Como funciona a correspondência numérica em notificações por push de autenticação multifator para o Autenticador - Política de métodos de autenticação
Este tópico aborda como a correspondência de números nas notificações por push do Microsoft Authenticator melhora a segurança de entrada do usuário. A correspondência de números é uma atualização de segurança fundamental para as notificações tradicionais de segundo fator no Authenticator.
A partir de 8 de maio de 2023, a correspondência de números está habilitada para todas as notificações push do Authenticator. À medida que os serviços relevantes forem implantados, os usuários em todo o mundo habilitados para notificações por push do Authenticator começarão a ver a correspondência de números em suas solicitações de aprovação. Os usuários podem ser habilitados para notificações por push do Autenticador na política de métodos de autenticação ou na política de autenticação multifator herdada se a opção Notificações por meio de aplicativo móvel estiver habilitada.
Cenários de correspondência numérica
A correspondência numérica está disponível para os seguintes cenários. Quando ativado, todos os cenários suportam a correspondência de números.
- Autenticação multifator
- Reposição personalizada de palavras-passe
- Registro combinado de SSPR e MFA durante a configuração do aplicativo Authenticator
- Adaptador AD FS
- Extensão NPS
A correspondência numérica não é suportada para notificações push para dispositivos vestíveis Apple Watch ou Android. Os usuários de dispositivos vestíveis precisam usar o telefone para aprovar notificações quando a correspondência de números está ativada.
Autenticação multifator
Quando um usuário responde a uma notificação por push de MFA usando o Authenticator, ele receberá um número. Deverá introduzir esse número na aplicação para concluir a aprovação. Para obter mais informações sobre como configurar o MFA, consulte Tutorial: Proteger eventos de entrada do usuário com a autenticação multifator do Microsoft Entra.
SSPR
A redefinição de senha de autoatendimento (SSPR) com o Autenticador requer correspondência numérica ao usar o Autenticador. Durante a redefinição da senha de autoatendimento, a página de entrada mostra um número que o usuário precisa digitar na notificação do Autenticador. Para obter mais informações sobre como configurar o SSPR, consulte Tutorial: Permitir que os usuários desbloqueiem suas contas ou redefinissem senhas.
Registo combinado
O registo combinado com o Autenticador requer a correspondência de números. Quando um usuário passa pelo registro combinado para configurar o Autenticador, o usuário precisa aprovar uma notificação para adicionar a conta. Essa notificação mostra um número que eles precisam digitar na notificação do Autenticador. Para obter mais informações sobre como configurar o registro combinado, consulte Habilitar o registro de informações de segurança combinadas.
Adaptador AD FS
O adaptador AD FS requer correspondência numérica em versões suportadas do Windows Server. Em versões anteriores, os usuários continuam a ver a experiência Aprovar/Negação e não veem correspondência numérica até que você atualize. O adaptador AD FS suporta a correspondência de números apenas depois de instalar uma das atualizações na tabela seguinte. Para obter mais informações sobre como configurar o adaptador AD FS, consulte Configurar o Servidor Azure Multi-Factor Authentication para trabalhar com o AD FS no Windows Server.
Nota
As versões sem patches do Windows Server não suportam a correspondência de números. Os usuários continuam a ver a experiência Aprovar/negação e não veem correspondência de número, a menos que essas atualizações sejam aplicadas.
| Versão | Atualizar |
|---|---|
| Windows Server 2022 | 9 de novembro de 2021—KB5007205 (Compilação do SO 20348.350) |
| Windows Server 2019 | 9 de novembro de 2021—KB5007206 (Compilação 17763.2300 do SO) |
| Windows Server 2016 | 12 de outubro de 2021—KB5006669 (Compilação 14393.4704 do SO) |
Extensão de NPS
Embora o NPS não ofereça suporte à correspondência de números, a extensão NPS mais recente oferece suporte a métodos de senha única baseada em tempo (TOTP), como o TOTP disponível no Authenticator, outros tokens de software e FOBs de hardware. O login TOTP oferece melhor segurança do que a experiência alternativa Aprovar/negação. Certifique-se de executar a versão mais recente da extensão NPS.
Qualquer pessoa que execute uma conexão RADIUS com a extensão NPS versão 1.2.2216.1 ou posterior será solicitada a entrar com um método TOTP em vez de Aprovar/Negar. Os usuários devem ter um método de autenticação TOTP registrado para ver esse comportamento. Sem um método TOTP registrado, os usuários continuam a ver Aprovar/negar.
As organizações que executam qualquer uma dessas versões anteriores da extensão NPS podem modificar o registro para exigir que os usuários insiram um TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Nota
As versões de extensões do NPS anteriores à 1.0.1.40 não suportam TOTP imposto pela correspondência de números. Estas versões continuarão a apresentar aos utilizadores a opção Aprovar/Negar.
Para criar a entrada do Registro para substituir as opções Aprovar/Negação nas notificações por push e exigir um TOTP:
- No Servidor NPS, abra o Editor do Registro.
- Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Crie o seguinte par String/Value:
- Designação: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valor = VERDADEIRO
- Reinicie o serviço NPS.
Além disso:
Os usuários que executam o TOTP devem ter o Autenticador registrado como um método de autenticação ou algum outro token OATH de hardware ou software. Um usuário que não pode usar um método TOTP sempre verá as opções Aprovar/negação com notificações por push se usar uma versão da extensão NPS anterior a 1.2.2216.1.
O servidor NPS onde a extensão NPS está instalada deve ser configurado para usar o protocolo PAP. Para obter mais informações, consulte Determinar quais métodos de autenticação seus usuários podem usar.
Importante
MSCHAPv2 não suporta TOTP. Se o Servidor NPS não estiver configurado para usar PAP, a autorização do usuário falhará com eventos no log AuthZOptCh do servidor de Extensão NPS no Visualizador de Eventos:
Extensão NPS para Azure MFA: Desafio solicitado em Authentication Ext for User npstesting_ap. Você pode configurar o servidor NPS para oferecer suporte a PAP. Se PAP não for uma opção, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para retornar a Aprovar/Negar notificações por push.
Se sua organização usa o Gateway de Área de Trabalho Remota e o usuário está registrado para um código TOTP junto com notificações por push do Autenticador, o usuário não poderá atender ao desafio de autenticação multifator do Microsoft Entra e a entrada no Gateway de Área de Trabalho Remota falhará. Nesse caso, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para retornar a Aprovar/Negar notificações por push com o Autenticador.
FAQs do
Posso optar por não corresponder ao número?
Não, os usuários não podem desativar a correspondência de números nas notificações push do Authenticator.
Os serviços relevantes começarão a implantar essas alterações após 8 de maio de 2023 e os usuários começarão a ver a correspondência numérica nas solicitações de aprovação. À medida que os serviços são implantados, alguns podem ver a correspondência de números, enquanto outros não. Para garantir um comportamento consistente para todos os usuários, é altamente recomendável habilitar a correspondência de números para notificações por push do Authenticator com antecedência.
A correspondência numérica só se aplica se as notificações por push do Autenticador forem definidas como o método de autenticação padrão?
Sim. Se o usuário tiver um método de autenticação padrão diferente, não haverá alteração em sua entrada padrão. Se o método padrão for notificações por push do autenticador, elas obterão correspondência de número. Se o método padrão for qualquer outra coisa, como TOTP no Authenticator ou outro provedor, não haverá alteração.
Independentemente do método padrão, qualquer usuário solicitado a entrar com notificações por push do Authenticator vê o número correspondendo. Se for solicitado outro método, eles não verão nenhuma alteração.
O que acontece para os usuários que não estão especificados na política de métodos de autenticação, mas estão habilitados para notificações por meio de aplicativo móvel na política de todo o locatário de MFA herdada?
Os usuários habilitados para notificações por push de MFA na política de MFA herdada também verão a correspondência numérica se a política de MFA herdada tiver habilitado Notificações por meio de aplicativo móvel. Os usuários verão a correspondência de números independentemente de estarem habilitados para o Autenticador na política de métodos de autenticação.
A correspondência de números é suportada com o MFA Server?
Não, a correspondência de números não é imposta porque não é um recurso suportado para o MFA Server, que foi preterido.
O que acontece se um usuário executar uma versão mais antiga do Authenticator?
Se um usuário estiver executando uma versão mais antiga do Authenticator que não ofereça suporte à correspondência de números, a autenticação não funcionará. Os usuários precisam atualizar para a versão mais recente do Authenticator para usá-lo para entrar.
Como os usuários podem verificar novamente o número em dispositivos móveis iOS depois que a solicitação de correspondência aparece?
Durante os fluxos do corretor iOS móvel, a solicitação de correspondência numérica aparece sobre o número após um atraso de dois segundos. Para verificar novamente o número, clique em Mostrar o número novamente. Esta ação ocorre apenas em fluxos de corretores iOS móveis.
O Apple Watch é compatível com o Authenticator?
Na versão do Authenticator em janeiro de 2023 para iOS, não há nenhum aplicativo complementar para o watchOS devido a ele ser incompatível com os recursos de segurança do Authenticator. Não é possível instalar ou usar o Authenticator no Apple Watch. Portanto, recomendamos que você exclua o Authenticator do Apple Watch e entre com o Authenticator em outro dispositivo.