Usare un contesto aggiuntivo nelle notifiche di Authenticator - Criteri dei metodi di autenticazione
Questo articolo illustra come migliorare la sicurezza dell'accesso utente aggiungendo il nome dell'applicazione e la posizione geografica dell'accesso a Authenticator senza password e notifiche push.
Prerequisiti
- L'organizzazione deve abilitare le notifiche senza password e push di Authenticator per alcuni utenti o gruppi usando i nuovi criteri dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph.
- È possibile specificare un contesto aggiuntivo solo per un singolo gruppo, che può essere dinamico o annidato. Il gruppo può essere sincronizzato da locale o solo dal cloud.
Accesso tramite telefono senza password e autenticazione a più fattori
Quando un utente riceve una notifica push di accesso tramite telefono senza password o autenticazione a più fattori (MFA) in Authenticator, visualizza il nome dell'applicazione che richiede l'approvazione e il percorso in base all'indirizzo IP da cui ha avuto origine l'accesso.
Gli amministratori possono combinare un contesto aggiuntivo con il confronto numerico e per migliorare ulteriormente la sicurezza dell'accesso.
Modifiche dello schema dei criteri
È possibile abilitare e disabilitare separatamente il nome dell'applicazione e la posizione geografica. Sotto featureSettings, puoi utilizzare la seguente mappatura dei nomi per ciascuna caratteristica:
-
nome applicazione:
displayAppInformationRequiredState -
posizione geografica:
displayLocationInformationRequiredState
Nota
Assicurarsi di usare il nuovo schema dei criteri per le API Microsoft Graph. In Graph Explorer è necessario fornire il consenso alle autorizzazioni Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.
Identificare il singolo gruppo di destinazione per ognuna delle funzionalità. Usare quindi l'endpoint API seguente per modificare displayAppInformationRequiredState o displayLocationInformationRequiredState properties sotto featureSettings in enabled e includere o escludere i gruppi desiderati.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Per altre informazioni, vedere il tipo di risorsa microsoftAuthenticatorAuthenticationMethodConfiguration.
Esempio di come abilitare un contesto aggiuntivo per tutti gli utenti
In featureSettingsmodificare displayAppInformationRequiredState e displayLocationInformationRequiredState da default a enabled.
Il valore della modalità di autenticazione è any o push, a seconda che si voglia abilitare o meno l'accesso tramite telefono senza password. In questi esempi viene usato any, ma se non si vuole consentire l'uso senza password, usare push.
Potrebbe essere necessario PATCH l'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. In tal caso, eseguire prima un GET. Aggiornare quindi solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato come aggiornare displayAppInformationRequiredState e displayLocationInformationRequiredState in featureSettings.
Solo gli utenti abilitati per Authenticator in includeTargets visualizzano il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Authenticator non visualizzano queste funzionalità.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come abilitare il nome dell'applicazione e la posizione geografica per gruppi separati
In featureSettingsmodificare displayAppInformationRequiredState e displayLocationInformationRequiredState da default a enabled.
All'interno di includeTarget per ogni featureSetting, modificare l'ID da all_users all'ID oggetto del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario PATCH l'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. Raccomandiamo di eseguire prima un GET. Aggiornare quindi solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento di displayAppInformationRequiredState e displayLocationInformationRequiredState sotto featureSettings.
Solo gli utenti abilitati per Authenticator in includeTargets visualizzano il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Authenticator non visualizzano queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Per verificare, eseguire di nuovo GET e verificare l'ID oggetto:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Esempio di come disabilitare il nome dell'applicazione e abilitare solo la posizione geografica
In featureSettingsmodificare lo stato di displayAppInformationRequiredState in default o disabled e displayLocationInformationRequiredState in enabled.
All'interno di includeTarget per ogni valore featureSetting, modificare l'ID da all_users all'ID oggetto del gruppo dall'interfaccia di amministrazione di Microsoft Entra.
È necessario eseguire l'operazione PATCH sull'intero schema per evitare la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET. Aggiornare quindi solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento a displayAppInformationRequiredState e displayLocationInformationRequiredState sotto featureSettings.
Solo gli utenti abilitati per Authenticator in includeTargets visualizzano il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Authenticator non visualizzano queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di come escludere un gruppo dal nome dell'applicazione e dalla posizione geografica
Inoltre, per ciascuna delle caratteristiche, si sostituisce l'ID di excludeTarget con l'ID oggetto del gruppo dal centro di amministrazione di Microsoft Entra. Questa modifica esclude che il gruppo visualizzi il nome dell'applicazione o la posizione geografica.
È necessario PATCH l'intero schema per impedire la sovrascrittura di qualsiasi configurazione precedente. È consigliabile eseguire prima un GET. Aggiornare quindi solo i campi pertinenti e poi PATCH. Nell'esempio seguente viene illustrato un aggiornamento di displayAppInformationRequiredState e displayLocationInformationRequiredState sotto featureSettings.
Solo gli utenti abilitati per Authenticator sotto includeTargets visualizzano il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Authenticator non visualizzano queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Esempio di rimozione del gruppo escluso
In featureSettingsmodificare gli stati di displayAppInformationRequiredState da default a enabled. Modificare l'ID di excludeTarget in 00000000-0000-0000-0000-000000000000.
È necessario PATCH l'intero schema per evitare la sovrascrittura di qualsiasi configurazione precedente. Raccomandiamo di eseguire prima un GET. Aggiornare quindi solo i campi pertinenti e quindi PATCH. Nell'esempio seguente viene illustrato un aggiornamento a displayAppInformationRequiredState e displayLocationInformationRequiredState sotto featureSettings.
Solo gli utenti abilitati per Authenticator in includeTargets visualizzano il nome dell'applicazione o la posizione geografica. Gli utenti che non sono abilitati per Authenticator non visualizzano queste funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Disattiva contesto aggiuntivo
Per disattivare un contesto aggiuntivo, è necessario PATCHdisplayAppInformationRequiredState e displayLocationInformationRequiredState da enabled a disabled/default. È anche possibile disattivare solo una delle funzionalità.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Abilitare un contesto aggiuntivo nell'interfaccia di amministrazione di Microsoft Entra
Per abilitare il nome dell'applicazione o la posizione geografica nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a >
Nella scheda Informazioni di base, selezionare Sì e Tutti gli utenti per abilitare il criterio per tutti. Cambia modalità di autenticazione in Qualsiasi.
Solo gli utenti abilitati per Authenticator sono inclusi nella policy per visualizzare il nome dell'applicazione o la posizione geografica dell'accesso, oppure vengono esclusi da essa. Gli utenti che non sono abilitati per Authenticator non possono visualizzare il nome dell'applicazione o la posizione geografica.
Nella scheda Configura, per Mostra il nome dell'applicazione nelle notifiche push e di autenticazione passwordless, cambiare Stato su Abilitato. Scegliere chi includere o escludere dal criterio e quindi selezionare Salva.
Eseguire quindi la stessa operazione per Mostra posizione geografica nelle notifiche push e senza password.
È possibile configurare separatamente il nome dell'applicazione e la posizione geografica. Ad esempio, il criterio seguente abilita il nome dell'applicazione e la posizione geografica per tutti gli utenti, ma esclude il gruppo Operazioni dalla visualizzazione della posizione geografica.
Problemi noti
Il contesto aggiuntivo non è supportato per il Server dei criteri di rete (NPS) o i Servizi di federazione Active Directory.
Gli utenti possono modificare il percorso segnalato dai dispositivi iOS e Android. Di conseguenza, Authenticator aggiorna la propria baseline di sicurezza per i criteri di Controllo di Accesso Condizionale Location-Based (LBAC). L'autenticatore nega le autenticazioni in cui l'utente potrebbe usare una posizione diversa rispetto alla posizione GPS effettiva del dispositivo mobile in cui è installato Authenticator.
Nella versione di novembre 2023 di Authenticator, gli utenti che modificano la posizione del dispositivo visualizzano un messaggio di rifiuto in Authenticator quando eseguono un'autenticazione LBAC. A partire da gennaio 2024, qualsiasi utente che utilizza versioni precedenti di Authenticator sarà bloccato dall'autenticazione LBAC con una posizione modificata.
- Authenticator versione 6.2309.6329 o precedente in Android
- Autenticatore versione 6.7.16 o precedente in iOS
Per individuare gli utenti che eseguono versioni precedenti di Authenticator, usare le API Microsoft Graph.