Cara menggunakan konteks tambahan dalam pemberitahuan Microsoft Authenticator - Kebijakan Metode Autentikasi
Topik ini mencakup cara meningkatkan keamanan kredensial masuk pengguna dengan menambahkan nama aplikasi dan lokasi geografis kredensial masuk di pemberitahuan push dan tanpa kata sandi Microsoft Authenticator.
Prasyarat
Organisasi Anda harus mengaktifkan Microsoft Authenticator tanpa kata sandi dan pemberitahuan push untuk beberapa pengguna atau grup menggunakan API kebijakan metode Autentikasi baru. Anda dapat mengedit kebijakan metode Autentikasi dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph API.
Catatan
Skema kebijakan untuk API Microsoft Graph telah ditingkatkan. Skema kebijakan yang lebih lama sekarang tidak digunakan lagi. Pastikan Anda menggunakan skema baru untuk membantu mencegah kesalahan.
Pencocokan nomor dapat ditargetkan hanya untuk satu grup, yang dapat bersifat dinamis atau berlapis. Kelompok keamanan yang disinkronkan secara lokal dan kelompok keamanan kustom cloud didukung untuk kebijakan metode Autentikasi.
Autentikasi multifaktor dan masuk ke telepon tanpa kata sandi
Ketika pengguna menerima pemberitahuan push masuk atau MFA telepon tanpa kata sandi di Microsoft Authenticator, mereka akan melihat nama aplikasi yang meminta persetujuan serta lokasi aplikasi berdasarkan alamat IP-nya.
Konteks tambahan dapat dikombinasikan dengan pencocokan angka untuk semakin meningkatkan keamanan masuk.
Perubahan skema kebijakan
Anda dapat mengaktifkan dan menonaktifkan nama aplikasi dan lokasi geografis secara terpisah. Di bawah fitur Pengaturan, Anda bisa menggunakan pemetaan nama berikut untuk setiap fitur:
- Nama aplikasi: displayAppInformationRequiredState
- Lokasi geografis: displayLocationInformationRequiredState
Catatan
Pastikan Anda menggunakan skema kebijakan baru untuk API Microsoft Graph. Di Graph Explorer, Anda perlu menyetujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod.
Identifikasi grup target tunggal Anda untuk setiap fiturnya. Kemudian, gunakan titik akhir API berikut untuk mengubah properti displayAppInformationRequiredState atau displayLocationInformationRequiredState di bagian featureSettings untuk mengaktifkan dan menyertakan atau mengecualikan grup yang Anda inginkan:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Properti MicrosoftAuthenticatorAuthenticationMethodConfiguration
PROPERTI
Properti | Tipe | Deskripsi |
---|---|---|
id | String | Pengidentifikasi kebijakan metode autentikasi. |
state | authenticationMethodState | Nilai yang memungkinkan adalah: aktif nonaktif |
HUBUNGAN
Hubungan | Tipe | Deskripsi |
---|---|---|
includeTargets | microsoftAuthenticatorAuthenticationMethodTarget collection | Kumpulan pengguna atau grup yang diaktifkan untuk menggunakan metode autentikasi. |
featureSettings | koleksi microsoftAuthenticatorFeatureSettings | Kumpulan fitur Microsoft Authenticator. |
Properti MicrosoftAuthenticator includeTarget
PROPERTI
Properti | Tipe | Deskripsi |
---|---|---|
authenticationMode | String | Kemungkinan nilai adalah: Semua: Masuk melalui telepon tanpa kata sandi dan pemberitahuan faktor kedua tradisional diizinkan. deviceBasedPush: Hanya pemberitahuan masuk telepon tanpa kata sandi yang diizinkan. push: Hanya pemberitahuan push faktor kedua tradisional yang diizinkan. |
id | String | ID objek pengguna atau grup Microsoft Entra. |
targetType | authenticationMethodTargetType | Nilai yang memungkinkan adalah: pengguna, grup. |
Properti MicrosoftAuthenticator featureSettings
PROPERTI
Properti | Tipe | Deskripsi |
---|---|---|
numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Memerlukan pencocokan nomor untuk pemberitahuan MFA. Nilai akan diabaikan untuk pemberitahuan masuk telepon. |
displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Menentukan apakah pengguna nama aplikasi ditunjukkan kepada pengguna di pemberitahuan Microsoft Authenticator. |
displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Menentukan apakah pengguna konteks lokasi geografis di'tunjukkan kepada pengguna di pemberitahuan Microsoft Authenticator. |
Properti konfigurasi fitur metode autentikasi
PROPERTI
Properti | Tipe | Deskripsi |
---|---|---|
excludeTarget | featureTarget | Satu entitas yang dikecualikan dari fitur ini. Anda hanya dapat mengecualikan satu grup untuk setiap fiturnya. |
includeTarget | featureTarget | Satu entitas yang disertakan dalam fitur ini. Anda hanya dapat menyertakan satu grup untuk setiap fiturnya. |
Status | advancedConfigState | Kemungkinan nilai adalah: aktif secara eksplisit mengaktifkan fitur untuk grup yang dipilih. nonaktif secara eksplisit menonaktifkan fitur untuk grup yang dipilih. default memungkinkan MICROSOFT Entra ID mengelola apakah fitur diaktifkan atau tidak untuk grup yang dipilih. |
Properti target fitur
PROPERTI
Properti | Tipe | Deskripsi |
---|---|---|
id | String | ID entitas yang menjadi target. |
targetType | featureTargetType | Jenis entitas yang menjadi target, seperti grup, peran, atau unit administratif. Nilai yang mungkin muncul adalah: 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Contoh cara mengaktifkan konteks tambahan bagi semua pengguna
Di featureSettings, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi diaktifkan.
Perhatikan bahwa nilai Mode Autentikasi dapat berupa apa pun atau push, bergantung pada apakah Anda juga ingin mengaktifkan info masuk telepon tanpa kata sandi ataupun tidak. Dalam contoh ini, kami akan menggunakan apa saja, tetapi jika Anda tidak ingin mengizinkan tanpa kata sandi, gunakan pendorongan.
Anda mungkin perlu melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Dalam hal ini, jalankan permintaan GET terlebih dahulu, perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan cara memperbarui displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.
Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh cara mengaktifkan nama aplikasi dan lokasi geografis untuk grup yang terpisah
Dalam fitur Pengaturan, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default ke diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.
Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.
Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Untuk memverifikasi, jalankan GET lagi dan verifikasi ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Contoh cara menonaktifkan nama aplikasi dan hanya mengaktifkan lokasi geografis
Dalam fitur Pengaturan, ubah status displayAppInformationRequiredState menjadi default atau dinonaktifkan dan displayLocationInformationRequiredState menjadi diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.
Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.
Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh cara mengecualikan grup dari nama aplikasi dan lokasi geografis
Dalam fitur Pengaturan, ubah status displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.
Selain itu, untuk setiap fitur, Anda akan mengubah id excludeTarget ke ObjectID grup dari pusat admin Microsoft Entra. Perubahan ini mengecualikan grup tersebut untuk melihat nama aplikasi atau lokasi geografis.
Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.
Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh penghapusan grup yang dikecualikan
Di featureSettings, ubah status displayAppInformationRequiredState dari default ke diaktifkan. Anda perlu mengubah idexcludeTarget menjadi 00000000-0000-0000-0000-000000000000
.
Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.
Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Menonaktifkan konteks tambahan
Untuk menonaktifkan konteks tambahan, Anda perlu melakukan PATCH displayAppInformationRequiredState dan displayLocationInformationRequiredState dari diakfitkan menjadi dinonaktifkan/default. Anda juga dapat menonaktifkan salah satu dari fitur yang ada.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Mengaktifkan konteks tambahan di pusat admin Microsoft Entra
Untuk mengaktifkan nama aplikasi atau lokasi geografis di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri metode >Autentikasi Perlindungan>Microsoft Authenticator.
Pada tab Dasar, klik Ya dan Semua pengguna untuk mengaktifkan kebijakan bagi semua orang, lalu ubah Mode autentikasi menjadi Apa pun.
Hanya pengguna yang diaktifkan untuk Microsoft Authenticator di sini lah yang dapat disertakan dalam kebijakan untuk menampilkan nama aplikasi atau lokasi geografis kredensial masuk, atau dikecualikan darinya. Pengguna yang tidak diaktifkan untuk Microsoft Authenticator tidak dapat melihat nama aplikasi atau lokasi geografis.
Pada tab Konfigurasi, untuk Tampilkan nama aplikasi dalam pemberitahuan push dan tanpa kata sandi, ubah Status ke Diaktifkan, pilih pihak yang akan disertakan atau dikecualikan dari kebijakan, lalu klik Simpan.
Lakukan hal yang sama untuk Menampilkan lokasi geografis dalam pemberitahuan push dan tanpa kata sandi.
Anda dapat mengonfigurasi nama aplikasi dan lokasi geografis secara terpisah. Misalnya, kebijakan berikut memungkinkan nama aplikasi dan lokasi geografis untuk semua pengguna namun mengecualikan Grup operasi dari melihat lokasi geografis.
Masalah umum
Konteks tambahan tidak didukung untuk Server Kebijakan Jaringan (NPS) atau Active Directory Federation Services (AD FS).
Pengguna dapat memodifikasi lokasi yang dilaporkan oleh perangkat iOS dan Android. Akibatnya, Microsoft Authenticator memperbarui garis besar keamanannya untuk kebijakan Akses Bersyarkat Kontrol Akses Berbasis Lokasi (LBAC). Authenticator akan menolak autentikasi di mana pengguna mungkin menggunakan lokasi yang berbeda dari lokasi GPS aktual perangkat seluler tempat Authenticator diinstal.
Dalam rilis Authenticator November 2023, pengguna yang memodifikasi lokasi perangkat mereka akan melihat pesan penolakan di Authenticator saat melakukan autentikasi LBAC. Mulai Januari 2024, setiap pengguna yang menjalankan versi Authenticator yang lebih lama akan diblokir dari autentikasi LBAC dengan lokasi yang dimodifikasi:
- Authenticator versi 6.2309.6329 atau yang lebih lama di Android
- Authenticator versi 6.7.16 atau yang lebih lama di iOS
Untuk menemukan pengguna mana yang menjalankan versi Authenticator yang lebih lama, gunakan API Microsoft Graph.
Langkah berikutnya
Metode autentikasi di Microsoft Entra ID - aplikasi Microsoft Authenticator