数字匹配在 Authenticator 的多重身份验证推送通知中的工作原理 - 身份验证方法策略

本主题介绍 Microsoft Authenticator 推送通知中的数字匹配如何提高用户登录安全性。 数字匹配是 Authenticator 中对传统第二因素通知的一项关键安全升级。

从 2023 年 5 月 8 日开始,所有 Authenticator 推送通知都启用了数字匹配。 随着相关服务的部署,启用了 Authenticator 推送通知的全球用户将开始在其审批请求中看到数字匹配。 如果启用了“通过移动应用发送通知”,则可以在身份验证方法策略或旧版多重身份验证策略中为用户启用 Authenticator 推送通知。

数字匹配方案

数字匹配适用于以下方案。 启用后,所有方案都支持数字匹配。

Apple Watch 或 Android 可穿戴设备的推送通知不支持数字匹配。 启用数字匹配后,可穿戴设备用户需要使用其手机来批准通知。

多重身份验证

当用户使用 Authenticator 响应 MFA 推送通知时,系统将向其提供一个数字。 他们需要在应用中键入该数字才能完成批准。 有关如何设置 MFA 的详细信息,请参阅教程:使用 Microsoft Entra 多重身份验证保护用户登录事件

Screenshot of user entering a number match.

SSPR

Authenticator 的自助式密码重置 (SSPR) 要求在使用 Authenticator 时进行数字匹配。 在自助式密码重置期间,登录页将显示一个数字,用户需要在 Authenticator 通知中输入该数字。 有关如何设置 SSPR 的详细信息,请参阅教程:支持用户解锁帐户或重置密码

合并注册

使用 Authenticator 进行的合并注册需要数字匹配。 用户完成合并注册以设置 Authenticator 应用时,需要批准通知以添加帐户。 此通知显示用户需要在 Authenticator 通知中键入的数字。 有关如何设置组合注册的详细信息,请参阅启用组合安全信息注册

AD FS 适配器

AD FS 适配器需要在受支持的 Windows Server 版本上进行数字匹配。 在较早的版本中,用户会继续看到批准/拒绝体验,并在升级之前不会看到数字匹配。 AD FS 适配器仅在安装下表中的更新之一后才支持数字匹配。 有关如何设置 AD FS 适配器的详细信息,请参阅将 Microsoft Entra 多重身份验证服务器配置为在 Windows Server 中使用 AD FS

注意

未提供补丁的 Windows Server 版本不支持数字匹配。 用户会继续看到批准/拒绝体验,且在应用这些更新之前不会看到数字匹配。

版本 更新
Windows Server 2022 2021 年 11 月 9 日 - KB5007205(OS 内部版本 20348.350)
Windows Server 2019 2021 年 11 月 9 日 - KB5007206(OS 内部版本 17763.2300)
Windows Server 2016 2021 年 10 月 12 日 - KB5006669(OS 内部版本 14393.4704)

NPS 扩展

虽然 NPS 不支持数字匹配,但最新的 NPS 扩展支持基于时间的一次性密码 (TOTP) 方法,例如 Authenticator 中提供的 TOTP、其他软件令牌和硬件 FOB。 TOTP 登录可提供比备用的“批准”/“拒绝”体验更好的安全性。 确保运行最新版本的 NPS 扩展

使用 NPS 扩展版本 1.2.2216.1 或更高版本执行 RADIUS 连接的任何人都会被提示使用 TOTP 方法登录,而不是使用“批准”“拒绝”方式登录/。 用户必须注册 TOTP 身份验证方法才能看到此行为。 如果未注册 TOTP 方法,用户将继续看到“批准”/“拒绝”。

运行这些早期版本的 NPS 扩展的组织可以修改注册表以要求用户输入 TOTP:

  • 1.2.2131.2
  • 1.2.1959.1
  • 1.2.1916.2
  • 1.1.1892.2
  • 1.0.1850.1
  • 1.0.1.41
  • 1.0.1.40

注意

低于 1.0.1.40 的 NPS 扩展版本不支持通过数字匹配强制执行 TOTP。 这些版本将继续向用户显示“批准”/“拒绝”。

若要创建注册表项以替代推送通知中的“批准”/“拒绝”选项,改为需要 TOTP,请执行以下操作:

  1. 在 NPS 服务器上,打开注册表编辑器。
  2. 导航至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa。
  3. 创建以下字符串/值对:
    • 名称:OVERRIDE_NUMBER_MATCHING_WITH_OTP
    • 值 = TRUE
  4. 重启 NPS 服务。

此外:

  • 执行 TOTP 的用户必须将 Authenticator 注册为身份验证方法,或使用某些其他硬件或软件 OATH 令牌。 如果无法使用 TOTP 方法的用户使用低于 1.2.2216.1 的 NPS 扩展版本,则将始终看到推送通知的“批准”/“拒绝”选项。

  • 必须将安装 NPS 扩展的 NPS 服务器配置为使用 PAP 协议。 有关详细信息,请参阅确定用户可以使用的身份验证方法

    重要

    MSCHAPv2 不支持 TOTP。 如果未将 NPS 服务器配置为使用 PAP,则用户授权会失败,并且事件查看器中 NPS 扩展服务器的 AuthZOptCh 日志中将出现事件:
    适用于 Azure MFA 的 NPS 扩展:在用户 npstesting_ap 身份验证 Ext 中请求了质询。 可以将 NPS 服务器配置为支持 PAP。 如果 PAP 不是一个选项,则可以设置 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 以回退到“批准”/“拒绝”推送通知。

如果组织使用的是远程桌面网关,并且用户已注册 TOTP 代码以及 Authenticator 推送通知,则用户无法通过 Microsoft Entra 多重身份验证质询,并且远程桌面网关登录会失败。 在这种情况下,可以设置 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 以回退到使用 Microsoft Authenticator 发送“批准”/“拒绝”推送通知。

常见问题

是否可以选择退出数字匹配?

否,用户在 Authenticator 推送通知中无法选择退出数字匹配。

在 2023 年 5 月 8 日之后,相关服务将开始部署这些更改,用户将开始在审批请求中看到数字匹配。 随着服务的部署,某些用户可能会看到数字匹配,而另一些用户不会看到。 为确保所有用户行为一致,强烈建议提前为 Authenticator 推送通知启用数字匹配。

数字匹配是否仅在 Authenticator 推送通知设置为默认身份验证方法时才适用?

是的。 如果用户使用不同的默认身份验证方法,则其默认登录不会有任何变化。 如果默认方法是 Authenticator 推送通知,则他们会获得数字匹配。 如果默认方法是任何其他方法,例如 Authenticator 或其他提供程序中的 TOTP,则没有任何更改。

无论其默认方法如何,收到系统提示使用 Authenticator 推送通知登录的任何用户都会看到数字匹配。 如果提示使用另一种方法,他们将看不到任何变化。

对于未在身份验证方法策略中指定的用户,但已在旧版 MFA 租户范围策略中通过移动应用启用通知的用户会发生什么情况?

如果旧版 MFA 策略启用了“通过移动应用发送通知”,则在旧版 MFA 策略中启用了 MFA 推送通知的用户也将看到数字匹配。 无论是否在身份验证方法策略中启用了 Authenticator,用户都将看到数字匹配。

Screenshot of Notifications through mobile app setting.

MFA 服务器是否支持数字匹配?

否,不会强制实施数字匹配,因为 MFA 服务器不支持此功能,该功能已弃用

如果用户运行较旧版本的 Authenticator,会发生什么情况?

如果用户正在运行不支持数字匹配的较旧版本的 Authenticator,则身份验证将不起作用。 用户需要升级到最新版本的 Authenticator 才能使用它进行登录。

显示匹配请求后,用户如何在移动 iOS 设备上重新检查号码?

在移动 iOS 代理流期间,号码匹配请求会在两秒延迟后显示在数字上。 要重新检查号码,请单击“再次显示号码”。 此操作仅在移动 iOS 代理流中发生。

Authenticator 是否支持 Apple Watch?

在 2023 年 1 月发布的适用于 iOS 的 Authenticator 版本中,watchOS 没有配套应用,因为它与 Authenticator 安全功能不兼容。 在 Apple Watch 上无法安装和使用 Authenticator。 因此,我们建议从 Apple Watch 中删除 Authenticator,然后在另一台设备上使用 Authenticator 登录。

后续步骤

Microsoft Entra ID 中的身份验证方法