Cara kerja pencocokan angka dalam pemberitahuan push autentikasi multifaktor untuk Authenticator - Kebijakan metode autentikasi
Topik ini membahas bagaimana pencocokan angka di pemberitahuan push Microsoft Authenticator meningkatkan keamanan masuk pengguna. Pencocokan angka adalah peningkatan keamanan kunci ke pemberitahuan faktor kedua tradisional di Authenticator.
Mulai 8 Mei 2023, pencocokan angka diaktifkan untuk semua pemberitahuan push Authenticator. Saat layanan relevan disebarkan, pengguna di seluruh dunia yang diaktifkan untuk pemberitahuan push Authenticator akan mulai melihat pencocokan nomor dalam permintaan persetujuan mereka. Pengguna dapat diaktifkan untuk pemberitahuan push Authenticator baik dalam kebijakan Metode autentikasi atau kebijakan autentikasi multifaktor warisan jika Pemberitahuan melalui aplikasi seluler diaktifkan.
Skenario pencocokan angka
Pencocokan nomor tersedia untuk skenario berikut. Saat diaktifkan, semua skenario mendukung pencocokan nomor.
- Autentikasi multifaktor
- Pengaturan ulang kata sandi mandiri
- Gabungan pendaftaran SSPR dan MFA selama penyiapan aplikasi Authenticator
- Adaptor AD FS
- Ekstensi NPS
Pencocokan angka tidak didukung untuk pemberitahuan push untuk perangkat yang dapat dipakai Apple Watch atau Android. Pengguna perangkat yang dapat dikenakan perlu menggunakan ponsel mereka untuk menyetujui pemberitahuan saat pencocokan nomor diaktifkan.
Autentikasi multifaktor
Saat pengguna merespons pemberitahuan push MFA menggunakan Authenticator, mereka akan disajikan dengan angka. Pengguna perlu mengetikkan nomor tersebut ke dalam aplikasi untuk menyelesaikan persetujuan. Untuk informasi selengkapnya tentang cara menyiapkan MFA, lihat Tutorial: Mengamankan peristiwa masuk pengguna dengan autentikasi multifaktor Microsoft Entra.
SSPR
Pengaturan ulang kata sandi mandiri (SSPR) dengan Authenticator memerlukan pencocokan angka saat menggunakan Authenticator. Selama pengaturan ulang kata sandi mandiri, halaman masuk menunjukkan nomor yang perlu ditik pengguna ke dalam pemberitahuan Authenticator. Untuk informasi selengkapnya tentang cara menyiapkan SSPR, lihat Tutorial: Mengaktifkan pengguna untuk membuka kunci akun atau mengatur ulang kata sandi mereka.
Gabungan pendaftaran
Pendaftaran gabungan dengan Authenticator memerlukan pencocokan angka. Ketika pengguna melalui pendaftaran gabungan untuk menyiapkan Authenticator, pengguna perlu menyetujui pemberitahuan untuk menambahkan akun. Pemberitahuan ini menunjukkan nomor yang perlu mereka ketikkan ke pemberitahuan Authenticator. Untuk informasi selengkapnya tentang cara menyiapkan pendaftaran gabungan, lihat Mengaktifkan pendaftaran informasi keamanan gabungan.
Adaptor AD FS
Adaptor Layanan Federasi Direktori Aktif memerlukan pencocokan angka pada versi Windows Server yang didukung. Pada versi sebelumnya, pengguna terus melihat pengalaman Setujui/Tolak dan tidak melihat nomor yang cocok sampai Anda meningkatkan. Adaptor Layanan Federasi Direktori Aktif mendukung pencocokan angka hanya setelah Anda menginstal salah satu pembaruan dalam tabel berikut. Untuk informasi selengkapnya tentang cara menyiapkan adaptor Layanan Federasi Direktori Aktif, lihat Mengonfigurasi Azure Multi-Factor Authentication Server untuk bekerja dengan Layanan Federasi Direktori Aktif di Windows Server.
Catatan
Versi Windows Server yang belum dikirim tidak mendukung pencocokan nomor. Pengguna terus melihat pengalaman Setujui/Tolak dan tidak melihat pencocokan angka kecuali pembaruan ini diterapkan.
| Versi | Pembaruan |
|---|---|
| Windows Server 2022 | 9 November 2021—KB5007205 (BUILD OS 20348.350) |
| Windows Server 2019 | 9 November 2021—KB5007206 (BUILD OS 17763.2300) |
| Server Windows 2016 | 12 Oktober 2021—KB5006669 (OS Build 14393.4704) |
Ekstensi NPS
Meskipun NPS tidak mendukung pencocokan angka, ekstensi NPS terbaru memang mendukung metode kata sandi satu kali berbasis waktu (TOTP) seperti TOTP yang tersedia di Authenticator, token perangkat lunak lainnya, dan FOB perangkat keras. Rincian masuk TOTP memberikan keamanan yang lebih baik daripada pengalaman Menyetujui Penolakan/ alternatif. Pastikan Anda menjalankan ekstensi NPS versi terbaru.
Siapa pun yang melakukan koneksi RADIUS dengan ekstensi NPS versi 1.2.2216.1 atau yang lebih baru diminta untuk masuk dengan metode TOTP alih-alih Menyetujui/Tolak. Pengguna harus memiliki metode autentikasi TOTP yang terdaftar untuk melihat perilaku ini. Tanpa metode TOTP terdaftar, pengguna terus melihat Setujui/Tolak.
Organisasi yang menjalankan salah satu versi ekstensi NPS sebelumnya ini dapat memodifikasi registri untuk mengharuskan pengguna memasukkan TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Catatan
Versi ekstensi NPS yang lebih lama dari 1.0.1.40 tidak mendukung TOTP yang diberlakukan oleh pencocokan angka. Versi ini akan terus menyajikan pengguna dengan Setujui/Tolak.
Untuk membuat entri registri untuk mengambil alih opsi Setujui/Tolak dalam pemberitahuan push dan memerlukan TOTP sebagai gantinya:
- Di Server NPS, buka Editor Registri.
- Navigasikan ke HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Buat pasangan String/Nilai berikut:
- Nama: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Nilai = TRUE
- Hidupkan ulang Layanan NPS.
Sebagai tambahan:
Pengguna yang melakukan TOTP harus memiliki Authenticator yang terdaftar sebagai metode autentikasi, atau beberapa token OATH perangkat keras atau perangkat lunak lainnya. Pengguna yang tidak dapat menggunakan metode TOTP akan selalu melihat Menyetujui opsi Tolak/ dengan pemberitahuan push jika mereka menggunakan versi ekstensi NPS yang lebih lama dari 1.2.2216.1.
Server NPS tempat ekstensi NPS diinstal harus dikonfigurasi untuk menggunakan protokol PAP. Untuk informasi selengkapnya, lihat Menentukan metode autentikasi yang dapat digunakan pengguna Anda.
Penting
MSCHAPv2 tidak mendukung TOTP. Jika Server NPS tidak dikonfigurasi untuk menggunakan PAP, otorisasi pengguna gagal dengan peristiwa di log AuthZOptCh dari server Ekstensi NPS di Pemantau Peristiwa:
Ekstensi NPS untuk Azure MFA: Tantangan yang diminta dalam Autentikasi Ext for User npstesting_ap. Anda dapat mengonfigurasi Server NPS untuk mendukung PAP. Jika PAP bukan opsi, Anda dapat mengatur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE untuk kembali ke Setujui/pemberitahuan push Tolak.
Jika organisasi Anda menggunakan Gateway Desktop Jauh dan pengguna terdaftar untuk kode TOTP bersama dengan pemberitahuan push Authenticator, pengguna tidak dapat memenuhi tantangan autentikasi multifaktor Microsoft Entra dan proses masuk Gateway Desktop Jauh gagal. Dalam hal ini, Anda dapat mengatur OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE untuk kembali ke Setujui/pemberitahuan push Tolak dengan Authenticator.
Tanya Jawab Umum
Dapatkah saya menolak pencocokan angka?
Tidak, pengguna tidak dapat menolak pencocokan jumlah di pemberitahuan push Authenticator.
Layanan yang relevan akan mulai menyebarkan perubahan ini setelah 8 Mei 2023 dan pengguna akan mulai melihat kecocokan angka dalam permintaan persetujuan. Saat layanan disebarkan, beberapa mungkin melihat kecocokan angka sementara yang lain tidak. Untuk memastikan perilaku yang konsisten untuk semua pengguna, kami sangat menyarankan Anda mengaktifkan kecocokan angka untuk pemberitahuan push Authenticator terlebih dahulu.
Apakah pencocokan angka hanya berlaku jika pemberitahuan push Authenticator diatur sebagai metode autentikasi default?
Ya. Jika pengguna memiliki metode autentikasi default yang berbeda, tidak ada perubahan pada rincian masuk default mereka. Jika metode default adalah pemberitahuan push Authenticator, mereka mendapatkan pencocokan angka. Jika metode default adalah hal lain, seperti TOTP di Authenticator atau penyedia lain, tidak ada perubahan.
Terlepas dari metode default mereka, setiap pengguna yang diminta untuk masuk dengan pemberitahuan push Authenticator melihat pencocokan nomor. Jika diminta untuk metode lain, mereka tidak akan melihat perubahan apa pun.
Apa yang terjadi bagi pengguna yang tidak ditentukan dalam kebijakan metode Autentikasi tetapi diaktifkan untuk Pemberitahuan melalui aplikasi seluler dalam kebijakan seluruh penyewa MFA warisan?
Pengguna yang diaktifkan untuk pemberitahuan push MFA dalam kebijakan MFA warisan juga akan melihat kecocokan nomor jika kebijakan MFA warisan telah mengaktifkan Pemberitahuan melalui aplikasi seluler. Pengguna akan melihat pencocokan nomor terlepas dari apakah mereka diaktifkan untuk Authenticator dalam kebijakan Metode autentikasi.
Apakah pencocokan angka didukung dengan MFA Server?
Tidak, pencocokan angka tidak diberlakukan karena bukan fitur yang didukung untuk MFA Server, yang tidak digunakan lagi.
Apa yang terjadi jika pengguna menjalankan versi Authenticator yang lebih lama?
Jika pengguna menjalankan versi Authenticator lama yang tidak mendukung pencocokan nomor, autentikasi tidak akan berfungsi. Pengguna perlu meningkatkan ke versi terbaru Authenticator untuk menggunakannya untuk masuk.
Bagaimana pengguna dapat mencentang ulang nomor di perangkat iOS seluler setelah permintaan pencocokan muncul?
Selama alur broker iOS seluler, permintaan kecocokan angka muncul di atas angka setelah penundaan dua detik. Untuk mencentang ulang nomor, klik Perlihatkan nomornya lagi. Tindakan ini hanya terjadi dalam alur broker iOS seluler.
Apakah Apple Watch didukung untuk Authenticator?
Dalam rilis Authenticator pada Januari 2023 untuk iOS, tidak ada aplikasi pendamping untuk watchOS karena tidak kompatibel dengan fitur keamanan Authenticator. Anda tidak dapat menginstal atau menggunakan Authenticator di Apple Watch. Oleh karena itu, kami menyarankan agar Anda menghapus Authenticator dari Apple Watch Anda, dan masuk dengan Authenticator di perangkat lain.