Så här använder du ytterligare kontext i Microsoft Authenticator-meddelanden – Princip för autentiseringsmetoder
Det här avsnittet beskriver hur du förbättrar säkerheten för användarinloggning genom att lägga till programnamnet och den geografiska platsen för inloggningen till Lösenordslösa meddelanden och push-meddelanden från Microsoft Authenticator.
Förutsättningar
Din organisation måste aktivera lösenordslösa meddelanden och push-meddelanden från Microsoft Authenticator för vissa användare eller grupper med hjälp av den nya principen för autentiseringsmetoder. Du kan redigera principen Autentiseringsmetoder med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API.
Kommentar
Principschemat för Microsoft Graph-API:er har förbättrats. Det äldre principschemat är nu inaktuellt. Se till att du använder det nya schemat för att förhindra fel.
Ytterligare kontext kan endast riktas mot en enda grupp, som kan vara dynamisk eller kapslad. Lokala synkroniserade säkerhetsgrupper och endast molnbaserade säkerhetsgrupper stöds för autentiseringsmetodprincipen.
Lösenordsfri telefoninloggning och multifaktorautentisering
När en användare får en lösenordslös telefoninloggning eller ett MFA-push-meddelande i Microsoft Authenticator visas namnet på programmet som begär godkännandet och platsen baserat på DEN IP-adress där inloggningen kommer från.
Den ytterligare kontexten kan kombineras med nummermatchning för att ytterligare förbättra inloggningssäkerheten.
Ändringar i principschema
Du kan aktivera och inaktivera programnamn och geografisk plats separat. Under funktion Inställningar kan du använda följande namnmappning för varje funktion:
- Programnamn: displayAppInformationRequiredState
- Geografisk plats: displayLocationInformationRequiredState
Kommentar
Kontrollera att du använder det nya principschemat för Microsoft Graph-API:er. I Graph Explorer måste du godkänna behörigheterna Policy.Read.All och Policy.ReadWrite.AuthenticationMethod .
Identifiera din enda målgrupp för var och en av funktionerna. Använd sedan följande API-slutpunkt för att ändra egenskaperna displayAppInformationRequiredState eller displayLocationInformationRequiredState under funktion Inställningar för att aktivera och inkludera eller exkludera de grupper du vill ha:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Egenskaper för MicrosoftAuthenticatorAuthenticationMethodConfiguration
EGENSKAPER
| Property | Type | Beskrivning |
|---|---|---|
| id | String | Principidentifieraren för autentiseringsmetod. |
| tillstånd | authenticationMethodState | Möjliga värden är: aktiverade Inaktiverad |
RELATIONER
| Relation | Typ | Beskrivning |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget-samling | En samling användare eller grupper som har aktiverats för att använda autentiseringsmetoden. |
| funktion Inställningar | microsoftAuthenticatorFeature Inställningar samling | En samling Microsoft Authenticator-funktioner. |
MicrosoftAuthenticator includeTarget-egenskaper
EGENSKAPER
| Property | Type | Beskrivning |
|---|---|---|
| authenticationMode | String | Möjliga värden är: any: Både lösenordslös telefoninloggning och traditionella second factor-meddelanden tillåts. deviceBasedPush: Endast lösenordslösa inloggningsmeddelanden för telefoner tillåts. push: Endast traditionella push-meddelanden för andra faktorn tillåts. |
| id | String | Objekt-ID för en Microsoft Entra-användare eller -grupp. |
| targetType | authenticationMethodTargetType | Möjliga värden är: användare, grupp. |
MicrosoftAuthenticator-funktion Inställningar egenskaper
EGENSKAPER
| Property | Type | Beskrivning |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Kräv nummermatchning för MFA-meddelanden. Värdet ignoreras för meddelanden om telefoninloggning. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Avgör om användaren visas programnamnet i Microsoft Authenticator-meddelandet. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Avgör om användaren visas geografisk platskontext i Microsoft Authenticator-meddelande. |
Egenskaper för funktionskonfiguration för autentiseringsmetod
EGENSKAPER
| Property | Type | Beskrivning |
|---|---|---|
| excludeTarget | featureTarget | En enda entitet som undantas från den här funktionen. Du kan bara exkludera en grupp för varje funktion. |
| includeTarget | featureTarget | En enda entitet som ingår i den här funktionen. Du kan bara inkludera en grupp för varje funktion. |
| Tillstånd | advancedConfigState | Möjliga värden är: aktiverad aktiverar uttryckligen funktionen för den valda gruppen. inaktiveras inaktiveras uttryckligen funktionen för den valda gruppen. standard tillåter Microsoft Entra-ID att hantera om funktionen är aktiverad eller inte för den valda gruppen. |
Egenskaper för funktionsmål
EGENSKAPER
| Property | Type | Beskrivning |
|---|---|---|
| id | String | ID för den entitet som är mål. |
| targetType | featureTargetType | Den typ av entitet som är riktad, till exempel grupp, roll eller administrativ enhet. Möjliga värden är: "group", "administrativeUnit", "role", unknownFutureValue". |
Exempel på hur du aktiverar ytterligare kontext för alla användare
I funktion Inställningar ändrar du displayAppInformationRequiredState och displayLocationInformationRequiredState från standard till aktiverad.
Värdet för Autentiseringsläge kan vara valfritteller push-överfört, beroende på om du också vill aktivera lösenordslös telefoninloggning eller inte. I de här exemplen använder vi alla, men om du inte vill tillåta lösenordslös använder du push-överföring.
Du kan behöva KORRIGERA hela schemat för att förhindra att någon tidigare konfiguration skrivs över. I så fall gör du en GET först, uppdaterar endast relevanta fält och sedan PATCH. I följande exempel visas hur du uppdaterar displayAppInformationRequiredState och displayLocationInformationRequiredState under funktion Inställningar.
Endast användare som är aktiverade för Microsoft Authenticator under Microsoft Authenticators includeTargets ser programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Microsoft Authenticator ser inte dessa funktioner.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du aktiverar programnamn och geografisk plats för separata grupper
I funktion Inställningar ändrar du displayAppInformationRequiredState och displayLocationInformationRequiredState från standard till aktiverad. I includeTarget för varje funktionInställningar ändrar du ID:t från all_users till ObjectID för gruppen från administrationscentret för Microsoft Entra.
Du måste korrigera hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först och sedan bara uppdaterar de relevanta fälten och sedan PATCH. I följande exempel visas en uppdatering för att visaAppInformationRequiredState och displayLocationInformationRequiredState under funktion Inställningar.
Endast användare som är aktiverade för Microsoft Authenticator under Microsoft Authenticators includeTargets ser programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Microsoft Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Kontrollera genom att köra GET igen och verifiera ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exempel på hur du inaktiverar programnamn och endast aktiverar geografisk plats
I funktion Inställningar ändrar du tillståndet för displayAppInformationRequiredState till standard eller inaktiverad och displayLocationInformationRequiredState till aktiverad. I includeTarget för varje funktionInställningar ändrar du ID:t från all_users till ObjectID för gruppen från administrationscentret för Microsoft Entra.
Du måste korrigera hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först och sedan bara uppdaterar de relevanta fälten och sedan PATCH. I följande exempel visas en uppdatering för att visaAppInformationRequiredState och displayLocationInformationRequiredState under funktion Inställningar.
Endast användare som är aktiverade för Microsoft Authenticator under Microsoft Authenticators includeTargets ser programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Microsoft Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du undantar en grupp från programnamn och geografisk plats
I funktion Inställningar ändrar du tillstånden för displayAppInformationRequiredState och displayLocationInformationRequiredState från standard till aktiverad. I includeTarget för varje funktionInställningar ändrar du ID:t från all_users till ObjectID för gruppen från administrationscentret för Microsoft Entra.
För var och en av funktionerna ändrar du dessutom ID:t för excludeTarget till ObjectID för gruppen från administrationscentret för Microsoft Entra. Den här ändringen utesluter gruppen från att se programnamn eller geografisk plats.
Du måste korrigera hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först och sedan bara uppdaterar de relevanta fälten och sedan PATCH. I följande exempel visas en uppdatering för att visaAppInformationRequiredState och displayLocationInformationRequiredState under funktion Inställningar.
Endast användare som är aktiverade för Microsoft Authenticator under Microsoft Authenticators includeTargets ser programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Microsoft Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exempel på hur du tar bort den exkluderade gruppen
I funktion Inställningar ändrar du tillstånden för displayAppInformationRequiredState från standard till aktiverad. Du måste ändra id:t för excludeTarget till 00000000-0000-0000-0000-000000000000.
Du måste korrigera hela schemat för att förhindra att någon tidigare konfiguration skrivs över. Vi rekommenderar att du gör en GET först och sedan bara uppdaterar de relevanta fälten och sedan PATCH. I följande exempel visas en uppdatering för att visaAppInformationRequiredState och displayLocationInformationRequiredState under funktion Inställningar.
Endast användare som är aktiverade för Microsoft Authenticator under Microsoft Authenticators includeTargets ser programnamnet eller den geografiska platsen. Användare som inte är aktiverade för Microsoft Authenticator ser inte dessa funktioner.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Inaktivera ytterligare kontext
Om du vill inaktivera ytterligare kontext måste du PATCH-visaAppInformationRequiredState och displayLocationInformationRequiredState från aktiverad till inaktiverad/standard. Du kan också inaktivera bara en av funktionerna.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aktivera ytterligare kontext i administrationscentret för Microsoft Entra
Utför följande steg för att aktivera programnamn eller geografisk plats i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Skydd>autentiseringsmetoder>Microsoft Authenticator.
På fliken Grundläggande klickar du på Ja och Alla användare för att aktivera principen för alla och ändrar autentiseringsläget till Alla.
Endast användare som är aktiverade för Microsoft Authenticator här kan inkluderas i principen för att visa programnamnet eller den geografiska platsen för inloggningen eller exkluderas från den. Användare som inte är aktiverade för Microsoft Authenticator kan inte se programnamn eller geografisk plats.
På fliken Konfigurera för Visa programnamn i push-meddelanden och lösenordslösa meddelanden ändrar du Status till Aktiverad, väljer vem som ska inkluderas eller exkluderas från principen och klickar på Spara.
Gör sedan samma sak för Visa geografisk plats i push-meddelanden och lösenordslösa meddelanden.
Du kan konfigurera programnamn och geografisk plats separat. Följande princip aktiverar till exempel programnamn och geografisk plats för alla användare, men utesluter gruppen Åtgärder från att se geografisk plats.
Kända problem
Ytterligare kontext stöds inte för Nätverksprincipserver (NPS) eller Active Directory Federation Services (AD FS) (AD FS).
Användare kan ändra den plats som rapporteras av iOS- och Android-enheter. Därför uppdaterar Microsoft Authenticator sin säkerhetsbaslinje för principer för villkorsstyrd åtkomst för platsbaserad åtkomstkontroll (LBAC). Authenticator nekar autentiseringar där användaren kan använda en annan plats än den faktiska GPS-platsen för den mobila enhet där Authenticator installerades.
I november 2023-versionen av Authenticator ser användare som ändrar platsen för sin enhet ett avslagsmeddelande i Authenticator när de utför en LBAC-autentisering. Från och med januari 2024 blockeras alla användare som kör äldre Authenticator-versioner från LBAC-autentisering med en ändrad plats:
- Authenticator version 6.2309.6329 eller tidigare på Android
- Authenticator version 6.7.16 eller tidigare på iOS
Om du vill ta reda på vilka användare som kör äldre versioner av Authenticator använder du Microsoft Graph-API:er.
Nästa steg
Autentiseringsmetoder i Microsoft Entra ID – Microsoft Authenticator-appen
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för