Aanvullende context gebruiken in Microsoft Authenticator-meldingen - Beleid voor verificatiemethoden
In dit onderwerp wordt beschreven hoe u de beveiliging van gebruikersaanmelding kunt verbeteren door de toepassingsnaam en geografische locatie van de aanmelding toe te voegen aan Microsoft Authenticator zonder wachtwoord en pushmeldingen.
Vereisten
Uw organisatie moet Microsoft Authenticator zonder wachtwoord en pushmeldingen inschakelen voor sommige gebruikers of groepen met behulp van het nieuwe beleid voor verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API.
Notitie
Het beleidsschema voor Microsoft Graph API's is verbeterd. Het oudere beleidsschema is nu afgeschaft. Zorg ervoor dat u het nieuwe schema gebruikt om fouten te voorkomen.
Aanvullende context kan worden gericht op slechts één groep, die dynamisch of genest kan zijn. On-premises gesynchroniseerde beveiligingsgroepen en beveiligingsgroepen in de cloud worden ondersteund voor het beleid voor verificatiemethoden.
Aanmelden bij telefoon zonder wachtwoord en meervoudige verificatie
Wanneer een gebruiker een aanmelding zonder wachtwoord of een MFA-pushmelding ontvangt in Microsoft Authenticator, ziet deze de naam van de toepassing die de goedkeuring aanvraagt en de locatie op basis van het IP-adres waar de aanmelding vandaan komt.
De aanvullende context kan worden gecombineerd met nummerkoppeling om de aanmeldingsbeveiliging verder te verbeteren.
Beleidsschemawijzigingen
U kunt toepassingsnaam en geografische locatie afzonderlijk in- en uitschakelen. Onder featureSettings kunt u de volgende naamtoewijzing gebruiken voor elke functie:
- Toepassingsnaam: displayAppInformationRequiredState
- Geografische locatie: displayLocationInformationRequiredState
Notitie
Zorg ervoor dat u het nieuwe beleidsschema voor Microsoft Graph API's gebruikt. In Graph Explorer moet u toestemming geven voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .
Identificeer uw individuele doelgroep voor elk van de functies. Gebruik vervolgens het volgende API-eindpunt om de eigenschappen displayAppInformationRequiredState of displayLocationInformationRequiredState onder featureSettings in te schakelen en de gewenste groepen op te nemen of uit te sluiten:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Zie microsoftAuthenticatorAuthenticationMethodConfiguration resourcetype voor meer informatie.
Voorbeeld van het inschakelen van aanvullende context voor alle gebruikers
Wijzig in featureSettings displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard in ingeschakeld.
De waarde van de verificatiemodus kan any of push zijn, afhankelijk van of u wel of niet ook aanmelding zonder wachtwoord wilt inschakelen. In deze voorbeelden gebruiken we any, maar als u wachtwoordloos niet wilt toestaan, gebruikt u push.
Mogelijk moet u het hele schema PATCHen om te voorkomen dat eerdere configuraties worden overschreven. In dat geval voert u eerst een GET uit, werkt u alleen de relevante velden bij en voert u vervolgens de patch uit. In het volgende voorbeeld ziet u hoe u displayAppInformationRequiredState en displayLocationInformationRequiredState bijwerkt onder featureSettings.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het inschakelen van toepassingsnaam en geografische locatie voor afzonderlijke groepen
Wijzig in featureSettings displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard in ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voer GET opnieuw uit en controleer de ObjectID om dit te controleren:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Voorbeeld van het uitschakelen van de toepassingsnaam en het alleen inschakelen van geografische locatie
Wijzig in featureSettings de status van displayAppInformationRequiredState in standaard of uitgeschakeld en displayLocationInformationRequiredState in ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het uitsluiten van een groep van toepassingsnaam en geografische locatie
Wijzig in featureSettings de statussen van displayAppInformationRequiredState en displayLocationInformationRequiredState van standaard in ingeschakeld. Wijzig in de includeTarget voor elke featureSetting de id van all_users in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum.
Daarnaast wijzigt u voor elk van de functies de id van de excludeTarget in de ObjectID van de groep vanuit het Microsoft Entra-beheercentrum. Deze wijziging sluit die groep uit van het weergeven van de toepassingsnaam of geografische locatie.
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het verwijderen van de uitgesloten groep
Wijzig in featureSettings de statussen van displayAppInformationRequiredState van standaard in ingeschakeld. U moet de id van de excludeTarget wijzigen in 00000000-0000-0000-0000-000000000000 .
U moet het hele schema PATCHen om te voorkomen dat eventuele eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren en vervolgens alleen de relevante velden bij te werken en daarna de patch uit te voeren. In het volgende voorbeeld ziet u een update voor het weergeven vanAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.
Alleen gebruikers die zijn ingeschakeld voor Microsoft Authenticator onder includeTargets van Microsoft Authenticator, zien de naam van de toepassing of geografische locatie. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Aanvullende context uitschakelen
Als u extra context wilt uitschakelen, moet u PATCH displayAppInformationRequiredState en displayLocationInformationRequiredState uitschakelen van ingeschakeld tot uitgeschakeld/standaard. U kunt ook slechts één van de functies uitschakelen.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aanvullende context inschakelen in het Microsoft Entra-beheercentrum
Voer de volgende stappen uit om de naam of geografische locatie van de toepassing in te schakelen in het Microsoft Entra-beheercentrum:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar beveiligingsverificatiemethoden>>Microsoft Authenticator.
Klik op het tabblad Basisbeginselen op Ja en Alle gebruikers om het beleid voor iedereen in te schakelen en wijzig de verificatiemodus in Any.
Alleen gebruikers die microsoft Authenticator hier hebben ingeschakeld, kunnen worden opgenomen in het beleid om de naam van de toepassing of geografische locatie van de aanmelding weer te geven of uitgesloten ervan. Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, kunnen de naam of geografische locatie van de toepassing niet zien.
Wijzig op het tabblad Configureren voor toepassingsnaam weergeven in push- en wachtwoordloze meldingen, wijzig de status in Ingeschakeld, kies wie u wilt opnemen of uitsluiten van het beleid en klik op Opslaan.
Doe hetzelfde voor geografische locatie weergeven in push- en wachtwoordloze meldingen.
U kunt de naam van de toepassing en geografische locatie afzonderlijk configureren. Met het volgende beleid kunnen bijvoorbeeld toepassingsnaam en geografische locatie voor alle gebruikers worden ingeschakeld, maar wordt de operations-groep uitgesloten van de geografische locatie.
Bekende problemen
Aanvullende context wordt niet ondersteund voor NPS (Network Policy Server) of Active Directory Federation Services (AD FS).
Gebruikers kunnen de locatie wijzigen die wordt gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan werkt Microsoft Authenticator de beveiligingsbasislijn bij voor beleid voor voorwaardelijke toegang op basis van locatiegebaseerde toegang (LBAC). Authenticator weigert verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop Authenticator is geïnstalleerd.
In de release van november 2023 van Authenticator zien gebruikers die de locatie van hun apparaat wijzigen een weigeringsbericht in Authenticator wanneer ze een LBAC-verificatie uitvoeren. Vanaf januari 2024 worden alle gebruikers met oudere Authenticator-versies geblokkeerd voor LBAC-verificatie met een gewijzigde locatie:
- Authenticator versie 6.2309.6329 of eerder op Android
- Authenticator versie 6.7.16 of eerder op iOS
Als u wilt zoeken welke gebruikers oudere versies van Authenticator uitvoeren, gebruikt u Microsoft Graph-API's.
Volgende stappen
Verificatiemethoden in Microsoft Entra ID - Microsoft Authenticator-app