Do you want to switch the language?
Cloud ApplicationsMichael Obernberger14. Februar 20232 min Lesezeit

Azure MFA – "Number Matching"

Update 17.02.2023: Microsoft hat die Timeline für untenstehende Änderung angepasst und die erzwungene Aktivierung wurde auf den 08.05.2023 verschoben. 

„Number Matching“ wird mit 27. Februar 2023 standardmäßig aktiviert

Die Nummernübereinstimmung (MFA Number Matching) ist eine wichtige Sicherheitsverbesserung gegenüber den herkömmlichen Zweitfaktor-Benachrichtigungen in Microsoft Authenticator. Microsoft wird ab dem 27. Februar 2023 die Admin-Kontrollen entfernen und die Nummernübereinstimmung weltweit für alle Benutzer aktivieren.

Warum die Nummernübereinstimmung (MFA Number Matching)?

Der Hauptgrund für die Aktivierung der Nummernübereinstimmung ist die Erhöhung der Sicherheit der Microsoft Authenticator-Anwendung. Es gibt viele Artikel über MFA-Ermüdungsangriffe. Durch die Implementierung des Nummernabgleichs kann verhindert werden, dass Benutzer versehentlich MFA-Anfragen genehmigen. Mit dem Nummernabgleich hat der Benutzer einen Kontext für die MFA-Anfrage, um bessere Entscheidungen treffen zu können. Wenn er die Nummernabfrage nicht auf seinem Computer hat, kann die MFA-Anfrage nicht genehmigt werden.

Was ändert sich?

Wir können den Nummernabgleich für unsere Benutzer schon heute aktivieren, wir müssen nicht auf die Freigabe von Microsoft warten. Im aktuellen Zustand kann der Nummernabgleich für alle Microsoft Authenticator-Benutzer oder für eine ausgewählte Gruppe von Microsoft Authenticator-Benutzern aktiviert werden. Schauen wir uns diese Einstellungen im Azure Portal an (https://portal.azure.com)

Öffnen Sie im Azure-Portal das Azure Active Directory. Wählen Sie im linken Menü Sicherheit. In den nächsten Fenstern wählen Sie Authentifizierungsmethoden und dann Richtlinien. Hier können Microsoft Authenticator-Richtlinien konfiguriert werden. In diesem Bereich wird festgelegt, welche Ihrer Benutzer die Microsoft Authenticator-Anwendung verwenden dürfen und es können auch die Einstellungen für den Nummernabgleich (MFA Number Matching) konfiguriert werden.

Screenshot eines Sicherheitssystems, das die Einstellungen für die Nummernübereinstimmung im Azure Portal zeigt.

Nach der Auswahl des Punktes "Microsoft Authenticator" wird das folgende Fenster angezeigt:

Screenshot einer Computeranzeige, die Einstellungen für die Nummernübereinstimmung im Azure Portal zeigt.

Auf der Registerkarte Enable and Target können Sie konfigurieren, welche Benutzer die Microsoft Authenticator-Anwendung als Authentifizierungsmethode verwenden dürfen. In meinem Fall habe ich „Alle Benutzer“ mit beliebigem Authentifizierungsmodus konfiguriert. Die beiden verfügbaren Modi sind Passwordless und Push. Sie können auch nach dem 27. Februar 2023 noch Änderungen an diesen Einstellungen vornehmen.

Sie können bestimmte Benutzer oder Gruppen ansprechen und bei Bedarf Ausnahmen hinzufügen. Ich kann z. B. alle Benutzer auswählen und einen Ausschluss für einige Benutzergruppen hinzufügen.

Auf der Registerkarte „Configure“ finden Sie die Einstellungen für den Nummernabgleich, wie in der Abbildung unten dargestellt.

Screenshot der Benutzeroberfläche für die Konfiguration der Nummernübereinstimmung in Microsoft Authenticator im Azure Portal.

Im Moment können diese Einstellungen, die in der obigen Abbildung gezeigt werden, noch nach Bedarf geändert werden. Sie können diese Einstellungen so konfigurieren, dass der Nummernabgleich (MFA Number Matching) für alle Benutzer der Authenticator-Anwendung aktiviert wird oder bestimmte Benutzer oder Gruppen ansprechen. Dies ist eine gute Methode, um diese Funktion an einigen POC-Benutzern zu testen und sich mit dem neuen Prozess vertraut zu machen.

Nach dem 27. Februar 2023 werden Sie diese Einstellungen nicht mehr ändern können. Die Einstellung Status wird auf Aktiviert gesetzt. Der Abschnitt Ziel wird auf Alle Benutzer eingestellt. Wie bereits erwähnt, können diese Einstellungen nach diesem Datum nicht mehr geändert werden. Sie können auch keine Ausnahmen in der Einstellung Ziel hinzufügen.

Alle Details zur Konfiguration finden Sie auch in der Microsoft Dokumentation.

Welche Benutzer sind betroffen?

Die Änderungen betreffen nur Benutzer der Microsoft Authenticator-Anwendung. Benutzer anderer Authentifizierungsmethoden wie z. B. Telefon (SMS/Text) sind davon nicht betroffen.
Microsoft wird nicht alle Benutzer dazu zwingen, standardmäßig den Nummernabgleich zu verwenden. Der Nummernabgleich wird nur für Benutzer der Microsoft Authenticator-Anwendung standardmäßig aktiviert.
Neue Benutzer können sich weiterhin mit jeder beliebigen Authentifizierungsmethode gemäß der von Ihnen konfigurierten Richtlinie anmelden. Wenn sie sich für die Telefonauthentifizierung anmelden, fahren sie wie gewohnt fort. Wenn sie sich für Microsoft Authenticator mit Push-Benachrichtigung anmelden, verwenden sie den Nummernabgleich.

Azure MFA NPS Extension

Falls Sie die Azure MFA NPS Extension nutzen für die Anbindung von 3rd Party Produkten wie z.B. Citrix Netscaler oder Ihrer Firewall für den VPN Client Zugriff, prüfen Sie bitte die installierte Version und updaten Sie diese gegebenenfalls.
Alle Details dazu finden sie hier und ein kurzer Test wie sich dies bei Citrix verhält finden Sie in diesem Artikel.

Bei Fragen gehen Sie gerne auf unsere Spezialisten zu.

Wie kann ich Ihnen helfen?