Cara menggunakan konteks tambahan dalam pemberitahuan Microsoft Authenticator - Kebijakan Metode Autentikasi

Topik ini mencakup cara meningkatkan keamanan kredensial masuk pengguna dengan menambahkan nama aplikasi dan lokasi geografis kredensial masuk di pemberitahuan push dan tanpa kata sandi Microsoft Authenticator.

Prasyarat

  • Organisasi Anda harus mengaktifkan Microsoft Authenticator tanpa kata sandi dan pemberitahuan push untuk beberapa pengguna atau grup menggunakan API kebijakan metode Autentikasi baru. Anda dapat mengedit kebijakan metode Autentikasi dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph API.

    Catatan

    Skema kebijakan untuk API Microsoft Graph telah ditingkatkan. Skema kebijakan yang lebih lama sekarang tidak digunakan lagi. Pastikan Anda menggunakan skema baru untuk membantu mencegah kesalahan.

  • Pencocokan nomor dapat ditargetkan hanya untuk satu grup, yang dapat bersifat dinamis atau berlapis. Kelompok keamanan yang disinkronkan secara lokal dan kelompok keamanan kustom cloud didukung untuk kebijakan metode Autentikasi.

Autentikasi multifaktor dan masuk ke telepon tanpa kata sandi

Ketika pengguna menerima pemberitahuan push masuk atau MFA telepon tanpa kata sandi di Microsoft Authenticator, mereka akan melihat nama aplikasi yang meminta persetujuan serta lokasi aplikasi berdasarkan alamat IP-nya.

Screenshot of additional context in the MFA push notification.

Konteks tambahan dapat dikombinasikan dengan pencocokan angka untuk semakin meningkatkan keamanan masuk.

Screenshot of additional context with number matching in the MFA push notification.

Perubahan skema kebijakan

Anda dapat mengaktifkan dan menonaktifkan nama aplikasi dan lokasi geografis secara terpisah. Di bawah fitur Pengaturan, Anda bisa menggunakan pemetaan nama berikut untuk setiap fitur:

  • Nama aplikasi: displayAppInformationRequiredState
  • Lokasi geografis: displayLocationInformationRequiredState

Catatan

Pastikan Anda menggunakan skema kebijakan baru untuk API Microsoft Graph. Di Graph Explorer, Anda perlu menyetujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod.

Identifikasi grup target tunggal Anda untuk setiap fiturnya. Kemudian, gunakan titik akhir API berikut untuk mengubah properti displayAppInformationRequiredState atau displayLocationInformationRequiredState di bagian featureSettings untuk mengaktifkan dan menyertakan atau mengecualikan grup yang Anda inginkan:

https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Properti MicrosoftAuthenticatorAuthenticationMethodConfiguration

PROPERTI

Properti Tipe Deskripsi
id String Pengidentifikasi kebijakan metode autentikasi.
state authenticationMethodState Nilai yang memungkinkan adalah: aktif
nonaktif

HUBUNGAN

Hubungan Tipe Deskripsi
includeTargets microsoftAuthenticatorAuthenticationMethodTarget collection Kumpulan pengguna atau grup yang diaktifkan untuk menggunakan metode autentikasi.
featureSettings koleksi microsoftAuthenticatorFeatureSettings Kumpulan fitur Microsoft Authenticator.

Properti MicrosoftAuthenticator includeTarget

PROPERTI

Properti Tipe Deskripsi
authenticationMode String Kemungkinan nilai adalah:
Semua: Masuk melalui telepon tanpa kata sandi dan pemberitahuan faktor kedua tradisional diizinkan.
deviceBasedPush: Hanya pemberitahuan masuk telepon tanpa kata sandi yang diizinkan.
push: Hanya pemberitahuan push faktor kedua tradisional yang diizinkan.
id String ID objek pengguna atau grup Microsoft Entra.
targetType authenticationMethodTargetType Nilai yang memungkinkan adalah: pengguna, grup.

Properti MicrosoftAuthenticator featureSettings

PROPERTI

Properti Tipe Deskripsi
numberMatchingRequiredState authenticationMethodFeatureConfiguration Memerlukan pencocokan nomor untuk pemberitahuan MFA. Nilai akan diabaikan untuk pemberitahuan masuk telepon.
displayAppInformationRequiredState authenticationMethodFeatureConfiguration Menentukan apakah pengguna nama aplikasi ditunjukkan kepada pengguna di pemberitahuan Microsoft Authenticator.
displayLocationInformationRequiredState authenticationMethodFeatureConfiguration Menentukan apakah pengguna konteks lokasi geografis di'tunjukkan kepada pengguna di pemberitahuan Microsoft Authenticator.

Properti konfigurasi fitur metode autentikasi

PROPERTI

Properti Tipe Deskripsi
excludeTarget featureTarget Satu entitas yang dikecualikan dari fitur ini.
Anda hanya dapat mengecualikan satu grup untuk setiap fiturnya.
includeTarget featureTarget Satu entitas yang disertakan dalam fitur ini.
Anda hanya dapat menyertakan satu grup untuk setiap fiturnya.
Status advancedConfigState Kemungkinan nilai adalah:
aktif secara eksplisit mengaktifkan fitur untuk grup yang dipilih.
nonaktif secara eksplisit menonaktifkan fitur untuk grup yang dipilih.
default memungkinkan MICROSOFT Entra ID mengelola apakah fitur diaktifkan atau tidak untuk grup yang dipilih.

Properti target fitur

PROPERTI

Properti Tipe Deskripsi
id String ID entitas yang menjadi target.
targetType featureTargetType Jenis entitas yang menjadi target, seperti grup, peran, atau unit administratif. Nilai yang mungkin muncul adalah: 'group', 'administrativeUnit', 'role', unknownFutureValue'.

Contoh cara mengaktifkan konteks tambahan bagi semua pengguna

Di featureSettings, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi diaktifkan.

Perhatikan bahwa nilai Mode Autentikasi dapat berupa apa pun atau push, bergantung pada apakah Anda juga ingin mengaktifkan info masuk telepon tanpa kata sandi ataupun tidak. Dalam contoh ini, kami akan menggunakan apa saja, tetapi jika Anda tidak ingin mengizinkan tanpa kata sandi, gunakan pendorongan.

Anda mungkin perlu melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Dalam hal ini, jalankan permintaan GET terlebih dahulu, perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan cara memperbarui displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.

Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Contoh cara mengaktifkan nama aplikasi dan lokasi geografis untuk grup yang terpisah

Dalam fitur Pengaturan, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default ke diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.

Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.

Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Untuk memverifikasi, jalankan GET lagi dan verifikasi ObjectID:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Contoh cara menonaktifkan nama aplikasi dan hanya mengaktifkan lokasi geografis

Dalam fitur Pengaturan, ubah status displayAppInformationRequiredState menjadi default atau dinonaktifkan dan displayLocationInformationRequiredState menjadi diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.

Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.

Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Contoh cara mengecualikan grup dari nama aplikasi dan lokasi geografis

Dalam fitur Pengaturan, ubah status displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi diaktifkan.Di dalam includeTarget untuk setiap fiturSetting, ubah id dari all_users ke ObjectID grup dari pusat admin Microsoft Entra.

Selain itu, untuk setiap fitur, Anda akan mengubah id excludeTarget ke ObjectID grup dari pusat admin Microsoft Entra. Perubahan ini mengecualikan grup tersebut untuk melihat nama aplikasi atau lokasi geografis.

Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.

Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Contoh penghapusan grup yang dikecualikan

Di featureSettings, ubah status displayAppInformationRequiredState dari default ke diaktifkan. Anda perlu mengubah idexcludeTarget menjadi 00000000-0000-0000-0000-000000000000.

Anda harus melakukan PATCH seluruh skema agar konfigurasi sebelumnya tidak ditimpa. Sebaiknya Anda menjalankan permintaan GET terlebih dahulu, kemudian perbarui hanya bidang yang relevan, lalu PATCH. Contoh berikut menunjukkan pembaruan displayAppInformationRequiredState dan displayLocationInformationRequiredState di bagian featureSettings.

Hanya pengguna dengan dukungan Microsoft Authenticator di bagian IncludeTargets Microsoft Authenticator saja yang akan dapat melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak mendukung Microsoft Authenticator tidak akan melihat fitur-fitur ini.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Menonaktifkan konteks tambahan

Untuk menonaktifkan konteks tambahan, Anda perlu melakukan PATCH displayAppInformationRequiredState dan displayLocationInformationRequiredState dari diakfitkan menjadi dinonaktifkan/default. Anda juga dapat menonaktifkan salah satu dari fitur yang ada.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Mengaktifkan konteks tambahan di pusat admin Microsoft Entra

Untuk mengaktifkan nama aplikasi atau lokasi geografis di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri metode >Autentikasi Perlindungan>Microsoft Authenticator.

  3. Pada tab Dasar, klik Ya dan Semua pengguna untuk mengaktifkan kebijakan bagi semua orang, lalu ubah Mode autentikasi menjadi Apa pun.

    Hanya pengguna yang diaktifkan untuk Microsoft Authenticator di sini lah yang dapat disertakan dalam kebijakan untuk menampilkan nama aplikasi atau lokasi geografis kredensial masuk, atau dikecualikan darinya. Pengguna yang tidak diaktifkan untuk Microsoft Authenticator tidak dapat melihat nama aplikasi atau lokasi geografis.

    Screenshot of how to enable Microsoft Authenticator settings for Any authentication mode.

  4. Pada tab Konfigurasi, untuk Tampilkan nama aplikasi dalam pemberitahuan push dan tanpa kata sandi, ubah Status ke Diaktifkan, pilih pihak yang akan disertakan atau dikecualikan dari kebijakan, lalu klik Simpan.

    Screenshot of how to enable application name.

    Lakukan hal yang sama untuk Menampilkan lokasi geografis dalam pemberitahuan push dan tanpa kata sandi.

    Screenshot of how to enable geographic location.

    Anda dapat mengonfigurasi nama aplikasi dan lokasi geografis secara terpisah. Misalnya, kebijakan berikut memungkinkan nama aplikasi dan lokasi geografis untuk semua pengguna namun mengecualikan Grup operasi dari melihat lokasi geografis.

    Screenshot of how to enable application name and geographic location separately.

Masalah umum

  • Konteks tambahan tidak didukung untuk Server Kebijakan Jaringan (NPS) atau Active Directory Federation Services (AD FS).

  • Pengguna dapat memodifikasi lokasi yang dilaporkan oleh perangkat iOS dan Android. Akibatnya, Microsoft Authenticator memperbarui garis besar keamanannya untuk kebijakan Akses Bersyarkat Kontrol Akses Berbasis Lokasi (LBAC). Authenticator akan menolak autentikasi di mana pengguna mungkin menggunakan lokasi yang berbeda dari lokasi GPS aktual perangkat seluler tempat Authenticator diinstal.

    Dalam rilis Authenticator November 2023, pengguna yang memodifikasi lokasi perangkat mereka akan melihat pesan penolakan di Authenticator saat melakukan autentikasi LBAC. Mulai Januari 2024, setiap pengguna yang menjalankan versi Authenticator yang lebih lama akan diblokir dari autentikasi LBAC dengan lokasi yang dimodifikasi:

    • Authenticator versi 6.2309.6329 atau yang lebih lama di Android
    • Authenticator versi 6.7.16 atau yang lebih lama di iOS

    Untuk menemukan pengguna mana yang menjalankan versi Authenticator yang lebih lama, gunakan API Microsoft Graph.

Langkah berikutnya

Metode autentikasi di Microsoft Entra ID - aplikasi Microsoft Authenticator