Como a correspondência de números funciona em notificações por push na autenticação multifator para o Authenticator - Política de métodos de autenticação
Este tópico aborda como a correspondência de números em notificações por push do Microsoft Authenticator melhora a segurança de entrada do usuário. A correspondência de números é uma atualização de segurança importante para as notificações tradicionais de segundo fator no Authenticator.
A partir de 8 de maio de 2023, a correspondência de números está habilitada para todas as notificações por push do Authenticator. Á medida que os serviços relevantes são implantados, os usuários em todo o mundo que estão habilitados para receber notificações por push do Authenticator começarão a ver a correspondência de números em suas solicitações de aprovação. Os usuários podem ser habilitados para receber notificações por push do Authenticator na política de métodos de autenticação ou na política de autenticação multifator herdada se as Notificações por meio do aplicativo móvel estiverem habilitadas.
Cenários de correspondência de números
A correspondência de números está disponível para os cenários a seguir. Quando habilitado, todos os cenários dão suporte à correspondência de números.
- Autenticação multifator
- Redefinição de senha de autoatendimento
- SSPR combinado e registro de MFA durante a configuração do aplicativo Authenticator
- Adaptador do AD FS
- Extensão NPS
Não há suporte para correspondência de números em notificações por push para dispositivos vestíveis Apple Watch ou Android. Os usuários de dispositivos vestíveis precisam usar o telefone para aprovar notificações quando a correspondência de números está habilitada.
Autenticação multifator
Quando um usuário responde a uma notificação por push de MFA usando o Authenticator, ele receberá um número. Eles precisam digitar esse número no aplicativo para concluir a aprovação. Para obter mais informações sobre como configurar a MFA, consulte o Tutorial: Proteger eventos de entrada do usuário com a Autenticação Multifator do Microsoft Entra.
SSPR
A SSPR (redefinição de senha self-service) com o Authenticator requer a correspondência de números ao usar o Authenticator. Durante a redefinição de senha self-service, a página de entrada mostra um número que o usuário precisa digitar na notificação do Authenticator. Para obter mais informações sobre como configurar a SSPR, consulte Tutorial: Habilitar usuários a desbloquear suas contas ou redefinir senhas.
Registro combinado
O registro combinado com o Authenticator requer a correspondência de números. Quando um usuário passa pelo registro combinado para configurar o Authenticator, o usuário precisa aprovar uma notificação para adicionar a conta. Essa notificação mostra um número que o usuário precisa digitar na notificação do Authenticator. Para obter mais informações sobre como configurar o registro combinado, consulte Habilitar o registro combinado de informações de segurança.
Adaptador do AD FS
O adaptador do AD FS requer a correspondência de números nas versões com suporte do Windows Server. Em versões anteriores, os usuários continuam vendo a experiência de Aprovar/Negar e não veem a correspondência de números até você atualizar. O adaptador de AD FS dá suporte à correspondência de números somente após a instalação de uma das atualizações da tabela a seguir. Para obter mais informações sobre como configurar o adaptador do AD FS, consulte Configurar o Servidor de Autenticação Multifator do Microsoft Azure para trabalhar com o AD FS no Windows Server.
Observação
As versões sem patch do Windows Server não dão suporte à correspondência numérica. Os usuários continuam vendo a experiência de Aprovar/Negar e não veem a correspondência de números a menos que essas atualizações sejam aplicadas.
| Versão | Atualizar |
|---|---|
| Windows Server 2022 | 9 de novembro de 2021 — KB5007205 (build do sistema operacional 20348.350) |
| Windows Server 2019 | 9 de novembro de 2021 — KB5007206 (build do sistema operacional 17763.2300) |
| Windows Server 2016 | 12 de outubro de 2021 - KB5006669 (OS do Build 14393.4704) |
Extensão NPS
Embora o NPS não dê suporte à correspondência de números, a extensão NPS mais recente dá suporte a métodos TOTP (senhas avulsas por tempo limitado), como o TOTP disponível no Authenticator, outros tokens de software e FOBs de hardware. A entrada com TOTP fornece melhor segurança do que a experiência alternativa de Aprovar/Negar. Certifique-se de executar a versão mais recente da extensão NPS.
Qualquer pessoa que executa uma conexão RADIUS com a extensão NPS versão 1.2.2216.1 ou posterior é solicitada a entrar com um método TOTP em vez de Aprovar/Negar. Os usuários precisam ter um método de autenticação TOTP registrado para ver esse comportamento. Sem um método TOTP registrado, os usuários continuam vendo Aprovar/Negar.
As organizações que executam qualquer uma dessas versões anteriores da extensão NPS podem modificar o registro para exigir que os usuários insiram um TOTP:
- 1.2.2131.2
- 1.2.1959.1
- 1.2.1916.2
- 1.1.1892.2
- 1.0.1850.1
- 1.0.1.41
- 1.0.1.40
Observação
As versões de extensões de NPS anteriores à 1.0.1.40 não dão suporte ao TOTP imposto pela correspondência de números. Essas versões continuarão apresentando aos usuários a opção Aprovar/Negar.
Para criar a entrada do Registro para substituir as opções Aprovar/Negar nas notificações por push e exigir um TOTP:
- No servidor NPS, abra o editor do registro.
- Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa.
- Crie o seguinte par Cadeia de caracteres/Valor:
- Nome: OVERRIDE_NUMBER_MATCHING_WITH_OTP
- Valor = VERDADEIRO
- Reinicia o serviço NPS.
Além disso:
Os usuários que executam o TOTP precisam ter o Authenticator registrado como um método de autenticação, ou algum outro token OATH de hardware ou software. Um usuário que não pode usar um método TOTP sempre verá as opções Aprovar/Negar com notificações por push se usar uma versão da extensão NPS anterior à 1.2.2216.1.
O Servidor NPS em que a extensão de NPS está instalada deve ser configurado para usar o protocolo PAP. Para mais informações, veja Determinar quais métodos de autenticação os usuários podem usar.
Importante
MSCHAPv2 não dá suporte a TOTP. Se o Servidor NPS não estiver configurado para usar PAP, a autorização do usuário falhará com eventos no log AuthZOptCh do servidor da extensão NPS no Visualizador de Eventos:
Extensão de NPS para MFA do Azure: desafio solicitado na extensão de Autenticação o usuário npstesting_ap. Você pode configurar o Servidor NPS para dar suporte ao PAP. Se o PAP não for uma opção, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para fazer fallback para notificações por push para Aprovar/Negar.
Se a sua organização usar o Gateway de Área de Trabalho Remota e o usuário estiver registrado para um código TOTP juntamente com notificações push do Autenticator, o usuário não poderá atender ao desafio de autenticação multifator do Microsoft Entra e a entrada do Gateway de Área de Trabalho Remota falhará. Nesse caso, você pode definir OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE para fazer fallback para as notificações por push para Aprovar/Negar com o Authenticator.
Perguntas frequentes
Posso recusar a correspondência de números?
Não, os usuários não podem recusar a correspondência de números em notificações por push do Authenticator.
Os serviços relevantes começarão a implantar essas alterações após 8 de maio de 2023 e os usuários começarão a ver a correspondência numérica em solicitações de aprovação. À medida que os serviços são implantados, alguns podem ver a correspondência de números, enquanto outros, não. Para garantir um comportamento consistente para todos os usuários, é altamente recomendável habilitar a correspondência de números para notificações por push do Authenticator com antecedência.
A correspondência de números só se aplicará se as notificações por push do Authenticator estiverem definidas como o método de autenticação padrão?
Sim. Se o usuário tiver outro método de autenticação padrão, não haverá nenhuma alteração na entrada padrão. Se o método padrão for notificações por push do Authenticator, obterão a correspondência de números. Se o método padrão for qualquer outra coisa, como TOTP no Authenticator ou em outro provedor, não haverá alteração.
Independentemente do método padrão, qualquer usuário que for solicitado a entrar com notificações por push do Authenticator verá a correspondência de números. Se ele for solicitado por outro método, não verá nenhuma alteração.
O que acontece para usuários que não são especificados na política de métodos de Autenticação, mas estão habilitados para Notificações por meio do aplicativo móvel na política herdada em todo o locatário da MFA?
Os usuários habilitados para notificações por push de MFA na política de MFA herdada também verão a correspondência de números se a política de MFA herdada tiver habilitado Notificações por meio do aplicativo móvel. Os usuários verão a correspondência de números independentemente de estarem habilitados para o Authenticator na política de métodos de autenticação.
Há suporte para a correspondência de números com o Servidor de MFA?
Não, a correspondência de números não é imposta porque não é um recurso com suporte do Servidor de MFA, que foi preterido.
O que acontece se um usuário executar uma versão mais antiga do Authenticator?
Se um usuário estiver executando uma versão mais antiga do Authenticator que não dá suporte à correspondência de números, a autenticação não funcionará. Os usuários precisam atualizar para a versão mais recente do Authenticator para usá-la ao entrar.
Como os usuários podem verificar novamente o número em dispositivos móveis iOS depois que a solicitação de correspondência aparecer?
Durante os fluxos do agente iOS para dispositivos móveis, a solicitação de correspondência de número aparece em cima do número após um atraso de dois segundos. Para verificar o número novamente, clique em Mostre-me o número novamente. Essa ação ocorre apenas nos fluxos do agente iOS para dispositivos móveis.
O Apple Watch dá suporte ao Authenticator?
Na versão do Authenticator de janeiro de 2023 para iOS, não há nenhum aplicativo complementar para watchOS, devido à incompatibilidade com os recursos de segurança do Authenticator. Não é possível instalar ou usar o Authenticator no Apple Watch. Portanto, recomendamos que você exclua o Authenticator do Apple Watch e entre com o Authenticator em outro dispositivo.