Come usare un contesto aggiuntivo nelle notifiche di Microsoft Authenticator - Criteri dei metodi di autenticazione

Questo argomento illustra come migliorare la sicurezza dell'accesso dell'utente aggiungendo il nome dell'applicazione e la posizione geografica dell'accesso alle notifiche push e senza password di Microsoft Authenticator.

Prerequisiti

  • L'organizzazione deve abilitare le notifiche senza password e push di Microsoft Authenticator per alcuni utenti o gruppi usando i nuovi criteri dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando il portale di Azure o Microsoft API Graph.

    Nota

    Lo schema dei criteri per le API Microsoft Graph è stato migliorato. Lo schema dei criteri meno recente è ora deprecato. Assicurarsi di usare il nuovo schema per evitare errori.

  • Un contesto aggiuntivo può essere destinato solo a un singolo gruppo, che può essere dinamico o annidato. I gruppi di sicurezza sincronizzati in locale e i gruppi di sicurezza solo cloud sono supportati per i criteri del metodo di autenticazione.

Accesso tramite telefono senza password e autenticazione a più fattori

Quando un utente riceve una notifica push di accesso tramite telefono senza password o MFA in Microsoft Authenticator, visualizzerà il nome dell'applicazione che richiede l'approvazione e la posizione in base all'indirizzo IP da cui ha origine l'accesso.

Screenshot di contesto aggiuntivo nella notifica push MFA.

Il contesto aggiuntivo può essere combinato con la corrispondenza dei numeri per migliorare ulteriormente la sicurezza dell'accesso.

Screenshot del contesto aggiuntivo con la corrispondenza dei numeri nella notifica push MFA.

Modifiche dello schema dei criteri

È possibile abilitare e disabilitare separatamente il nome dell'applicazione e la posizione geografica. In featureSettings è possibile usare il mapping dei nomi seguente per ogni funzionalità:

  • Nome applicazione: displayAppInformationRequiredState
  • Posizione geografica: displayLocationInformationRequiredState

Nota

Assicurarsi di usare il nuovo schema dei criteri per le API Microsoft Graph. In Graph Explorer è necessario fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

Identificare il singolo gruppo di destinazione per ognuna delle funzionalità. Usare quindi l'endpoint API seguente per modificare le proprietà displayAppInformationRequiredState o displayLocationInformationRequiredState in featureSettings su abilitato e includere o escludere i gruppi desiderati:

https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Proprietà MicrosoftAuthenticatorAuthenticationMethodConfiguration

PROPRIETÀ

Proprietà Type Descrizione
id string Identificatore dei criteri del metodo di autenticazione.
state authenticationMethodState I valori possibili sono: abilitato
Disabili

RELAZIONI

Relazione Type Descrizione
includeTargets raccolta microsoftAuthenticatorAuthenticationMethodTarget Raccolta di utenti o gruppi abilitati per l'uso del metodo di autenticazione.
featureSettings insieme microsoftAuthenticatorFeatureSettings Raccolta di funzionalità di Microsoft Authenticator.

Proprietà IncludeTarget di MicrosoftAuthenticator

PROPRIETÀ

Proprietà Type Descrizione
authenticationMode string I valori possibili sono:
any: sono consentiti sia l'accesso tramite telefono senza password che le tradizionali notifiche di secondo fattore.
deviceBasedPush: sono consentite solo le notifiche di accesso tramite telefono senza password.
push: sono consentite solo le notifiche push di secondo fattore tradizionali.
id string ID oggetto di un utente o un gruppo di Azure AD.
targetType authenticationMethodTargetType I valori possibili sono: utente, gruppo.

Proprietà di FeatureSettings di MicrosoftAuthenticator

PROPRIETÀ

Proprietà Type Descrizione
numberMatchingRequiredState authenticationMethodFeatureConfiguration Richiedi corrispondenza dei numeri per le notifiche MFA. Il valore viene ignorato per le notifiche di accesso tramite telefono.
displayAppInformationRequiredState authenticationMethodFeatureConfiguration Determina se il nome dell'applicazione viene visualizzato nella notifica di Microsoft Authenticator.
displayLocationInformationRequiredState authenticationMethodFeatureConfiguration Determina se l'utente visualizza il contesto della posizione geografica nella notifica di Microsoft Authenticator.

Proprietà di configurazione della funzionalità del metodo di autenticazione

PROPRIETÀ

Proprietà Type Descrizione
excludeTarget featureTarget Singola entità esclusa da questa funzionalità.
È possibile escludere un solo gruppo per ogni funzionalità.
includeTarget featureTarget Singola entità inclusa in questa funzionalità.
È possibile includere un solo gruppo per ogni funzionalità.
State advancedConfigState I valori possibili sono:
abilitata in modo esplicito abilita la funzionalità per il gruppo selezionato.
disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato.
il valore predefinito consente ad Azure AD di gestire se la funzionalità è abilitata o meno per il gruppo selezionato.

Proprietà di destinazione delle funzionalità

PROPRIETÀ

Proprietà Type Descrizione
id string ID dell'entità di destinazione.
targetType featureTargetType Tipo di entità destinata, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'group', 'administrativeUnit', 'role', unknownFutureValue'.

Esempio di come abilitare un contesto aggiuntivo per tutti gli utenti

In featureSettings modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato.

Il valore della modalità di autenticazione può essere qualsiasi o push, a seconda che si voglia anche abilitare l'accesso telefonico senza password. In questi esempi verrà usato qualsiasi, ma se non si vuole consentire passwordless, usare push.

Potrebbe essere necessario applicare patch all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. In questo caso, eseguire prima un'operazione GET, aggiornare solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato come aggiornare displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.

Solo gli utenti abilitati per Microsoft Authenticator nell'inclusione di Microsoft Authenticator visualizzeranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non visualizzerà queste funzionalità.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Esempio di come abilitare il nome dell'applicazione e la posizione geografica per gruppi separati

In featureSettings modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno dell'oggetto includeTarget per ogni featureSetting, modificare l'ID da all_users al ObjectID del gruppo dal portale di Azure AD.

È necessario applicare patch all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento per visualizzareAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.

Solo gli utenti abilitati per Microsoft Authenticator nell'inclusione di Microsoft Authenticator visualizzeranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non visualizzerà queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Per verificare, eseguire di nuovo GET e verificare objectID:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Esempio di come disabilitare il nome dell'applicazione e abilitare solo la posizione geografica

In featureSettings modificare lo stato di displayAppInformationRequiredState in impostazione predefinita o disabilitata e displayLocationInformationRequiredState su abilitato. All'interno dell'oggetto includeTarget per ogni featureSetting, modificare l'ID da all_users all'ObjectID del gruppo dal portale di Azure AD.

È necessario applicare patch all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento per visualizzareAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.

Solo gli utenti abilitati per Microsoft Authenticator nell'inclusione di Microsoft Authenticator visualizzeranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non visualizzerà queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Esempio di come escludere un gruppo dal nome dell'applicazione e dalla posizione geografica

In featureSettings modificare gli stati di displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno dell'oggetto includeTarget per ogni featureSetting, modificare l'ID da all_users al ObjectID del gruppo dal portale di Azure AD.

Inoltre, per ognuna delle funzionalità, si modificherà l'ID dell'escludiTarget al ObjectID del gruppo dal portale di Azure AD. Questo escluderà tale gruppo dalla visualizzazione del nome dell'applicazione o della posizione geografica.

È necessario applicare patch all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento per visualizzareAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.

Solo gli utenti abilitati per Microsoft Authenticator nell'inclusione di Microsoft Authenticator visualizzeranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non visualizzerà queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Esempio di rimozione del gruppo escluso

In featureSettings modificare gli stati di displayAppInformationRequiredState dal valore predefinito a abilitato. È necessario modificare l'IDdell'esclusioneTarget in 00000000-0000-0000-0000-000000000000.

È necessario applicare patch all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento per visualizzareAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.

Solo gli utenti abilitati per Microsoft Authenticator nell'inclusione di Microsoft Authenticator visualizzeranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non visualizzerà queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Disattivare un contesto aggiuntivo

Per disattivare un contesto aggiuntivo, è necessario visualizzare PATCH displayAppInformationRequiredState e displayLocationInformationRequiredState da abilitato per impostazione/predefinita. È anche possibile disattivare una delle funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Abilitare un contesto aggiuntivo nel portale

Per abilitare il nome dell'applicazione o la posizione geografica nel portale di Azure AD, completare la procedura seguente:

  1. Nel portale di Azure AD fare clic su Metodi >di autenticazionedi sicurezza>Microsoft Authenticator.

  2. Nella scheda Nozioni di base fare clic su e Tutti gli utenti per abilitare i criteri per tutti e modificare la modalità di autenticazione in Qualsiasi.

    Solo gli utenti abilitati per Microsoft Authenticator qui possono essere inclusi nei criteri per visualizzare il nome dell'applicazione o la posizione geografica dell'accesso o esclusi da esso. Gli utenti che non sono abilitati per Microsoft Authenticator non possono visualizzare il nome dell'applicazione o la posizione geografica.

    Screenshot di come abilitare le impostazioni di Microsoft Authenticator per Qualsiasi modalità di autenticazione.

  3. Nella scheda Configura , per Mostra nome applicazione nelle notifiche push e senza password, modificare Stato su Abilitato, scegliere chi includere o escludere dal criterio e fare clic su Salva.

    Screenshot di come abilitare il nome dell'applicazione.

    Fare quindi lo stesso per Mostra posizione geografica nelle notifiche push e senza password.

    Screenshot di come abilitare la posizione geografica.

    È possibile configurare separatamente il nome dell'applicazione e la posizione geografica. Ad esempio, il criterio seguente abilita il nome dell'applicazione e la posizione geografica per tutti gli utenti, ma esclude il gruppo operazioni dalla visualizzazione della posizione geografica.

    Screenshot di come abilitare il nome dell'applicazione e la posizione geografica separatamente.

Problemi noti

Il contesto aggiuntivo non è supportato per server criteri di rete (NPS) o Active Directory Federation Services (AD FS).

Passaggi successivi

Metodi di autenticazione in Azure Active Directory - App Microsoft Authenticator