如何在 Microsoft Authenticator 通知中使用其他內容 - 驗證方法原則
本主題涵蓋如何將登入的應用程式名稱和地理位置新增至 Microsoft Authenticator 無密碼和推播通知,以改善使用者登入的安全性。
必要條件
您的組織必須使用新的驗證方法原則,為某些使用者或群組啟用 Microsoft Authenticator 無密碼和推播通知。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來編輯驗證方法原則。
注意
已改善 Microsoft Graph API 的原則架構。 較舊的原則架構現在已被取代。 請確定您使用新的架構來協助防止錯誤。
其他內容只能以單一群組為目標,可以是動態或巢狀。 驗證方法原則支持內部部署同步處理安全組和僅限雲端安全組。
無密碼手機登入和多重要素驗證
當使用者在 Microsoft Authenticator 中收到無密碼電話登入或 MFA 推播通知時,他們會看到應用程式的名稱,該應用程式會根據登入來源的 IP 位址要求核准和位置。
其他內容可以結合 數位比對 ,以進一步改善登入安全性。
原則架構變更
您可以個別啟用和停用應用程式名稱和地理位置。 在功能 設定 下,您可以針對每個功能使用下列名稱對應:
- 應用程式名稱:displayAppInformationRequiredState
- 地理位置:displayLocationInformationRequiredState
注意
請確定您使用 Microsoft Graph API 的新原則架構。 在 Graph 總管中,您必須同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 許可權。
識別每個功能的單一目標組。 然後使用下列 API 端點來變更 feature 下的 displayAppInformationRequiredState 或 displayLocationInformationRequiredState 属性 設定 啟用並包含或排除您想要的群組:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
MicrosoftAuthenticatorAuthenticationMethodConfiguration 属性
性能
| 屬性 | 類型 | 描述 |
|---|---|---|
| id | String | 驗證方法原則標識碼。 |
| state | authenticationMethodState | 可能的值為: 已啟用 禁用 |
關係
| 關聯 | 類型 | 描述 |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget 集合 | 已啟用驗證方法的使用者或群組集合。 |
| feature 設定 | microsoftAuthenticatorFeature 設定 集合 | Microsoft Authenticator 功能的集合。 |
MicrosoftAuthenticator includeTarget 屬性
性能
| 屬性 | 類型 | 描述 |
|---|---|---|
| authenticationMode | String | 可能的值包括: any:允許無密碼手機登入和傳統的第二因素通知。 deviceBasedPush:只允許無密碼手機登入通知。 push:只允許傳統的第二因素推播通知。 |
| id | String | Microsoft Entra 使用者或群組的物件標識碼。 |
| targetType | authenticationMethodTargetType | 可能的值為: 使用者、 群組。 |
MicrosoftAuthenticator 功能 設定 屬性
性能
| 屬性 | 類型 | 描述 |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | 需要 MFA 通知的數位比對。 電話登入通知會忽略值。 |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | 判斷使用者是否在 Microsoft Authenticator 通知中顯示應用程式名稱。 |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | 判斷使用者是否在 Microsoft Authenticator 通知中顯示地理位置內容。 |
驗證方法功能組態屬性
性能
| 屬性 | 類型 | 描述 |
|---|---|---|
| excludeTarget | featureTarget | 從這項功能排除的單一實體。 您只能針對每項功能排除一個群組。 |
| includeTarget | featureTarget | 這項功能中包含的單一實體。 您只能為每個功能包含一個群組。 |
| 州/省 | advancedConfigState | 可能的值包括: enabled 明確啟用所選群組的功能。 disabled 會明確停用所選群組的功能。 default 可讓 Microsoft Entra ID 管理是否為選取的群組啟用此功能。 |
功能目標屬性
性能
| 屬性 | 類型 | 描述 |
|---|---|---|
| id | String | 目標實體的標識碼。 |
| targetType | featureTargetType | 以群組、角色或系統管理單位為目標的實體類型。 可能的值為:『group』、『administrativeUnit』、『role』、unknownFutureValue』。 |
如何為所有用戶啟用其他內容的範例
在 feature 設定 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從預設變更為已啟用。
驗證模式的值可以是任一或推送,視您是否也想要啟用無密碼手機登入而定。 在這些範例中,我們將使用 任何 ,但如果您不想允許無密碼,請使用 推送。
您可能需要修補整個架構,以避免覆寫任何先前的設定。 在此情況下,請先執行 GET,只更新相關的欄位,然後再更新 PATCH。 下列範例示範如何在 feature 設定 下更新 displayAppInformationRequiredState 和 displayLocationInformationRequiredState。
只有在 Microsoft Authenticator 的 includeTargets 下為 Microsoft Authenticator 啟用的使用者,才會看到應用程式名稱或地理位置。 未為 Microsoft Authenticator 啟用的使用者不會看到這些功能。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何為個別群組啟用應用程式名稱和地理位置的範例
在 feature 設定 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從預設變更為已啟用。在每個 featureSetting 的 includeTarget 內,將標識碼從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您必須修補整個架構,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再更新 PATCH。 下列範例示範在 feature 設定 下顯示 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 下為 Microsoft Authenticator 啟用的使用者,才會看到應用程式名稱或地理位置。 未為 Microsoft Authenticator 啟用的使用者不會看到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
若要確認,請再次執行 GET 並確認 ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如何停用應用程式名稱並只啟用地理位置的範例
在 feature 設定 中,將 displayAppInformationRequiredState 的狀態變更為預設值或已停用,並將 displayLocationInformationRequiredState 變更為已啟用。在每個 featureSetting 的 includeTarget 內,將標識碼從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您必須修補整個架構,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再更新 PATCH。 下列範例示範在 feature 設定 下顯示 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 下為 Microsoft Authenticator 啟用的使用者,才會看到應用程式名稱或地理位置。 未為 Microsoft Authenticator 啟用的使用者不會看到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何從應用程式名稱和地理位置排除群組的範例
在 feature 設定 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的狀態從預設變更為已啟用。在每個 featureSetting 的 includeTarget 內,將標識碼從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
此外,針對每個功能,您將從 Microsoft Entra 系統管理中心將 excludeTarget 的標識符變更為群組的 ObjectID。 這項變更會排除該群組,而看不到應用程式名稱或地理位置。
您必須修補整個架構,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再更新 PATCH。 下列範例示範在 feature 底下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新 設定。
只有在 Microsoft Authenticator 的 includeTargets 下為 Microsoft Authenticator 啟用的使用者,才會看到應用程式名稱或地理位置。 未為 Microsoft Authenticator 啟用的使用者不會看到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
拿掉排除群組的範例
在feature 設定中,將displayAppInformationRequiredState的狀態從預設變更為已啟用。您必須將 excludeTarget 的識別碼變更為 00000000-0000-0000-0000-000000000000。
您必須修補整個架構,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再更新 PATCH。 下列範例示範在 feature 底下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新 設定。
只有在 Microsoft Authenticator 的 includeTargets 下為 Microsoft Authenticator 啟用的使用者,才會看到應用程式名稱或地理位置。 未為 Microsoft Authenticator 啟用的使用者不會看到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
關閉其他內容
若要關閉其他內容,您必須從啟用到停用/預設值的 PATCH displayAppInformationRequiredState 和 displayLocationInformationRequiredState。 您也可以只關閉其中一項功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
在 Microsoft Entra 系統管理中心啟用其他內容
若要在 Microsoft Entra 系統管理中心啟用應用程式名稱或地理位置,請完成下列步驟:
以至少驗證原則 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [保護>驗證方法>][Microsoft Authenticator]。
在 [基本] 索引標籤上,按兩下 [是] 和 [所有使用者] 來啟用每個人的原則,並將 [驗證模式] 變更為 [任何]。
只有在這裡為 Microsoft Authenticator 啟用的使用者才能包含在原則中,以顯示登入的應用程式名稱或地理位置,或將其排除在外。 未為 Microsoft Authenticator 啟用的使用者看不到應用程式名稱或地理位置。
在 [設定] 索引標籤上,針對 [在推播和無密碼通知中顯示應用程式名稱],將 [狀態] 變更為 [已啟用],選擇要包含或排除原則的人員,然後按兩下 [儲存]。
然後針對在推播和無密碼通知中顯示地理位置執行相同的 動作。
您可以個別設定應用程式名稱和地理位置。 例如,下列原則會為所有使用者啟用應用程式名稱和地理位置,但排除 Operations 群組看不到地理位置。
已知問題
網路原則伺服器 (NPS) 或 Active Directory 同盟服務 不支援其他內容(AD FS)。
用戶可以修改 iOS 和 Android 裝置所報告的位置。 因此,Microsoft Authenticator 正在更新其位置型 存取控制 (LBAC) 條件式存取原則的安全性基準。 驗證器會拒絕使用者可能使用與驗證器安裝之行動裝置的實際 GPS 位置不同的驗證。
在 2023 年 11 月版本的 Authenticator 中,修改其裝置位置的使用者在執行 LBAC 驗證時,會在 Authenticator 中看到拒絕訊息。 從 2024 年 1 月開始,任何執行舊版 Authenticator 的使用者,都會封鎖使用修改位置的 LBAC 驗證:
- Android 上的驗證器版本 6.2309.6329 或更早版本
- iOS 上的驗證器 6.7.16 版或更早版本
若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應