Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule omówiono, jak poprawić bezpieczeństwo logowania użytkownika, dodając nazwę aplikacji i lokalizację geograficzną logowania do powiadomień bezhasłowych i powiadomień push Authenticatora.
Wymagania wstępne
- Twoja organizacja musi włączyć bezhasłowe logowanie w aplikacji Authenticator i powiadomienia push dla niektórych użytkowników lub grup za pomocą nowych zasad metod uwierzytelniania. Zasady metody uwierzytelniania można edytować przy użyciu centrum administracyjnego firmy Microsoft lub interfejsu API programu Microsoft Graph.
- Dodatkowy kontekst może być przeznaczony tylko dla jednej grupy, która może być dynamiczna lub zagnieżdżona. Grupę można synchronizować ze środowiska lokalnego lub tylko w chmurze.
Logowanie bez hasła i uwierzytelnianie wieloskładnikowe
Gdy użytkownik otrzymuje powiadomienie o logowaniu telefonicznym bez użycia hasła lub uwierzytelnianiu wieloskładnikowym (MFA) w aplikacji Authenticator, widzi nazwę aplikacji, która żąda zatwierdzenia, oraz lokalizację ustaloną na podstawie adresu IP, z którego pochodzi logowanie się.
Administratorzy mogą łączyć dodatkowy kontekst z dopasowywaniem numeru, aby jeszcze bardziej zwiększyć bezpieczeństwo logowania.
Zmiany schematu zasad
Nazwę aplikacji i lokalizację geograficzną można włączyć i wyłączyć oddzielnie. W featureSettingsmożna użyć następującego mapowania nazw dla każdej funkcji:
-
nazwa aplikacji:
displayAppInformationRequiredState -
Lokalizacja geograficzna:
displayLocationInformationRequiredState
Uwaga
Upewnij się, że używasz nowego schematu zasad dla interfejsów API programu Microsoft Graph. W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod.
Zidentyfikuj pojedynczą grupę docelową dla każdej z funkcji. Następnie użyj następującego punktu końcowego interfejsu API, aby zmienić displayAppInformationRequiredState lub displayLocationInformationRequiredState properties pod featureSettings na enabled i uwzględnić lub wykluczyć żądane grupy:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Aby uzyskać więcej informacji, zobacz typ zasobu microsoftAuthenticatorAuthenticationMethodConfiguration.
Przykład włączania dodatkowego kontekstu dla wszystkich użytkowników
W featureSettingszmień displayAppInformationRequiredState i displayLocationInformationRequiredState z default na enabled.
Wartość trybu uwierzytelniania to any lub push, w zależności od tego, czy chcesz również włączyć logowanie bez hasła za pomocą telefonu. W tych przykładach używamy any, ale jeśli nie chcesz zezwalać na używanie bez hasła, użyj push.
Może zajść potrzeba PATCH całego schematu, aby uniknąć nadpisania poprzedniej konfiguracji. W takim przypadku najpierw wykonaj GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano, jak zaktualizować displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład sposobu włączania nazwy aplikacji i lokalizacji geograficznej dla oddzielnych grup
W featureSettingszmień displayAppInformationRequiredState i displayLocationInformationRequiredState z default na enabled.
Wewnątrz includeTarget dla każdego featureSetting zmień identyfikator z all_users na identyfikator obiektu grupy z centrum administracyjnego Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, musisz zastosować PATCH do całego schematu. Proponujemy najpierw zrobić GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano aktualizację dla displayAppInformationRequiredState i displayLocationInformationRequiredState w ramach featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aby sprawdzić, uruchom ponownie GET i sprawdź identyfikator obiektu:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Przykład sposobu wyłączania nazwy aplikacji i włączania tylko lokalizacji geograficznej
W featureSettingszmień stan displayAppInformationRequiredState na default lub disabled, a displayLocationInformationRequiredState na enabled.
Wewnątrz includeTarget dla każdej wartości featureSetting zmień identyfikator z all_users na identyfikator obiektu grupy z centrum administracyjnego Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, musisz zastosować PATCH do całego schematu. Proponujemy najpierw zrobić GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano aktualizację dla displayAppInformationRequiredState i displayLocationInformationRequiredState w ramach featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład wykluczania grupy z nazwy aplikacji i lokalizacji geograficznej
Ponadto dla każdej z funkcji należy zmienić identyfikator excludeTarget na identyfikator obiektu grupy z centrum administracyjnego firmy Microsoft Entra. Ta zmiana wyklucza tę grupę z wyświetlania nazwy aplikacji lub lokalizacji geograficznej.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, musisz zastosować PATCH do całego schematu. Proponujemy najpierw zrobić GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano aktualizację dla displayAppInformationRequiredState i displayLocationInformationRequiredState w ramach featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład usuwania wykluczonej grupy
W featureSettingszmień stany displayAppInformationRequiredState z default na enabled. Zmień identyfikator excludeTarget na 00000000-0000-0000-0000-000000000000.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, musisz zastosować PATCH do całego schematu. Proponujemy najpierw zrobić GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano aktualizację dla displayAppInformationRequiredState i displayLocationInformationRequiredState w ramach featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Wyłącz dodatkowy kontekst
Aby wyłączyć dodatkowy kontekst, należy PATCHdisplayAppInformationRequiredState i displayLocationInformationRequiredState z enabled do disabled/default. Można również wyłączyć tylko jedną z funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Włączanie dodatkowego kontekstu w centrum administracyjnym firmy Microsoft Entra
Aby włączyć nazwę aplikacji lub lokalizację geograficzną w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do Entra ID>metody uwierzytelniania>Microsoft Authenticator.
Na karcie Podstawowe wybierz pozycję Tak i Wszyscy użytkownicy, aby włączyć zasady dla wszystkich. Zmień tryb uwierzytelniania na Dowolny.
Tylko użytkownicy, którzy mają uprawnienia do korzystania z Authenticatora, są uwzględnieni w zasadach, aby pokazać nazwę aplikacji lub lokalizację geograficzną logowania, lub są z nich wykluczeni. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą nazwy aplikacji ani lokalizacji geograficznej.
Na karcie Konfiguracja, dla opcji Pokaż nazwę aplikacji w powiadomieniach wypychanych i bez hasła, zmień Status na Włączony. Wybierz, kto ma zostać uwzględniony lub wykluczony z polityki, a następnie wybierz pozycję Zapisz.
Następnie wykonaj te same czynności w przypadku wyświetlania lokalizacji geograficznej w powiadomieniach wypychanych i bez hasła.
Nazwę aplikacji i lokalizację geograficzną można skonfigurować oddzielnie. Na przykład następujące zasady umożliwiają wyświetlanie lokalizacji geograficznej i nazwy aplikacji dla wszystkich użytkowników, ale wyklucza grupę Operacje z wyświetlania lokalizacji geograficznej.
Znane problemy
Dodatkowy kontekst nie jest obsługiwany w przypadku serwera zasad sieciowych (NPS) ani usług federacyjnych Active Directory.
Użytkownicy mogą modyfikować lokalizację zgłaszaną przez urządzenia z systemami iOS i Android. W związku z tym aplikacja Authenticator aktualizuje punkt odniesienia zabezpieczeń dla warunkowych zasad dostępu kontrola dostępu oparta na lokalizacji (LBAC). Aplikacja Authenticator odrzuca uwierzytelnianie, w których użytkownik może używać innej lokalizacji niż rzeczywista lokalizacja GPS urządzenia przenośnego, na którym zainstalowano aplikację Authenticator.
W wydaniu aplikacji Authenticator z listopada 2023 r. użytkownicy, którzy modyfikują lokalizację urządzenia, zobaczą komunikat odmowy w aplikacji Authenticator podczas uwierzytelniania LBAC. Począwszy od stycznia 2024 r., wszyscy użytkownicy, którzy uruchamiają starsze wersje authenticatora, są blokowani od uwierzytelniania LBAC przy użyciu zmodyfikowanej lokalizacji:
- Authenticator w wersji 6.2309.6329 lub starszej w systemie Android
- Aplikacja Authenticator w wersji 6.7.16 lub starszej w systemie iOS
Aby dowiedzieć się, którzy użytkownicy uruchamiają starsze wersje aplikacji Authenticator, użyj interfejsów API programu Microsoft Graph.