Jak używać dodatkowego kontekstu w powiadomieniach Microsoft Authenticator — zasady metod uwierzytelniania
W tym temacie opisano, jak zwiększyć bezpieczeństwo logowania użytkownika, dodając nazwę aplikacji i lokalizację geograficzną logowania do aplikacji Microsoft Authenticator bez hasła i powiadomień wypychanych.
Wymagania wstępne
Twoja organizacja musi włączyć powiadomienia bez hasła i wypychania aplikacji Microsoft Authenticator dla niektórych użytkowników lub grup przy użyciu nowych zasad metod uwierzytelniania. Zasady metody uwierzytelniania można edytować przy użyciu centrum administracyjnego firmy Microsoft lub interfejsu API programu Microsoft Graph.
Uwaga
Ulepszono schemat zasad dla interfejsów API programu Microsoft Graph. Starszy schemat zasad jest teraz przestarzały. Upewnij się, że używasz nowego schematu, aby zapobiec błędom.
Dodatkowy kontekst może być przeznaczony tylko dla jednej grupy, która może być dynamiczna lub zagnieżdżona. Synchronizowane lokalne grupy zabezpieczeń i grupy zabezpieczeń tylko w chmurze są obsługiwane dla zasad metody uwierzytelniania.
Logowanie bez hasła i uwierzytelnianie wieloskładnikowe
Gdy użytkownik otrzyma bez hasła logowanie na telefon lub powiadomienie wypychane MFA w aplikacji Microsoft Authenticator, zobaczy nazwę aplikacji, która żąda zatwierdzenia i lokalizacji na podstawie adresu IP, z którego pochodzi logowanie.
Dodatkowy kontekst można połączyć z dopasowaniem liczb, aby jeszcze bardziej zwiększyć bezpieczeństwo logowania.
Zmiany schematu zasad
Możesz oddzielnie włączyć i wyłączyć nazwę aplikacji oraz lokalizację geograficzną. W obszarze feature Ustawienia można użyć następującego mapowania nazw dla każdej funkcji:
- Nazwa aplikacji: displayAppInformationRequiredState
- Lokalizacja geograficzna: displayLocationInformationRequiredState
Uwaga
Upewnij się, że używasz nowego schematu zasad dla interfejsów API programu Microsoft Graph. W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod .
Zidentyfikuj pojedynczą grupę docelową dla każdej z funkcji. Następnie użyj następującego punktu końcowego interfejsu API, aby zmienić właściwości displayAppInformationRequiredState lub displayLocationInformationRequiredState w obszarze funkcji Ustawienia włączyć i dołączyć lub wykluczyć żądane grupy:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
MicrosoftAuthenticatorAuthenticationMethodConfiguration właściwości
WŁAŚCIWOŚCI
| Właściwości | Type | Opis |
|---|---|---|
| identyfikator | String | Identyfikator zasad metody uwierzytelniania. |
| stan | authenticationMethodState | Możliwe wartości to: włączone Wyłączone |
RELACJE
| Relacja | Type | Opis |
|---|---|---|
| includeTargets | kolekcja microsoftAuthenticatorAuthenticationMethodTarget | Kolekcja użytkowników lub grup, które są włączone do korzystania z metody uwierzytelniania. |
| feature Ustawienia | microsoftAuthenticatorFeature Ustawienia kolekcja | Kolekcja funkcji microsoft Authenticator. |
MicrosoftAuthenticator includeTarget properties (Właściwości obiektu MicrosoftAuthenticator includeTarget)
WŁAŚCIWOŚCI
| Właściwości | Type | Opis |
|---|---|---|
| Authenticationmode | String | Dopuszczalne wartości: dowolne: zarówno logowanie za pomocą telefonu bez hasła, jak i tradycyjne powiadomienia o drugim współczynniku są dozwolone. deviceBasedPush: dozwolone są tylko powiadomienia logowania bez hasła. wypychanie: dozwolone są tylko tradycyjne powiadomienia wypychane dwuskładnikowe. |
| identyfikator | String | Identyfikator obiektu użytkownika lub grupy firmy Microsoft Entra. |
| Targettype | authenticationMethodTargetType | Możliwe wartości to: użytkownik, grupa. |
Funkcja microsoftAuthenticator Ustawienia właściwości
WŁAŚCIWOŚCI
| Właściwości | Type | Opis |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Wymagaj dopasowania liczb dla powiadomień uwierzytelniania wieloskładnikowego. Wartość jest ignorowana w przypadku powiadomień logowania za pomocą telefonu. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Określa, czy użytkownik ma wyświetlaną nazwę aplikacji w powiadomieniu Microsoft Authenticator. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Określa, czy użytkownik jest wyświetlany kontekst lokalizacji geograficznej w powiadomieniu Microsoft Authenticator. |
Właściwości konfiguracji funkcji metody uwierzytelniania
WŁAŚCIWOŚCI
| Właściwości | Type | Opis |
|---|---|---|
| excludeTarget | featureTarget | Jedna jednostka, która jest wykluczona z tej funkcji. Dla każdej funkcji można wykluczyć tylko jedną grupę. |
| includeTarget | featureTarget | Jedna jednostka, która jest uwzględniona w tej funkcji. Dla każdej funkcji można uwzględnić tylko jedną grupę. |
| Stan | advancedConfigState | Dopuszczalne wartości: włączone jawnie włącza funkcję dla wybranej grupy. wyłączone jawnie wyłącza funkcję dla wybranej grupy. Ustawienie domyślne umożliwia firmie Microsoft Entra ID zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy. |
Właściwości obiektu docelowego funkcji
WŁAŚCIWOŚCI
| Właściwości | Type | Opis |
|---|---|---|
| identyfikator | String | Identyfikator docelowej jednostki. |
| Targettype | featureTargetType | Rodzaj jednostki docelowej, taki jak grupa, rola lub jednostka administracyjna. Możliwe wartości to: "group", "administrativeUnit", "role", unknownFutureValue". |
Przykład włączania dodatkowego kontekstu dla wszystkich użytkowników
W funkcji Ustawienia zmień właściwość displayAppInformationRequiredState i displayLocationInformationRequiredState z domyślnej na włączoną.
Wartość trybu uwierzytelniania może być dowolna lub wypychana, w zależności od tego, czy chcesz również włączyć logowanie bez hasła za pomocą telefonu. W tych przykładach użyjemy dowolnego elementu, ale jeśli nie chcesz zezwalać na używanie funkcji wypychania bez hasła.
Może być konieczne stosowanie poprawek całego schematu, aby zapobiec zastępowaniu poprzedniej konfiguracji. W takim przypadku najpierw wykonaj polecenie GET, zaktualizuj tylko odpowiednie pola, a następnie pozycję PATCH. W poniższym przykładzie pokazano, jak zaktualizować właściwość displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze feature Ustawienia.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w obszarze includeTargets firmy Microsoft, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tych funkcji.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład sposobu włączania nazwy aplikacji i lokalizacji geograficznej dla oddzielnych grup
W funkcji Ustawienia zmień właściwość displayAppInformationRequiredState i displayLocationInformationRequiredState z domyślnej na włączoną.Wewnątrz właściwości includeTarget dla każdej funkcjiUstawienia zmień identyfikator z all_users na ObjectID grupy z centrum administracyjnego firmy Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy zastosować poprawkę całego schematu. Zalecamy najpierw wykonanie polecenia GET, a następnie zaktualizowanie tylko odpowiednich pól, a następnie poprawkę. W poniższym przykładzie przedstawiono aktualizację umożliwiającą wyświetlenie elementu DisplayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze feature Ustawienia.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w obszarze includeTargets firmy Microsoft, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aby sprawdzić, uruchom ponownie polecenie GET i sprawdź identyfikator ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Przykład sposobu wyłączania nazwy aplikacji i włączania tylko lokalizacji geograficznej
W funkcji Ustawienia zmień stan displayAppInformationRequiredState na domyślny lub wyłączony i displayLocationInformationRequiredState, aby włączyć.Wewnątrz właściwości includeTarget dla każdej funkcjiUstawienia zmień identyfikator z all_users na ObjectID grupy z centrum administracyjnego firmy Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy zastosować poprawkę całego schematu. Zalecamy najpierw wykonanie polecenia GET, a następnie zaktualizowanie tylko odpowiednich pól, a następnie poprawkę. W poniższym przykładzie przedstawiono aktualizację umożliwiającą wyświetlenie elementu DisplayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze feature Ustawienia.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w obszarze includeTargets firmy Microsoft, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład wykluczania grupy z nazwy aplikacji i lokalizacji geograficznej
W funkcji Ustawienia zmień stany displayAppInformationRequiredState i displayLocationInformationRequiredState z domyślnego na włączone.Wewnątrz właściwości includeTarget dla każdej funkcjiUstawienia zmień identyfikator z all_users na ObjectID grupy z centrum administracyjnego firmy Microsoft Entra.
Ponadto dla każdej z funkcji zmienisz identyfikator excludeTarget na ObjectID grupy z centrum administracyjnego firmy Microsoft Entra. Ta zmiana wyklucza tę grupę z wyświetlania nazwy aplikacji lub lokalizacji geograficznej.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy zastosować poprawkę całego schematu. Zalecamy najpierw wykonanie polecenia GET, a następnie zaktualizowanie tylko odpowiednich pól, a następnie poprawkę. W poniższym przykładzie przedstawiono aktualizację umożliwiającą wyświetlenie elementu DisplayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze feature Ustawienia.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w obszarze includeTargets firmy Microsoft, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład usuwania wykluczonej grupy
W funkcji Ustawienia zmień stany displayAppInformationRequiredState z domyślnego na włączone. Należy zmienić identyfikatorexcludeTarget na 00000000-0000-0000-0000-000000000000.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy zastosować poprawkę całego schematu. Zalecamy najpierw wykonanie polecenia GET, a następnie zaktualizowanie tylko odpowiednich pól, a następnie poprawkę. W poniższym przykładzie przedstawiono aktualizację umożliwiającą wyświetlenie elementu DisplayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze feature Ustawienia.
Tylko użytkownicy, którzy są włączeni dla aplikacji Microsoft Authenticator w obszarze includeTargets firmy Microsoft, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie zobaczą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Wyłącz dodatkowy kontekst
Aby wyłączyć dodatkowy kontekst, należy zastosować funkcję PATCH displayAppInformationRequiredState i displayLocationInformationRequiredState z włączonej do wyłączonej/wartości domyślnej. Możesz również wyłączyć tylko jedną z funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Włączanie dodatkowego kontekstu w centrum administracyjnym firmy Microsoft Entra
Aby włączyć nazwę aplikacji lub lokalizację geograficzną w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zasad uwierzytelniania.
Przejdź do sekcji Metody>uwierzytelniania ochrony>Microsoft Authenticator.
Na karcie Podstawy kliknij pozycję Tak i Wszyscy użytkownicy, aby włączyć zasady dla wszystkich, a następnie zmień tryb uwierzytelniania na Dowolny.
W zasadach można uwzględnić tylko użytkowników, którzy są włączeni dla aplikacji Microsoft Authenticator, aby pokazać nazwę aplikacji lub lokalizację geograficzną logowania lub wykluczyć ją z niej. Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie widzą nazwy aplikacji ani lokalizacji geograficznej.
Na karcie Konfigurowanie w obszarze Pokaż nazwę aplikacji w powiadomieniach wypychanych i bez hasła zmień stan na Włączone, wybierz, kto ma zostać uwzględniony lub wyklucz z zasad, a następnie kliknij przycisk Zapisz.
Następnie wykonaj te same czynności w przypadku wyświetlania lokalizacji geograficznej w powiadomieniach wypychanych i bez hasła.
Nazwę aplikacji i lokalizację geograficzną można skonfigurować oddzielnie. Na przykład następujące zasady umożliwiają określenie nazwy aplikacji i lokalizacji geograficznej dla wszystkich użytkowników, ale wyklucza grupę Operacje z wyświetlania lokalizacji geograficznej.
Znane problemy
Dodatkowy kontekst nie jest obsługiwany w przypadku serwera zasad sieciowych (NPS) ani usług Active Directory Federation Services (AD FS).
Użytkownicy mogą modyfikować lokalizację zgłaszaną przez urządzenia z systemami iOS i Android. W związku z tym aplikacja Microsoft Authenticator aktualizuje punkt odniesienia zabezpieczeń dla zasad dostępu warunkowego kontroli dostępu opartej na lokalizacji (LBAC). Aplikacja Authenticator odmówi uwierzytelnień, w których użytkownik może korzystać z innej lokalizacji niż rzeczywista lokalizacja GPS urządzenia przenośnego, na którym zainstalowano aplikację Authenticator.
W wersji Authenticator z listopada 2023 r. użytkownicy modyfikujący lokalizację urządzenia zobaczą komunikat odmowy w aplikacji Authenticator podczas uwierzytelniania LBAC. Od stycznia 2024 r. wszyscy użytkownicy, którzy uruchamiają starsze wersje aplikacji Authenticator, będą blokowani od uwierzytelniania LBAC w zmodyfikowanej lokalizacji:
- Authenticator w wersji 6.2309.6329 lub starszej w systemie Android
- Aplikacja Authenticator w wersji 6.7.16 lub starszej w systemie iOS
Aby dowiedzieć się, którzy użytkownicy uruchamiają starsze wersje aplikacji Authenticator, użyj interfejsów API programu Microsoft Graph.
Następne kroki
Metody uwierzytelniania w usłudze Microsoft Entra ID — aplikacja Microsoft Authenticator