數字比對在 Authenticator 多重要素驗證推播通知中的運作方式 - 驗證方法原則

本主題說明 Microsoft Authenticator 推播通知中的數字比對如何改善使用者登入安全性。 數字比對是 Authenticator 傳統第二要素通知的重要安全性升級。

從 2023 年 5 月 8 日起，所有 Authenticator 推播通知都會啟用數字比對。 隨著相關服務的部署，已啟用 Authenticator 推播通知的全球使用者都將開始在核准要求中看到數字比對的身影。 如已啟用 [透過行動裝置應用程式通知] (Notifications through mobile app)，使用者即可在驗證方法原則或舊版多重要素驗證原則中啟用 Authenticator 推播通知。

數字比對案例

您可以在下列案例中使用數字比對。 啟用時，所有情節都支援數字比對。

• 多重要素驗證
• 自助式密碼重設
• Authenticator 應用程式設定期間的合併 SSPR 和 MFA 註冊
• AD FS 配接器
• NPS 延伸模組

Apple Watch 或 Android 穿戴式裝置的推播通知不支援數字比對。 穿戴式裝置使用者在啟用數字比對時，需要使用手機核准通知。

多重要素驗證

使用者使用 Authenticator 回應 MFA 推播通知時，將會看到數字。 他們必須在應用程式中輸入該數字，才能完成核准。 如需如何設定 MFA 的詳細資訊，請參閱教學課程：使用 Microsoft Entra 多重要素驗證維護使用者登入事件的安全。

SSPR

使用 Authenticator 時，以 Authenticator 執行自助式密碼重設 (SSPR) 作業需要比對數字。 在自助式密碼重設期間，登入頁面會顯示一組數字，使用者必須在 Authenticator 通知中鍵入此數字。 如需如何設定 SSPR 的詳細資訊，請參閱教學課程：讓使用者解除鎖定帳戶或重設密碼。

合併的註冊

合併 Authenticator 的註冊需要使用數字比對。 當使用者透過合併註冊設定 Authenticator 時，使用者必須核准通知才能新增帳戶。 此通知會顯示一組數字，使用者必須將此數字輸入 Authenticator 通知。 如需如何設定合併註冊的詳細資訊，請參閱啟用合併安全性資訊註冊。

AD FS 配接器

AD FS 配接器需要在支援的 Windows Server 版本上執行數字比對。 在較舊的版本中，使用者會一直看到 [核准]/[拒絕] 選項，除非升級版本，否則看不到數字比對。 只有在您安裝下表其中一個更新之後，AD FS 配接器才會支援數字比對。 如需如何設定 AD FS 配接器的詳細資訊，請參閱設定 Azure Multi-Factor Authentication Server 以搭配 Windows Server 中的 AD FS 運作。

NPS 擴充功能

雖然 NPS 不支援數字比對，但最新的 NPS 延伸模組卻支援時間型的單次密碼 (TOTP) 方法，例如 Authenticator 提供的 TOTP、其他軟體權杖和硬體 FOB。 TOTP 登入提供的安全性比替代性 [核准]/[拒絕] 體驗更好。 請務必執行最新版的 NPS 擴充功能。

任何使用 NPS 延伸模組 1.2.2216.1 版或更新版本執行 RADIUS 連線的人，都會收到使用 TOTP 方法登入的提示，而不是 [核准]/[拒絕]。 使用者必須註冊 TOTP 驗證方法，才會看到此行為。 若未註冊 TOTP 方法，使用者就會一直看到 [核准]/[拒絕]。

執行上述任一舊版 NPS 延伸模組的組織可以修改登錄，要求使用者輸入 TOTP：

• 1.2.2131.2
• 1.2.1959.1
• 1.2.1916.2
• 1.1.1892.2
• 1.0.1850.1
• 1.0.1.41
• 1.0.1.40

若要建立登錄項目以覆寫推播通知中的 [核准]/[拒絕] 選項，並改為要求 TOTP，請：

1. 在 NPS 伺服器上，開啟 [登錄編輯程式]。
2. 瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa。
3. 建立下列字串/值配對：
   • 名稱：OVERRIDE_NUMBER_MATCHING_WITH_OTP
   • Value = TRUE
4. 重新啟動 NPS 服務。

此外：

• 執行 TOTP 的使用者必須將 Authenticator 註冊為驗證方法，或某些其他硬體或軟體 OATH 權杖。 如果使用者使用 1.2.2216.1 版之前的 NPS 延伸模組，就無法使用 TOTP 方法，並會一直看到 [核准]/[拒絕] 選項。

• 安裝了 NPS 延伸模組的 NPS 伺服器，必須設定為使用 PAP 通訊協定。 如需詳細資訊，請參閱判斷您的使用者可以使用的驗證方法。

  重要

  MSCHAPv2 不支援 TOTP。 如果未將 NPS 伺服器設定為使用 PAP，使用者授權就會因為事件檢視器中 NPS 延伸模組伺服器之 AuthZOptCh 記錄的事件而失敗：
  適用於 Azure MFA 的 NPS 延伸模組：Authentication Ext for User npstesting_ap 中要求的挑戰。 您可以設定 NPS 伺服器支援 PAP。 如果無法選擇 PAP，您可以設定 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 回復為 [核准]/[拒絕] 推播通知。

如果您的組織使用遠端桌面閘道，且使用者已註冊 TOTP 代碼和 Authenticator 推播通知，則用戶無法達成 Microsoft Entra 多重要素驗證挑戰，遠端桌面閘道登入失敗。 在此情況下，您可以設定 OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE 使用 Authenticator 回復為 [核准]/[拒絕] 推播通知。

常見問題集

我可以退出數字比對嗎？

不行，使用者無法退出 Authenticator 推播通知中的數字比對。

相關的服務會在 2023 年 5 月 8 日之後開始部署這些變更，而使用者將開始在核准要求中看到數字比對。 在服務部署時，有些使用者可能會看到數字比對，而有些使用者則看不到。 為確保所有使用者的行為一致，強烈建議您事先啟用 Authenticator 推播通知的數字比對。

只有當 Authenticator 推播通知設定為預設的驗證方法時，才會套用數字比對嗎？

是。 如果使用者有不同的預設驗證方法，預設登入不會有任何變更。 如果預設方法是 Authenticator 推播通知，使用者會收到要比對的數字。 如果預設方法是任何其他方法，例如 Authenticator 或其他提供者的 TOTP，則不會有任何變更。

不論預設方法為何，收到提示使用 Authenticator 推播通知登入的使用者都會看到比對的數字。 如果提示使用其他方法，則不會看到任何變更。

未在驗證方法原則中指定，但在舊版全 MFA 租用戶原則中啟用 [透過行動裝置應用程式通知] (Notifications through mobile app) 的使用者，會發生什麼情況？

如果舊版 MFA 原則已啟用 [透過行動裝置應用程式通知] (Notifications through mobile app)，則在舊版 MFA 原則中已啟用 MFA 推播通知的使用者，也會看到數字比對。 無論使用者是否在驗證方法原則中啟用 Authenticator，都會看到數字比對。

MFA 伺服器支援數字比對嗎？

否，數字比對不會強制執行，因為 MFA 伺服器不支援此功能，這是已被取代的功能。

如果使用者執行舊版的 Authenticator，會發生什麼事？

如果使用者執行不支援數字比對的舊版 Authenticator，驗證不起作用。 使用者必須升級至最新版本的 Authenticator，才能使用此工具登入。

在比對要求出現之後，使用者該如何再次查看 iOS 行動裝置上的數字？

在 iOS 行動裝置的代理程式執行流程期間，數字比對要求會在數字出現兩秒後延遲出現。 若要再次查看數字，請按一下 [Show me the number again] (再次顯示號碼)。 此動作只會發生在 iOS 行動裝置代理程式流程中。

Authenticator 支援 Apple Watch 嗎？

在 2023 年 1 月發布的 Authenticator iOS 版本中，沒有隨附的 watchOS 應用程式，因為其與 Authenticator 安全性功能不相容。 您無法在 Apple Watch 上安裝或使用 Authenticator。 因此，建議您刪除 Apple Watch 上的 Authenticator，在其他裝置上使用 Authenticator 登入。

下一步

Microsoft Entra ID 的驗證方法