Come usare un contesto aggiuntivo nelle notifiche di Microsoft Authenticator - Criteri dei metodi di autenticazione
Questo argomento illustra come migliorare la sicurezza dell'accesso utente aggiungendo il nome dell'applicazione e la posizione geografica dell'accesso a Microsoft Authenticator senza password e notifiche push.
Prerequisiti
L'organizzazione deve abilitare le notifiche senza password e push di Microsoft Authenticator per alcuni utenti o gruppi usando i nuovi criteri dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.
Nota
Lo schema dei criteri per le API Microsoft Graph è stato migliorato. Lo schema dei criteri meno recenti è ora deprecato. Assicurarsi di usare il nuovo schema per evitare errori.
È possibile specificare un contesto aggiuntivo solo per un singolo gruppo, che può essere dinamico o annidato. I gruppi di sicurezza sincronizzati locali e i gruppi di sicurezza solo cloud sono supportati per i criteri del metodo di autenticazione.
Accesso tramite telefono senza password e autenticazione a più fattori
Quando un utente riceve una notifica push di accesso tramite telefono senza password o MFA in Microsoft Authenticator, visualizzerà il nome dell'applicazione che richiede l'approvazione e il percorso in base all'indirizzo IP da cui proviene l'accesso.
Il contesto aggiuntivo può essere combinato con la corrispondenza dei numeri per migliorare ulteriormente la sicurezza dell'accesso.
Modifiche dello schema dei criteri
È possibile abilitare e disabilitare separatamente il nome dell'applicazione e la posizione geografica. In feature Impostazioni è possibile usare il mapping dei nomi seguente per ogni funzionalità:
- Nome applicazione: displayAppInformationRequiredState
- Posizione geografica: displayLocationInformationRequiredState
Nota
Assicurarsi di usare il nuovo schema dei criteri per le API Microsoft Graph. In Graph Explorer è necessario fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Identificare il singolo gruppo di destinazione per ognuna delle funzionalità. Usare quindi l'endpoint API seguente per modificare le proprietà displayAppInformationRequiredState o displayLocationInformationRequiredState nella funzionalità Impostazioni per abilitare ed includere o escludere i gruppi desiderati:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Proprietà MicrosoftAuthenticatorAuthenticationMethodConfiguration
PROPRIETÀ
Proprietà | Type | Descrizione |
---|---|---|
id | String | Identificatore dei criteri del metodo di autenticazione. |
state | authenticationMethodState | I valori possibili sono: abilitato Disabili |
RELAZIONI
Relationship | Tipo | Descrizione |
---|---|---|
includeTargets | raccolta microsoftAuthenticatorAuthenticationMethodTarget | Raccolta di utenti o gruppi abilitati per l'uso del metodo di autenticazione. |
funzionalità Impostazioni | raccolta microsoftAuthenticatorFeature Impostazioni | Raccolta di funzionalità di Microsoft Authenticator. |
MicrosoftAuthenticator include ProprietàTarget
PROPRIETÀ
Proprietà | Type | Descrizione |
---|---|---|
authenticationMode | String | I valori possibili sono: any: sono consentiti sia l'accesso tramite telefono senza password che le tradizionali notifiche di secondo fattore. deviceBasedPush: sono consentite solo le notifiche di accesso tramite telefono senza password. push: sono consentite solo le notifiche push di secondo fattore tradizionali. |
id | String | ID oggetto di un utente o di un gruppo di Microsoft Entra. |
Targettype | authenticationMethodTargetType | I valori possibili sono: utente, gruppo. |
Funzionalità MicrosoftAuthenticator Impostazioni proprietà
PROPRIETÀ
Proprietà | Type | Descrizione |
---|---|---|
numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Richiedere la corrispondenza dei numeri per le notifiche MFA. Il valore viene ignorato per le notifiche di accesso tramite telefono. |
displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Determina se l'utente visualizza il nome dell'applicazione nella notifica di Microsoft Authenticator. |
displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Determina se l'utente visualizza il contesto geografico della posizione nella notifica di Microsoft Authenticator. |
Proprietà di configurazione delle funzionalità del metodo di autenticazione
PROPRIETÀ
Proprietà | Type | Descrizione |
---|---|---|
excludeTarget | featureTarget | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo per ogni funzionalità. |
includeTarget | featureTarget | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per ogni funzionalità. |
Provincia | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. default consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Proprietà di destinazione delle funzionalità
PROPRIETÀ
Proprietà | Type | Descrizione |
---|---|---|
id | String | ID dell'entità di destinazione. |
Targettype | featureTargetType | Tipo di entità di destinazione, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Esempio di come abilitare un contesto aggiuntivo per tutti gli utenti
Nella funzionalità Impostazioni modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato.
Il valore della modalità di autenticazione può essere qualsiasi o push, a seconda che si voglia o meno abilitare o meno l'accesso tramite telefono senza password. In questi esempi verrà usato uno qualsiasi, ma se non si vuole consentire l'uso senza password, usare il push.
Potrebbe essere necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. In tal caso, eseguire prima get, aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra come aggiornare displayAppInformationRequiredState e displayLocationInformationRequiredState in feature Impostazioni.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come abilitare il nome dell'applicazione e la posizione geografica per gruppi separati
Nella funzionalità Impostazioni modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Per verificare, eseguire di nuovo GET e verificare objectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Esempio di come disabilitare il nome dell'applicazione e abilitare solo la posizione geografica
Nella funzionalità Impostazioni modificare lo stato di displayAppInformationRequiredState su default o disabled e displayLocationInformationRequiredState su abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come escludere un gruppo dal nome dell'applicazione e dalla posizione geografica
In feature Impostazioni modificare gli stati di displayAppInformationRequiredState e displayLocationInformationRequiredState da default a enabled. All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
Inoltre, per ognuna delle funzionalità, si modificherà l'ID dell'elemento excludeTarget in ObjectID del gruppo dall'interfaccia di amministrazione di Microsoft Entra. Questa modifica esclude che il gruppo visualizzi il nome dell'applicazione o la posizione geografica.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di rimozione del gruppo escluso
Nella funzionalità Impostazioni modificare gli stati di displayAppInformationRequiredState dal valore predefinito a abilitato. È necessario modificare l'ID dell'elemento excludeTarget in 00000000-0000-0000-0000-000000000000
.
È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.
Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Disattiva contesto aggiuntivo
Per disattivare un contesto aggiuntivo, dovrai applicare PATCH displayAppInformationRequiredState e displayLocationInformationRequiredState da abilitato a disabilitato/ predefinito. È anche possibile disattivare solo una delle funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Abilitare un contesto aggiuntivo nell'interfaccia di amministrazione di Microsoft Entra
Per abilitare il nome dell'applicazione o la posizione geografica nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
Passare a Metodi>di autenticazione di protezione>Microsoft Authenticator.
Nella scheda Informazioni di base fare clic su Sì e Tutti gli utenti per abilitare i criteri per tutti e impostare Modalità di autenticazione su Qualsiasi.
Solo gli utenti abilitati per Microsoft Authenticator possono essere inclusi nei criteri per visualizzare il nome dell'applicazione o la posizione geografica dell'accesso o escluderlo. Gli utenti che non sono abilitati per Microsoft Authenticator non possono visualizzare il nome dell'applicazione o la posizione geografica.
Nella scheda Configura, per Mostra nome applicazione nelle notifiche push e senza password, impostare Stato su Abilitato, scegliere chi includere o escludere dal criterio e fare clic su Salva.
Eseguire quindi la stessa operazione per Mostra posizione geografica nelle notifiche push e senza password.
È possibile configurare il nome dell'applicazione e la posizione geografica separatamente. Ad esempio, il criterio seguente abilita il nome dell'applicazione e la posizione geografica per tutti gli utenti, ma esclude il gruppo Operazioni dalla visualizzazione della posizione geografica.
Problemi noti
Il contesto aggiuntivo non è supportato per Server dei criteri di rete (NPS) o Active Directory Federation Services (AD FS).
Gli utenti possono modificare il percorso segnalato dai dispositivi iOS e Android. Di conseguenza, Microsoft Authenticator aggiorna la baseline di sicurezza per i criteri di accesso condizionale basato su percorsi Controllo di accesso (LBAC). L'autenticatore negherà le autenticazioni in cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installato Authenticator.
Nella versione di novembre 2023 di Authenticator, gli utenti che modificano la posizione del dispositivo visualizzeranno un messaggio Di rifiuto in Authenticator durante l'autenticazione con il controllo dell'accesso in base al ruolo. A partire da gennaio 2024, tutti gli utenti che eseguono versioni precedenti di Authenticator verranno bloccati dall'autenticazione LBAC con un percorso modificato:
- Authenticator versione 6.2309.6329 o precedente in Android
- Autenticatore versione 6.7.16 o precedente in iOS
Per individuare gli utenti che eseguono versioni precedenti di Authenticator, usare le API Microsoft Graph.
Passaggi successivi
Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator