Как работает сопоставление чисел в push-уведомлениях многофакторной проверки подлинности для Authenticator — политика методов проверки подлинности

В этом разделе описывается, как сопоставление чисел в push-уведомлениях Microsoft Authenticator улучшает безопасность входа пользователей. Сопоставление чисел — это обновление безопасности ключей до традиционных уведомлений второго фактора в Authenticator.

Начиная с 8 мая 2023 г. сопоставление номеров включено для всех push-уведомлений Authenticator. По мере развертывания соответствующих служб пользователи по всему миру, которые включены для push-уведомлений Authenticator, начнут видеть сопоставление номеров в запросах на утверждение. Пользователи могут быть включены для push-уведомлений Authenticator в политике методов проверки подлинности или устаревшей многофакторной политике проверки подлинности, если уведомления через мобильное приложение включены.

Сценарии сопоставления чисел

Сравнение чисел доступно для перечисленных ниже сценариев. Если эта функция включена, сравнение чисел поддерживают все сценарии.

Сопоставление чисел не поддерживается для push-уведомлений для устройств Apple Watch или Android. Пользователи устройства должны использовать свой телефон для утверждения уведомлений при включенном сопоставлении номеров.

Многофакторная проверка подлинности

Когда пользователь отвечает на push-уведомление MFA с помощью Authenticator, он будет представлен с номером. Чтобы завершить утверждение, пользователю нужно ввести это число в приложении. Дополнительные сведения о настройке MFA см. в руководстве . Защита событий входа пользователей с помощью многофакторной проверки подлинности Microsoft Entra.

Screenshot of user entering a number match.

SSPR

Для самостоятельного сброса пароля (SSPR) с Authenticator требуется сопоставление чисел при использовании Authenticator. Во время самостоятельного сброса пароля на странице входа отображается число, которое пользователь должен ввести в уведомление Authenticator. Дополнительные сведения о настройке SSPR см. в руководстве по разблокировке учетной записи или сбросу паролей.

Объединенная регистрация

Для объединенной регистрации с Authenticator требуется сопоставление чисел. Когда пользователь проходит объединенную регистрацию для настройки Authenticator, пользователь должен утвердить уведомление для добавления учетной записи. В этом уведомлении отображается число, которое необходимо ввести в уведомление Authenticator. Дополнительные сведения о настройке объединенной регистрации см. в разделе "Включение объединенной регистрации сведений о безопасности".

Адаптер AD FS

Для адаптера AD FS требуется сопоставление номеров в поддерживаемых версиях Windows Server. В более ранних версиях пользователи продолжают видеть интерфейс "Утверждение/запрета" и не видят совпадения чисел до обновления. Адаптер AD FS поддерживает сопоставление номеров только после установки одного из обновлений в следующей таблице. Дополнительные сведения о настройке адаптера AD FS см. в статье "Настройка сервера Многофакторной идентификации Azure" для работы с AD FS в Windows Server.

Примечание.

Неподдерженные версии Windows Server не поддерживают сопоставление номеров. Пользователи продолжают видеть интерфейс "Утверждение/запрета" и не отображает совпадение чисел, если эти обновления не применяются.

Версия Обновить
Windows Server 2022 9 ноября 2021 г. — КБ5007205 (сборка ОС 20348.350)
Windows Server 2019 9 ноября 2021 г. — КБ5007206 (сборка ОС 17763.2300)
Windows Server 2016 12 октября 2021 г. — KB5006669 (сборка ОС 14393.4704)

Расширение NPS

Хотя NPS не поддерживает сопоставление чисел, последнее расширение NPS поддерживает методы одноразового пароля (TOTP), такие как TOTP, доступные в Authenticator, другие маркеры программного обеспечения и аппаратные FOB. Вход TOTP обеспечивает более высокую безопасность, чем альтернативный интерфейс утверждения/запрета. Убедитесь, что у вас последняя версия расширения NPS.

Любой пользователь, выполняющий подключение RADIUS с расширением NPS версии 1.2.2216.1 или более поздней версии, запрашивает вход с помощью метода TOTP вместо утверждения/запрета. Пользователи должны иметь метод проверки подлинности TOTP, чтобы увидеть это поведение. Без зарегистрированного метода TOTP пользователи продолжают видеть утверждение запрета/.

Организации, запускающие любой из этих предыдущих версий расширения NPS, могут изменить реестр, чтобы пользователи могли ввести TOTP:

  • 1.2.2131.2
  • 1.2.1959.1
  • 1.2.1916.2
  • 1.1.1892.2
  • 1.0.1850.1
  • 1.0.1.41
  • 1.0.1.40

Примечание.

Версии расширений NPS, предшествующие версии 1.0.1.40, не поддерживают TOTP, применяемые с использованием сопоставления чисел. Эти версии будут продолжать представлять пользователей с утверждением запрета/.

Чтобы создать запись реестра для переопределения параметров утверждающего/запрета в push-уведомлениях, и вместо этого требуется toTP:

  1. На сервере NPS откройте редактор реестра.
  2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
  3. Создайте следующую пару String/Value:
    • Имя: OVERRIDE_NUМБER_MATCHING_WITH_OTP
    • Значение = TRUE
  4. Перезапустите службу NPS.

Дополнительно:

  • Пользователи, выполняющие TOTP, должны быть зарегистрированы в качестве метода проверки подлинности или другого аппаратного или программного токена OATH. Пользователь, который не может использовать метод TOTP, всегда увидит варианты утверждения/запрета с push-уведомлениями, если они используют версию расширения NPS раньше 1.2.2216.1.

  • Сервер NPS, на котором установлено расширение NPS, должен быть настроен для использования протокола PAP. Дополнительные сведения см. в разделе Определение методов проверки подлинности, которые смогут использовать пользователи.

    Важно!

    MSCHAPv2 не поддерживает TOTP. Если сервер NPS не настроен на использование ПАП, авторизация пользователя завершается сбоем в журнале AuthZOptCh сервера расширений NPS в Просмотр событий:
    Расширение NPS для Azure MFA: запрос на запрос в проверке подлинности ext для пользователя npstesting_ap. Сервер NPS можно настроить для поддержки ПАП. Если параметр PAP не является параметром, можно задать OVERRIDE_NUМБER_MATCHING_WITH_OTP = FALSE, чтобы вернуться к утверждению /запрета push-уведомлений.

Если в вашей организации используется шлюз удаленных рабочих столов и пользователь зарегистрирован для кода TOTP вместе с push-уведомлениями Authenticator, пользователь не может выполнить вызов многофакторной проверки подлинности Microsoft Entra, а вход шлюза удаленных рабочих столов завершается сбоем. В этом случае можно задать OVERRIDE_NUМБER_MATCHING_WITH_OTP = FALSE, чтобы вернуться к утверждению / push-уведомлений с помощью Authenticator.

Вопросы и ответы по

Можно ли отказаться от сопоставления чисел?

Нет, пользователи не могут отказаться от сопоставления номеров в push-уведомлениях Authenticator.

Соответствующие службы начнут развертывать эти изменения после 8 мая 2023 г. и пользователи начнут видеть совпадение чисел в запросах на утверждение. При развертывании служб некоторые могут видеть совпадение чисел, а другие — нет. Чтобы обеспечить согласованное поведение для всех пользователей, настоятельно рекомендуется заранее включить сопоставление чисел для push-уведомлений Authenticator.

Применяется ли сопоставление чисел только в том случае, если push-уведомления Authenticator заданы как метод проверки подлинности по умолчанию?

Да. Если у пользователя есть другой метод проверки подлинности по умолчанию, нет изменений в входе по умолчанию. Если методом по умолчанию является push-уведомления Authenticator, они получают сопоставление чисел. Если метод по умолчанию представляет собой что-либо другое, например TOTP в Authenticator или другом поставщике, изменения не изменяются.

Независимо от метода по умолчанию любой пользователь, который запрашивает вход с помощью push-уведомлений Authenticator, видит сопоставление номеров. Если появится запрос на другой метод, они не увидят никаких изменений.

Что происходит для пользователей, которые не указаны в политике методов проверки подлинности, но они включены для уведомлений через мобильное приложение в устаревшей политике MFA на уровне клиента?

Пользователи, которые включены для push-уведомлений MFA в устаревшей политике MFA, также увидят совпадение чисел, если устаревшая политика MFA включила уведомления через мобильное приложение. Пользователи увидят сопоставление чисел независимо от того, включены ли они для Authenticator в политике методов проверки подлинности.

Screenshot of Notifications through mobile app setting.

Поддерживается ли сопоставление чисел с сервером MFA?

Нет, сопоставление чисел не применяется, так как это не поддерживается для сервера MFA, который не рекомендуется.

Что происходит, если пользователь запускает старую версию Authenticator?

Если пользователь работает с более старой версией Authenticator, которая не поддерживает сопоставление номеров, проверка подлинности не будет работать. Пользователям необходимо обновить до последней версии Authenticator, чтобы использовать ее для входа.

Как пользователи могут повторно проверка номер на мобильных устройствах iOS после появления соответствующего запроса?

Во время потоков брокера мобильных устройств iOS запрос на совпадение чисел отображается по номеру после двух секундной задержки. Чтобы повторно проверка номер, нажмите кнопку "Показать мне" еще раз. Это действие происходит только в потоках брокера iOS для мобильных устройств.

Поддерживается ли Apple Watch для Authenticator?

В выпуске Authenticator в январе 2023 г. для iOS нет вспомогательного приложения для watchOS из-за несовместимости с функциями безопасности Authenticator. Вы не можете установить или использовать Authenticator в Apple Watch. Поэтому рекомендуется удалить Authenticator из Apple Watch и войти с помощью Authenticator на другом устройстве.

Следующие шаги

Методы проверки подлинности в идентификаторе Microsoft Entra