Jak używać dopasowywania liczb w powiadomieniach uwierzytelniania wieloskładnikowego — zasady metod uwierzytelniania
W tym temacie opisano sposób włączania dopasowywania numerów w powiadomieniach wypychanych aplikacji Microsoft Authenticator w celu poprawy zabezpieczeń logowania użytkownika.
Uwaga
Dopasowywanie liczb jest kluczowym uaktualnieniem zabezpieczeń do tradycyjnych powiadomień o drugim współczynniku w usłudze Microsoft Authenticator. Usuniemy kontrolki administratora i wymusimy dopasowanie liczby dla całej dzierżawy dla wszystkich użytkowników powiadomień wypychanych microsoft Authenticator od 8 maja 2023 r.
Zdecydowanie zalecamy włączenie dopasowywania numerów w najbliższej perspektywie w celu zwiększenia bezpieczeństwa logowania. Odpowiednie usługi zaczną wdrażać te zmiany po 8 maja 2023 r., a użytkownicy zaczną widzieć dopasowanie liczby w żądaniach zatwierdzenia. W miarę wdrażania usług niektóre mogą widzieć dopasowanie liczby, podczas gdy inne nie. Aby zapewnić spójne zachowanie dla wszystkich użytkowników, zdecydowanie zalecamy włączenie dopasowania numeru dla powiadomień wypychanych Microsoft Authenticator z wyprzedzeniem.
Wymagania wstępne
Twoja organizacja musi włączyć powiadomienia wypychane microsoft Authenticator (tradycyjny drugi czynnik) dla niektórych użytkowników lub grup przy użyciu nowych zasad metod uwierzytelniania. Zasady Metody uwierzytelniania można edytować przy użyciu Azure Portal lub microsoft interfejs Graph API.
Jeśli Twoja organizacja korzysta z adaptera usług AD FS lub rozszerzeń serwera NPS, uaktualnij do najnowszych wersji, aby uzyskać spójne środowisko.
Dopasowywanie liczb
Dopasowywanie liczb może być ukierunkowane tylko na jedną grupę, która może być dynamiczna lub zagnieżdżona. Lokalne zsynchronizowane grupy zabezpieczeń i grupy zabezpieczeń tylko w chmurze są obsługiwane dla zasad metody uwierzytelniania.
Dopasowanie liczb jest dostępne w następujących scenariuszach. Po włączeniu wszystkie scenariusze obsługują dopasowywanie numerów.
- Uwierzytelnianie wieloskładnikowe
- Samoobsługowe resetowanie haseł
- Połączona rejestracja samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego podczas konfigurowania aplikacji Authenticator
- Adapter usług AD FS
- Rozszerzenie serwera NPS
Dopasowywanie numerów nie jest obsługiwane w przypadku powiadomień wypychanych dla urządzeń apple Watch ani urządzeń z systemem Android do noszenia. Użytkownicy urządzeń z możliwością noszenia muszą używać swojego telefonu do zatwierdzania powiadomień po włączeniu dopasowania numeru.
Uwierzytelnianie wieloskładnikowe
Gdy użytkownik odpowie na powiadomienie wypychane usługi MFA przy użyciu aplikacji Authenticator, zostanie wyświetlony numer. Muszą wpisać ten numer w aplikacji, aby ukończyć zatwierdzenie. Aby uzyskać więcej informacji na temat konfigurowania uwierzytelniania wieloskładnikowego, zobacz Samouczek: Zabezpieczanie zdarzeń logowania użytkowników przy użyciu usługi Azure AD Multi-Factor Authentication.
Samoobsługowe resetowanie hasła
Samoobsługowe resetowanie hasła (SSPR) w usłudze Microsoft Authenticator będzie wymagać dopasowania numeru podczas korzystania z aplikacji Microsoft Authenticator. Podczas samoobsługowego resetowania hasła na stronie logowania zostanie wyświetlona liczba, którą użytkownik będzie musiał wpisać w powiadomieniu Microsoft Authenticator. Ta liczba będzie widoczna tylko dla użytkowników, którzy są włączeni w celu dopasowania liczb. Aby uzyskać więcej informacji na temat konfigurowania samoobsługowego resetowania hasła, zobacz Samouczek: umożliwianie użytkownikom odblokowania konta lub resetowania haseł.
Rejestracja łączona
Rejestracja w połączeniu z aplikacją Microsoft Authenticator będzie wymagać dopasowania liczb. Gdy użytkownik przejdzie przez połączoną rejestrację w celu skonfigurowania aplikacji Authenticator, użytkownik zostanie poproszony o zatwierdzenie powiadomienia w ramach dodawania konta. W przypadku użytkowników, którzy są włączeni w celu dopasowania numerów, to powiadomienie będzie zawierać liczbę, którą muszą wpisać w powiadomieniu aplikacji Authenticator. Aby uzyskać więcej informacji na temat konfigurowania rejestracji połączonej, zobacz Włączanie rejestracji połączonych informacji zabezpieczających.
Adapter usług AD FS
Adapter usług AD FS będzie wymagał dopasowania numerów w obsługiwanych wersjach systemu Windows Server. We wcześniejszych wersjach użytkownicy będą nadal widzieć środowisko Zatwierdź/odmowę i nie będą widzieć dopasowania liczb do momentu uaktualnienia. Karta AD FS obsługuje dopasowywanie numerów tylko po zainstalowaniu jednej z aktualizacji w poniższej tabeli. Aby uzyskać więcej informacji na temat sposobu konfigurowania adaptera usług AD FS, zobacz Konfigurowanie serwera usługi Azure Active Directory (Azure AD) Multi-Factor Authentication do pracy z usługami AD FS w systemie Windows Server.
Uwaga
Niespatchowane wersje systemu Windows Server nie obsługują dopasowywania numerów. Użytkownicy będą nadal widzieć środowisko Zatwierdź/odmowę i nie będą widzieć dopasowania liczb, chyba że te aktualizacje zostaną zastosowane.
| Wersja | Aktualizacja |
|---|---|
| Windows Server 2022 | 9 listopada 2021 r. — KB5007205 (kompilacja systemu operacyjnego 20348.350) |
| Windows Server 2019 | 9 listopada 2021 r. — KB5007206 (kompilacja systemu operacyjnego 17763.2300) |
| Windows Server 2016 | 12 października 2021 r. — KB5006669 (kompilacja systemu operacyjnego 14393.4704) |
Rozszerzenie serwera zasad sieciowych
Chociaż serwer NPS nie obsługuje dopasowywania numerów, najnowsze rozszerzenie SERWERA NPS obsługuje metody One-Time Password (OTP), takie jak OTP dostępne w usłudze Microsoft Authenticator, inne tokeny oprogramowania i sprzętowe interfejsy FOB. Logowanie OTP zapewnia lepsze zabezpieczenia niż alternatywne środowisko zatwierdzania/odmowy . Upewnij się, że uruchomiono najnowszą wersję rozszerzenia serwera NPS.
Po 8 maja 2023 r. po włączeniu dopasowania liczb dla wszystkich użytkowników każdy, kto wykonuje połączenie RADIUS z rozszerzeniem NPS w wersji 1.2.2216.1 lub nowszej, zostanie wyświetlony monit o zalogowanie się przy użyciu metody OTP.
Aby zobaczyć to zachowanie, użytkownicy muszą mieć zarejestrowaną metodę uwierzytelniania OTP. Bez zarejestrowanej metody OTP użytkownicy nadal widząpozycję Zatwierdź odmowę/.
Przed wydaniem rozszerzenia SERWERA NPS w wersji 1.2.2216.1 po 8 maja 2023 r. organizacje, które uruchamiają dowolne z tych wcześniejszych wersji rozszerzenia NPS, mogą modyfikować rejestr, aby wymagać od użytkowników wprowadzenia OTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Uwaga
Rozszerzenia SERWERA NPS w wersjach starszych niż 1.0.1.40 nie obsługują protokołu OTP wymuszanego przez dopasowanie liczb. Te wersje będą nadal prezentować użytkowników z odmową zatwierdzenia/.
Aby utworzyć wpis rejestru w celu zastąpienia opcji Zatwierdź/odmowę w powiadomieniach wypychanych i wymagaj zamiast tego protokołu OTP:
- Na serwerze NPS otwórz Edytor rejestru.
- Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Utwórz następującą parę Ciąg/Wartość: Nazwa: OVERRIDE_NUMBER_MATCHING_WITH_OTP Wartość = TRUE
- Uruchom ponownie usługę NPS.
Dodatkowo:
Użytkownicy, którzy wykonują OTP, muszą zarejestrować się w aplikacji Microsoft Authenticator jako metodę uwierzytelniania lub inny sprzęt lub token OATH oprogramowania. Użytkownik, który nie może użyć metody OTP, zawsze będzie widzieć opcje Zatwierdź/odmowę z powiadomieniami wypychanymi, jeśli używa wersji rozszerzenia NPS starszej niż 1.2.2216.1.
Aby dopasować liczbę, użytkownicy muszą być włączeni.
Serwer NPS, na którym zainstalowano rozszerzenie serwera NPS, musi być skonfigurowany do korzystania z protokołu PAP. Aby uzyskać więcej informacji, zobacz Określanie metod uwierzytelniania, których użytkownicy mogą używać.
Ważne
Protokół MSCHAPv2 nie obsługuje protokołu OTP. Jeśli serwer NPS nie jest skonfigurowany do używania protokołu PAP, autoryzacja użytkownika zakończy się niepowodzeniem zdarzeń w dzienniku AuthZOptCh serwera rozszerzeń SERWERA NPS w Podgląd zdarzeń:
Rozszerzenie serwera NPS dla usługi Azure MFA: żądanie żądania w uwierzytelnianie ext dla npstesting_ap użytkownika. Serwer NPS można skonfigurować tak, aby obsługiwał protokół PAP. Jeśli pap nie jest opcją, możesz ustawić OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAŁSZ, aby powrócić do opcji Zatwierdź/Odmów powiadomień wypychanych.
Jeśli Twoja organizacja korzysta z bramy usług pulpitu zdalnego, a użytkownik jest zarejestrowany w kodzie OTP wraz z powiadomieniami wypychanymi microsoft Authenticator, użytkownik nie będzie mógł spełnić Azure AD wyzwanie uwierzytelniania wieloskładnikowego i logowanie bramy usług pulpitu zdalnego zakończy się niepowodzeniem. W takim przypadku można ustawić OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAŁSZ, aby powrócić do opcji Zatwierdź/ powiadomienia wypychaneza pomocą aplikacji Microsoft Authenticator.
Usługa Apple Watch obsługiwana dla aplikacji Microsoft Authenticator
W nadchodzącej wersji Microsoft Authenticator w styczniu 2023 r. dla systemu iOS nie będzie żadnej aplikacji towarzyszącej dla systemu watchOS z powodu niezgodności z funkcjami zabezpieczeń Authenticator. Nie będzie można zainstalować ani użyć programu Microsoft Authenticator w usłudze Apple Watch. W związku z tym zalecamy usunięcie aplikacji Microsoft Authenticator z zegarka Apple Watch i zalogowanie się przy użyciu aplikacji Microsoft Authenticator na innym urządzeniu.
Włączanie dopasowywania liczb w portalu
Aby włączyć dopasowywanie liczb w Azure Portal, wykonaj następujące kroki:
W Azure Portal kliknij pozycjęMetody> uwierzytelniania zabezpieczeń>Microsoft Authenticator.
Na karcie Włącz i cel kliknij pozycję Tak i Wszyscy użytkownicy , aby włączyć zasady dla wszystkich lub dodać wybranych użytkowników i grupy. Ustaw tryb uwierzytelniania dla tych użytkowników/grup na dowolną lub wypychaną.
Tylko użytkownicy, którzy są w tym miejscu włączeni dla aplikacji Microsoft Authenticator, mogą być uwzględniani w zasadach, aby wymagać dopasowania numeru do logowania lub wykluczenia z niego. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie widzą tej funkcji.
Na karcie Konfigurowanie w obszarze Wymagaj dopasowania numerów dla powiadomień wypychanych zmień wartość Stan na Włączone, wybierz, kto ma zawierać lub wykluczać z dopasowywania liczb, a następnie kliknij przycisk Zapisz.
Włączanie dopasowywania liczb przy użyciu interfejsów API programu Graph
Zidentyfikuj pojedynczą grupę docelową dla konfiguracji schematu. Następnie użyj następującego punktu końcowego interfejsu API, aby zmienić właściwość numberMatchingRequiredState w obszarze featureSettings, aby włączyć i uwzględnić lub wykluczyć grupy:
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Uwaga
W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .
MicrosoftAuthenticatorAuthenticationMethodConfiguration — właściwości
WŁAŚCIWOŚCI
| Właściwość | Typ | Opis |
|---|---|---|
| identyfikator | Ciąg | Identyfikator zasad metody uwierzytelniania. |
| stan | authenticationMethodState | Możliwe wartości to: włączone Wyłączone |
RELACJE
| Relacja | Typ | Opis |
|---|---|---|
| includeTargets | kolekcja microsoftAuthenticatorAuthenticationMethodTarget | Kolekcja użytkowników lub grup, które są włączone do korzystania z metody uwierzytelniania |
| featureSettings | kolekcja microsoftAuthenticatorFeatureSettings | Kolekcja funkcji aplikacji Microsoft Authenticator. |
Obiekt MicrosoftAuthenticator includeTarget properties
WŁAŚCIWOŚCI
| Właściwość | Typ | Opis |
|---|---|---|
| Authenticationmode | Ciąg | Możliwe wartości: dowolne: Zarówno logowanie za pomocą telefonu bez hasła, jak i tradycyjne powiadomienia o drugim współczynniku są dozwolone. deviceBasedPush: dozwolone są tylko powiadomienia logowania bez hasła. wypychanie: dozwolone są tylko tradycyjne powiadomienia wypychane z drugiego składnika. |
| identyfikator | Ciąg | Identyfikator obiektu Azure AD użytkownika lub grupy. |
| Targettype | authenticationMethodTargetType | Możliwe wartości to: użytkownik, grupa. |
MicrosoftAuthenticator featureSettings properties
WŁAŚCIWOŚCI
| Właściwość | Typ | Opis |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Wymagaj dopasowania liczb dla powiadomień uwierzytelniania wieloskładnikowego. Wartość jest ignorowana w przypadku powiadomień logowania na telefon. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Określa, czy użytkownik jest wyświetlany jako nazwa aplikacji w powiadomieniu Microsoft Authenticator. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Określa, czy użytkownik jest wyświetlany kontekst lokalizacji geograficznej w powiadomieniu Microsoft Authenticator. |
Właściwości konfiguracji funkcji metody uwierzytelniania
WŁAŚCIWOŚCI
| Właściwość | Typ | Opis |
|---|---|---|
| excludeTarget | featureTarget | Pojedyncza jednostka, która jest wykluczona z tej funkcji. Można wykluczyć tylko jedną grupę na potrzeby dopasowywania liczb. |
| includeTarget | featureTarget | Pojedyncza jednostka uwzględniona w tej funkcji. Można dołączyć tylko jedną grupę do dopasowywania liczb. |
| Stan | advancedConfigState | Możliwe wartości: włączone jawnie włącza funkcję dla wybranej grupy. wyłączone jawnie wyłącza funkcję dla wybranej grupy. Ustawienie domyślne zezwala Azure AD na zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy. |
Właściwości obiektu docelowego funkcji
WŁAŚCIWOŚCI
| Właściwość | Typ | Opis |
|---|---|---|
| identyfikator | Ciąg | Identyfikator docelowej jednostki. |
| Targettype | featureTargetType | Rodzaj jednostki docelowej, na przykład grupa, rola lub jednostka administracyjna. Możliwe wartości to: "group", "administrativeUnit", "role", unknownFutureValue". |
Uwaga
Dopasowanie liczb można włączyć tylko dla jednej grupy.
Przykład sposobu włączania dopasowywania liczb dla wszystkich użytkowników
W obszarze featureSettings należy zmienić wartość parametru numberMatchingRequiredState z domyślnego na włączoną.
Wartość trybu uwierzytelniania może być dowolna lub wypychana, w zależności od tego, czy chcesz również włączyć logowanie za pomocą telefonu bez hasła. W tych przykładach użyjemy dowolnego elementu, ale jeśli nie chcesz zezwalać na używanie hasła bez hasła, użyj wypychania.
Uwaga
W przypadku użytkowników bez hasła włączanie lub wyłączanie dopasowywania numerów nie ma wpływu, ponieważ jest to już część środowiska bez hasła.
Może być konieczne stosowanie poprawek całego schematu, aby zapobiec zastępowaniu poprzedniej konfiguracji. W takim przypadku najpierw wykonaj polecenie GET, zaktualizuj tylko odpowiednie pola, a następnie pozycję PATCH. W poniższym przykładzie pokazano tylko aktualizację parametru numberMatchingRequiredState w obszarze featureSettings.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w ramach funkcji includeTargets firmy Microsoft, zobaczą wymaganie dopasowania liczb. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tej funkcji.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"numberMatchingRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aby potwierdzić zastosowanie zmiany, uruchom żądanie GET przy użyciu następującego punktu końcowego:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Przykład sposobu włączania dopasowywania liczb dla pojedynczej grupy
W obszarze featureSettings należy zmienić wartość numberMatchingRequiredState z domyślnej na włączoną. W pliku includeTarget należy zmienić identyfikator z all_users na ObjectID grupy z Azure Portal.
Aby usunąć wykluczona grupę z dopasowania liczb, zmień identyfikatorexcludeTarget na 00000000-0000-0000-0000-000000000000.
Należy zastosować poprawkę całej konfiguracji, aby zapobiec zastępowaniu poprzedniej konfiguracji. Zalecamy najpierw wykonanie polecenia GET, a następnie zaktualizowanie tylko odpowiednich pól, a następnie poprawkę PATCH. W poniższym przykładzie pokazano tylko aktualizację parametru numberMatchingRequiredState.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w ramach funkcji includeTargets firmy Microsoft, zobaczą wymaganie dopasowania liczb. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tej funkcji.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"numberMatchingRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Aby to sprawdzić, uruchom ponownie polecenie GET i sprawdź identyfikator ObjectID:
GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Często zadawane pytania
Kiedy dzierżawa będzie widzieć dopasowanie numerów, jeśli nie używam Azure Portal lub interfejs Graph API w celu wdrożenia zmiany?
Dopasowanie liczby zostanie włączone dla wszystkich użytkowników powiadomień wypychanych aplikacji Microsoft Authenticator po 8 maja 2023 r. Wcześniej ogłosiliśmy, że usuniemy kontrolki administratora i wymusimy obsługę zgodności numerów dla całej dzierżawy dla wszystkich użytkowników powiadomień wypychanych aplikacji Microsoft Authenticator od 27 lutego 2023 r. Po wysłuchaniu klientów rozszerzymy dostępność kontrolek wprowadzania przez kilka tygodni.
Odpowiednie usługi rozpoczną wdrażanie tych zmian po 8 maja 2023 r., a użytkownicy zaczną widzieć dopasowanie liczby w żądaniach zatwierdzenia. W miarę wdrażania usług niektóre mogą widzieć dopasowanie liczb, a inne nie. Aby zapewnić spójne zachowanie dla wszystkich użytkowników, zdecydowanie zalecamy użycie Azure Portal lub interfejs Graph API, aby wdrożyć dopasowanie liczb dla wszystkich użytkowników aplikacji Microsoft Authenticator.
Czy zmiany wprowadzone po 8 maja 2023 r. zastąpią ustawienia dopasowania numerów skonfigurowane dla grupy w zasadach Metody uwierzytelniania?
Nie, zmiany po 8 maja nie będą mieć wpływu na kartę Włącz i cel dla aplikacji Microsoft Authenticator w zasadach Metody uwierzytelniania. Administratorzy mogą nadal kierować do określonych użytkowników i grup lub wszyscy użytkownicy w trybie wypychania Microsoft Authenticator lub dowolnego uwierzytelniania.
Gdy firma Microsoft zacznie chronić wszystkie organizacje, włączając dopasowywanie numerów po 8 maja 2023 r., administratorzy zobaczą ustawienie Wymagaj dopasowania numerów dla powiadomień wypychanych na karcie Konfigurowanie zasad Microsoft Authenticator jest ustawione na wartość Włączone dla wszystkich użytkowników i nie można ich wyłączyć. Ponadto opcja Wyklucz dla tego ustawienia zostanie usunięta.
Co się stanie w przypadku użytkowników, którzy nie są określeni w zasadach metod uwierzytelniania, ale są one włączone dla powiadomień za pośrednictwem aplikacji mobilnej w starszych zasadach dotyczących dzierżawy usługi MFA?
Użytkownicy, którzy są włączeni dla powiadomień wypychanych uwierzytelniania wieloskładnikowego w starszych zasadach uwierzytelniania wieloskładnikowego, zobaczą również dopasowanie liczb po 8 maja 2023 r. Jeśli starsze zasady uwierzytelniania wieloskładnikowego włączyły powiadomienia za pośrednictwem aplikacji mobilnej, użytkownicy będą widzieć dopasowanie numerów niezależnie od tego, czy jest ona włączona na karcie Włącz i cel dla aplikacji Microsoft Authenticator w zasadach Metody uwierzytelniania.
Jak użytkownicy powinni być przygotowani do dopasowywania liczb domyślnych?
Poniżej przedstawiono różnice w scenariuszach logowania, które użytkownicy aplikacji Microsoft Authenticator zobaczą po domyślnie włączeniu dopasowania liczb:
Przepływy uwierzytelniania będą wymagać od użytkowników dopasowania numerów podczas korzystania z aplikacji Microsoft Authenticator. Jeśli ich wersja aplikacji Microsoft Authenticator nie obsługuje dopasowania numeru, ich uwierzytelnianie zakończy się niepowodzeniem.
Samoobsługowe resetowanie hasła (SSPR) i rejestracja połączona będą również wymagać dopasowania liczb podczas korzystania z aplikacji Microsoft Authenticator.
Adapter usług AD FS będzie wymagał dopasowania numerów w obsługiwanych wersjach systemu Windows Server. We wcześniejszych wersjach użytkownicy będą nadal widzieć środowisko Zatwierdź/odmowę i nie będą widzieć dopasowania liczb do momentu uaktualnienia.
Wersje rozszerzenia serwera NPS, począwszy od wersji 1.2.2131.2, będą wymagać od użytkowników dopasowania numerów. Ponieważ rozszerzenie serwera NPS nie może wyświetlić liczby, użytkownik zostanie poproszony o wprowadzenie One-Time kodu dostępu (OTP). Użytkownik musi mieć metodę uwierzytelniania OTP, taką jak Microsoft Authenticator lub tokeny OATH oprogramowania zarejestrowane, aby zobaczyć to zachowanie. Jeśli użytkownik nie ma zarejestrowanej metody OTP, będzie nadal uzyskiwać środowisko Zatwierdź/odmowę .
Aby utworzyć wpis rejestru, który zastępuje to zachowanie i monituje użytkowników o zatwierdzenie/odmowy:
- Na serwerze NPS otwórz Edytor rejestru.
- Przejdź do HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Utwórz następujący ciąg/wartość: Name: OVERRIDE_NUMBER_MATCHING_WITH_OTP Value = FALSE
- Uruchom ponownie usługę NPS.
Zegarek Apple Watch pozostanie nieobsługiwany na potrzeby dopasowywania numerów. Zalecamy odinstalowanie aplikacji Microsoft Authenticator Apple Watch, ponieważ musisz zatwierdzić powiadomienia na telefonie.
Jak użytkownicy mogą wprowadzić OTP przy użyciu rozszerzenia serwera NPS?
Aby wyświetlić monity OTP, sieć VPN i serwer NPS muszą używać protokołu PAP. Jeśli używają protokołu, który nie obsługuje protokołu OTP, takiego jak MSCHAPv2, będą nadal widzieć powiadomienia Zatwierdź/Odmów .
Czy użytkownicy będą otrzymywać monit podobny do monitu o dopasowanie liczby, ale będzie musiał wprowadzić OTP?
Zostanie wyświetlony monit o podanie kodu weryfikacyjnego. Muszą wybrać swoje konto w aplikacji Microsoft Authenticator i wprowadzić losowy wygenerowany tam kod.
Czy mogę zrezygnować z dopasowywania liczb?
Tak, obecnie można wyłączyć dopasowywanie liczb. Zdecydowanie zalecamy włączenie dopasowania numerów dla wszystkich użytkowników w dzierżawie, aby chronić się przed atakami zmęczenia uwierzytelniania wieloskładnikowego. Aby chronić ekosystem i ograniczyć te zagrożenia, firma Microsoft włączy dopasowywanie numerów dla wszystkich dzierżaw od 8 maja 2023 r. Po włączeniu ochrony domyślnie użytkownicy nie mogą zrezygnować z dopasowywania liczb w powiadomieniach wypychanych aplikacji Microsoft Authenticator.
Odpowiednie usługi rozpoczną wdrażanie tych zmian po 8 maja 2023 r., a użytkownicy zaczną widzieć dopasowanie liczby w żądaniach zatwierdzenia. W miarę wdrażania usług niektóre mogą widzieć dopasowanie liczb, a inne nie. Aby zapewnić spójne zachowanie dla wszystkich użytkowników, zdecydowanie zalecamy włączenie dopasowania numerów dla powiadomień wypychanych aplikacji Microsoft Authenticator z wyprzedzeniem.
Czy dopasowanie liczb ma zastosowanie tylko wtedy, gdy aplikacja Microsoft Authenticator jest ustawiona jako domyślna metoda uwierzytelniania?
Jeśli użytkownik ma inną domyślną metodę uwierzytelniania, nie będzie żadnych zmian w domyślnym logowaniu. Jeśli domyślną metodą jest Microsoft Authenticator, a użytkownik jest określony w jednej z następujących zasad, rozpocznie odbieranie numerów pasujących do zatwierdzenia po 8 maja 2023 r.:
- Zasady metod uwierzytelniania (w portalu kliknij pozycjęZasady metod> uwierzytelniania zabezpieczeń>)
- Starsze zasady dotyczące całej dzierżawy usługi MFA (w portalu kliknij pozycję Security>Multifactor Authentication>Dodatkowe ustawienia uwierzytelniania wieloskładnikowego opartego na chmurze)
Niezależnie od domyślnej metody każdy użytkownik, który jest monitowany o zalogowanie się przy użyciu powiadomień wypychanych aplikacji Authenticator, zobaczy dopasowanie liczb po 8 maja 2023 r. Jeśli użytkownik jest monitowany o inną metodę, nie zobaczy żadnych zmian.
Czy dopasowanie liczb jest obsługiwane przez serwer MFA?
Nie, dopasowywanie liczb nie jest wymuszane, ponieważ nie jest to obsługiwana funkcja dla serwera MFA, która jest przestarzała.
Co się stanie, jeśli użytkownik uruchomi starszą wersję aplikacji Microsoft Authenticator?
Jeśli użytkownik korzysta ze starszej wersji aplikacji Microsoft Authenticator, która nie obsługuje dopasowywania numerów, uwierzytelnianie nie będzie działać, jeśli włączono dopasowanie liczb. Użytkownicy muszą przeprowadzić uaktualnienie do najnowszej wersji aplikacji Microsoft Authenticator, aby używać jej do logowania, jeśli korzystają z wersji systemu Android starszych niż 6.2006.4198 lub iOS wcześniejszych niż 6.4.12.
Dlaczego mój użytkownik jest monitowany o naciśnięcie jednej z trzech liczb zamiast wprowadzać liczbę w aplikacji Microsoft Authenticator?
Starsze wersje aplikacji Microsoft Authenticator monitować użytkowników o naciśnięcie i wybranie liczby zamiast wprowadzać liczbę w aplikacji Microsoft Authenticator. Te uwierzytelnianie nie powiedzie się, ale firma Microsoft zdecydowanie zaleca użytkownikom uaktualnienie do najnowszej wersji aplikacji Microsoft Authenticator, jeśli korzystają z wersji systemu Android starszych niż 6.2108.5654 lub iOS wcześniejszych niż 6.5.82, aby mogli używać dopasowania liczb.
Minimalna wersja aplikacji Microsoft Authenticator obsługująca dopasowywanie numerów:
- Android: 6.2006.4198
- iOS: 6.4.12
Minimalna wersja aplikacji Microsoft Authenticator dla dopasowania numerów, które monituje o wprowadzenie liczby:
- Android 6.2111.7701
- iOS 6.5.85