Come usare un contesto aggiuntivo nelle notifiche di Microsoft Authenticator - Criteri dei metodi di autenticazione

Questo argomento illustra come migliorare la sicurezza dell'accesso utente aggiungendo il nome dell'applicazione e la posizione geografica dell'accesso a Microsoft Authenticator senza password e notifiche push.

Prerequisiti

  • L'organizzazione deve abilitare le notifiche senza password e push di Microsoft Authenticator per alcuni utenti o gruppi usando i nuovi criteri dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.

    Nota

    Lo schema dei criteri per le API Microsoft Graph è stato migliorato. Lo schema dei criteri meno recenti è ora deprecato. Assicurarsi di usare il nuovo schema per evitare errori.

  • È possibile specificare un contesto aggiuntivo solo per un singolo gruppo, che può essere dinamico o annidato. I gruppi di sicurezza sincronizzati locali e i gruppi di sicurezza solo cloud sono supportati per i criteri del metodo di autenticazione.

Accesso tramite telefono senza password e autenticazione a più fattori

Quando un utente riceve una notifica push di accesso tramite telefono senza password o MFA in Microsoft Authenticator, visualizzerà il nome dell'applicazione che richiede l'approvazione e il percorso in base all'indirizzo IP da cui proviene l'accesso.

Screenshot of additional context in the MFA push notification.

Il contesto aggiuntivo può essere combinato con la corrispondenza dei numeri per migliorare ulteriormente la sicurezza dell'accesso.

Screenshot of additional context with number matching in the MFA push notification.

Modifiche dello schema dei criteri

È possibile abilitare e disabilitare separatamente il nome dell'applicazione e la posizione geografica. In feature Impostazioni è possibile usare il mapping dei nomi seguente per ogni funzionalità:

  • Nome applicazione: displayAppInformationRequiredState
  • Posizione geografica: displayLocationInformationRequiredState

Nota

Assicurarsi di usare il nuovo schema dei criteri per le API Microsoft Graph. In Graph Explorer è necessario fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .

Identificare il singolo gruppo di destinazione per ognuna delle funzionalità. Usare quindi l'endpoint API seguente per modificare le proprietà displayAppInformationRequiredState o displayLocationInformationRequiredState nella funzionalità Impostazioni per abilitare ed includere o escludere i gruppi desiderati:

https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Proprietà MicrosoftAuthenticatorAuthenticationMethodConfiguration

PROPRIETÀ

Proprietà Digita Descrizione
id Stringa Identificatore dei criteri del metodo di autenticazione.
state authenticationMethodState I valori possibili sono: abilitato
Disabili

RELAZIONI

Rapporto Type Descrizione
includeTargets raccolta microsoftAuthenticatorAuthenticationMethodTarget Raccolta di utenti o gruppi abilitati per l'uso del metodo di autenticazione.
funzionalità Impostazioni raccolta microsoftAuthenticatorFeature Impostazioni Raccolta di funzionalità di Microsoft Authenticator.

MicrosoftAuthenticator include ProprietàTarget

PROPRIETÀ

Proprietà Digita Descrizione
authenticationMode Stringa I valori possibili sono:
any: sono consentiti sia l'accesso tramite telefono senza password che le tradizionali notifiche di secondo fattore.
deviceBasedPush: sono consentite solo le notifiche di accesso tramite telefono senza password.
push: sono consentite solo le notifiche push di secondo fattore tradizionali.
id Stringa ID oggetto di un utente o di un gruppo di Microsoft Entra.
Targettype authenticationMethodTargetType I valori possibili sono: utente, gruppo.

Funzionalità MicrosoftAuthenticator Impostazioni proprietà

PROPRIETÀ

Proprietà Digita Descrizione
numberMatchingRequiredState authenticationMethodFeatureConfiguration Richiedere la corrispondenza dei numeri per le notifiche MFA. Il valore viene ignorato per le notifiche di accesso tramite telefono.
displayAppInformationRequiredState authenticationMethodFeatureConfiguration Determina se l'utente visualizza il nome dell'applicazione nella notifica di Microsoft Authenticator.
displayLocationInformationRequiredState authenticationMethodFeatureConfiguration Determina se l'utente visualizza il contesto geografico della posizione nella notifica di Microsoft Authenticator.

Proprietà di configurazione delle funzionalità del metodo di autenticazione

PROPRIETÀ

Proprietà Digita Descrizione
excludeTarget featureTarget Singola entità esclusa da questa funzionalità.
È possibile escludere un solo gruppo per ogni funzionalità.
includeTarget featureTarget Singola entità inclusa in questa funzionalità.
È possibile includere un solo gruppo per ogni funzionalità.
Stato advancedConfigState I valori possibili sono:
abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato.
disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato.
default consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato.

Proprietà di destinazione delle funzionalità

PROPRIETÀ

Proprietà Digita Descrizione
id Stringa ID dell'entità di destinazione.
Targettype featureTargetType Tipo di entità di destinazione, ad esempio gruppo, ruolo o unità amministrativa. I valori possibili sono: 'group', 'administrativeUnit', 'role', unknownFutureValue'.

Esempio di come abilitare un contesto aggiuntivo per tutti gli utenti

Nella funzionalità Impostazioni modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato.

Il valore della modalità di autenticazione può essere qualsiasi o push, a seconda che si voglia o meno abilitare o meno l'accesso tramite telefono senza password. In questi esempi verrà usato uno qualsiasi, ma se non si vuole consentire l'uso senza password, usare il push.

Potrebbe essere necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. In tal caso, eseguire prima get, aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra come aggiornare displayAppInformationRequiredState e displayLocationInformationRequiredState in feature Impostazioni.

Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Esempio di come abilitare il nome dell'applicazione e la posizione geografica per gruppi separati

Nella funzionalità Impostazioni modificare displayAppInformationRequiredState e displayLocationInformationRequiredState dal valore predefinito a abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'IDda all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.

È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.

Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Per verificare, eseguire di nuovo GET e verificare objectID:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Esempio di come disabilitare il nome dell'applicazione e abilitare solo la posizione geografica

Nella funzionalità Impostazioni modificare lo stato di displayAppInformationRequiredState su default o disabled e displayLocationInformationRequiredState su abilitato. All'interno di includeTarget per ogni featureSetting, modificare l'IDda all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.

È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.

Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Esempio di come escludere un gruppo dal nome dell'applicazione e dalla posizione geografica

In feature Impostazioni modificare gli stati di displayAppInformationRequiredState e displayLocationInformationRequiredState da default a enabled. All'interno di includeTarget per ogni featureSetting, modificare l'IDda all_users all'OBJECTID del gruppo dall'interfaccia di amministrazione di Microsoft Entra.

Inoltre, per ognuna delle funzionalità, si modificherà l'ID dell'elemento excludeTarget in ObjectID del gruppo dall'interfaccia di amministrazione di Microsoft Entra. Questa modifica esclude che il gruppo visualizzi il nome dell'applicazione o la posizione geografica.

È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.

Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Esempio di rimozione del gruppo escluso

Nella funzionalità Impostazioni modificare gli stati di displayAppInformationRequiredState dal valore predefinito a abilitato. È necessario modificare l'ID dell'elemento excludeTarget in 00000000-0000-0000-0000-000000000000.

È necessario APPLICARE PATCH all'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un'operazione GET e quindi aggiornare solo i campi pertinenti e quindi PATCH. L'esempio seguente mostra un aggiornamento per displayAppInformationRequiredState e displayLocationInformationRequiredState nella funzionalità Impostazioni.

Solo gli utenti abilitati per Microsoft Authenticator in includeTargets di Microsoft Authenticator vedranno il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Microsoft Authenticator non vedranno queste funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Disattiva contesto aggiuntivo

Per disattivare un contesto aggiuntivo, dovrai applicare PATCH displayAppInformationRequiredState e displayLocationInformationRequiredState da abilitato a disabilitato/ predefinito. È anche possibile disattivare solo una delle funzionalità.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Abilitare un contesto aggiuntivo nell'interfaccia di amministrazione di Microsoft Entra

Per abilitare il nome dell'applicazione o la posizione geografica nell'interfaccia di amministrazione di Microsoft Entra, completare la procedura seguente:

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.

  2. Passare a Metodi>di autenticazione di protezione>Microsoft Authenticator.

  3. Nella scheda Informazioni di base fare clic su e Tutti gli utenti per abilitare i criteri per tutti e impostare Modalità di autenticazione su Qualsiasi.

    Solo gli utenti abilitati per Microsoft Authenticator possono essere inclusi nei criteri per visualizzare il nome dell'applicazione o la posizione geografica dell'accesso o escluderlo. Gli utenti che non sono abilitati per Microsoft Authenticator non possono visualizzare il nome dell'applicazione o la posizione geografica.

    Screenshot of how to enable Microsoft Authenticator settings for Any authentication mode.

  4. Nella scheda Configura, per Mostra nome applicazione nelle notifiche push e senza password, impostare Stato su Abilitato, scegliere chi includere o escludere dal criterio e fare clic su Salva.

    Screenshot of how to enable application name.

    Eseguire quindi la stessa operazione per Mostra posizione geografica nelle notifiche push e senza password.

    Screenshot of how to enable geographic location.

    È possibile configurare il nome dell'applicazione e la posizione geografica separatamente. Ad esempio, il criterio seguente abilita il nome dell'applicazione e la posizione geografica per tutti gli utenti, ma esclude il gruppo Operazioni dalla visualizzazione della posizione geografica.

    Screenshot of how to enable application name and geographic location separately.

Problemi noti

  • Il contesto aggiuntivo non è supportato per Server dei criteri di rete (NPS) o Active Directory Federation Services (AD FS).

  • Gli utenti possono modificare il percorso segnalato dai dispositivi iOS e Android. Di conseguenza, Microsoft Authenticator aggiorna la baseline di sicurezza per i criteri di accesso condizionale basato su percorsi Controllo di accesso (LBAC). L'autenticatore negherà le autenticazioni in cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installato Authenticator.

    Nella versione di novembre 2023 di Authenticator, gli utenti che modificano la posizione del dispositivo visualizzeranno un messaggio Di rifiuto in Authenticator durante l'autenticazione con il controllo dell'accesso in base al ruolo. A partire da gennaio 2024, tutti gli utenti che eseguono versioni precedenti di Authenticator verranno bloccati dall'autenticazione LBAC con un percorso modificato:

    • Authenticator versione 6.2309.6329 o precedente in Android
    • Autenticatore versione 6.7.16 o precedente in iOS

    Per individuare gli utenti che eseguono versioni precedenti di Authenticator, usare le API Graph di Microsft.

Passaggi successivi

Metodi di autenticazione in Microsoft Entra ID - App Microsoft Authenticator