Použití dalšího kontextu v oznámeních Authenticatoru – zásady metod ověřování
Tento článek popisuje, jak zlepšit zabezpečení přihlašování uživatelů přidáním názvu aplikace a geografického umístění přihlášení do aplikace Authenticator bez hesla a nabízených oznámení.
Požadavky
- Vaše organizace potřebuje povolit ověřování bez hesla a nabízená oznámení pro některé uživatele nebo skupiny pomocí nových zásad ověřování. Zásady metod ověřování můžete upravit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.
- Další kontext je možné cílit jenom na jednu skupinu, která může být dynamická nebo vnořená. Skupinu je možné synchronizovat pouze z místního prostředí nebo z cloudu.
Přihlášení k telefonu bez hesla a vícefaktorové ověřování
Když uživatel obdrží oznámení o přihlášení pomocí telefonu bez hesla nebo oznámení pro vícefaktorové ověřování (MFA) v aplikaci Authenticator, uvidí název aplikace, která žádá o schválení, a místo na základě IP adresy, odkud přihlášení pochází.
Správci můžou kombinovat další kontext s párováním čísel , aby se dále zlepšilo zabezpečení přihlašování.
Změny schématu zásad
Název aplikace a zeměpisné umístění můžete povolit a zakázat samostatně. V části featureSettingsmůžete pro každou funkci použít následující mapování názvů:
-
název aplikace:
displayAppInformationRequiredState -
zeměpisné umístění:
displayLocationInformationRequiredState
Poznámka:
Ujistěte se, že používáte nové schéma zásad pro rozhraní Microsoft Graph API. V Graph Exploreru potřebujete souhlas s oprávněními Policy.Read.All a Policy.ReadWrite.AuthenticationMethod.
Identifikujte jednu cílovou skupinu pro každou z těchto funkcí. Poté pomocí následujícího koncového bodu rozhraní API změňte displayAppInformationRequiredState nebo displayLocationInformationRequiredState properties v rámci featureSettings na enabled a zahrňte nebo vylučte požadované skupiny.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Další informace naleznete v tématu microsoftAuthenticatorAuthenticationMethodConfiguration typ prostředku.
Příklad povolení dalšího kontextu pro všechny uživatele
V featureSettingszměňte displayAppInformationRequiredState a displayLocationInformationRequiredState z default na enabled.
Hodnota režimu ověřování je buď any, nebo push, v závislosti na tom, jestli chcete povolit přihlášení telefonem bez hesla nebo ne. V těchto příkladech používáme any, ale pokud nechcete povolit bez hesla, použijte push.
Možná budete muset PATCH celého schématu, abyste zabránili přepsání předchozí konfigurace. V takovém případě nejprve proveďte GET. Pak aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje, jak aktualizovat displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají v includeTargets povolenou funkci Authenticator. Uživatelé, kteří nejsou pro Authenticator povoleni, tyto funkce nevidí.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad povolení názvu aplikace a geografického umístění pro samostatné skupiny
V featureSettingszměňte displayAppInformationRequiredState a displayLocationInformationRequiredState z default na enabled.
Uvnitř includeTarget pro každou featureSettingzměňte ID z all_users na ID objektu skupiny z Centra pro správu Microsoft Entra.
Abyste zabránili přepsání předchozí konfigurace, musíte PATCH celé schéma. Doporučujeme nejprve provést GET. Pak aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState pod featureSettings.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají v includeTargets povolenou funkci Authenticator. Uživatelé, kteří nejsou pro Authenticator povoleni, tyto funkce nevidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Pokud to chcete ověřit, spusťte znovu GET a ověřte ID objektu:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Příklad zakázání názvu aplikace a povolení pouze geografického umístění
V featureSettingszměňte stav displayAppInformationRequiredState na default nebo disabled a displayLocationInformationRequiredState na enabled.
Uvnitř includeTarget pro každou hodnotu featureSetting změňte ID z all_users na ID objektu skupiny z Centra pro správu Microsoft Entra.
Abyste zabránili přepsání předchozí konfigurace, musíte PATCH celé schéma. Doporučujeme nejprve provést GET. Pak aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci featureSettings.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají v includeTargets povolenou funkci Authenticator. Uživatelé, kteří nejsou pro Authenticator povoleni, tyto funkce nevidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad vyloučení skupiny z názvu aplikace a geografického umístění
Kromě toho pro každou z funkcí změníte ID excludeTarget na ID objektu skupiny z Centra pro správu Microsoft Entra. Tato změna vyloučí tuto skupinu ze zobrazení názvu aplikace nebo zeměpisného umístění.
Abyste zabránili přepsání předchozí konfigurace, musíte PATCH celé schéma. Doporučujeme nejprve provést GET. Pak aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje, jak byla provedena aktualizace u displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci featureSettings.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají v includeTargets povolenou funkci Authenticator. Uživatelé, kteří nejsou pro Authenticator povoleni, tyto funkce nevidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Příklad odebrání vyloučené skupiny
V featureSettingszměňte stavy displayAppInformationRequiredState z default na enabled. Změňte ID excludeTarget na 00000000-0000-0000-0000-000000000000.
Abyste zabránili přepsání předchozí konfigurace, musíte PATCH celé schéma. Doporučujeme nejprve provést GET. Pak aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v rámci featureSettings.
Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají v includeTargets povolenou funkci Authenticator. Uživatelé, kteří nejsou pro Authenticator povoleni, tyto funkce nevidí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Vypnutí dalšího kontextu
Pokud chcete vypnout další kontext, musíte PATCHdisplayAppInformationRequiredState a displayLocationInformationRequiredState z enabled na disabled/default. Můžete také vypnout jenom jednu z těchto funkcí.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Povolení dalšího kontextu v Centru pro správu Microsoft Entra
Pokud chcete povolit název aplikace nebo zeměpisné umístění v Centru pro správu Microsoft Entra, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte k metodám>>microsoft Authenticator.
Na kartě Základy vyberte Ano a Všichni uživatelé pro povolení zásady pro všechny uživatele. Změňte režim ověřování na Libovolný.
Do zásad jsou zahrnuti jen uživatelé, kteří mají povolenou funkci Authenticator, aby se zobrazil název aplikace nebo zeměpisné umístění přihlášení, nebo jsou z nich vyloučeni. Uživatelé, kteří nejsou pro Authenticator povoleni, nemůžou zobrazit název aplikace ani zeměpisné umístění.
Na kartě Konfigurovat, pro Zobrazit název aplikace v push a bezheselných oznámeních, změňte Stav na Povoleno. Zvolte, koho do zásady zahrnout nebo vyloučit, a pak vyberte Uložit.
Pak to samé udělejte u možnosti Zobrazit zeměpisné umístění v nabízených oznámeních a oznámeních bez hesla.
Název aplikace a zeměpisné umístění můžete nakonfigurovat samostatně. Následující zásada například umožňuje název aplikace a zeměpisné umístění pro všechny uživatele, ale vyloučí skupinu Operations z zobrazení geografického umístění.
Známé problémy
Další kontext není podporován pro server NPS (Network Policy Server) ani službu Active Directory Federation Services.
Uživatelé můžou změnit umístění hlášené zařízeními s iOSem a Androidem. Proto Authenticator aktualizuje základní úroveň zabezpečení pro zásady podmíněného přístupu řízení přístupu Location-Based (LBAC). Authenticator odmítne ověřování, kde uživatel může používat jiné umístění než skutečné umístění GPS mobilního zařízení, na kterém je nainstalována aplikace Authenticator.
Ve verzi Authenticatoru z listopadu 2023 se uživatelům, kteří upravují umístění zařízení, zobrazí při ověřování LBAC zprávu o odepření v authenticatoru. Od ledna 2024 budou všem uživatelům používajícím starší verze aplikace Authenticator zablokovány možnosti ověřování LBAC na upraveném umístění.
- Authenticator verze 6.2309.6329 nebo starší v Androidu
- Authenticator verze 6.7.16 nebo starší v iOSu
Pokud chcete zjistit, kteří uživatelé používají starší verze Authenticatoru, použijte rozhraní Microsoft Graph API.