Come usare un contesto aggiuntivo nelle notifiche di Microsoft Authenticator - Criteri dei metodi di autenticazione
Questo argomento illustra come migliorare la sicurezza dell'accesso utente aggiungendo il nome dell'applicazione e la posizione geografica dell'accesso a Microsoft Authenticator senza password e notifiche push.
Prerequisiti
L'organizzazione deve abilitare le notifiche senza password e push di Microsoft Authenticator per alcuni utenti o gruppi usando i nuovi criteri dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.
Nota
Lo schema dei criteri per le API Microsoft Graph è stato migliorato. Lo schema dei criteri meno recenti è ora deprecato. Assicurarsi di usare il nuovo schema per evitare errori.
È possibile specificare un contesto aggiuntivo solo per un singolo gruppo, che può essere dinamico o annidato. I gruppi di sicurezza sincronizzati locali e i gruppi di sicurezza solo cloud sono supportati per i criteri del metodo di autenticazione.
Accesso tramite telefono senza password e autenticazione a più fattori
Quando un utente riceve una notifica push di accesso tramite telefono senza password o MFA in Microsoft Authenticator, visualizzerà il nome dell'applicazione che richiede l'approvazione e il percorso in base all'indirizzo IP da cui proviene l'accesso.
Il contesto aggiuntivo può essere combinato con la corrispondenza dei numeri per migliorare ulteriormente la sicurezza dell'accesso.
Modifiche dello schema dei criteri
È possibile abilitare e disabilitare separatamente il nome dell'applicazione e la posizione geografica. In featureSettings è possibile usare il mapping dei nomi seguente per ogni funzionalità:
- Nome applicazione: displayAppInformationRequiredState
- Posizione geografica: displayLocationInformationRequiredState
Nota
Assicurarsi di usare il nuovo schema dei criteri per le API Microsoft Graph. In Graph Explorer è necessario fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Identificare il singolo gruppo di destinazione per ognuna delle funzionalità. Usare quindi l'endpoint API seguente per modificare le proprietà displayAppInformationRequiredState o displayLocationInformationRequiredState in featureSettings per abilitare ed includere o escludere i gruppi desiderati:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Per altre informazioni, vedere il tipo di risorsa microsoftAuthenticatorAuthenticationMethodConfiguration.
Esempio di come abilitare un contesto aggiuntivo per tutti gli utenti
In featureSettings modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato.
Il valore della modalità di autenticazione può essere qualsiasi o push, a seconda che si voglia o meno abilitare o meno l'accesso tramite telefono senza password. In questi esempi verrà usato uno qualsiasi, ma se non si vuole consentire l'uso senza password, usare il push.
Potrebbe essere necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. In tal caso, eseguire prima get, aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra come aggiornare displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come abilitare il nome dell'applicazione e la posizione geografica per gruppi separati
In featureSettings modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Per verificare, eseguire di nuovo GET e verificare objectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Esempio di come disabilitare il nome dell'applicazione e abilitare solo la posizione geografica
In featureSettings modificare lo stato di displayAppInformationRequiredState su predefinito o disabilitato e displayLocationInformationRequiredState su abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come escludere un gruppo dal nome dell'applicazione e dalla posizione geografica
In featureSettings modificare gli stati di displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
Inoltre, per ognuna delle funzionalità, si modificherà l'ID dell'elemento excludeTarget in ObjectID del gruppo dall'interfaccia di amministrazione di Microsoft Entra. Questa modifica esclude che il gruppo visualizzi il nome dell'applicazione o la posizione geografica.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di rimozione del gruppo escluso
In featureSettings modificare gli stati di displayAppInformationRequiredState dal valore predefinito a abilitato. È necessario modificare l'ID dell'elemento excludeTarget in 00000000-0000-0000-0000-000000000000.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Disattiva contesto aggiuntivo
Per disattivare un contesto aggiuntivo, dovrai applicare PATCH displayAppInformationRequiredState e displayLocationInformationRequiredState da abilitato a disabilitato/ predefinito. È anche possibile disattivare solo una delle funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Abilitare un contesto aggiuntivo nell'interfaccia di amministrazione di Microsoft Entra
Per abilitare il nome dell'applicazione o la posizione geografica nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Metodi>di autenticazione di protezione>Microsoft Authenticator.
Nella scheda Informazioni di base fare clic su Sì e Tutti gli utenti per abilitare i criteri per tutti e impostare Modalità di autenticazione su Qualsiasi.
Solo gli utenti abilitati per Microsoft Authenticator possono essere inclusi nei criteri per visualizzare il nome dell'applicazione o la posizione geografica dell'accesso o escluderlo. Gli utenti che non sono abilitati per Microsoft Authenticator non possono visualizzare il nome dell'applicazione o la posizione geografica.
Nella scheda Configura, per Mostra nome applicazione nelle notifiche push e senza password, impostare Stato su Abilitato, scegliere chi includere o escludere dal criterio e fare clic su Salva.
Eseguire quindi la stessa operazione per Mostra posizione geografica nelle notifiche push e senza password.
È possibile configurare il nome dell'applicazione e la posizione geografica separatamente. Ad esempio, il criterio seguente abilita il nome dell'applicazione e la posizione geografica per tutti gli utenti, ma esclude il gruppo Operazioni dalla visualizzazione della posizione geografica.
Problemi noti
Il contesto aggiuntivo non è supportato per Server dei criteri di rete (NPS) o Active Directory Federation Services (AD FS).
Gli utenti possono modificare il percorso segnalato dai dispositivi iOS e Android. Di conseguenza, Microsoft Authenticator aggiorna la baseline di sicurezza per i criteri di accesso condizionale basato su percorsi Controllo di accesso (LBAC). L'autenticatore negherà le autenticazioni in cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installato Authenticator.
Nella versione di novembre 2023 di Authenticator, gli utenti che modificano la posizione del dispositivo visualizzeranno un messaggio Di rifiuto in Authenticator durante l'autenticazione con il controllo dell'accesso in base al ruolo. A partire da gennaio 2024, tutti gli utenti che eseguono versioni precedenti di Authenticator verranno bloccati dall'autenticazione LBAC con un percorso modificato:
- Authenticator versione 6.2309.6329 o precedente in Android
- Autenticatore versione 6.7.16 o precedente in iOS
Per individuare gli utenti che eseguono versioni precedenti di Authenticator, usare le API Microsoft Graph.
Passaggi successivi
Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator