A számegyeztetés működése többtényezős hitelesítés leküldéses értesítéseiben az Authenticator esetében – Hitelesítési módszerek szabályzata
Ez a témakör azt ismerteti, hogy a Microsoft Authenticator leküldéses értesítéseiben a számegyezés hogyan javítja a felhasználók bejelentkezési biztonságát. A számegyeztetés kulcsfontosságú biztonsági frissítés a hagyományos második tényezős értesítésekre az Authenticatorban.
2023. május 8-tól a számegyeztetés minden Authenticator leküldéses értesítéshez engedélyezve van. Az érintett szolgáltatások üzembe helyezésekor az Authenticator leküldéses értesítéseihez engedélyezett felhasználók a jóváhagyási kérelmekben látni fogják az egyező számokat. A felhasználók engedélyezhetik az Authenticator leküldéses értesítéseit a hitelesítési módszerek házirendjében vagy az örökölt többtényezős hitelesítési házirendben, ha a mobilalkalmazáson keresztüli értesítések engedélyezve van.
Számegyeztetési forgatókönyvek
A számegyeztetés a következő forgatókönyvekhez érhető el. Ha engedélyezve van, minden forgatókönyv támogatja a számegyezést.
- Többtényezős hitelesítés
- Új jelszó önkiszolgáló kérése
- SSPR és MFA együttes regisztrálása az Authenticator alkalmazás beállítása során
- AD FS-adapter
- NPS-bővítmény
A számegyeztetés nem támogatott az Apple Watch vagy az Android viselhető eszközeinek leküldéses értesítései esetében. A hordható eszköz felhasználóinak a telefonjukkal kell jóváhagyniuk az értesítéseket, ha engedélyezve van a számegyezés.
Többtényezős hitelesítés
Amikor egy felhasználó az Authenticator használatával válaszol egy MFA leküldéses értesítésre, egy szám jelenik meg. A jóváhagyás elvégzéséhez be kell írnia ezt a számot az alkalmazásba. További információ az MFA beállításáról: Oktatóanyag: Felhasználói bejelentkezési események biztonságossá tétele a Microsoft Entra többtényezős hitelesítésével.
SSPR
Az Authenticator használatával történő önkiszolgáló jelszó-visszaállításhoz (SSPR) számegyezésre van szükség az Authenticator használatakor. Az önkiszolgáló jelszó-visszaállítás során a bejelentkezési oldalon megjelenik egy szám, amelyet a felhasználónak be kell írnia az Authenticator értesítésbe. Az SSPR beállításáról további információt a következő oktatóanyagban talál : Engedélyezi a felhasználók számára a fiók zárolásának feloldását vagy a jelszavak alaphelyzetbe állítását.
Kombinált regisztráció
Az Authenticator együttes regisztrációja számegyeztetést igényel. Amikor egy felhasználó összevont regisztráción megy keresztül az Authenticator beállításához, a felhasználónak jóvá kell hagynia egy értesítést a fiók hozzáadásához. Ez az értesítés egy számot jelenít meg, amelyet be kell gépelniük az Authenticator értesítésbe. A kombinált regisztráció beállításáról további információt a kombinált biztonsági adatok regisztrációjának engedélyezése című témakörben talál.
AD FS-adapter
Az AD FS-adapterhez számegyezésre van szükség a Windows Server támogatott verzióiban. A korábbi verziókban a felhasználók továbbra is láthatják a Megtagadás jóváhagyása/felületet, és a frissítésig nem jelennek meg a számegyezések. Az AD FS-adapter csak akkor támogatja a számegyezést, ha az alábbi táblázatban szereplő frissítések egyikét telepítette. Az AD FS-adapter beállításával kapcsolatos további információkért lásd : Az Azure Multi-Factor Authentication Server konfigurálása az AD FS-sel való együttműködéshez a Windows Serveren.
Megjegyzés:
A Windows Server nem csomagolt verziói nem támogatják a számegyezést. A felhasználók továbbra is láthatják a Megtagadás jóváhagyása/felületet, és csak akkor látják a számegyeztetéseket, ha ezek a frissítések érvényesek.
| Verzió | Frissítés |
|---|---|
| Windows Server 2022 | 2021. november 9. – KB5007205 (operációsrendszer-build: 20348.350) |
| Windows Server 2019 | 2021. november 9. – KB5007206 (operációsrendszer-build: 17763.2300) |
| Windows Server 2016 | 2021. október 12. – KB5006669 (operációsrendszer-build: 14393.4704) |
NPS-bővítmény
Bár az NPS nem támogatja a számegyeztetéseket, a legújabb NPS-bővítmény támogatja az időalapú egyszeri jelszó (TOTP) metódusokat, például az Authenticatorban elérhető TOTP-t, más szoftverjogkivonatokat és hardveres FOB-okat. A TOTP-bejelentkezés jobb biztonságot nyújt, mint az alternatív Elutasítás jóváhagyása/felület. Győződjön meg arról, hogy az NPS-bővítmény legújabb verzióját futtatja.
Bárki, aki RADIUS-kapcsolatot létesít az 1.2.2216.1-es vagy újabb verziójú NPS-bővítményrel, a megtagadás jóváhagyása/helyett egy TOTP-metódussal kell bejelentkeznie. Ennek a viselkedésnek a megtekintéséhez a felhasználóknak regisztrált TOTP hitelesítési módszerrel kell rendelkezniük. ToTP-metódus regisztrálása nélkül a felhasználók továbbra is láthatják a Megtagadás jóváhagyása lehetőséget/.
Azok a szervezetek, amelyek az NPS-bővítmény ezen korábbi verzióinak bármelyikét futtatják, módosíthatják a beállításjegyzéket, hogy a felhasználók toTP-t írjanak be:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Megjegyzés:
Az 1.0.1.40-nél korábbi NPS-bővítmények nem támogatják a számegyeztetés által kikényszerített TOTP-t. Ezek a verziók továbbra is megjelenítik a felhasználók elutasításának jóváhagyását./
Ha létre szeretné hozni a beállításjegyzék-bejegyzést, hogy felülbírálja a leküldéses értesítések elutasítási/ beállításait, és ehelyett TOTP-t igényel:
- Nyissa meg a Beállításszerkesztőt az NPS-kiszolgálón.
- Lépjen a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa webhelyre.
- Hozza létre a következő sztring/érték párot:
- Név: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Érték = IGAZ
- Indítsa újra az NPS szolgáltatást.
Ráadásul:
A TOTP-t végrehajtó felhasználóknak hitelesítési módszerként kell regisztrálniuk az Authenticatort, vagy valamilyen más hardveres vagy szoftveres OATH-jogkivonatot. Azok a felhasználók, akik nem tudnak TOTP-metódust használni, mindig megjelennek a Leküldéses értesítések megtagadási beállításainak jóváhagyása/, ha az NPS-bővítmény 1.2.2216.1-nél korábbi verzióját használják.
Az NPS-kiszolgálót, amelyen az NPS-bővítmény telepítve van, a PAP protokoll használatára kell konfigurálni. További információ: A felhasználók által használható hitelesítési módszerek meghatározása.
Fontos
Az MSCHAPv2 nem támogatja a TOTP-t. Ha az NPS-kiszolgáló nincs a PAP használatára konfigurálva, a felhasználói engedélyezés meghiúsul az NPS-bővítménykiszolgáló AuthZOptCh naplójában található eseményekkel a Eseménynapló:
NPS-bővítmény az Azure MFA-hoz: A felhasználói npstesting_ap hitelesítési bővítményében kért kihívás. Konfigurálhatja az NPS-kiszolgálót a PAP támogatásához. Ha a PAP nem lehetőség, beállíthatja, hogy OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL Standard kiadás visszaálljon a Leküldéses értesítések elutasításának jóváhagyására./
Ha a szervezet távoli asztali átjárót használ, és a felhasználó regisztrálva van egy TOTP-kódra az Authenticator leküldéses értesítéseivel együtt, a felhasználó nem tud megfelelni a Microsoft Entra többtényezős hitelesítési kihívásának, és a távoli asztali átjáró bejelentkezése meghiúsul. Ebben az esetben beállíthatja, hogy OVERRIDE_NUMBER_MATCHING_WITH_OTP = FAL Standard kiadás visszaálljon a Leküldéses értesítések jóváhagyása/ az Authenticator használatával.
FAQs
Letilthatom a számegyezést?
Nem, a felhasználók nem tilthatják le a számegyezést az Authenticator leküldéses értesítéseiben.
A vonatkozó szolgáltatások 2023. május 8-a után megkezdik a módosítások üzembe helyezését, és a felhasználók a jóváhagyási kérelmek számegyezését látják. A szolgáltatások üzembe helyezésekor előfordulhat, hogy egyes szolgáltatások számegyezést látnak, míg mások nem. Az összes felhasználó egységes viselkedésének biztosítása érdekében javasoljuk, hogy előzetesen engedélyezze a számegyezést az Authenticator leküldéses értesítéseihez.
A számegyeztetés csak akkor érvényes, ha az Authenticator leküldéses értesítései alapértelmezett hitelesítési módszerként vannak beállítva?
Igen. Ha a felhasználó eltérő alapértelmezett hitelesítési módszerrel rendelkezik, nincs változás az alapértelmezett bejelentkezésben. Ha az alapértelmezett metódus az Authenticator leküldéses értesítése, számegyeztetést kapnak. Ha az alapértelmezett módszer bármi más, például az Authenticator TOTP-je vagy egy másik szolgáltató, nincs változás.
Az alapértelmezett módszertől függetlenül minden felhasználó, aki az Authenticator leküldéses értesítéseivel való bejelentkezésre kéri, a számegyezést látja. Ha a rendszer másik metódust kér, nem fog változást látni.
Mi történik azon felhasználók esetében, akik nincsenek megadva a hitelesítési módszerek házirendjében, de engedélyezve vannak az értesítésekhez mobilalkalmazáson keresztül az örökölt MFA-bérlői szabályzatban?
Azok a felhasználók, akik engedélyezve vannak az MFA leküldéses értesítéseihez az örökölt MFA-házirendben, akkor a számegyeztetés is megjelenik, ha az örökölt MFA-szabályzat engedélyezte az értesítéseket mobilalkalmazáson keresztül. A felhasználók számegyeztetéseket fognak látni, függetlenül attól, hogy engedélyezve vannak-e az Authenticatorhoz a hitelesítési módszerek házirendjében.
Támogatott a számegyezés az MFA-kiszolgálóval?
Nem, a számegyeztetés nincs kényszerítve, mert nem támogatott funkció az MFA-kiszolgáló esetében, amely elavult.
Mi történik, ha egy felhasználó az Authenticator régebbi verzióját futtatja?
Ha egy felhasználó az Authenticator régebbi verzióját futtatja, amely nem támogatja a számegyezést, a hitelesítés nem fog működni. A felhasználóknak frissítenie kell az Authenticator legújabb verziójára a bejelentkezéshez.
Hogyan ellenőrizhetik újra a felhasználók a számot a mobil iOS-eszközökön a találati kérelem megjelenése után?
A mobil iOS-közvetítőfolyamatok során a számegyeztetési kérelem két másodperces késés után jelenik meg a számon. A szám ismételt ellenőrzéséhez kattintson ismét a Szám megjelenítése elemre. Ez a művelet csak mobil iOS-közvetítőfolyamatokban történik.
Támogatja az Apple Watch az Authenticatort?
Az iOS-hez készült Authenticator 2023. januári kiadásában nincs társalkalmazás a watchOS-hoz, mert nem kompatibilis az Authenticator biztonsági funkcióival. Az Authenticator nem telepíthető és nem használható az Apple Watchon. Ezért azt javasoljuk, hogy törölje az Authenticatort az Apple Watchból, és jelentkezzen be az Authenticator szolgáltatással egy másik eszközön.