Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede Authenticator parolasız ve anında iletme bildirimlerine oturum açma işleminin uygulama adını ve coğrafi konumunu ekleyerek kullanıcı oturum açma güvenliğinin nasıl artırılacağı açıklanır.
Önkoşullar
- Kuruluşunuzun, yeni Kimlik Doğrulama yöntemleri ilkesini kullanarak bazı kullanıcılar veya gruplar için Authenticator parolasız ve anında iletme bildirimlerini etkinleştirmesi gerekir. Microsoft Entra yönetim merkezini veya Microsoft Graph API'sini kullanarak Kimlik doğrulama yöntemleri ilkesini düzenleyebilirsiniz.
- Ek bağlam, dinamik veya iç içe yerleştirilmiş tek bir gruba hedeflenebilir. Grup, şirket içi veya yalnızca bulut tabanlı ortamlardan eşitlenebilir.
Parolasız telefon oturum açma ve çok faktörlü kimlik doğrulaması
Kullanıcı Authenticator'da parolasız bir telefonla oturum açma veya çok faktörlü kimlik doğrulaması (MFA) anında iletme bildirimi aldığında, onay isteyen uygulamanın adını ve oturum açma işleminin kaynaklandığı IP adresine göre konumu görür.
Yöneticiler, oturum açma güvenliğini daha da geliştirmek için ek bağlamı sayı eşleştirme ile birleştirebilir.
İlke şeması değişiklikleri
Uygulama adını ve coğrafi konumu ayrı ayrı etkinleştirebilir ve devre dışı bırakabilirsiniz.
featureSettingsaltında, her özellik için aşağıdaki ad eşlemesini kullanabilirsiniz:
- uygulama adı
: -
Coğrafi konum:
displayLocationInformationRequiredState
Not
Microsoft Graph API'leri için yeni ilke şemasını kullandığınızdan emin olun. Graf Gezgini'nde Policy.Read.All ve Policy.ReadWrite.AuthenticationMethod izinlerini onaylamanız gerekir.
Özelliklerin her biri için tek hedef grubunuzu tanımlayın. Ardından displayAppInformationRequiredState altındaki displayLocationInformationRequiredState properties veya featureSettingsenabled olarak değiştirmek ve istediğiniz grupları dahil etmek veya dışlamak için aşağıdaki API uç noktasını kullanın:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Daha fazla bilgi için microsoftAuthenticatorAuthenticationMethodConfiguration kaynak türü'ne bakın.
Tüm kullanıcılar için ek bağlamı etkinleştirme örneği
featureSettingsiçinde displayAppInformationRequiredState ve displayLocationInformationRequiredStatedefault yerine enabledolarak değiştirin.
Kimlik doğrulama modunun değeri, parolasız telefonda oturum açmayı etkinleştirmek isteyip istemediğinize bağlı olarak any veya push. Bu örneklerde anykullanıyoruz, ancak parolasız izin vermek istemiyorsanız pushkullanın.
Önceki yapılandırmaların üzerine yazılmasını önlemek için şemanın tamamını PATCH gerekebilir. Bu durumda, önce bir GET yapın. Ardından yalnızca ilgili alanları güncelleyin ve PATCH. Aşağıdaki örnekte, displayAppInformationRequiredStatealtında displayLocationInformationRequiredState ve featureSettings nasıl güncelleştirilecek gösterilmektedir.
Yalnızca includeTargets altında Authenticator için etkinleştirilen kullanıcılar uygulama adını veya coğrafi konumu görür. Authenticator için etkinleştirilmemiş kullanıcılar bu özellikleri görmez.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ayrı gruplar için uygulama adını ve coğrafi konumu etkinleştirme örneği
featureSettingsiçinde displayAppInformationRequiredState ve displayLocationInformationRequiredStatedefault yerine enabledolarak değiştirin.
includeTarget içinde, her featureSetting için, kimliği all_users olanı Microsoft Entra yönetim merkezinden grubun nesne kimliğiyle değiştirin.
Önceki yapılandırmaların üzerine yazılmasını önlemek için tüm şemayı PATCHmanız gerekir. Önce bir GET yapmanızı öneririz. Ardından yalnızca ilgili alanları güncelleyin ve PATCH. Aşağıdaki örnekte, displayAppInformationRequiredStatealtında displayLocationInformationRequiredState ve featureSettings için bir güncelleştirme gösterilmektedir.
Yalnızca includeTargets altında Authenticator için etkinleştirilen kullanıcılar uygulama adını veya coğrafi konumu görür. Authenticator için etkinleştirilmemiş kullanıcılar bu özellikleri görmez.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Doğrulamak için GET yeniden çalıştırın ve nesne kimliğini doğrulayın:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Uygulama adını devre dışı bırakma ve yalnızca coğrafi konumu etkinleştirme örneği
featureSettingsiçinde, displayAppInformationRequiredState durumunu default veya disabled olarak, displayLocationInformationRequiredStateenabledolarak değiştirin.
includeTarget içindeki her featureSetting değeri için, kimliği all_users'den Microsoft Entra yönetim merkezindeki grubun nesne kimliğiyle değiştirin.
Önceki yapılandırmaların üzerine yazılmasını önlemek için tüm şemayı PATCHmanız gerekir. Önce bir GET yapmanızı öneririz. Ardından yalnızca ilgili alanları güncelleyin ve PATCH. Aşağıdaki örnekte, displayAppInformationRequiredStatealtında displayLocationInformationRequiredState ve featureSettings için bir güncelleştirme gösterilmektedir.
Yalnızca includeTargets altında Authenticator için etkinleştirilen kullanıcılar uygulama adını veya coğrafi konumu görür. Authenticator için etkinleştirilmemiş kullanıcılar bu özellikleri görmez.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Bir grubun uygulama adından ve coğrafi konumdan dışlanması örneği
Ayrıca, özelliklerin her biri için excludeTarget kimliğini Microsoft Entra yönetim merkezinden grubun nesne kimliğine değiştirirsiniz. Bu değişiklik, söz konusu grubun uygulama adını veya coğrafi konumu görmesini engeller.
Önceki yapılandırmaların üzerine yazılmasını önlemek için tüm şemayı PATCHmanız gerekir. Önce bir GET yapmanızı öneririz. Ardından yalnızca ilgili alanları güncelleyin ve PATCH. Aşağıdaki örnekte, displayAppInformationRequiredStatealtında displayLocationInformationRequiredState ve featureSettings için bir güncelleştirme gösterilmektedir.
Yalnızca includeTargets altında Authenticator için etkinleştirilen kullanıcılar uygulama adını veya coğrafi konumu görür. Authenticator için etkinleştirilmemiş kullanıcılar bu özellikleri görmez.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Dışlanan grubu kaldırma örneği
featureSettingsiçinde, displayAppInformationRequiredState durumlarını default yerine enabledolarak değiştirin.
excludeTarget kimliğini 00000000-0000-0000-0000-000000000000olarak değiştirin.
Önceki yapılandırmaların üzerine yazılmasını önlemek için tüm şemayı PATCHmanız gerekir. Önce bir GET yapmanızı öneririz. Ardından yalnızca ilgili alanları güncelleyin ve PATCH. Aşağıdaki örnekte, displayAppInformationRequiredStatealtında displayLocationInformationRequiredState ve featureSettings için bir güncelleştirme gösterilmektedir.
Yalnızca includeTargets altında Authenticator için etkinleştirilen kullanıcılar uygulama adını veya coğrafi konumu görür. Authenticator için etkinleştirilmemiş kullanıcılar bu özellikleri görmez.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Ek bağlamı kapatma
Ek bağlamı kapatmak için PATCH,displayAppInformationRequiredState ve displayLocationInformationRequiredState'yi enabled'ten disabled/default'ya taşımanız gerekir. Ayrıca özelliklerden yalnızca birini kapatabilirsiniz.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra yönetim merkezinde ek bağlamı etkinleştirme
Microsoft Entra yönetim merkezinde uygulama adını veya coğrafi konumu etkinleştirmek için şu adımları izleyin:
Microsoft Entra yönetim merkezinde en azından Kimlik Doğrulama İlkesi Yöneticisi olarak oturum açın.
Entra ID>Authentication yöntemleri>Microsoft Authenticator'a göz atın.
İlkeyi herkes için etkinleştirmek için Temel Bilgiler sekmesinde Evet ve Tüm kullanıcılar'ı seçin.
Kimlik Doğrulama modunu herhangi bir olarak değiştirin.Authenticator özelliği burada etkinleştirilmiş kullanıcılar, oturum açma işleminin uygulama adını veya coğrafi konumunu göstermek için bu politikaya dahil edilir ya da dışında bırakılır. Authenticator için etkinleştirilmemiş kullanıcılar uygulama adını veya coğrafi konumu göremez.
Yapılandır sekmesinde, Uygulama adını anında iletme ve parolasız bildirimlerde göster için Durum seçeneğini Etkin olarak değiştirin. İlkeyi dahil etmek veya ilkenin dışında tutmak istediğiniz kişileri seçin ve ardından Kaydet'i seçin.
Ardından anında iletme ve parolasız bildirimlerde coğrafi konumu göster için de aynı işlemi yapın.
Uygulama adını ve coğrafi konumu ayrı ayrı yapılandırabilirsiniz. Örneğin, aşağıdaki ilke tüm kullanıcılar için uygulama adını ve coğrafi konumu etkinleştirir, ancak İşlemler grubunun coğrafi konumu görmesini engeller.
Bilinen sorunlar
Ağ İlkesi Sunucusu (NPS) veya Active Directory Federasyon Hizmetleri için ek bağlam desteklenmez.
Kullanıcılar iOS ve Android cihazlar tarafından bildirilen konumu değiştirebilir. Sonuç olarak Authenticator, Location-Based Erişim Denetimi (LBAC) Koşullu Erişim ilkeleri için güvenlik temelini güncelleştiriyor. Authenticator, kullanıcının Authenticator'ın yüklü olduğu mobil cihazın gerçek GPS konumundan farklı bir konum kullandığı kimlik doğrulamalarını reddeder.
Authenticator'ın Kasım 2023 sürümünde, cihazlarının konumunu değiştiren kullanıcılar, LBAC kimlik doğrulaması yaptıklarında Authenticator'da bir reddetme iletisi görür. Ocak 2024'ten itibaren, eski Authenticator sürümlerini çalıştıran tüm kullanıcıların değiştirilmiş bir konumla LBAC kimlik doğrulaması engellenir:
- Android'de Authenticator sürüm 6.2309.6329 veya öncesi
- iOS'ta Authenticator sürüm 6.7.16 veya öncesi
Authenticator'ın eski sürümlerini çalıştıran kullanıcıları bulmak için Microsoft Graph API'lerini kullanın.