Microsoft Authenticator 알림에서 추가 컨텍스트를 사용하는 방법 - 인증 방법 정책
이 항목에서는 Microsoft Authenticator 암호 없는 알림 및 푸시 알림에 로그인의 애플리케이션 이름과 지리적 위치를 추가하여 사용자 로그인의 보안을 개선하는 방법을 다룹니다.
필수 조건
조직은 새로운 인증 방법 정책을 사용하여 일부 사용자 또는 그룹에 대해 Microsoft Authenticator 암호 없는 알림 및 푸시 알림을 사용하도록 설정해야 합니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 인증 방법 정책을 편집할 수 있습니다.
참고 항목
Microsoft Graph API에 대한 정책 스키마가 개선되었습니다. 이전 정책 스키마는 이제 더 이상 사용되지 않습니다. 새 스키마를 사용하여 오류를 방지해야 합니다.
추가 컨텍스트는 동적이거나 중첩될 수 있는 단일 그룹에만 대상이 될 수 있습니다. 인증 방법 정책에 대해 온-프레미스 동기화 보안 그룹 및 클라우드 전용 보안 그룹이 지원됩니다.
암호 없는 휴대폰 로그인 및 다단계 인증
사용자가 Microsoft Authenticator에서 암호 없는 휴대폰 로그인 또는 MFA 푸시 알림을 받으면 승인을 요청하는 애플리케이션의 이름과 로그인이 시작된 IP 주소를 기반으로 하는 위치가 표시됩니다.
추가 컨텍스트를 숫자 일치와 결합하여 로그인 보안을 더욱 개선시킬 수 있습니다.
정책 스키마 변경
애플리케이션 이름과 지리적 위치를 별도로 사용 및 사용하지 않을 수 있습니다. featureSettings에서 각 기능에 대한 다음 이름 매핑을 사용할 수 있습니다.
- 애플리케이션 이름: displayAppInformationRequiredState
- 지리적 위치: displayLocationInformationRequiredState
참고 항목
Microsoft Graph API에 대한 새 정책 스키마를 사용해야 합니다. Graph Explorer에서 Policy.Read.All 및 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
각 기능에 대한 단일 대상 그룹을 식별합니다. 그런 다음, 다음 API 엔드포인트를 사용하여 featureSettings에서 displayAppInformationRequiredState 또는 displayLocationInformationRequiredState 속성을 enabled로 변경하고 원하는 그룹을 포함하거나 제외합니다.
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
MicrosoftAuthenticatorAuthenticationMethodConfiguration properties
PROPERTIES
| 속성 | Type | 설명 |
|---|---|---|
| id | 문자열 | 인증 방법 정책 식별자입니다. |
| 상태 | authenticationMethodState | 가능한 값은 enabled입니다. disabled |
RELATIONSHIPS
| 관계 | Type | 설명 |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget 컬렉션 | 인증 방법을 사용할 수 있는 사용자 또는 그룹의 모음입니다. |
| featureSettings | microsoftAuthenticatorFeatureSettings 컬렉션 | Microsoft Authenticator 기능의 컬렉션입니다. |
MicrosoftAuthenticator includeTarget 속성
PROPERTIES
| 속성 | Type | 설명 |
|---|---|---|
| authenticationMode | 문자열 | 가능한 값은 다음과 같습니다. any: 암호 없는 휴대폰 로그인과 기존의 두 번째 요소 알림이 모두 허용됩니다. deviceBasedPush: 암호 없는 휴대폰 로그인 알림만 허용됩니다. push: 기존의 두 번째 요소 푸시 알림만 허용됩니다. |
| id | 문자열 | Microsoft Entra 사용자 또는 그룹의 개체 ID입니다. |
| targetType | authenticationMethodTargetType | 가능한 값은 user, group입니다. |
MicrosoftAuthenticator featureSettings 속성
PROPERTIES
| 속성 | Type | 설명 |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | MFA 알림에 대한 번호 일치가 필요합니다. 전화 로그인 알림의 경우 값은 무시됩니다. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | 사용자에게 Microsoft Authenticator 알림에 애플리케이션 이름이 표시되는지 여부를 결정합니다. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | 사용자에게 Microsoft Authenticator 알림에 지리적 위치 컨텍스트가 표시되는지 여부를 결정합니다. |
인증 방법 기능 구성 속성
PROPERTIES
| 속성 | Type | 설명 |
|---|---|---|
| excludeTarget | featureTarget | 이 기능에서 제외되는 단일 엔터티입니다. 각 기능에 대해 하나의 그룹만 제외할 수 있습니다. |
| includeTarget | featureTarget | 이 기능에 포함된 단일 엔터티입니다. 각 기능에 대해 하나의 그룹만 포함할 수 있습니다. |
| 주 | advancedConfigState | 가능한 값은 다음과 같습니다. enabled는 선택한 그룹에 대해 기능을 명시적으로 사용하도록 설정합니다. disabled는 선택한 그룹의 기능을 명시적으로 사용하지 않도록 설정합니다. default를 사용하면 Microsoft Entra ID에서 선택한 그룹에 대해 기능이 사용하도록 설정되었는지 여부를 관리할 수 있습니다. |
기능 대상 속성
PROPERTIES
| 속성 | Type | 설명 |
|---|---|---|
| id | 문자열 | 대상 엔터티의 ID입니다. |
| targetType | featureTargetType | 그룹, 역할 또는 관리 단위와 같이 대상 엔터티의 종류입니다. 가능한 값은 'group', 'administrativeUnit', 'role', unknownFutureValue'입니다. |
모든 사용자에 대해 추가 컨텍스트를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 default에서 enabled로 변경합니다.
인증 모드의 값은 암호 없는 휴대폰 로그인도 사용하도록 설정할지 여부에 따라 any 또는 push일 수 있습니다. 이 예제에서는 any를 사용하지만 암호 없는 것을 허용하지 않으려면 push를 사용합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 할 수도 있습니다. 이 경우 먼저 GET을 수행하고 해당 필드만 업데이트한 다음 PATCH합니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 업데이트하는 방법을 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
별도의 그룹에 대해 애플리케이션 이름과 지리적 위치를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 기본값에서 사용으로 변경합니다. 각 featureSetting의 includeTarget 내에서 id를 all_users에서 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
확인하려면 GET을 다시 실행하고 ObjectID를 확인합니다.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
애플리케이션 이름을 사용하지 않도록 설정하고 지리적 위치만 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState의 상태를 default 또는 disabled로 변경하고 displayLocationInformationRequiredState를 enabled로 변경합니다. 각 featureSetting에 대한 includeTarget 내에서 all_users의 id를 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
애플리케이션 이름 및 지리적 위치에서 그룹을 제외하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState의 상태를 default에서 enabled로 변경합니다. 각 featureSetting에 대한 includeTarget 내에서 all_users의 id를 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
또한 각 기능에 대해 includeTarget의 ID를 Microsoft Entra 관리 센터에서 그룹의 ObjectID로 변경합니다. 그러면 애플리케이션 이름 또는 지리적 위치가 표시되지 않도록 해당 그룹이 제외됩니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
제외된 그룹을 제거하는 예
featureSettings에서 displayAppInformationRequiredState의 상태를 default에서 enabled로 변경합니다. excludeTarget의 id를 00000000-0000-0000-0000-000000000000으로 변경해야 합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
추가 컨텍스트 해제
추가 컨텍스트를 끄려면 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 enabled에서 disabled/default로 PATCH해야 합니다. 기능 중 하나만 끌 수도 있습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra 관리 센터에서 추가 컨텍스트를 사용하도록 설정합니다.
Microsoft Entra 관리 센터에서 애플리케이션 이름 또는 지리적 위치를 사용하도록 설정하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>Microsoft Authenticator로 이동합니다.
기본 탭에서 예 및 모든 사용자를 클릭하여 모든 사람에 대한 정책을 사용하도록 설정하고 인증 모드를 모두로 변경합니다.
여기에 Microsoft Authenticator를 사용하도록 설정된 사용자만 정책에 포함되어 로그인의 애플리케이션 이름 또는 지리적 위치를 표시하거나 해당 위치에서 제외할 수 있습니다. Microsoft Authenticator를 사용하도록 설정하지 않은 사용자는 애플리케이션 이름 또는 지리적 위치를 볼 수 없습니다.
구성 탭의 푸시 및 암호 없는 알림에 애플리케이션 이름 표시에서 상태를 사용으로 변경하고 정책에서 포함하거나 제외할 사용자를 선택하고 저장을 클릭합니다.
그런 다음, 푸시 및 암호 없는 알림에 지리적 위치 표시에 대해서도 동일하게 수행합니다.
애플리케이션 이름과 지리적 위치를 별도로 구성할 수 있습니다. 예를 들어 다음 정책은 모든 사용자에 대해 애플리케이션 이름과 지리적 위치를 사용하도록 설정하지만 Operations 그룹은 지리적 위치를 볼 수 없도록 제외됩니다.
알려진 문제
NPS(네트워크 정책 서버) 또는 AD FS(Active Directory Federation Services)에는 추가 컨텍스트가 지원되지 않습니다.
사용자는 iOS 및 Android 디바이스에서 보고된 위치를 수정할 수 있습니다. 결과적으로 Microsoft Authenticator는 LBAC(위치 기반 액세스 제어) 조건부 액세스 정책에 대한 보안 기준을 업데이트하고 있습니다. Authenticator는 사용자가 Authenticator가 설치된 모바일 디바이스의 실제 GPS 위치와 다른 위치를 사용하는 경우 인증을 거부합니다.
Authenticator의 2023년 11월 릴리스에서는 디바이스 위치를 수정하는 사용자가 LBAC 인증을 수행할 때 Authenticator에 거부 메시지가 표시됩니다. 2024년 1월부터 이전 Authenticator 버전을 실행하는 모든 사용자는 수정된 위치를 사용하여 LBAC 인증에서 차단됩니다.
- Android의 Authenticator 버전 6.2309.6329 이하
- iOS의 Authenticator 버전 6.7.16 이하
이전 버전의 OTP를 실행하는 사용자를 찾으려면 Microsoft Graph API를 사용합니다.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기