Использование дополнительного контекста в уведомлениях Microsoft Authenticator — политика способов проверки подлинности
В этом разделе объясняется, как повысить безопасность входа пользователя, добавив имя приложения и географическое расположение входа в push-уведомления и уведомления без пароля Microsoft Authenticator.
Необходимые компоненты
В организации нужно включить push-уведомления и уведомления без пароля Microsoft Authenticator для некоторых пользователей или групп с помощью нового API политики способов проверки подлинности. Политику методов проверки подлинности можно изменить с помощью Центра администрирования Microsoft Entra или API Microsoft Graph.
Примечание.
Улучшена схема политики для API Microsoft Graph. Прежняя схема политики теперь считается нерекомендуемой. Обязательно используйте новую схему, чтобы избежать ошибок.
Дополнительный контекст может предназначаться только одной группе, которая может быть динамической или вложенной. В политике способов проверки подлинности поддерживаются локальные синхронизированные и полностью облачные группы безопасности.
Вход без пароля с помощью телефона и многофакторная проверка подлинности
Когда пользователь получает уведомление о входе без пароля с помощью телефона или push-уведомление MFA в приложении Microsoft Authenticator, он видит имя приложения, которое запрашивает утверждение, и его расположение на основе IP-адреса, с которого выполняется вход.
Дополнительные контекст может дополняться сопоставлением номера, что позволяет лучше защитить вход.
Изменения схемы политики
Вы можете включать и отключать имя приложения и географическое расположение отдельно. В разделе featureSettings можно использовать следующее сопоставление имен для каждой функции:
- Имя приложения: displayAppInformationRequiredState.
- Географическое расположение: displayLocationInformationRequiredState.
Примечание.
Обязательно используйте новую схему политики для API Microsoft Graph. В песочнице Graph убедитесь, что предоставили согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.
Определите одну целевую группу для каждой возможности. Затем примените следующую конечную точку API, чтобы указать для свойств displayAppInformationRequiredState или displayLocationInformationRequiredState в разделе featureSettings, значение enabled (разрешено), а также включить или исключить группы:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Дополнительные сведения см. в статье о типе ресурса MicrosoftAuthenticatorAuthenticationMethodConfiguration.
Пример включения дополнительного контекста для всех пользователей
В разделе featureSettings измените для displayAppInformationRequiredState и displayLocationInformationRequiredState значение default на значение enabled.
Значением режима проверки подлинности может быть any или push в зависимости от того, нужно ли также включить вход без пароля с помощью телефона. В этих примерах используется значение any, но если вы не хотите разрешать вход без пароля, выберите значение push.
Возможно вам потребуется применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. В этом случае сначала выполните запрос GET, обновив только соответствующие поля, а затем примените PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример того, как включить имя приложения и географическое расположение для отдельных групп
В featureSettings измените displayAppInformationRequiredState и displayLocationInformationRequiredState по умолчанию. В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Чтобы проверить результат, снова выполните запрос GET и посмотрите значение ObjectID.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Пример того, как отключить имя приложения и включить только географическое расположение
В featureSettings измените состояние displayAppInformationRequiredState на значение по умолчанию или отключено, а значение displayLocationInformationRequiredState включено. В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример того, как исключить группу из имени приложения и географического расположения
В featureSettings измените состояния displayAppInformationRequiredState и displayLocationInformationRequiredState по умолчанию на включенный. В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Кроме того, для каждой функции вы измените идентификатор исключенияTarget на ObjectID группы из Центра администрирования Microsoft Entra. Это изменение исключает эту группу из просмотра имени приложения или географического расположения.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример удаления исключенной группы
В разделе featureSettings измените для displayAppInformationRequiredState значение default на значение enabled. Вам потребуется изменить для id excludeTarget значение 00000000-0000-0000-0000-000000000000.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Отключение дополнительного контекста
Чтобы отключить дополнительный контекст, вам потребуется выполнить запрос PATCH, чтобы изменить для displayAppInformationRequiredState и displayLocationInformationRequiredState значение enabled на значение disabled/default. Вы также можете отключить только одну из возможностей.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Включение дополнительного контекста в Центре администрирования Microsoft Entra
Чтобы включить имя приложения или географическое расположение в Центре администрирования Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.
Перейдите к методам>проверки подлинности защиты>Microsoft Authenticator.
На вкладке Основные сведения нажмите кнопку Да и Все пользователи, чтобы включить политику для всех пользователей, и измените Режим проверки подлинности, указав значение Любые.
Только пользователи, поддерживающие Microsoft Authenticator, могут быть включены в политику, которая отображает имя приложения или географическое расположение входа, или исключены из нее. Пользователи, которые не поддерживают Microsoft Authenticator, не могут видеть имя приложения или географическое расположение.
На вкладке Настройка для параметра Показывать имя приложения в push-уведомлениях и уведомлениях без пароля измените значение параметра Состояние на Включено, выберите пользователей, которых необходимо включить или исключить из политики, и нажмите кнопку Сохранить.
Затем выполните тоже самое для параметра Показывать географическое расположение в push-уведомлениях и уведомлениях без пароля.
Имя приложения и географическое расположение можно настроить отдельно. Например, следующая политика включает отображение имени приложения и географического расположения для всех пользователей, но исключает отображение географического расположения для группы "Операции".
Известные проблемы
Дополнительный контекст не поддерживается для сервера политики сети (NPS) и служб федерации Active Directory (AD FS) (AD FS).
Пользователи могут изменять расположение, сообщаемое устройствами iOS и Android. В результате Microsoft Authenticator обновляет базовые показатели безопасности для политик условного доступа на основе расположения контроль доступа (LBAC). Authenticator отклонит проверку подлинности, в которой пользователь может использовать другое расположение, отличное от фактического расположения GPS мобильного устройства, на котором установлен Authenticator.
В выпуске Authenticator за ноябрь 2023 года пользователи, изменяющие расположение устройства, увидят сообщение об отказе в Authenticator при выполнении проверки подлинности LBAC. Начиная с января 2024 г. все пользователи, использующие старые версии Authenticator, будут заблокированы от проверки подлинности LBAC с измененным расположением:
- Authenticator версии 6.2309.6329 или более ранней версии в Android
- Authenticator версии 6.7.16 или более ранней версии в iOS
Чтобы найти, какие пользователи выполняют более старые версии Authenticator, используйте API Microsoft Graph.
Следующие шаги
Способы проверки подлинности в Microsoft Entra ID: приложение Microsoft Authenticator