Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini membahas cara meningkatkan keamanan masuk pengguna dengan menambahkan nama aplikasi dan lokasi geografis masuk ke Authenticator tanpa kata sandi dan pemberitahuan push.
Prasyarat
- Organisasi Anda perlu mengaktifkan Authenticator tanpa kata sandi dan pemberitahuan push untuk beberapa pengguna atau grup dengan menggunakan kebijakan metode Autentikasi baru. Anda dapat mengedit kebijakan metode Autentikasi dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph API.
- Konteks tambahan dapat ditargetkan hanya untuk satu grup, yang dapat bersifat dinamis atau bertingkat. Grup dapat disinkronkan dari lingkungan lokal atau hanya cloud.
Autentikasi multifaktor dan masuk ke telepon tanpa kata sandi
Saat pengguna menerima pemberitahuan push masuk atau autentikasi multifaktor (MFA) telepon tanpa kata sandi di Authenticator, mereka melihat nama aplikasi yang meminta persetujuan dan lokasi berdasarkan alamat IP dari tempat masuk berasal.
Admin dapat menggabungkan konteks tambahan dengan pencocokan nomor untuk lebih meningkatkan keamanan otentikasi.
Perubahan skema kebijakan
Anda dapat mengaktifkan dan menonaktifkan nama aplikasi dan lokasi geografis secara terpisah. Di bawah featureSettings, Anda bisa menggunakan pemetaan nama berikut untuk setiap fitur:
- Nama aplikasi
: - lokasi Geografis
:
Catatan
Pastikan Anda menggunakan skema kebijakan baru untuk Microsoft Graph API. Di Graph Explorer, Anda perlu menyetujui izin Policy.Read.All dan Policy.ReadWrite.AuthenticationMethod.
Identifikasi grup target tunggal Anda untuk setiap fiturnya. Kemudian gunakan titik akhir API berikut untuk mengubah displayAppInformationRequiredState atau displayLocationInformationRequiredState properties di bawah featureSettings untuk enabled dan menyertakan atau mengecualikan grup yang Anda inginkan:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Untuk informasi selengkapnya, lihat jenis sumber daya microsoftAuthenticatorAuthenticationMethodConfiguration.
Contoh cara mengaktifkan konteks tambahan bagi semua pengguna
Di featureSettings, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi enabled.
Nilai mode Autentikasi adalah any atau push, tergantung pada apakah Anda ingin mengaktifkan masuk telepon tanpa kata sandi. Dalam contoh ini, kami menggunakan any, tetapi jika Anda tidak ingin mengizinkan tanpa kata sandi, gunakan push.
Anda mungkin perlu PATCH seluruh skema untuk mencegah penimpaan konfigurasi sebelumnya. Dalam hal ini, lakukan GET terlebih dahulu. Lalu, perbarui hanya bidang yang relevan kemudian PATCH. Contoh berikut menunjukkan cara memperbarui displayAppInformationRequiredState dan displayLocationInformationRequiredState di bawah featureSettings.
Hanya pengguna yang diaktifkan untuk Authenticator di bawah includeTargets melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak diaktifkan untuk Authenticator tidak melihat fitur-fitur ini.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh cara mengaktifkan nama aplikasi dan lokasi geografis untuk grup yang terpisah
Di featureSettings, ubah displayAppInformationRequiredState dan displayLocationInformationRequiredState dari default menjadi enabled.
Di dalam includeTarget untuk setiap featureSetting, ubah ID dari all_users ke ID objek grup melalui pusat admin Microsoft Entra.
Anda perlu PATCH seluruh skema agar konfigurasi sebelumnya tidak terganti. Kami menyarankan agar Anda melakukan GET terlebih dahulu. Lalu, perbarui hanya bidang yang relevan kemudian PATCH. Contoh berikut menunjukkan pembaruan untuk displayAppInformationRequiredState dan displayLocationInformationRequiredState di bawah featureSettings.
Hanya pengguna yang diaktifkan untuk Authenticator di bawah includeTargets melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak diaktifkan untuk Authenticator tidak melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Untuk memverifikasi, jalankan GET lagi dan verifikasi ID objek:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Contoh cara menonaktifkan nama aplikasi dan hanya mengaktifkan lokasi geografis
Di featureSettings, ubah status displayAppInformationRequiredState menjadi default atau disabled dan displayLocationInformationRequiredState menjadi enabled.
Di dalam includeTarget untuk setiap nilai featureSetting, ganti ID dari all_users menjadi ID objek grup dari pusat admin Microsoft Entra.
Anda perlu PATCH seluruh skema agar konfigurasi sebelumnya tidak terganti. Kami menyarankan agar Anda melakukan GET terlebih dahulu. Lalu, perbarui hanya bidang yang relevan kemudian PATCH. Contoh berikut menunjukkan pembaruan untuk displayAppInformationRequiredState dan displayLocationInformationRequiredState di bawah featureSettings.
Hanya pengguna yang diaktifkan untuk Authenticator di bawah includeTargets melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak diaktifkan untuk Authenticator tidak melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh cara mengecualikan grup dari nama aplikasi dan lokasi geografis
Selain itu, untuk setiap fitur, Anda mengganti ID excludeTarget dengan ID objek grup dari Pusat Admin Microsoft Entra. Perubahan ini mengecualikan grup tersebut untuk melihat nama aplikasi atau lokasi geografis.
Anda perlu PATCH seluruh skema agar konfigurasi sebelumnya tidak terganti. Kami menyarankan agar Anda melakukan GET terlebih dahulu. Lalu, perbarui hanya bidang yang relevan kemudian PATCH. Contoh berikut menunjukkan pembaruan untuk displayAppInformationRequiredState dan displayLocationInformationRequiredState di bawah featureSettings.
Hanya pengguna yang diaktifkan untuk Authenticator di bawah includeTargets melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak diaktifkan untuk Authenticator tidak melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Contoh penghapusan grup yang dikecualikan
Di featureSettings, ubah status displayAppInformationRequiredState dari default menjadi enabled. Ubah ID excludeTarget menjadi 00000000-0000-0000-0000-000000000000.
Anda perlu PATCH seluruh skema agar konfigurasi sebelumnya tidak terganti. Kami menyarankan agar Anda melakukan GET terlebih dahulu. Lalu, perbarui hanya bidang yang relevan kemudian PATCH. Contoh berikut menunjukkan pembaruan untuk displayAppInformationRequiredState dan displayLocationInformationRequiredState di bawah featureSettings.
Hanya pengguna yang diaktifkan untuk Authenticator di bawah includeTargets melihat nama aplikasi atau lokasi geografis. Pengguna yang tidak diaktifkan untuk Authenticator tidak melihat fitur-fitur ini.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Menonaktifkan konteks tambahan
Untuk menonaktifkan konteks tambahan, Anda perlu PATCHdisplayAppInformationRequiredState dan displayLocationInformationRequiredState dari enabled ke disabled/default. Anda juga hanya dapat menonaktifkan salah satu fitur.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Mengaktifkan konteks tambahan di pusat admin Microsoft Entra
Untuk mengaktifkan nama aplikasi atau lokasi geografis di pusat admin Microsoft Entra, ikuti langkah-langkah berikut:
Masuk ke pusat administratif Microsoft Entra dengan peran paling tidak sebagai Administrator Kebijakan Autentikasi.
Telusuri ke Entra ID>Metode Autentikasi>Microsoft Authenticator.
Pada tab Dasar
, pilih Ya danSemua pengguna untuk mengaktifkan kebijakan untuk semua pengguna. Ubah mode Autentikasi menjadi Apa Saja.Hanya pengguna yang diaktifkan dengan Authenticator di sini yang disertakan dalam kebijakan untuk menampilkan nama aplikasi atau lokasi geografis saat masuk, atau yang dikecualikan dari kebijakan tersebut. Pengguna yang tidak diaktifkan untuk Authenticator tidak dapat melihat nama aplikasi atau lokasi geografis.
Pada tab
Konfigurasikan , untukTampilkan nama aplikasi dalam pemberitahuan push dan tanpa kata sandi , ubah Statusmenjadi Diaktifkan . Pilih siapa yang akan disertakan atau dikecualikan dari kebijakan, lalu pilih Simpan.
Lakukan hal yang sama untuk Menampilkan lokasi geografis dalam pemberitahuan push dan tanpa kata sandi.
Anda dapat mengonfigurasi nama aplikasi dan lokasi geografis secara terpisah. Misalnya, kebijakan berikut memungkinkan nama aplikasi dan lokasi geografis untuk semua pengguna tetapi mengecualikan grup Operasi untuk melihat lokasi geografis.
Masalah umum
Konteks tambahan tidak didukung untuk Server Kebijakan Jaringan (NPS) atau Layanan Federasi Direktori Aktif.
Pengguna dapat memodifikasi lokasi yang dilaporkan oleh perangkat iOS dan Android. Akibatnya, Authenticator memperbarui garis dasar keamanannya untuk kebijakan Akses Bersyarat Location-Based Access Control (LBAC). Authenticator menolak autentikasi di mana pengguna mungkin menggunakan lokasi yang berbeda dari lokasi GPS aktual perangkat seluler tempat Authenticator diinstal.
Dalam rilis Authenticator November 2023, pengguna yang memodifikasi lokasi perangkat mereka melihat pesan penolakan di Authenticator saat mereka melakukan autentikasi LBAC. Mulai Januari 2024, setiap pengguna yang menjalankan versi Authenticator yang lebih lama diblokir dari autentikasi LBAC dengan lokasi yang dimodifikasi:
- Authenticator versi 6.2309.6329 atau yang lebih lama di Android
- Authenticator versi 6.7.16 atau yang lebih lama di iOS
Untuk menemukan pengguna mana yang menjalankan versi Authenticator yang lebih lama, gunakan API Microsoft Graph.