Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como a correspondência de números em notificações por push do Authenticator melhora a segurança de entrada do usuário. A correspondência de números é uma atualização de segurança chave para as notificações tradicionais de segundo fator no Authenticator.
A correspondência de números está habilitada para todas as notificações por push do Authenticator.
Cenários de correspondência de números
A correspondência de números está disponível para os cenários a seguir. Quando estiver habilitado, todos os cenários dão suporte à correspondência de números:
- MFA
- SSPR (redefinição de senha por autoatendimento)
- Registro combinado de SSPR e MFA durante a instalação do aplicativo Authenticator
- Adaptador do Active Directory Federation Services (AD FS)
- Extensão do NPS (Servidor de Política de Rede)
Não há suporte para correspondência de números em notificações por push para dispositivos vestíveis Apple Watch ou Android. Os usuários de dispositivos vestíveis precisam usar seu telefone para aprovar notificações quando a correspondência de números está habilitada.
Autenticação multifator
Quando os usuários respondem a uma notificação por push de MFA usando o Authenticator, eles veem um número. Eles precisam inserir esse número no aplicativo para concluir a aprovação. Para obter mais informações sobre como configurar a MFA, consulte Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra.
SSPR
O SSPR com o Authenticator requer correspondência de números quando um usuário usa o Authenticator. Durante a SSPR, a página de entrada mostra um número que o usuário precisa inserir na notificação do Authenticator. Para obter mais informações sobre como configurar o SSPR, consulte Tutorial: Permitir que os usuários desbloqueiem sua conta ou redefinam senhas.
Registro combinado
O registro combinado com o Authenticator requer correspondência de números. Quando um usuário passa por um registro combinado para configurar o Authenticator, o usuário precisa aprovar uma notificação para adicionar a conta. Esta notificação mostra um número que o usuário precisa inserir na notificação do Authenticator. Para obter mais informações sobre como configurar o registro combinado, consulte Habilitar o registro combinado de informações de segurança.
Adaptador do AD FS
O adaptador do AD FS requer correspondência numérica em versões com suporte do Windows Server. Em versões anteriores, os usuários continuam a ver a experiência Aprovar/Negar e não veem correspondência de números até que atualizem. O adaptador do AD FS dá suporte à correspondência de números somente depois de instalar uma das atualizações da tabela a seguir. Para obter mais informações sobre como configurar o adaptador do AD FS, consulte Configurar o Servidor de Autenticação Multifator do Microsoft Entra para trabalhar com o AD FS no Windows Server.
Observação
Versões não atualizadas do Windows Server não dão suporte à correspondência de números. Os usuários continuam vendo a experiência de Aprovar/Negar e não veem a correspondência de números a menos que essas atualizações sejam aplicadas.
| Versão | Atualização |
|---|---|
| Windows Server 2022 | 9 de novembro de 2021 — KB5007205 (SO Build 20348.350) |
| Windows Server 2019 | 9 de novembro de 2021 — KB5007206 (build do sistema operacional 17763.2300) |
| Windows Server 2016 | 12 de outubro de 2021 — KB5006669 (build do sistema operacional 14393.4704) |
Extensão NPS
Embora o NPS não dê suporte à correspondência de números, a extensão NPS mais recente dá suporte a métodos de TOTP (senha única baseada em tempo), como o TOTP disponível no Authenticator, outros tokens de software e FOBs de hardware. A entrada com TOTP fornece melhor segurança do que a experiência alternativa de Aprovar/Negar. Verifique se você executa a versão mais recente da extensão NPS.
Qualquer pessoa que executa uma conexão RADIUS com a extensão NPS versão 1.2.2216.1 ou posterior é solicitada a entrar com um método TOTP em vez de Aprovar/Negação. Os usuários precisam ter um método de autenticação TOTP registrado para ver esse comportamento. Sem um método TOTP registrado, os usuários continuam a ver Aprovar/Negação.
As organizações que executam qualquer uma dessas versões anteriores da extensão NPS podem modificar o registro para exigir que os usuários insiram um TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Observação
As versões de extensões de NPS anteriores à 1.0.1.40 não dão suporte ao TOTP imposto pela correspondência de números. Essas versões continuam a usar Approve/Deny.
Para criar a entrada do Registro para substituir as opções Aprovar/Negar nas notificações por push e exigir um TOTP:
No servidor NPS, abra o Editor do Registro.
Acesse
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.Crie o seguinte par de cadeia de caracteres/valor:
- Nome:
OVERRIDE_NUMBER_MATCHING_WITH_OTP - Valor =
TRUE
- Nome:
Reinicie o serviço NPS.
Além disso:
Os usuários que executam o TOTP devem ter o Authenticator registrado como um método de autenticação ou algum outro token OATH de hardware ou software. Os usuários que não podem usar um método TOTP sempre verão opções aprovar/negação com notificações por push se usarem uma versão da extensão NPS anterior à 1.2.2216.1.
O servidor NPS em que a extensão NPS está instalada deve ser configurado para usar o PAP (Protocolo de Autenticação de Senha). Para mais informações, veja Determinar quais métodos de autenticação os usuários podem usar.
Importante
O MSCHAPv2 não dá suporte ao TOTP. Se o servidor NPS não estiver configurado para usar o PAP, a autorização do usuário falhará com eventos no log AuthZOptCh do servidor de extensão NPS no Visualizador de Eventos:
- Extensão NPS para Azure MFA: Desafio solicitado na extensão de autenticação para o usuário
npstesting_ap.
Você pode configurar o servidor NPS para dar suporte ao PAP. Se PAP não for uma opção, defina
OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSEpara recuar para Aprovar/Negar as notificações por push.- Extensão NPS para Azure MFA: Desafio solicitado na extensão de autenticação para o usuário
Se sua organização usar o Gateway de Área de Trabalho Remota e o usuário registrado para um código TOTP junto com as notificações por push do Authenticator, o usuário não poderá atender ao desafio do Microsoft Entra MFA e a entrada do Gateway de Área de Trabalho Remota falhará. Nesse caso, defina OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para recuar para Aprovar/Negar notificações por push com o Authenticator.
Perguntas frequentes
Esta seção fornece respostas para perguntas comuns.
Os usuários podem recusar a correspondência de números?
Não, os usuários não podem recusar a correspondência de números em notificações por push do Authenticator.
A correspondência de números só se aplicará se as notificações por push do Authenticator forem definidas como o método de autenticação padrão?
Sim. Se o usuário tiver um método de autenticação padrão diferente, não haverá nenhuma alteração na entrada padrão. Se o método padrão for notificações por push do Authenticator, obterão a correspondência de números. Se o método padrão for qualquer outra coisa, como TOTP no Authenticator ou em outro provedor, não haverá nenhuma alteração.
Independentemente do método padrão, qualquer usuário que for solicitado a entrar com notificações por push do Authenticator verá a correspondência de números. Se forem solicitados a usar outro método, não verão nenhuma alteração.
O que acontece para usuários que não são especificados na política de métodos de Autenticação, mas estão habilitados para notificações por meio do aplicativo móvel na política herdada em todo o locatário da MFA?
Os usuários habilitados para notificações por push de MFA na política de MFA herdada também verão correspondência numérica se a política de MFA herdada habilitada notificação por meio do aplicativo móvel. Os usuários veem correspondência de números independentemente de estarem habilitados para o Authenticator na política de métodos de autenticação.
Há suporte para correspondência numérica com o Servidor de Autenticação Multifator do Azure?
Não, a correspondência de números não é imposta porque não é um recurso com suporte para o Servidor de Autenticação Multifator do Azure, que foi descontinuado.
O que acontece se um usuário executar uma versão mais antiga do Authenticator?
Se um usuário executar uma versão mais antiga do Authenticator que não oferece suporte à correspondência de números, a autenticação não funcionará. Eles precisam atualizar para a versão mais recente do Authenticator para usá-la para entrar.
Como os usuários podem verificar o número novamente em dispositivos iOS após a solicitação de pareamento aparecer?
Durante os fluxos do agente iOS para dispositivos móveis, a solicitação de correspondência de número aparece em cima do número após um atraso de dois segundos. Para verificar novamente o número, selecione Mostrar-me o número novamente. Essa ação ocorre apenas em fluxos de corretagem no iOS.
O Apple Watch tem suporte para o Authenticator?
Na versão do Authenticator em janeiro de 2023 para iOS, não há nenhum aplicativo complementar para watchOS porque ele é incompatível com os recursos de segurança do Authenticator. Você não pode instalar ou usar o Authenticator no Apple Watch. Recomendamos que você exclua o Authenticator do Apple Watch e entre com o Authenticator em outro dispositivo.