Jak používat další kontext v oznámeních Microsoft Authenticatoru – zásady metod ověřování
Toto téma popisuje, jak zlepšit zabezpečení přihlašování uživatelů přidáním názvu aplikace a geografického umístění přihlášení do aplikace Microsoft Authenticator bez hesla a nabízených oznámení.
Požadavky
Vaše organizace potřebuje povolit microsoft Authenticator bez hesla a nabízená oznámení pro některé uživatele nebo skupiny pomocí nových zásad ověřování. Zásady metod ověřování můžete upravit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.
Poznámka:
Vylepšili jsme schéma zásad pro rozhraní Microsoft Graph API. Starší schéma zásad je teď zastaralé. Ujistěte se, že používáte nové schéma, abyste zabránili chybám.
Další kontext je možné cílit jenom na jednu skupinu, která může být dynamická nebo vnořená. Pro zásady metody ověřování se podporují místní synchronizované skupiny zabezpečení a skupiny zabezpečení jen pro cloud.
Přihlášení k telefonu bez hesla a vícefaktorové ověřování
Když uživatel obdrží v Microsoft Authenticatoru nabízené oznámení o přihlášení pomocí telefonu bez hesla nebo vícefaktorového ověřování, zobrazí se mu název aplikace, která požaduje schválení, a umístění na základě IP adresy, ze které pochází přihlášení.
Další kontext je možné kombinovat s párování čísel, aby se dále zlepšilo zabezpečení přihlašování.
Změny schématu zásad
Název aplikace a zeměpisné umístění můžete povolit a zakázat samostatně. V části funkce Nastavení můžete pro každou funkci použít následující mapování názvů:
- Název aplikace: displayAppInformationRequiredState
- Zeměpisné umístění: displayLocationInformationRequiredState
Poznámka:
Ujistěte se, že používáte nové schéma zásad pro rozhraní Microsoft Graph API. V Graph Exploreru budete muset udělit souhlas s oprávněními Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .
Identifikujte jednu cílovou skupinu pro každou z těchto funkcí. Potom pomocí následujícího koncového bodu rozhraní API změňte vlastnosti displayAppInformationRequiredState nebo displayLocationInformationRequiredState v rámci funkce Nastavení povolit a zahrnout nebo vyloučit požadované skupiny:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Vlastnosti MicrosoftAuthenticatorAuthenticationMethodConfiguration
VLASTNOSTI
| Vlastnost | Type | Popis |
|---|---|---|
| ID | String | Identifikátor zásady metody ověřování. |
| state | authenticationMethodState | Možné hodnoty jsou: povoleny: Zakázán |
VZTAHY
| Vztah | Typ | Popis |
|---|---|---|
| includeTargets | kolekce microsoftAuthenticatorAuthenticationMethodTarget | Kolekceuživatelůch |
| funkce Nastavení | kolekce microsoftAuthenticatorFeature Nastavení | Kolekce funkcí Microsoft Authenticatoru. |
MicrosoftAuthenticator includeTarget – vlastnosti
VLASTNOSTI
| Vlastnost | Type | Popis |
|---|---|---|
| authenticationMode | String | Možné hodnoty jsou: any: Povolí se přihlášení k telefonu bez hesla i tradiční druhé oznámení. deviceBasedPush: Jsou povolena pouze oznámení o přihlášení k telefonu bez hesla. Nabízená oznámení: Jsou povolena pouze tradiční nabízená oznámení druhého faktoru. |
| ID | String | ID objektu uživatele nebo skupiny Microsoft Entra. |
| Targettype | authenticationMethodTargetType | Možné hodnoty jsou: uživatel, skupina. |
Funkce MicrosoftAuthenticator Nastavení vlastností
VLASTNOSTI
| Vlastnost | Type | Popis |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Vyžaduje porovnávání čísel pro oznámení MFA. Hodnota se ignoruje pro oznámení o přihlášení k telefonu. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Určuje, jestli se uživateli zobrazí název aplikace v oznámení microsoft Authenticatoru. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Určuje, jestli se uživateli zobrazí kontext zeměpisného umístění v oznámení microsoft Authenticatoru. |
Vlastnosti konfigurace funkce metody ověřování
VLASTNOSTI
| Vlastnost | Type | Popis |
|---|---|---|
| excludeTarget | featureTarget | Jedna entita, která je vyloučena z této funkce. Pro každou funkci můžete vyloučit jenom jednu skupinu. |
| includeTarget | featureTarget | Jedna entita, která je součástí této funkce. Pro každou funkci můžete zahrnout jenom jednu skupinu. |
| Stav | advancedConfigState | Možné hodnoty jsou: Povoleno explicitně povolí funkci pro vybranou skupinu. zakázáno explicitně zakáže funkci pro vybranou skupinu. Ve výchozím nastavení umožňuje ID Microsoft Entra spravovat, jestli je funkce povolená nebo ne pro vybranou skupinu. |
Vlastnosti cíle funkce
VLASTNOSTI
| Vlastnost | Type | Popis |
|---|---|---|
| ID | String | ID cílové entity. |
| Targettype | featureTargetType | Typ entity, na který cílí, například skupina, role nebo jednotka pro správu. Možné hodnoty jsou: group, administrativeUnit, role, unknownFutureValue. |
Příklad povolení dalšího kontextu pro všechny uživatele
Ve funkci Nastavení změňte displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozí na povolenou.
Hodnota režimu ověřování může být buď libovolná , nebo nabízená v závislosti na tom, jestli chcete povolit přihlášení telefonem bez hesla nebo ne. V těchto příkladech použijeme libovolnou možnost, ale pokud nechcete povolit bez hesla, použijte funkci Push.
Možná budete muset opravit celé schéma, abyste zabránili přepsání předchozí konfigurace. V takovém případě nejprve proveďte get, aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje, jak aktualizovat displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci funkce Nastavení.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad povolení názvu aplikace a geografického umístění pro samostatné skupiny
Ve funkci Nastavení změňte displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozího nastavení na povoleno.Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.
Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci funkce Nastavení.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Pokud to chcete ověřit, spusťte příkaz GET znovu a ověřte ID objektu:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Příklad zakázání názvu aplikace a povolení pouze geografického umístění
Ve funkci Nastavení změňte stav displayAppInformationRequiredState na výchozí nebo zakázané a displayLocationInformationRequiredState na povoleno.Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.
Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci funkce Nastavení.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad vyloučení skupiny z názvu aplikace a geografického umístění
Ve funkci Nastavení změňte stavy displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozí na povoleno.Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.
Kromě toho pro každou z funkcí změníte ID excludeTarget na ObjectID skupiny z Centra pro správu Microsoft Entra. Tato změna vyloučí tuto skupinu ze zobrazení názvu aplikace nebo zeměpisného umístění.
Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci funkce Nastavení.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad odebrání vyloučené skupiny
Ve funkci Nastavení změňte stavy displayAppInformationRequiredState z výchozí na povolenou. Musíte změnit IDexcludeTarget na 00000000-0000-0000-0000-000000000000.
Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci funkce Nastavení.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Vypnutí dalšího kontextu
Pokud chcete vypnout další kontext, budete muset patch displayAppInformationRequiredState a displayLocationInformationRequiredState z povoleného výchozího nastavení zakázat/. Můžete také vypnout jenom jednu z těchto funkcí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Povolení dalšího kontextu v Centru pro správu Microsoft Entra
Pokud chcete povolit název aplikace nebo zeměpisné umístění v Centru pro správu Microsoft Entra, proveďte následující kroky:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.
Přejděte k metodám>ověřování ochrany>microsoft Authenticator.
Na kartě Základy klepněte na tlačítko Ano a Všichni uživatelé, chcete-li povolit zásady pro všechny, a změnit režim ověřování na Jakýkoli.
V zásadách můžou být zahrnuti jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator, aby se zobrazil název aplikace nebo zeměpisné umístění přihlášení nebo se z něj vyloučili. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, nevidí název aplikace ani zeměpisné umístění.
Na kartě Konfigurovat vyberte možnost Zobrazit název aplikace v nabízených oznámeních a oznámeních bez hesla, změňte stav na Povoleno, zvolte, kdo má zásadu zahrnout nebo vyloučit, a klikněte na Uložit.
Pak to samé udělejte u možnosti Zobrazit zeměpisné umístění v nabízených oznámeních a oznámeních bez hesla.
Název aplikace a zeměpisné umístění můžete nakonfigurovat samostatně. Následující zásada například povoluje název aplikace a zeměpisné umístění pro všechny uživatele, ale vylučuje skupinu Operací ze zobrazení geografického umístění.
Známé problémy
Další kontext se nepodporuje pro server NPS (Network Policy Server) ani Active Directory Federation Services (AD FS) (AD FS).
Uživatelé můžou změnit umístění hlášené zařízeními s iOSem a Androidem. V důsledku toho Microsoft Authenticator aktualizuje směrný plán zabezpečení pro zásady podmíněného přístupu na základě umístění (LBAC). Authenticator zamítne ověřování, kde uživatel může používat jiné umístění než skutečné umístění GPS mobilního zařízení, na kterém je nainstalovaná aplikace Authenticator.
Ve verzi Authenticatoru z listopadu 2023 se uživatelům, kteří upravují umístění svého zařízení, při ověřování LBAC zobrazí v authenticatoru odepřenou zprávu. Od ledna 2024 budou všichni uživatelé se staršími verzemi Authenticatoru zablokovaní z ověřování LBAC s upraveným umístěním:
- Authenticator verze 6.2309.6329 nebo starší v Androidu
- Authenticator verze 6.7.16 nebo starší v iOSu
Pokud chcete zjistit, kteří uživatelé používají starší verze Authenticatoru, použijte rozhraní Microsoft Graph API.
Další kroky
Metody ověřování v Microsoft Entra ID – aplikace Microsoft Authenticator