Authenticator için çok faktörlü kimlik doğrulaması anında iletme bildirimlerinde numara eşleştirme nasıl çalışır - Kimlik doğrulama yöntemleri ilkesi
Bu konu başlığı altında, Microsoft Authenticator anında iletme bildirimlerinde numara eşleştirmenin kullanıcı oturum açma güvenliğini nasıl artırdığı açıklanır. Sayı eşleştirme, Authenticator'da geleneksel ikinci faktör bildirimlerine yönelik önemli bir güvenlik yükseltmesidir.
8 Mayıs 2023'e kadar, numara eşleştirme tüm Authenticator anında iletme bildirimleri için etkinleştirilmiştir. İlgili hizmetler dağıtılırken, dünya çapında Authenticator anında iletme bildirimleri için etkinleştirilen kullanıcılar onay isteklerinde numara eşleştirmeyi görmeye başlar. Kullanıcılar Kimlik Doğrulama yöntemleri ilkesinde veya mobil uygulama aracılığıyla bildirimler etkinleştirildiyse eski çok faktörlü kimlik doğrulama ilkesinde Authenticator anında iletme bildirimleri için etkinleştirilebilir.
Sayı eşleştirme senaryoları
Aşağıdaki senaryolar için sayı eşleştirme kullanılabilir. Etkinleştirildiğinde, tüm senaryolar sayı eşleştirmeyi destekler.
- Çok faktörlü kimlik doğrulaması
- Self servis parola sıfırlama
- Authenticator uygulaması kurulumu sırasında birleştirilmiş SSPR ve MFA kaydı
- AD FS bağdaştırıcısı
- NPS uzantısı
Apple Watch veya Android giyilebilir cihazlar için anında iletme bildirimleri için numara eşleştirme desteklenmez. Giyilebilir cihaz kullanıcılarının, numara eşleştirme etkinleştirildiğinde bildirimleri onaylamak için telefonlarını kullanmaları gerekir.
Çok faktörlü kimlik doğrulaması
Bir kullanıcı Authenticator kullanarak bir MFA anında iletme bildirimine yanıt verdiği zaman bir sayı gösterilir. Onayı tamamlamak için bu sayıyı uygulamaya yazmaları gerekir. MFA'yı ayarlama hakkında daha fazla bilgi için bkz . Öğretici: Microsoft Entra çok faktörlü kimlik doğrulaması ile kullanıcı oturum açma olaylarının güvenliğini sağlama.
SSPR
Authenticator ile self servis parola sıfırlama (SSPR), Authenticator kullanılırken numara eşleştirme gerektirir. Self servis parola sıfırlama sırasında, oturum açma sayfasında kullanıcının Authenticator bildirimine yazması gereken bir sayı gösterilir. SSPR'yi ayarlama hakkında daha fazla bilgi için bkz . Öğretici: Kullanıcıların hesabının kilidini açmalarını veya parolaları sıfırlamalarını sağlama.
Birleşik kayıt
Authenticator ile birleştirilmiş kayıt için numara eşleştirme gerekir. Bir kullanıcı Authenticator'ı ayarlamak için birleşik kayıt işleminden geçtiğinde, kullanıcının hesabı eklemek için bir bildirimi onaylaması gerekir. Bu bildirim, Authenticator bildirimine yazmaları gereken bir sayıyı gösterir. Birleşik kaydı ayarlama hakkında daha fazla bilgi için bkz . Birleşik güvenlik bilgileri kaydını etkinleştirme.
AD FS bağdaştırıcısı
AD FS bağdaştırıcısı, Windows Server'ın desteklenen sürümlerinde numara eşleştirme gerektirir. Önceki sürümlerde kullanıcılar Reddetmeyi Onayla/deneyimini görmeye devam ediyor ve siz yükseltene kadar numara eşleştirmesi görmüyor. AD FS bağdaştırıcısı, yalnızca aşağıdaki tabloda yer alan güncelleştirmelerden birini yükledikten sonra numara eşleştirmeyi destekler. AD FS bağdaştırıcısını ayarlama hakkında daha fazla bilgi için bkz . Azure Multi-Factor Authentication Sunucusunu Windows Server'da AD FS ile çalışacak şekilde yapılandırma.
Dekont
Windows Server'ın eşleşmeyen sürümleri numara eşleştirmeyi desteklemez. Kullanıcılar Reddetmeyi Onayla /deneyimini görmeye devam ederler ve bu güncelleştirmeler uygulanmadığı sürece numara eşleştirmeyi görmezler.
| Sürüm | Güncelleştir |
|---|---|
| Windows Server 2022 | 9 Kasım 2021—KB5007205 (İs Derlemesi 20348.350) |
| Windows Server 2019 | 9 Kasım 2021—KB5007206 (İs Derlemesi 17763.2300) |
| Windows Server 2016 | 12 Ekim 2021—KB5006669 (İs Derlemesi 14393.4704) |
NPS uzantısı
NPS sayı eşleştirmeyi desteklemese de, en son NPS uzantısı Authenticator'da kullanılabilen TOTP, diğer yazılım belirteçleri ve donanım FOB'leri gibi zamana bağlı tek seferlik parola (TOTP) yöntemlerini destekler. TOTP oturum açma, alternatif Reddetmeyi Onayla/deneyiminden daha iyi güvenlik sağlar. NPS uzantısının en son sürümünü çalıştırdığınızdan emin olun.
NPS uzantısı sürüm 1.2.2216.1 veya üzeri ile RADIUS bağlantısı gerçekleştiren herkesin Reddetmeyi Onayla/yerine bir TOTP yöntemiyle oturum açması istenir. Kullanıcıların bu davranışı görebilmesi için kayıtlı bir TOTP kimlik doğrulama yöntemi olmalıdır. ToTP yöntemi kaydedilmeden kullanıcılar Reddetmeyi Onayla'yı/görmeye devam ederler.
NPS uzantısının bu önceki sürümlerinden herhangi birini çalıştıran kuruluşlar, kullanıcıların TOTP girmesini gerektirecek şekilde kayıt defterini değiştirebilir:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Dekont
NPS uzantılarının 1.0.1.40'tan önceki sürümleri, sayı eşleştirme tarafından zorlanan TOTP'yi desteklemez. Bu sürümler kullanıcılara Reddetmeyi Onayla'yı /sunmaya devam edecektir.
Anında iletme bildirimlerinde Reddetmeyi Onayla/seçeneklerini geçersiz kılıp bunun yerine bir TOTP gerektiren kayıt defteri girdisini oluşturmak için:
- NPS Sunucusunda Kayıt Defteri Düzenleyicisi'ni açın.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa adresine gidin.
- Aşağıdaki Dize/Değer çiftini oluşturun:
- Ad: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Değer = DOĞRU
- NPS Hizmetini yeniden başlatın.
Ek olarak:
TOTP gerçekleştiren kullanıcıların kimlik doğrulama yöntemi olarak kayıtlı Authenticator veya başka bir donanım veya yazılım OATH belirteci olması gerekir. TOTP yöntemi kullanamayan bir kullanıcı, NPS uzantısının 1.2.2216.1'den önceki bir sürümünü kullanıyorsa, anında iletme bildirimleriyle Reddetmeyi Onayla/seçeneklerini her zaman görür.
NPS uzantısının yüklü olduğu NPS Sunucusu, PAP protokollerini kullanacak şekilde yapılandırılmalıdır. Daha fazla bilgi için bkz . Kullanıcılarınızın hangi kimlik doğrulama yöntemlerini kullanabileceğini belirleme.
Önemli
MSCHAPv2, TOTP'yi desteklemez. NPS Sunucusu PAP kullanacak şekilde yapılandırılmamışsa, kullanıcı yetkilendirmesi Olay Görüntüleyicisi NPS Uzantısı sunucusunun AuthZOptCh günlüğündeki olaylarla başarısız olur:
Azure MFA için NPS Uzantısı: Kullanıcı npstesting_ap için Kimlik Doğrulama Ext bölümünde sınama istendi. NPS Sunucusunu PAP'yi destekleyecek şekilde yapılandırabilirsiniz. PAP bir seçenek değilse, OVERRIDE_NUMBER_MATCHING_WITH_OTP = YANLIŞ'ı Reddetme anında iletme bildirimlerini onayla /olarak ayarlayabilirsiniz.
Kuruluşunuz Uzak Masaüstü Ağ Geçidi kullanıyorsa ve kullanıcı Authenticator anında iletme bildirimleriyle birlikte bir TOTP koduna kayıtlıysa, kullanıcı Microsoft Entra çok faktörlü kimlik doğrulama sınamasını karşılayamaz ve Uzak Masaüstü Ağ Geçidi oturum açma işlemi başarısız olur. Bu durumda, OVERRIDE_NUMBER_MATCHING_WITH_OTP = YANLIŞ değerini Authenticator ile Reddetme anında iletme bildirimlerini onayla'ya /geri dönecek şekilde ayarlayabilirsiniz.
ile ilgili SSS
Sayı eşleştirmeyi geri çevirebilir miyim?
Hayır, kullanıcılar Authenticator anında iletme bildirimlerinde sayı eşleştirmeyi geri çeviremez.
İlgili hizmetler 8 Mayıs 2023'te bu değişiklikleri dağıtmaya başlar ve kullanıcılar onay isteklerinde sayı eşleşmesini görmeye başlar. Hizmetler dağıtılırken bazıları sayı eşleşmesi görürken bazıları bunu göremez. Tüm kullanıcılar için tutarlı davranış sağlamak için Authenticator anında iletme bildirimleri için numara eşleşmesini önceden etkinleştirmenizi kesinlikle öneririz.
Numara eşleştirme yalnızca Authenticator anında iletme bildirimleri varsayılan kimlik doğrulama yöntemi olarak ayarlandıysa geçerli mi?
Evet. Kullanıcının farklı bir varsayılan kimlik doğrulama yöntemi varsa, varsayılan oturum açma yönteminde bir değişiklik olmaz. Varsayılan yöntem Authenticator anında iletme bildirimleriyse, numara eşleştirmesi alır. Varsayılan yöntem Authenticator'da TOTP veya başka bir sağlayıcı gibi başka bir yöntemse değişiklik olmaz.
Varsayılan yöntemi ne olursa olsun, Authenticator anında iletme bildirimleriyle oturum açması istenen tüm kullanıcılar numara eşleştirmeyi görür. Başka bir yöntem istenirse herhangi bir değişiklik görmezler.
Kimlik doğrulama yöntemleri ilkesinde belirtilmeyen ancak kiracı genelindeki eski MFA ilkesinde mobil uygulama aracılığıyla bildirimler için etkinleştirilen kullanıcılar için ne olur?
Eski MFA ilkesinde MFA anında iletme bildirimleri için etkinleştirilen kullanıcılar, eski MFA ilkesi mobil uygulama aracılığıyla Bildirimler'i etkinleştirdiyse sayı eşleşmesi de görür. Kullanıcılar, Kimlik Doğrulama yöntemleri ilkesinde Authenticator için etkinleştirilip etkinleştirilmediklerinden bağımsız olarak sayı eşleştirmeyi görür.
MFA Sunucusu ile sayı eşleştirmesi destekleniyor mu?
Hayır, MFA Sunucusu için desteklenen ve kullanım dışı olan bir özellik olmadığından sayı eşleştirme zorunlu tutulmaz.
Kullanıcı Authenticator'ın eski bir sürümünü çalıştırırsa ne olur?
Kullanıcı, Kimlik Doğrulayıcı'nın numara eşleştirmeyi desteklemeyen eski bir sürümünü çalıştırıyorsa kimlik doğrulaması çalışmaz. Kullanıcıların, oturum açmak üzere kullanmak için Authenticator'ın en son sürümüne yükseltmesi gerekir.
Kullanıcılar, eşleştirme isteği göründükten sonra mobil iOS cihazlarında numarayı nasıl yeniden denetleyebiliyor?
Mobil iOS aracı akışları sırasında, sayı eşleştirme isteği iki saniyelik bir gecikmeden sonra sayı üzerinde görünür. Numarayı yeniden denetlemek için Numarayı yeniden göster'e tıklayın. Bu eylem yalnızca mobil iOS aracı akışlarında gerçekleşir.
Apple Watch Authenticator için destekleniyor mu?
iOS için Ocak 2023'teki Authenticator sürümünde, Authenticator güvenlik özellikleriyle uyumsuz olması nedeniyle watchOS için yardımcı uygulama yoktur. Authenticator'ı Apple Watch'a yükleyemez veya kullanamazsınız. Bu nedenle Authenticator'ı Apple Watch'unuzdan silmenizi ve authenticator ile başka bir cihazda oturum açmanızı öneririz.