Updated February 2, 2023: Microsoft Authenticator app?s number matching feature has been Generally Available since Nov 2022! If you have not already leveraged the rollout controls (via Azure Portal Admin UX and MSGraph APIs) to smoothly deploy number matching for users of Microsoft Authenticator, we highly encourage you to do so. Microsoft will start enabling this critical security feature for all users of the Microsoft Authenticator app beginning February 27, 2023 and remove this feature?s rollout controls after that date.

Please note that we have changed the expected behavior for NPS extension to be even more admin friendly. NPS versions 1.2.2216.1+ will be released once Microsoft starts to enable number matching for all Authenticator users. These NPS versions will automatically prefer OTP based sign-ins over traditional push notifications with the Authenticator app. An admin can choose to disable this behavior and fallback to traditional push notifications with Approve/Deny by setting the registry key OVERRIDE_NUMBER_MATCHING_WITH_OTP Value = FALSE. Previous NPS extension versions will not automatically switch Authenticator push notification authentications to OTP based authentications. Please refer to the NPS extension section of the number match documentation for further information.

[When this will happen:]

Beginning February 27, 2023

[How this affects your organization:]

To prevent accidental approvals, admins can require users to enter a number displayed on the sign-in screen when approving an MFA request in the Microsoft Authenticator app. This feature is critical to protecting against MFA fatigue attacks which are on the rise.

Another way to reduce accidental approvals is to show users additional context in Authenticator notifications. Admins can now selectively choose to enable the following:

• Application context: Show users which application they are signing into.
• Geographic location context: Show users their sign-in location based on the IP address of the device they are signing into.

Number match behavior in different scenarios after 27-February 2023:

1. Authentication flows will require users to do number match when using the Microsoft Authenticator app. If the user is using a version of the Authenticator app that doesn?t support number match, their authentication will fail. Please make sure upgrade to the latest version of Microsoft Authenticator (App Store and Google Play Store) to use it for sign-in.
2. Self Service Password Reset (SSPR) and combined registration flows will also require number match when users are using the Microsoft Authenticator app.
3. ADFS adapter will require number matching on versions of Windows Server that support number matching. On earlier versions, users will continue to see the ?Approve/Deny? experience and won?t see number matching till you upgrade.
• Windows Server 2022 October 26, 2021?KB5006745 (OS Build 20348.320)
• Windows Server 2019 October 19, 2021?KB5006744 (OS Build 17763.2268)
• Windows Server 2016 October 12, 2021?KB5006669 (OS Build 14393.4704)
4. NPS extension versions beginning 1.2.2131.2 will require users to do number matching after 27-February 2023. Because the NPS extension can?t show a number, the user will be asked to enter a One-Time Passcode (OTP). The user must have an OTP authentication method (e.g. Microsoft Authenticator app, software tokens etc.) registered to see this behavior. If the user doesn?t have an OTP method registered, they?ll continue to get the Approve/Deny experience. You can create a registry key that overrides this behavior and prompts users with Approve/Deny. More information can be found in the number matching documentation. 
5. Apple Watch ? Apple Watch will remain unsupported for number matching. We recommend you uninstall the Microsoft Authenticator Apple Watch app because you have to approve notifications on your phone.

[What you can do to prepare:]

We highly recommend that you leverage the rollout controls (via Azure Portal Admin UX and MSGraph APIs) to smoothly deploy these features (number match and additional context) for users of the Microsoft Authenticator app.

Learn more at: 

• Number match documentation
• Defend your users from MFA fatigue attacks – Microsoft Community Hub 
• Advanced Microsoft Authenticator security features are now generally available! – Microsoft Community Hub

2023 年 2 月 2 日更新: Microsoft 認証システム アプリの番号照合機能が 2022 年 11 月から一般公開されました。Microsoft Authenticator のユーザーに対して番号照合をスムーズに展開するために、ロールアウト コントロールを (Azure Portal Admin UX および MSGraph API を介して) まだ活用していない場合は、そうすることを強くお勧めします。Microsoft は、2023 年 2 月 27 日から Microsoft Authenticator アプリのすべてのユーザーに対してこの重要なセキュリティ機能の有効化を開始し、その日以降にこの機能のロールアウト コントロールを削除します。

NPS 拡張機能の予想される動作をさらに管理者にわかりやすく変更したことに注意してください。NPS バージョン 1.2.2216.1+ は、Microsoft がすべての認証システム ユーザーに対して番号の一致を有効にし始めるとリリースされます。これらの NPS バージョンでは、Authenticator アプリを使用した従来のプッシュ通知よりも OTP ベースのサインインが自動的に優先されます。管理者は、レジストリ キーを Value = FALSE に設定することで、この動作を無効にし、承認/拒否を使用して従来のプッシュ通知にフォールバックすることを選択できますOVERRIDE_NUMBER_MATCHING_WITH_OTP。以前のバージョンの NPS 拡張機能では、オーセンティケーターのプッシュ通知認証が OTP ベースの認証に自動的に切り替えられません。詳細については、 番号一致ドキュメントの NPS 拡張セクションを参照してください 。

[これが起こるとき:]

2023 年 2 月 27 日以降

[これが組織に与える影響:]

偶発的な承認を防ぐために、管理者は、Microsoft 認証システム アプリで MFA 要求を承認するときに、サインイン画面に表示される番号の入力をユーザーに要求できます。この機能は、増加傾向にある MFA 疲労攻撃から保護するために重要です。

偶発的な承認を減らす別の方法は、オーセンティケーター通知でユーザーに追加のコンテキストを表示することです。管理者は、以下を有効にすることを選択できるようになりました。

• アプリケーション コンテキスト: サインインしているアプリケーションをユーザーに表示します。
• 地理的な場所のコンテキスト: ユーザーがサインインしているデバイスの IP アドレスに基づいて、ユーザーのサインイン場所を表示します。

2023 年 2 月 27 日以降のさまざまなシナリオでの数値一致の動作:

1. 認証フローでは、ユーザーが Microsoft 認証システム アプリを使用するときに番号の一致を行う必要があります。ユーザーが番号の一致をサポートしていないバージョンの認証アプリを使用している場合、認証は失敗します。サインインに使用するには、最新バージョンのMicrosoft Authenticator(App StoreおよびGoogle Playストア)にアップグレードしてください。
2. セルフサービス パスワード リセット (SSPR) と結合された登録フローでも、ユーザーが Microsoft 認証システム アプリを使用している場合、番号の一致が必要になります。
3. ADFS アダプターでは、番号の一致をサポートするバージョンの Windows Server で番号の一致が必要になります。以前のバージョンでは、ユーザーには引き続き ?承認/拒否?経験があり、アップグレードするまで番号の一致は表示されません。
• ウィンドウズサーバー2022 2021年10月26日?KB5006745 (OS ビルド 20348.320)
• ウィンドウズサーバー2019 2021年10月19日?KB5006744 (OS ビルド 17763.2268)
• ウィンドウズサーバー2016 2021年10月12日?KB5006669 (OS ビルド 14393.4704)
4. 1.2.2131.2 以降の NPS 拡張機能バージョンでは、2023 年 2 月 27 日以降、ユーザーは数値照合を行う必要があります。NPS 拡張機能では番号を表示できないため、ユーザーはワンタイム パスコード (OTP) の入力を求められます。この動作を確認するには、ユーザーが OTP 認証方法 (Microsoft 認証システム アプリ、ソフトウェア トークンなど) を登録している必要があります。ユーザーが OTP メソッドを登録していない場合、承認/拒否エクスペリエンスは引き続き取得されます。この動作をオーバーライドし、ユーザーに承認/拒否を求めるレジストリ キーを作成できます。詳細については、番号照合のドキュメントを参照してください。 
5. Apple Watch。Apple Watchは、番号の一致に対してサポートされないままになります。アンインストールすることをお勧めします マイクロソフト認証システム Apple 腕時計 電話で通知を承認する必要があるため、アプリ。

【準備できること:】

(Azure Portal Admin UX および MSGraph API を介して) ロールアウト コントロールを利用して、Microsoft 認証システム アプリのユーザーに対してこれらの機能 (数値の一致と追加のコンテキスト) をスムーズにデプロイすることを強くお勧めします。

詳細については、以下を参照してください。 

• 番号一致ドキュメント
• MFA 疲労攻撃からユーザーを守る – Microsoft コミュニティ ハブ 
• 高度な Microsoft 認証システムのセキュリティ機能が一般公開されました。- マイクロソフト コミュニティ ハブ