Microsoft Authenticator 通知で追加のコンテキストを使用する方法 - 認証方法ポリシー
このトピックでは、Microsoft Authenticator のパスワードレスおよびプッシュ通知に、サインインのアプリケーション名と地理的な場所を追加することで、ユーザー サインインのセキュリティを向上させる方法について説明します。
前提条件
組織では、新しい認証方法ポリシーを使用して Microsoft Authenticator パスワードレスおよびプッシュ通知を一部のユーザーまたはグループに対して有効にする必要があります。 認証方法ポリシーは、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して編集できます。
Note
Microsoft Graph API のポリシー スキーマが改善されました。 以前のポリシー スキーマは非推奨になっています。 エラーを防ぐために、必ず新しいスキーマをお使いください。
追加のコンテキストは 1 つのグループのみを対象にすることができ、動的または入れ子の場合があります。 認証方法ポリシーでは、オンプレミスの同期されたセキュリティ グループとクラウド専用のセキュリティ グループがサポートされます。
パスワードレス電話によるサインインと多要素認証
ユーザーが Microsoft Authenticator でパスワードレス電話によるサインインまたは MFA プッシュ通知を受信すると、承認を要求するアプリケーションの名前と、サインインが行われた IP アドレスに基づく場所が表示されます。
追加のコンテキストを数値の一致と組み合わせることで、サインインのセキュリティをさらに向上させることができます。
ポリシー スキーマの変更
アプリケーション名と地理的な場所を個別に有効にしたり無効にしたりできます。 featureSettings では、各機能に対して次の名前マッピングを使用できます。
- アプリケーション名: displayAppInformationRequiredState
- 地理的な場所: displayLocationInformationRequiredState
注意
必ず、Microsoft Graph API の新しいポリシー スキーマをお使いください。 Graph Explorer で、Policy.Read.All および Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
機能ごとに 1 つのターゲット グループを特定します。 その後、次の API エンドポイントを使用して、featureSettings の displayAppInformationRequiredState または displayLocationInformationRequiredState プロパティを enabled に変更して、必要なグループ含めるか除外します。
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
MicrosoftAuthenticatorAuthenticationMethodConfiguration プロパティ
プロパティ
| プロパティ | タイプ | 説明 |
|---|---|---|
| id | String | 認証方法ポリシー識別子。 |
| state | authenticationMethodState | 指定できる値: enabled disabled |
リレーションシップ
| リレーションシップ | 型 | 説明 |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget コレクション | この認証方法を使用できるユーザーまたはグループの集合。 |
| featureSettings | microsoftAuthenticatorFeatureSettings コレクション | Microsoft Authenticator 機能のコレクション。 |
MicrosoftAuthenticator includeTarget プロパティ
プロパティ
| プロパティ | タイプ | 説明 |
|---|---|---|
| authenticationMode | String | 次のいずれかの値になります。 any: パスワードレスの電話によるサインインと従来の第 2 要素通知の両方を使用できます。 deviceBasedPush: パスワードレスの電話によるサインイン通知のみを使用できます。 push: 従来の第 2 要素プッシュ通知のみを使用できます。 |
| id | String | Microsoft Entra ユーザーまたはグループのオブジェクト ID。 |
| targetType | authenticationMethodTargetType | 指定できる値: user、group。 |
MicrosoftAuthenticator featureSettings プロパティ
プロパティ
| プロパティ | タイプ | 説明 |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | MFA 通知には数値の一致が必要です。 電話によるサインイン通知では、値は無視されます。 |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | ユーザーが Microsoft Authenticator 通知にアプリケーション名を表示するかどうかを決定します。 |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | ユーザーが Microsoft Authenticator 通知に地理的な場所のコンテキストを表示するかどうかを決定します。 |
認証方法機能の構成プロパティ
プロパティ
| プロパティ | タイプ | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 各機能に対して除外できるグループは 1 つだけです。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 各機能に含めることができるグループは 1 つだけです。 |
| State | advancedConfigState | 次のいずれかの値になります。 enabled では、選択したグループに対してこの機能を明示的に有効にします。 disabled では、選択したグループに対してこの機能を明示的に無効にします。 既定 では、選択したグループに対してこの機能を有効にするかどうかを Microsoft Entra ID で管理できます。 |
機能ターゲット プロパティ
プロパティ
| プロパティ | タイプ | 説明 |
|---|---|---|
| id | String | ターゲットとなるエンティティの ID。 |
| targetType | featureTargetType | グループ、ロール、管理ユニットなど、ターゲットとなるエンティティの種類。 使用可能な値は、‘group’、‘administrativeUnit’、‘role’、‘unknownFutureValue' です。 |
すべてのユーザーに対して追加のコンテキストを有効にする方法の例
featureSettingsでは、displayAppInformationRequiredState と displayLocationInformationRequiredState を default から enabled に変更します。
認証モードの値は、パスワードレスの電話によるサインインも有効にするかどうかに応じて、any または push のどちらにでも指定できます。 これらの例では any を使用しますが、パスワードレスを許可しない場合は、push を使用します。
以前の構成が上書きされるのを防ぐために、スキーマ全体へのパッチの適用が必要になる場合があります。 その場合は、最初に GET を行い、関連するフィールドのみを更新してからパッチを適用します。 次の例は、featureSettings の displayAppInformationRequiredState と displayLocationInformationRequiredState を更新する方法を示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、アプリケーション名または地理的な場所が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
アプリケーション名と地理的な場所を別のグループに対して有効にする方法の例
featureSettings で、displayAppInformationRequiredState と displayLocationInformationRequiredState を default から enabled に変更します。各 featureSetting の includeTarget 内で、Microsoft Entra 管理センターから id を all_users からグループの ObjectID に変更します。
以前の構成が上書きされるのを防ぐために、スキーマ全体にパッチを適用する必要があります。 最初に GET を実行してから関連するフィールドのみを更新し、その後にパッチを適用すすることをお勧めします。 次の例は、featureSettings の displayAppInformationRequiredState と displayLocationInformationRequiredState に対する更新を示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、アプリケーション名または地理的な場所が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
確認するには、GET をもう一度実行し、ObjectID を確認します。
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
アプリケーション名を無効にし、地理的な場所のみを有効にする方法の例
featureSettings で、displayAppInformationRequiredState の状態を default または disabled に変更し、displayLocationInformationRequiredState を enabled に変更します。各 featureSetting の includeTarget 内で、Microsoft Entra 管理センターから id を all_users からグループの ObjectID に変更します。
以前の構成が上書きされるのを防ぐために、スキーマ全体にパッチを適用する必要があります。 最初に GET を実行してから関連するフィールドのみを更新し、その後にパッチを適用すすることをお勧めします。 次の例は、featureSettings の displayAppInformationRequiredState と displayLocationInformationRequiredState に対する更新を示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、アプリケーション名または地理的な場所が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
アプリケーション名と地理的な場所からグループを除外する方法の例
featureSettings で、displayAppInformationRequiredState と displayLocationInformationRequiredState の状態を default から enabled に変更します。各 featureSetting の includeTarget 内で、Microsoft Entra 管理センターから id を all_users からグループの ObjectID に変更します。
さらに、各機能について、Microsoft Entra 管理センターから excludeTarget の id をグループの ObjectID に変更します。 この変更により、そのグループには、アプリケーション名や地理的な場所が表示されなくなります。
以前の構成が上書きされるのを防ぐために、スキーマ全体にパッチを適用する必要があります。 最初に GET を実行してから関連するフィールドのみを更新し、その後にパッチを適用すすることをお勧めします。 次の例は、featureSettings の displayAppInformationRequiredState と displayLocationInformationRequiredState に対する更新を示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、アプリケーション名または地理的な場所が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
除外されたグループを削除する例
featureSettings で、displayAppInformationRequiredState の状態を default から enabled に変更します。excludeTarget の id を 00000000-0000-0000-0000-000000000000 に変更する必要があります。
以前の構成が上書きされるのを防ぐために、スキーマ全体にパッチを適用する必要があります。 最初に GET を実行してから関連するフィールドのみを更新し、その後にパッチを適用すすることをお勧めします。 次の例は、featureSettings の displayAppInformationRequiredState と displayLocationInformationRequiredState に対する更新を示しています。
Microsoft Authenticator の includeTargets で Microsoft Authenticator が有効になっているユーザーにのみ、アプリケーション名または地理的な場所が表示されます。 Microsoft Authenticator が有効になっていないユーザーには、この機能は表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
追加のコンテキストをオフにする
追加のコンテキストをオフにするには、displayAppInformationRequiredState と displayLocationInformationRequiredState を enabled から disabled/default にパッチを適用する必要があります。 機能の 1 つだけをオフにすることもできます。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra 管理センターで追加のコンテキストを有効にする
Microsoft Entra 管理センターでアプリケーション名または地理的な場所を有効にするには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]、[認証方法]、[Microsoft Authenticator] の順に進みます。
[基本] タブで [はい] と [すべてのユーザー] をクリックして、すべてのユーザーに対してポリシーを有効にし、[認証モード] を [すべて] に変更します。
サインインのアプリケーション名または地理的な場所を表示するポリシーに含められる、またはそこから除外できるのは、ここで Microsoft Authenticator が有効になっているユーザーだけです。 Microsoft Authenticator が有効になっていないユーザーには、アプリケーション名または地理的な場所は表示されません。
[構成] タブで、[Show application name in push and passwordless notifications] (プッシュおよびパスワードレス通知にアプリケーション名を表示する) の [状態] を [有効] に変更し、ポリシーに含める、または除外するユーザーを選択し、[保存] をクリックします。
次に、[Show geographic location in push and passwordless notifications] (プッシュおよびパスワードレス通知に地理的な場所を表示する) についても同じ操作を行います。
アプリケーション名と地理的な場所は個別に構成できます。 たとえば、次のポリシーを使用すると、すべてのユーザーに対してアプリケーション名と地理的な場所が有効になりますが、運用グループは地理的な場所の表示から除外されます。
既知の問題
ネットワーク ポリシー サーバー (NPS) または Active Directory フェデレーション サービス (AD FS) では、追加のコンテキストはサポートされていません。
ユーザーは、iOS および Android デバイスによって報告される場所を変更できます。 そのため、Microsoft Authenticator では、場所ベースのアクセス制御 (LBAC) 条件付きアクセス ポリシーのセキュリティ ベースラインを更新しています。 Authenticator では、Authenticator がインストールされているモバイル デバイスの実際の GPS 位置とは異なる場所をユーザーが使用している可能性がある場合、認証が拒否されます。
Authenticator の 2023 年 11 月のリリースでは、デバイスの場所を変更するユーザーは、LBAC 認証を試みると Authenticator で拒否メッセージが表示されます。 2024 年 1 月以降、以前の Authenticator バージョンを実行するすべてのユーザーは、場所が変更された LBAC 認証からブロックされます:
- Android の Authenticator バージョン 6.2309.6329 以前
- iOS の Authenticator バージョン 6.7.16 以前
以前のバージョンの Authenticator を実行しているユーザーを見つけるには、Microsoft Graph API を使用します。