Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie die Sicherheit der Benutzeranmeldung verbessern können, indem Sie den Anwendungsnamen und den geografischen Standort der Anmeldung zu kennwortlosen Authenticator-Benachrichtigungen und Pushbenachrichtigungen hinzufügen.
Voraussetzungen
- Ihre Organisation muss Authenticator für kennwortlose Benachrichtigungen und Pushbenachrichtigungen für einige Benutzer oder Gruppen aktivieren, indem Sie die neue Richtlinie für Authentifizierungsmethoden verwenden. Sie können die Authentifizierungsmethodenrichtlinie mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API bearbeiten.
- Zusätzlicher Kontext kann nur auf eine einzige Gruppe ausgerichtet werden, die dynamisch oder verschachtelt sein kann. Die Gruppe kann lokal oder nur in der Cloud synchronisiert werden.
Passwortlose Telefonanmeldung und Multifaktor-Authentifizierung
Wenn ein Benutzer eine Pushbenachrichtigung über die kennwortlose Anmeldung per Telefon oder die Multifaktor-Authentifizierung (MFA) in Authenticator erhält, sehen sie den Namen der Anwendung, die die Genehmigung anfordert, und den Standort basierend auf der IP-Adresse, von der aus die Anmeldung stammt.
Administratoren können zusätzlichen Kontext mit dem Nummernabgleich kombinieren, um die Anmeldesicherheit weiter zu verbessern.
Änderungen am Richtlinienschema
Sie können den Anwendungsnamen und den geografischen Standort separat aktivieren und deaktivieren. Unter featureSettingskönnen Sie die folgende Namenszuordnung für jedes Feature verwenden:
-
Name der Anwendung:
displayAppInformationRequiredState -
Geographische Lage:
displayLocationInformationRequiredState
Hinweis
Stellen Sie sicher, dass Sie das neue Richtlinienschema für Microsoft Graph-APIs verwenden. Im Graph-Tester müssen Sie den Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod und-Berechtigungen zustimmen.
Identifizieren Sie Ihre einzelne Zielgruppe für jedes der Features. Verwenden Sie dann den folgenden API-Endpunkt, um die gewünschten Gruppen zu ändern displayAppInformationRequiredStatedisplayLocationInformationRequiredState properties oder unter featureSettings einzuschließen enabled oder auszuschließen:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Weitere Informationen finden Sie unter microsoftAuthenticatorAuthenticationMethodConfiguration-Ressourcentyp.
Beispiel für die Aktivierung von zusätzlichem Kontext für alle Benutzer
In featureSettings, ändern displayAppInformationRequiredState und displayLocationInformationRequiredState von default bis .enabled
Der Wert des Authentifizierungsmodus ist entweder any oder push, je nachdem, ob Sie auch die kennwortlose Anmeldung per Telefon aktivieren möchten oder nicht. In diesen Beispielen verwenden anywir , aber wenn Sie die passwortlose Verwendung nicht zulassen möchten, verwenden Sie push.
Möglicherweise müssen Sie das gesamte Schema verwenden PATCH , um zu verhindern, dass vorherige Konfigurationen überschrieben werden. In diesem Fall machen Sie eine GET Premiere. Aktualisieren Sie dann nur die relevanten Felder und dann PATCH. Im folgenden Beispiel wird gezeigt, wie Sie displayAppInformationRequiredStatedisplayLocationInformationRequiredStatefeatureSettingsunter .
Nur Benutzer, die für Authenticator includeTargets aktiviert sind, sehen den Anwendungsnamen oder den geografischen Standort. Benutzern, die nicht für Authenticator aktiviert sind, werden diese Funktionen nicht angezeigt.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Beispiel einer Aktivierung des Anwendungsnamens und des geografischen Standorts für separate Gruppen
In featureSettings, ändern displayAppInformationRequiredState und displayLocationInformationRequiredState von default bis .enabled
Ändern Sie unter includeTarget "Für jeden featureSetting" die ID von all_users in die Objekt-ID der Gruppe aus dem Microsoft Entra Admin Center.
Sie müssen das gesamte Schema verwenden PATCH , um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Wir empfehlen Ihnen, dies GET zunächst zu tun. Aktualisieren Sie dann nur die relevanten Felder und dann PATCH. Das folgende Beispiel zeigt ein Update auf displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings.
Nur Benutzer, die für Authenticator includeTargets aktiviert sind, sehen den Anwendungsnamen oder den geografischen Standort. Benutzern, die nicht für Authenticator aktiviert sind, werden diese Funktionen nicht angezeigt.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Um dies zu überprüfen, führen Sie es erneut aus GET , und überprüfen Sie die Objekt-ID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Beispiel für das Deaktivieren des Anwendungsnamens und nur das Aktivieren des geografischen Standorts
Ändern featureSettingsSie in den Status von displayAppInformationRequiredState in default oder disabled und displayLocationInformationRequiredState in enabled.
Ändern Sie für includeTarget jeden featureSetting Wert die ID von all_users in die Objekt-ID der Gruppe aus dem Microsoft Entra Admin Center.
Sie müssen das gesamte Schema verwenden PATCH , um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Wir empfehlen Ihnen, dies GET zunächst zu tun. Aktualisieren Sie dann nur die relevanten Felder und dann PATCH. Das folgende Beispiel zeigt ein Update auf displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings.
Nur Benutzer, die für Authenticator includeTargets aktiviert sind, sehen den Anwendungsnamen oder den geografischen Standort. Benutzern, die nicht für Authenticator aktiviert sind, werden diese Funktionen nicht angezeigt.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Beispiel für das Ausschließen einer Gruppe aus dem Anwendungsnamen und dem geografischen Standort
Darüber hinaus ändern Sie für jedes Feature die ID von excludeTarget in die Objekt-ID der Gruppe aus dem Microsoft Entra Admin Center. Durch diese Änderung wird für diese Gruppe der Anwendungsname oder der geografische Standort nicht angezeigt.
Sie müssen das gesamte Schema verwenden PATCH , um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Wir empfehlen Ihnen, dies GET zunächst zu tun. Aktualisieren Sie dann nur die relevanten Felder und dann PATCH. Das folgende Beispiel zeigt ein Update auf displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings.
Nur Benutzer, die für Authenticator includeTargets aktiviert sind, sehen den Anwendungsnamen oder den geografischen Standort. Benutzern, die nicht für Authenticator aktiviert sind, werden diese Funktionen nicht angezeigt.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Beispiel für das Entfernen der ausgeschlossenen Gruppe
Ändern featureSettingsSie in die Zustände von displayAppInformationRequiredState von defaultenabledin . Ändern Sie die ID von excludeTarget in 00000000-0000-0000-0000-000000000000.
Sie müssen das gesamte Schema verwenden PATCH , um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Wir empfehlen Ihnen, dies GET zunächst zu tun. Aktualisieren Sie dann nur die relevanten Felder und dann PATCH. Das folgende Beispiel zeigt ein Update auf displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings.
Nur Benutzer, die für Authenticator includeTargets aktiviert sind, sehen den Anwendungsnamen oder den geografischen Standort. Benutzern, die nicht für Authenticator aktiviert sind, werden diese Funktionen nicht angezeigt.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Deaktivieren des zusätzlichen Kontexts
Um zusätzlichen Kontext zu deaktivieren, benötigen Sie to PATCHdisplayAppInformationRequiredState und displayLocationInformationRequiredState from enabled to disabled/default. Sie können auch nur eine der Funktionen deaktivieren.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aktivieren von zusätzlichem Kontext im Microsoft Entra Admin Center
Führen Sie die folgenden Schritte aus, um den Anwendungsnamen oder den geografischen Standort im Microsoft Entra Admin Center zu aktivieren:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Entra ID>Authentifizierungsmethoden>Microsoft Authenticator.
Wählen Sie auf der Registerkarte Grundlagendie Option Ja und Alle Benutzer aus, um die Richtlinie für alle zu aktivieren. Ändern Sie den Authentifizierungsmodus in Beliebig.
Nur Benutzer, die hier für Authenticator aktiviert sind, werden in die Richtlinie aufgenommen, um den Anwendungsnamen oder den geografischen Standort der Anmeldung anzuzeigen, oder davon ausgeschlossen. Benutzer, die nicht für Authenticator aktiviert sind, können den Anwendungsnamen oder den geografischen Standort nicht sehen.
Ändern Sie auf der Registerkarte Konfigurieren für Anwendungsnamen in Pushbenachrichtigungen und kennwortlosen Benachrichtigungen anzeigenden Status in Aktiviert. Wählen Sie aus, wer in die Richtlinie ein- oder ausgeschlossen werden soll, und wählen Sie dann Speichern aus.
Geografischen Standort in Push-Benachrichtigungen und kennwortlosen Benachrichtigungen anzeigen.
Sie können den Anwendungsnamen und den geografischen Standort separat konfigurieren. Die folgende Richtlinie aktiviert z. B. den Anwendungsnamen und den geografischen Standort für alle Benutzer, schließt jedoch die Betriebsgruppe von der Anzeige des geografischen Standorts aus.
Bekannte Probleme
Zusätzlicher Kontext wird für Netzwerkrichtlinienserver (Network Policy Server, NPS) oder Active Directory-Verbunddienste nicht unterstützt.
Benutzer können den von iOS- und Android-Geräten gemeldeten Speicherort ändern. Aus diesem Grund aktualisiert Authenticator seine Sicherheitsbaseline für Location-Based Access Control (LBAC)-Richtlinien für bedingten Zugriff. Authenticator verweigert Authentifizierungen, bei denen der Benutzer möglicherweise einen anderen Standort als den tatsächlichen GPS-Standort des Mobilgeräts verwendet, auf dem Authenticator installiert ist.
In der Authenticator-Version vom November 2023 wird Benutzern, die den Standort ihres Geräts ändern, eine Ablehnungsmeldung in Authenticator angezeigt, wenn sie eine LBAC-Authentifizierung durchführen. Ab Januar 2024 werden alle Benutzer, die ältere Authenticator-Versionen ausführen, von der LBAC-Authentifizierung mit einem geänderten Speicherort blockiert:
- Authenticator Version 6.2309.6329 oder früher unter Android
- Authenticator Version 6.7.16 oder früher unter iOS
Verwenden Sie Microsft Graph-APIs, um zu ermitteln, welche Benutzer*innen ältere Versionen von Authenticator ausführen.