Использование дополнительного контекста в уведомлениях Microsoft Authenticator — политика способов проверки подлинности
В этом разделе объясняется, как повысить безопасность входа пользователя, добавив имя приложения и географическое расположение входа в push-уведомления и уведомления без пароля Microsoft Authenticator.
Необходимые компоненты
В организации нужно включить push-уведомления и уведомления без пароля Microsoft Authenticator для некоторых пользователей или групп с помощью нового API политики способов проверки подлинности. Политику методов проверки подлинности можно изменить с помощью Центра администрирования Microsoft Entra или API Microsoft Graph.
Примечание.
Улучшена схема политики для API Microsoft Graph. Прежняя схема политики теперь считается нерекомендуемой. Обязательно используйте новую схему, чтобы избежать ошибок.
Дополнительный контекст может предназначаться только одной группе, которая может быть динамической или вложенной. В политике способов проверки подлинности поддерживаются локальные синхронизированные и полностью облачные группы безопасности.
Вход без пароля с помощью телефона и многофакторная проверка подлинности
Когда пользователь получает уведомление о входе без пароля с помощью телефона или push-уведомление MFA в приложении Microsoft Authenticator, он видит имя приложения, которое запрашивает утверждение, и его расположение на основе IP-адреса, с которого выполняется вход.
Дополнительные контекст может дополняться сопоставлением номера, что позволяет лучше защитить вход.
Изменения схемы политики
Вы можете включать и отключать имя приложения и географическое расположение отдельно. В разделе "Функция Параметры" можно использовать следующее сопоставление имен для каждой функции:
- Имя приложения: displayAppInformationRequiredState.
- Географическое расположение: displayLocationInformationRequiredState.
Примечание.
Обязательно используйте новую схему политики для API Microsoft Graph. В песочнице Graph убедитесь, что предоставили согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.
Определите одну целевую группу для каждой возможности. Затем примените следующую конечную точку API, чтобы указать для свойств displayAppInformationRequiredState или displayLocationInformationRequiredState в разделе featureSettings, значение enabled (разрешено), а также включить или исключить группы:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Свойства MicrosoftAuthenticatorAuthenticationMethodConfiguration
СВОЙСТВА
| Свойство | Type | Описание |
|---|---|---|
| id | Строка | Идентификатор политики способов проверки подлинности. |
| state | authenticationMethodState | Возможные значения: enabled (включено) disabled (выключено) |
СВЯЗИ
| Отношение | Тип | Описание |
|---|---|---|
| includeTargets | Коллекция microsoftAuthenticatorAuthenticationMethodTarget | Коллекция пользователей или групп, которые могут пользоваться методом проверки подлинности. |
| featureSettings | Коллекция microsoftAuthenticatorFeatureSettings | Коллекция возможностей Microsoft Authenticator. |
Свойства MicrosoftAuthenticator includeTarget
СВОЙСТВА
| Свойство | Type | Описание |
|---|---|---|
| authenticationMode | Строка | Возможны следующие значения: any: для входа без пароля с помощью телефона и для обычных уведомлений, применяемых в качестве второго фактора. deviceBasedPush: допускаются только уведомления о входе в систему без пароля с помощью телефона. push: разрешаются только обычные push-уведомления. |
| id | Строка | Идентификатор объекта пользователя или группы Microsoft Entra. |
| Targettype | authenticationMethodTargetType | Возможные значения: user, group. |
Свойства MicrosoftAuthenticator featureSettings
СВОЙСТВА
| Свойство | Type | Описание |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Требуется сопоставление номеров для уведомлений MFA. Значение игнорируется для уведомлений о входе по номеру телефона. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Определяет, отображается ли пользователю имя приложения в уведомлении Microsoft Authenticator. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Определяет, отображается ли пользователю контекст географического расположения в уведомлении Microsoft Authenticator. |
Свойства конфигурации для возможности способа проверки подлинности
СВОЙСТВА
| Свойство | Type | Описание |
|---|---|---|
| excludeTarget | featureTarget | Одна сущность, исключенная из этой возможности. Вы можете исключить только одну группу для каждой возможности. |
| includeTarget | featureTarget | Одна сущность, включенная в эту возможность. Вы можете включить только одну группу для каждой возможности. |
| State | advancedConfigState | Возможны следующие значения: enabled: явным образом включает функцию для выбранной группы. disabled: явным образом выключает функцию для выбранной группы. значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы. |
Целевые свойства возможности
СВОЙСТВА
| Свойство | Type | Описание |
|---|---|---|
| id | Строка | Идентификатор целевой сущности. |
| Targettype | featureTargetType | Тип целевой сущности, такой как группа, роль или административная единица. Возможные значения: group, administrativeUnit, role, unknownFutureValue. |
Пример включения дополнительного контекста для всех пользователей
В разделе featureSettings измените для displayAppInformationRequiredState и displayLocationInformationRequiredState значение default на значение enabled.
Значением режима проверки подлинности может быть any или push в зависимости от того, нужно ли также включить вход без пароля с помощью телефона. В этих примерах используется значение any, но если вы не хотите разрешать вход без пароля, выберите значение push.
Возможно вам потребуется применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. В этом случае сначала выполните запрос GET, обновив только соответствующие поля, а затем примените PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример того, как включить имя приложения и географическое расположение для отдельных групп
В компоненте Параметры измените displayAppInformationRequiredState и displayLocationInformationRequiredState по умолчанию.В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Чтобы проверить результат, снова выполните запрос GET и посмотрите значение ObjectID.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Пример того, как отключить имя приложения и включить только географическое расположение
В функции Параметры измените состояние displayAppInformationRequiredState на значение по умолчанию или отключено, а значение displayLocationInformationRequiredState включено.В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример того, как исключить группу из имени приложения и географического расположения
В компоненте Параметры измените состояния displayAppInformationRequiredState и displayLocationInformationRequiredState по умолчанию на включенный.В includeTarget для каждого компонентаSetting измените идентификатор с all_users на ObjectID группы из Центра администрирования Microsoft Entra.
Кроме того, для каждой функции вы измените идентификатор исключенияTarget на ObjectID группы из Центра администрирования Microsoft Entra. Это изменение исключает эту группу из просмотра имени приложения или географического расположения.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример удаления исключенной группы
В разделе featureSettings измените для displayAppInformationRequiredState значение default на значение enabled. Вам потребуется изменить для idexcludeTarget значение 00000000-0000-0000-0000-000000000000.
Необходимо применить запрос PATCH к всей схеме, чтобы предотвратить перезапись предыдущей конфигурации. Рекомендуется сначала выполнить запрос GET, обновив только соответствующие поля, а затем применить PATCH. В следующем примере показано обновление displayAppInformationRequiredState и displayLocationInformationRequiredState в разделе featureSettings.
Только пользователи, для которых включено приложение Microsoft Authenticator в includeTargets в Microsoft Authenticator, увидят имя приложения или географическое расположение. Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эти возможности.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Отключение дополнительного контекста
Чтобы отключить дополнительный контекст, вам потребуется выполнить запрос PATCH, чтобы изменить для displayAppInformationRequiredState и displayLocationInformationRequiredState значение enabled на значение disabled/default. Вы также можете отключить только одну из возможностей.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Включение дополнительного контекста в Центре администрирования Microsoft Entra
Чтобы включить имя приложения или географическое расположение в Центре администрирования Microsoft Entra, выполните следующие действия.
Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.
Перейдите к методам>проверки подлинности защиты>Microsoft Authenticator.
На вкладке Основные сведения нажмите кнопку Да и Все пользователи, чтобы включить политику для всех пользователей, и измените Режим проверки подлинности, указав значение Любые.
Только пользователи, поддерживающие Microsoft Authenticator, могут быть включены в политику, которая отображает имя приложения или географическое расположение входа, или исключены из нее. Пользователи, которые не поддерживают Microsoft Authenticator, не могут видеть имя приложения или географическое расположение.
На вкладке Настройка для параметра Показывать имя приложения в push-уведомлениях и уведомлениях без пароля измените значение параметра Состояние на Включено, выберите пользователей, которых необходимо включить или исключить из политики, и нажмите кнопку Сохранить.
Затем выполните тоже самое для параметра Показывать географическое расположение в push-уведомлениях и уведомлениях без пароля.
Имя приложения и географическое расположение можно настроить отдельно. Например, следующая политика включает отображение имени приложения и географического расположения для всех пользователей, но исключает отображение географического расположения для группы "Операции".
Известные проблемы
Дополнительный контекст не поддерживается для сервера политики сети (NPS) и служб федерации Active Directory (AD FS) (AD FS).
Пользователи могут изменять расположение, сообщаемое устройствами iOS и Android. В результате Microsoft Authenticator обновляет базовые показатели безопасности для политик условного доступа на основе расположения контроль доступа (LBAC). Authenticator отклонит проверку подлинности, в которой пользователь может использовать другое расположение, отличное от фактического расположения GPS мобильного устройства, на котором установлен Authenticator.
В выпуске Authenticator за ноябрь 2023 года пользователи, изменяющие расположение устройства, увидят сообщение об отказе в Authenticator при выполнении проверки подлинности LBAC. Начиная с января 2024 г. все пользователи, использующие старые версии Authenticator, будут заблокированы от проверки подлинности LBAC с измененным расположением:
- Authenticator версии 6.2309.6329 или более ранней версии в Android
- Authenticator версии 6.7.16 или более ранней версии в iOS
Чтобы найти, какие пользователи выполняют более старые версии Authenticator, используйте API Microsoft Graph.
Следующие шаги
Способы проверки подлинности в Microsoft Entra ID: приложение Microsoft Authenticator
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по