Aanvullende context gebruiken in Microsoft Authenticator-meldingen - Beleid voor verificatiemethoden
In dit onderwerp wordt beschreven hoe u de beveiliging van gebruikersaanmelding kunt verbeteren door de toepassingsnaam en geografische locatie van de aanmelding toe te voegen aan Microsoft Authenticator zonder wachtwoord en pushmeldingen.
Vereisten
Uw organisatie moet Microsoft Authenticator zonder wachtwoord en pushmeldingen inschakelen voor sommige gebruikers of groepen met behulp van het nieuwe beleid voor verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API.
Notitie
Het beleidsschema voor Microsoft Graph API's is verbeterd. Het oudere beleidsschema is nu afgeschaft. Zorg ervoor dat u het nieuwe schema gebruikt om fouten te voorkomen.
Aanvullende context kan worden gericht op slechts één groep, die dynamisch of genest kan zijn. On-premises gesynchroniseerde beveiligingsgroepen en beveiligingsgroepen in de cloud worden ondersteund voor het beleid voor verificatiemethoden.
Aanmelden bij telefoon zonder wachtwoord en meervoudige verificatie
Wanneer een gebruiker een aanmelding zonder wachtwoord of een MFA-pushmelding ontvangt in Microsoft Authenticator, ziet deze de naam van de toepassing die de goedkeuring aanvraagt en de locatie op basis van het IP-adres waar de aanmelding vandaan komt.
De aanvullende context kan worden gecombineerd met nummerkoppeling om de aanmeldingsbeveiliging verder te verbeteren.
Beleidsschemawijzigingen
U kunt toepassingsnaam en geografische locatie afzonderlijk in- en uitschakelen. Onder functie Instellingen kunt u de volgende naamtoewijzing gebruiken voor elke functie:
- Toepassingsnaam: displayAppInformationRequiredState
- Geografische locatie: displayLocationInformationRequiredState
Notitie
Zorg ervoor dat u het nieuwe beleidsschema voor Microsoft Graph API's gebruikt. In Graph Explorer moet u toestemming geven voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .
Identificeer uw individuele doelgroep voor elk van de functies. Gebruik vervolgens het volgende API-eindpunt om de eigenschappen displayAppInformationRequiredState of displayLocationInformationRequiredState onder functie te wijzigen Instellingen om de gewenste groepen in of uit te sluiten:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Eigenschappen van MicrosoftAuthenticatorAuthenticationMethodConfiguration
EIGENSCHAPPEN
| Eigenschappen | Type | Beschrijving |
|---|---|---|
| id | String | De id van het verificatiemethodebeleid. |
| staat | authenticationMethodState | Mogelijke waarden zijn enabled disabled |
RELATIES
| Relatie | Type | Description |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget-verzameling | Een verzameling gebruikers of groepen die zijn ingeschakeld voor het gebruik van de verificatiemethode. |
| functie Instellingen | microsoftAuthenticatorFeature Instellingen verzameling | Een verzameling Microsoft Authenticator-functies. |
MicrosoftAuthenticator includeTarget-eigenschappen
EIGENSCHAPPEN
| Eigenschappen | Type | Description |
|---|---|---|
| authenticationMode | String | Mogelijke waarden zijn: any: zowel aanmelding zonder wachtwoord via telefoon als traditionele tweede factor-meldingen zijn toegestaan. deviceBasedPush: alleen aanmeldingsmeldingen zonder wachtwoord zijn toegestaan. push: alleen traditionele tweede factor-pushmeldingen zijn toegestaan. |
| id | String | Object-id van een Microsoft Entra-gebruiker of -groep. |
| targetType | authenticationMethodTargetType | Mogelijke waarden zijn: user, group. |
MicrosoftAuthenticator-functie Instellingen eigenschappen
EIGENSCHAPPEN
| Eigenschappen | Type | Description |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Nummerkoppeling vereisen voor MFA-meldingen. Waarde wordt genegeerd voor meldingen over telefoonmeldingen. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Bepaalt of de gebruiker de toepassingsnaam in de Microsoft Authenticator-melding weergeeft. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Hiermee bepaalt u of de gebruiker geografische locatiecontext in de Microsoft Authenticator-melding wordt weergegeven. |
Configuratie-eigenschappen van verificatiemethodefuncties
EIGENSCHAPPEN
| Eigenschappen | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten voor elke functie. |
| includeTarget | featureTarget | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep voor elke functie opnemen. |
| Staat | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard kan Microsoft Entra-id beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
EIGENSCHAPPEN
| Eigenschappen | Type | Beschrijving |
|---|---|---|
| id | String | Id van de doelentiteit. |
| targetType | featureTargetType | Het type entiteit dat is gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'group', 'administrativeUnit', 'role', unknownFutureValue'. |
Voorbeeld van het inschakelen van aanvullende context voor alle gebruikers
Wijzig in functie Instellingen displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard in ingeschakeld.
De waarde van de verificatiemodus kan any of push zijn, afhankelijk van of u wel of niet ook aanmelding zonder wachtwoord wilt inschakelen. In deze voorbeelden gebruiken we any, maar als u wachtwoordloos niet wilt toestaan, gebruikt u push.
Mogelijk moet u het hele schema PATCHen om te voorkomen dat eerdere configuraties worden overschreven. In dat geval voert u eerst een GET uit, werkt u alleen de relevante velden bij en voert u vervolgens de patch uit. In het volgende voorbeeld ziet u hoe u displayAppInformationRequiredState en displayLocationInformationRequiredState bijwerkt onder functie Instellingen.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het inschakelen van toepassingsnaam en geografische locatie voor afzonderlijke groepen
In functie Instellingen wijzigt u displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard in ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder functie Instellingen.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voer GET opnieuw uit en controleer de ObjectID om dit te controleren:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Voorbeeld van het uitschakelen van de toepassingsnaam en het alleen inschakelen van geografische locatie
Wijzig in functie Instellingen de status van displayAppInformationRequiredState in standaard of uitgeschakeld en displayLocationInformationRequiredState is ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder functie Instellingen.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het uitsluiten van een groep van toepassingsnaam en geografische locatie
Wijzig in functie Instellingen de statussen van displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
Daarnaast wijzigt u voor elk van de functies de id van de excludeTarget in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum. Deze wijziging sluit die groep uit van het weergeven van de toepassingsnaam of geografische locatie.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder functie Instellingen.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het verwijderen van de uitgesloten groep
Wijzig in functie Instellingen de statussen van displayAppInformationRequiredState van standaard in ingeschakeld. U moet de id van de excludeTarget wijzigen in 00000000-0000-0000-0000-000000000000 .
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder functie Instellingen.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Aanvullende context uitschakelen
Als u extra context wilt uitschakelen, moet u PATCH displayAppInformationRequiredState en displayLocationInformationRequiredState uitschakelen van ingeschakeld tot uitgeschakeld/standaard. U kunt ook slechts één van de functies uitschakelen.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aanvullende context inschakelen in het Microsoft Entra-beheercentrum
Voer de volgende stappen uit om de naam of geografische locatie van de toepassing in te schakelen in het Microsoft Entra-beheercentrum:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
Blader naar beveiligingsverificatiemethoden>>Microsoft Authenticator.
Klik op het tabblad Basisbeginselen op Ja en Alle gebruikers om het beleid voor iedereen in te schakelen en wijzig de verificatiemodus in Any.
Alleen gebruikers die microsoft Authenticator hier hebben ingeschakeld, kunnen worden opgenomen in het beleid om de naam van de toepassing of geografische locatie van de aanmelding weer te geven of uitgesloten ervan. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, kunnen de naam of geografische locatie van de toepassing niet zien.
Wijzig op het tabblad Configureren voor toepassingsnaam weergeven in push- en wachtwoordloze meldingen, wijzig de status in Ingeschakeld, kies wie u wilt opnemen of uitsluiten van het beleid en klik op Opslaan.
Doe hetzelfde voor geografische locatie weergeven in push- en wachtwoordloze meldingen.
U kunt de naam van de toepassing en geografische locatie afzonderlijk configureren. Met het volgende beleid kunnen bijvoorbeeld toepassingsnaam en geografische locatie voor alle gebruikers worden ingeschakeld, maar wordt de operations-groep uitgesloten van de geografische locatie.
Bekende problemen
Aanvullende context wordt niet ondersteund voor NPS (Network Policy Server) of Active Directory Federation Services (AD FS).
Gebruikers kunnen de locatie wijzigen die wordt gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan werkt Microsoft Authenticator de beveiligingsbasislijn bij voor beleid voor voorwaardelijke toegang op basis van locatiegebaseerde toegang (LBAC). Authenticator weigert verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop Authenticator is geïnstalleerd.
In de release van november 2023 van Authenticator zien gebruikers die de locatie van hun apparaat wijzigen een weigeringsbericht in Authenticator wanneer ze een LBAC-verificatie uitvoeren. Vanaf januari 2024 worden alle gebruikers met oudere Authenticator-versies geblokkeerd voor LBAC-verificatie met een gewijzigde locatie:
- Authenticator versie 6.2309.6329 of eerder op Android
- Authenticator versie 6.7.16 of eerder op iOS
Als u wilt zoeken welke gebruikers oudere versies van Authenticator uitvoeren, gebruikt u Microsoft Graph-API's.
Volgende stappen
Verificatiemethoden in Microsoft Entra ID - Microsoft Authenticator-app
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor