Updated February 16, 2023: Microsoft Authenticator app?s number matching feature has been Generally Available since Nov 2022! If you have not already leveraged the rollout controls (via Azure Portal Admin UX and MSGraph APIs) to smoothly deploy number matching for users of Microsoft Authenticator push notifications, we highly encourage you to do so. We had previously announced that we will remove the admin controls and enforce the number match experience tenant-wide for all users of Microsoft Authenticator push notifications starting February 27, 2023. After listening to customers, we will extend the availability of the rollout controls for a few more weeks. Organizations can continue to use the existing rollout controls until May 8, 2023, to deploy number matching in their organizations. Microsoft services will start enforcing the number matching experience for all users of Microsoft Authenticator push notifications after May 8th, 2023. We will also remove the rollout controls for number matching after that date.  

Please note that we have changed the expected behavior for NPS extension to be even more admin friendly. NPS versions 1.2.2216.1+ will be released once Microsoft starts to enable number matching for all Authenticator users. These NPS versions will automatically prefer OTP based sign-ins over traditional push notifications with the Authenticator app. An admin can choose to disable this behavior and fallback to traditional push notifications with Approve/Deny by setting the registry key OVERRIDE_NUMBER_MATCHING_WITH_OTP Value = FALSE. Previous NPS extension versions will not automatically switch Authenticator push notification authentications to OTP based authentications. Please refer to the NPS extension section of the number match documentation for further information.

[When this will happen:]

Beginning February 27, 2023

[How this affects your organization:]

To prevent accidental approvals, admins can require users to enter a number displayed on the sign-in screen when approving an MFA request in the Microsoft Authenticator app. This feature is critical to protecting against MFA fatigue attacks which are on the rise.

Another way to reduce accidental approvals is to show users additional context in Authenticator notifications. Admins can now selectively choose to enable the following:

• Application context: Show users which application they are signing into.
• Geographic location context: Show users their sign-in location based on the IP address of the device they are signing into.

Number match behavior in different scenarios after 27-February 2023:

1. Authentication flows will require users to do number match when using the Microsoft Authenticator app. If the user is using a version of the Authenticator app that doesn?t support number match, their authentication will fail. Please make sure upgrade to the latest version of Microsoft Authenticator (App Store and Google Play Store) to use it for sign-in.
2. Self Service Password Reset (SSPR) and combined registration flows will also require number match when users are using the Microsoft Authenticator app.
3. ADFS adapter will require number matching on versions of Windows Server that support number matching. On earlier versions, users will continue to see the ?Approve/Deny? experience and won?t see number matching till you upgrade.
• Windows Server 2022 October 26, 2021?KB5006745 (OS Build 20348.320)
• Windows Server 2019 October 19, 2021?KB5006744 (OS Build 17763.2268)
• Windows Server 2016 October 12, 2021?KB5006669 (OS Build 14393.4704)
4. NPS extension versions beginning 1.2.2131.2 will require users to do number matching after 27-February 2023. Because the NPS extension can?t show a number, the user will be asked to enter a One-Time Passcode (OTP). The user must have an OTP authentication method (e.g. Microsoft Authenticator app, software tokens etc.) registered to see this behavior. If the user doesn?t have an OTP method registered, they?ll continue to get the Approve/Deny experience. You can create a registry key that overrides this behavior and prompts users with Approve/Deny. More information can be found in the number matching documentation. 
5. Apple Watch ? Apple Watch will remain unsupported for number matching. We recommend you uninstall the Microsoft Authenticator Apple Watch app because you have to approve notifications on your phone.

[What you can do to prepare:]

If customers don?t enable number match for all Microsoft Authenticator push notifications prior to May 8, 2023, users may experience inconsistent sign-ins while the services are rolling out this change. To ensure consistent behavior for all users, we highly recommend you enable number match for Microsoft Authenticator push notifications in advance. 

Learn more at: 

• Number match documentation
• Defend your users from MFA fatigue attacks – Microsoft Community Hub 
• Advanced Microsoft Authenticator security features are now generally available! – Microsoft Community Hub

2023 年 2 月 16 日更新: Microsoft 認証システム アプリの番号照合機能が 2022 年 11 月から一般公開されました。Microsoft Authenticator プッシュ通知のユーザーに対して番号照合をスムーズにデプロイするために、(Azure Portal Admin UX および MSGraph API を介して) ロールアウト コントロールをまだ活用していない場合は、そうすることを強くお勧めします。以前、管理者コントロールを削除し、2023 年 2 月 27 日から Microsoft Authenticator プッシュ通知のすべてのユーザーに対してテナント全体で番号一致エクスペリエンスを適用することを発表しました。お客様の声に耳を傾けた後、ロールアウト コントロールの可用性をさらに数週間延長します。組織は、2023 年 5 月 8 日まで既存のロールアウト コントロールを引き続き使用して、組織に番号一致を展開できます。Microsoft サービスは、2023 年 5 月 8 日以降、Microsoft 認証システムのプッシュ通知のすべてのユーザーに対して番号照合エクスペリエンスの適用を開始します。また、その日以降は、数値照合のロールアウト コントロールも削除されます。  

NPS 拡張機能の予想される動作をさらに管理者にわかりやすく変更したことに注意してください。NPS バージョン 1.2.2216.1+ は、Microsoft がすべての認証システム ユーザーに対して番号の一致を有効にし始めるとリリースされます。これらの NPS バージョンでは、Authenticator アプリを使用した従来のプッシュ通知よりも OTP ベースのサインインが自動的に優先されます。管理者は、レジストリ キーを Value = FALSE に設定することで、この動作を無効にし、承認/拒否を使用して従来のプッシュ通知にフォールバックすることを選択できますOVERRIDE_NUMBER_MATCHING_WITH_OTP。以前のバージョンの NPS 拡張機能では、オーセンティケーターのプッシュ通知認証が OTP ベースの認証に自動的に切り替えられません。詳細については、 番号一致ドキュメントの NPS 拡張セクションを参照してください 。

[これが起こるとき:]

2023 年 2 月 27 日以降

[これが組織に与える影響:]

偶発的な承認を防ぐために、管理者は、Microsoft 認証システム アプリで MFA 要求を承認するときに、サインイン画面に表示される番号の入力をユーザーに要求できます。この機能は、増加傾向にある MFA 疲労攻撃から保護するために重要です。

偶発的な承認を減らす別の方法は、オーセンティケーター通知でユーザーに追加のコンテキストを表示することです。管理者は、以下を有効にすることを選択できるようになりました。

• アプリケーション コンテキスト: サインインしているアプリケーションをユーザーに表示します。
• 地理的な場所のコンテキスト: ユーザーがサインインしているデバイスの IP アドレスに基づいて、ユーザーのサインイン場所を表示します。

2023 年 2 月 27 日以降のさまざまなシナリオでの数値一致の動作:

1. 認証フローでは、ユーザーが Microsoft 認証システム アプリを使用するときに番号の一致を行う必要があります。ユーザーが番号の一致をサポートしていないバージョンの認証アプリを使用している場合、認証は失敗します。サインインに使用するには、最新バージョンのMicrosoft Authenticator(App StoreおよびGoogle Playストア)にアップグレードしてください。
2. セルフサービス パスワード リセット (SSPR) と結合された登録フローでも、ユーザーが Microsoft 認証システム アプリを使用している場合、番号の一致が必要になります。
3. ADFS アダプターでは、番号の一致をサポートするバージョンの Windows Server で番号の一致が必要になります。以前のバージョンでは、ユーザーには引き続き ?承認/拒否?経験があり、アップグレードするまで番号の一致は表示されません。
• ウィンドウズサーバー2022 2021年10月26日?KB5006745 (OS ビルド 20348.320)
• ウィンドウズサーバー2019 2021年10月19日?KB5006744 (OS ビルド 17763.2268)
• ウィンドウズサーバー2016 2021年10月12日?KB5006669 (OS ビルド 14393.4704)
4. 1.2.2131.2 以降の NPS 拡張機能バージョンでは、2023 年 2 月 27 日以降、ユーザーは数値照合を行う必要があります。NPS 拡張機能では番号を表示できないため、ユーザーはワンタイム パスコード (OTP) の入力を求められます。この動作を確認するには、ユーザーが OTP 認証方法 (Microsoft 認証システム アプリ、ソフトウェア トークンなど) を登録している必要があります。ユーザーが OTP メソッドを登録していない場合、承認/拒否エクスペリエンスは引き続き取得されます。この動作をオーバーライドし、ユーザーに承認/拒否を求めるレジストリ キーを作成できます。詳細については、番号照合のドキュメントを参照してください。 
5. Apple Watch。Apple Watchは、番号の一致に対してサポートされないままになります。アンインストールすることをお勧めします マイクロソフト認証システム Apple 腕時計 電話で通知を承認する必要があるため、アプリ。

【準備できること:】

お客様が 2023 年 5 月 8 日より前にすべての Microsoft Authenticator プッシュ通知の番号一致を有効にしていない場合、サービスがこの変更を展開している間、ユーザーは一貫性のないサインインを経験する可能性があります。すべてのユーザーに一貫した動作を保証するために、事前に Microsoft 認証システムのプッシュ通知の番号一致を有効にすることを強くお勧めします。 

詳細については、以下を参照してください。 

• 番号一致ドキュメント
• MFA 疲労攻撃からユーザーを守る – Microsoft コミュニティ ハブ 
• 高度な Microsoft 認証システムのセキュリティ機能が一般公開されました。- マイクロソフト コミュニティ ハブ