aplikacji Authenticator
Adapter usług AD FS
Rozszerzenie serwera NPS

Dopasowywanie numerów nie jest obsługiwane w przypadku powiadomień wypychanych dla urządzeń z zegarkiem Apple Watch ani urządzeń z systemem Android do noszenia. Użytkownicy urządzeń do noszenia muszą używać telefonu do zatwierdzania powiadomień po włączeniu dopasowania numeru.

Uwierzytelnianie wieloskładnikowe

Gdy użytkownik odpowie na powiadomienie wypychane uwierzytelniania wieloskładnikowego przy użyciu aplikacji Authenticator, zostanie wyświetlony numer. Musi on wpisać tę liczbę w aplikacji, aby ukończyć zatwierdzanie. Aby uzyskać więcej informacji na temat sposobu konfigurowania uwierzytelniania wieloskładnikowego, zobacz Samouczek: zabezpieczanie zdarzeń logowania użytkownika za pomocą uwierzytelniania wieloskładnikowego firmy Microsoft Entra.

Screenshot of user entering a number match.

Samoobsługowe resetowanie hasła

Samoobsługowe resetowanie hasła (SSPR) z aplikacją Authenticator wymaga dopasowania liczb podczas korzystania z aplikacji Authenticator. Podczas samoobsługowego resetowania hasła na stronie logowania jest wyświetlana liczba, którą użytkownik musi wpisać w powiadomieniu Authenticator. Aby uzyskać więcej informacji na temat konfigurowania samoobsługowego resetowania hasła, zobacz Samouczek: włączanie użytkownikom odblokowania konta lub resetowania haseł.

Rejestracja łączona

Połączona rejestracja z aplikacją Authenticator wymaga dopasowania liczb. Gdy użytkownik przechodzi przez rejestrację połączoną w celu skonfigurowania aplikacji Authenticator, użytkownik musi zatwierdzić powiadomienie, aby dodać konto. To powiadomienie zawiera liczbę, którą muszą wpisać w powiadomieniu Authenticator. Aby uzyskać więcej informacji na temat konfigurowania rejestracji połączonej, zobacz Włączanie połączonej rejestracji informacji zabezpieczających.

Adapter usług AD FS

Adapter AD FS wymaga dopasowania numerów w obsługiwanych wersjach systemu Windows Server. We wcześniejszych wersjach użytkownicy nadal widzą środowisko Zatwierdź/odmowę i nie widzą dopasowania liczb do momentu uaktualnienia. Adapter AD FS obsługuje dopasowywanie numerów tylko po zainstalowaniu jednej z aktualizacji w poniższej tabeli. Aby uzyskać więcej informacji o sposobie konfigurowania adaptera usług AD FS, zobacz Konfigurowanie serwera usługi Azure Multi-Factor Authentication do pracy z usługami AD FS w systemie Windows Server.

Uwaga

Niesprawdzone wersje systemu Windows Server nie obsługują dopasowywania numerów. Użytkownicy nadal widzą środowisko Zatwierdź/odmowę i nie widzą dopasowania liczb, chyba że zostaną zastosowane te aktualizacje.

Wersja	Zaktualizuj
Windows Server 2022	9 listopada 2021 r. — KB5007205 (kompilacja systemu operacyjnego 20348.350)
Windows Server 2019	9 listopada 2021 r. — KB5007206 (kompilacja systemu operacyjnego 17763.2300)
System Windows Server 2016	12 października 2021 r. — KB5006669 (kompilacja systemu operacyjnego 14393.4704)

Rozszerzenie serwera zasad sieciowych

Mimo że serwer NPS nie obsługuje dopasowywania numerów, najnowsze rozszerzenie NPS obsługuje metody jednorazowego hasła (TOTP, time-based time password), takie jak TOTP dostępne w aplikacji Authenticator, inne tokeny oprogramowania i sprzętowe elementy FOB. Logowanie TOTP zapewnia lepsze zabezpieczenia niż alternatywna opcja Zatwierdź/odmowę. Upewnij się, że uruchomiono najnowszą wersję rozszerzenia serwera NPS.

Każdy, kto wykonuje połączenie RADIUS z rozszerzeniem NPS w wersji 1.2.2216.1 lub nowszej, zostanie wyświetlony monit o zalogowanie się przy użyciu metody TOTP zamiast zatwierdzenia/odmowy. Aby zobaczyć to zachowanie, użytkownicy muszą zarejestrować metodę uwierzytelniania TOTP. Bez zarejestrowanej metody TOTP użytkownicy nadal widzą pozycję Zatwierdź odmowę/.

Organizacje, które uruchamiają dowolne z tych wcześniejszych wersji rozszerzenia serwera NPS, mogą modyfikować rejestr, aby wymagać od użytkowników wprowadzenia protokołu TOTP:

1.2.2131.2
1.2.1959.1
1.2.1916.2
1.1.1892.2
1.0.1850.1
1.0.1.41
1.0.1.40

Uwaga

Rozszerzenia serwera NPS w wersjach starszych niż 1.0.1.40 nie obsługują protokołu TOTP wymuszanego przez dopasowanie liczb. Te wersje będą nadal przedstawiać użytkowników z odmową zatwierdzenia/.

Aby utworzyć wpis rejestru, aby zastąpić opcje Zatwierdź/odmowę w powiadomieniach wypychanych i zamiast tego wymagają protokołu TOTP:

Na serwerze NPS otwórz Edytor rejestru.
Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
Utwórz następującą parę Ciąg/Wartość:
- Nazwa: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Wartość = TRUE
Uruchom ponownie usługę NPS.

Dodatkowo:

Użytkownicy, którzy wykonują operację TOTP, muszą zarejestrować aplikację Authenticator jako metodę uwierzytelniania lub inny sprzęt lub token OATH oprogramowania. Użytkownik, który nie może użyć metody TOTP, zawsze będzie widzieć opcję Zatwierdź/odmowę z powiadomieniami wypychanymi, jeśli używa wersji rozszerzenia NPS starszej niż 1.2.2216.1.
Serwer NPS, na którym zainstalowano rozszerzenie serwera NPS, musi być skonfigurowany do używania protokołu PAP. Aby uzyskać więcej informacji, zobacz Określanie metod uwierzytelniania, których użytkownicy mogą używać.

Ważne

Protokół MSCHAPv2 nie obsługuje protokołu TOTP. Jeśli serwer NPS nie jest skonfigurowany do używania protokołu PAP, autoryzacja użytkownika kończy się niepowodzeniem ze zdarzeniami w dzienniku AuthZOptCh serwera rozszerzenia SERWERA NPS w Podgląd zdarzeń:
Rozszerzenie serwera NPS dla usługi Azure MFA: żądanie żądania w uwierzytelniania ext dla npstesting_ap użytkownika. Serwer NPS można skonfigurować tak, aby obsługiwał protokół PAP. Jeśli pap nie jest opcją, możesz ustawić OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAŁSZ, aby powrócić do opcji Zatwierdź powiadomienia wypychane./

Jeśli Twoja organizacja korzysta z bramy usług pulpitu zdalnego, a użytkownik jest zarejestrowany dla kodu TOTP wraz z powiadomieniami wypychanymi Authenticator, użytkownik nie może spełnić wyzwania uwierzytelniania wieloskładnikowego firmy Microsoft i logowanie bramy usług pulpitu zdalnego kończy się niepowodzeniem. W takim przypadku można ustawić wartość OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE, aby powrócić do opcji Zatwierdź/powiadomienia wypychane odmów za pomocą aplikacji Authenticator.

— często zadawane pytania

Czy mogę zrezygnować z dopasowywania liczb?

Nie, użytkownicy nie mogą zrezygnować z dopasowywania liczb w powiadomieniach wypychanych Authenticator.

Odpowiednie usługi zaczną wdrażać te zmiany po 8 maja 2023 r., a użytkownicy zaczną widzieć dopasowanie liczb w żądaniach zatwierdzenia. W miarę wdrażania usług niektóre mogą widzieć dopasowanie liczb, a inne nie. Aby zapewnić spójne zachowanie dla wszystkich użytkowników, zdecydowanie zalecamy włączenie dopasowania liczb dla powiadomień wypychanych Authenticator z wyprzedzeniem.

Czy dopasowanie liczb ma zastosowanie tylko wtedy, gdy powiadomienia wypychane aplikacji Authenticator są ustawione jako domyślna metoda uwierzytelniania?

Tak. Jeśli użytkownik ma inną domyślną metodę uwierzytelniania, nie ma żadnych zmian w domyślnym logowaniu. Jeśli domyślną metodą są powiadomienia wypychane Authenticator, są one zgodne z liczbą. Jeśli metoda domyślna to coś innego, takiego jak TOTP w aplikacji Authenticator lub inny dostawca, nie ma żadnych zmian.

Niezależnie od domyślnej metody każdy użytkownik, który jest monitowany o zalogowanie się przy użyciu powiadomień wypychanych aplikacji Authenticator, widzi dopasowanie liczb. Jeśli zostanie wyświetlony monit o inną metodę, nie będą widzieć żadnych zmian.

Co się stanie dla użytkowników, którzy nie są określeni w zasadach metod uwierzytelniania, ale są one włączone dla powiadomień za pośrednictwem aplikacji mobilnej w starszych zasadach dzierżawy uwierzytelniania wieloskładnikowego?

Użytkownicy, którzy są włączeni dla powiadomień wypychanych uwierzytelniania wieloskładnikowego w starszych zasadach uwierzytelniania wieloskładnikowego, zobaczą również dopasowanie liczb, jeśli starsze zasady uwierzytelniania wieloskładnikowego włączyły powiadomienia za pośrednictwem aplikacji mobilnej. Użytkownicy będą widzieć dopasowanie liczb niezależnie od tego, czy są one włączone dla wystawcy Authenticator w zasadach metod uwierzytelniania.

Screenshot of Notifications through mobile app setting.

Czy dopasowanie liczb jest obsługiwane z serwerem MFA?

Nie, dopasowywanie liczb nie jest wymuszane, ponieważ nie jest to funkcja obsługiwana dla serwera MFA, który jest przestarzały.

Co się stanie, jeśli użytkownik uruchamia starszą wersję aplikacji Authenticator?

Jeśli użytkownik korzysta ze starszej wersji aplikacji Authenticator, która nie obsługuje dopasowywania numerów, uwierzytelnianie nie będzie działać. Użytkownicy muszą przeprowadzić uaktualnienie do najnowszej wersji aplikacji Authenticator, aby używać jej do logowania.

Jak użytkownicy mogą ponownie sprawdzić numer na urządzeniach przenośnych z systemem iOS po pojawieniu się żądania dopasowania?

Podczas przepływów brokera dla urządzeń przenośnych z systemem iOS żądanie dopasowania liczby pojawia się w liczbie po dwóch sekundach opóźnienia. Aby ponownie sprawdzić liczbę, kliknij ponownie pozycję Pokaż mi liczbę. Ta akcja występuje tylko w przepływach brokera dla urządzeń przenośnych z systemem iOS.

Czy usługa Apple Watch jest obsługiwana dla aplikacji Authenticator?

W wersji Authenticator w styczniu 2023 r. dla systemu iOS nie ma aplikacji towarzyszącej dla systemu watchOS, ponieważ jest niezgodna z funkcjami zabezpieczeń aplikacji Authenticator. Nie można zainstalować ani używać aplikacji Authenticator na zegarku Apple Watch. Dlatego zalecamy usunięcie aplikacji Authenticator z zegarka Apple Watch i zalogowanie się przy użyciu aplikacji Authenticator na innym urządzeniu.

Następne kroki

Metody uwierzytelniania w usłudze Microsoft Entra ID