Authenticator 通知で追加のコンテキストを使用する - 認証方法ポリシー
この記事では、Authenticator のパスワードレス通知とプッシュ通知にサインインのアプリケーション名と地理的な場所を追加することで、ユーザー サインインのセキュリティを強化する方法について説明します。
前提条件
- 組織では、新しい認証方法ポリシーを使用して、一部のユーザーまたはグループに対して Authenticator のパスワードレス通知とプッシュ通知を有効にする必要があります。 認証方法ポリシーは、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して編集できます。
- 追加のコンテキストは 1 つのグループのみを対象にすることができ、動的または入れ子の場合があります。 グループは、オンプレミスまたはクラウドのみから同期できます。
パスワードレス電話によるサインインと多要素認証
ユーザーが Authenticator でパスワードなしの電話によるサインインまたは多要素認証 (MFA) プッシュ通知を受け取ると、承認を要求するアプリケーションの名前と、サインインの発生元の IP アドレスに基づく場所が表示されます。
管理者は、追加のコンテキストと 番号照合 を組み合わせて、サインインのセキュリティをさらに向上させることができます。
ポリシー スキーマの変更
アプリケーション名と地理的な場所を個別に有効または無効にすることができます。 featureSettingsでは、各機能に対して次の名前マッピングを使用できます。
- アプリケーション名の:
displayAppInformationRequiredState - 地理的な場所:
displayLocationInformationRequiredState
Note
Microsoft Graph API の新しいポリシー スキーマを使用していることを確認します。 Graph エクスプローラーでは、Policy.Read.All と Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
機能ごとに 1 つのターゲット グループを特定します。 次に、次の API エンドポイントを使用して、featureSettings の下の displayAppInformationRequiredState または displayLocationInformationRequiredState properties を変更して、必要なグループを enabled したり除外したりします。
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
詳細については、「microsoftAuthenticatorAuthenticationMethodConfiguration リソースの種類」を参照してください。
すべてのユーザーに対して追加のコンテキストを有効にする方法の例
featureSettingsで、displayAppInformationRequiredState と displayLocationInformationRequiredState を default から enabledに変更します。
認証モードの値は、パスワードなしの電話によるサインインを有効にするかどうかに応じて、any または pushです。 これらの例では、anyを使用しますが、パスワードレスを許可しない場合は、pushを使用します。
以前の構成を上書きしないように、スキーマ全体を PATCH する必要がある場合があります。 その場合は、最初に GET を実行します。 それから、関連するフィールドのみを更新してから、PATCHを実行します。 次の例では、featureSettingsで displayAppInformationRequiredState と displayLocationInformationRequiredState を更新する方法を示します。
アプリケーション名または地理的な場所が表示されるのは、includeTargets の Authenticator が有効になっているユーザーだけです。 Authenticator が有効になっていないユーザーには、これらの機能が表示されません。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
アプリケーション名と地理的な場所を別のグループに対して有効にする方法の例
featureSettingsで、displayAppInformationRequiredState と displayLocationInformationRequiredState を default から enabledに変更します。
各 featureSettingの includeTarget 内で、ID を all_users から Microsoft Entra 管理センターからグループのオブジェクト ID に変更します。
以前の構成を上書きしないように、スキーマ全体を PATCH する必要があります。 まずは GET を行うことをお勧めします。 次に、関連するフィールドのみを更新してから、PATCHを実行します。 次の例は、featureSettingsで displayAppInformationRequiredState と displayLocationInformationRequiredState の更新を示しています。
アプリケーション名または地理的な場所が表示されるのは、includeTargets の Authenticator が有効になっているユーザーだけです。 Authenticator が有効になっていないユーザーには、これらの機能が表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
確認するには、GET をもう一度実行し、オブジェクト ID を確認します。
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
アプリケーション名を無効にし、地理的な場所のみを有効にする方法の例
featureSettingsで、displayAppInformationRequiredState の状態を default または disabled に変更し、displayLocationInformationRequiredState を enabledに変更します。
各 featureSetting の値について、ID を includeTarget 内で all_users から Microsoft Entra 管理センターにあるグループのオブジェクト ID に変更します。
以前の構成を上書きしないように、スキーマ全体を PATCH する必要があります。 最初に GET を実行することをお勧めします。 次に、関連するフィールドのみを更新し、その後、PATCHを実行します。 次の例は、featureSettingsで displayAppInformationRequiredState と displayLocationInformationRequiredState の更新を示しています。
アプリケーション名または地理的な場所が表示されるのは、includeTargets の Authenticator が有効になっているユーザーだけです。 Authenticator が有効になっていないユーザーには、これらの機能が表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
アプリケーション名と地理的な場所からグループを除外する方法の例
さらに、各機能について、excludeTarget の ID を Microsoft Entra 管理センターからグループのオブジェクト ID に変更します。 この変更により、そのグループにアプリケーション名または地理的な場所が表示されなくなります。
以前の構成を上書きしないように、スキーマ全体を PATCH する必要があります。 最初に GET を行うことをおすすめします。 次に、関連するフィールドのみを更新し、その後、PATCHを実行します。 次の例は、featureSettingsで displayAppInformationRequiredState と displayLocationInformationRequiredState の更新を示しています。
アプリケーション名または地理的な場所が表示されるのは、includeTargets の Authenticator が有効になっているユーザーだけです。 Authenticator が有効になっていないユーザーには、これらの機能が表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
除外されたグループを削除する例
featureSettingsで、displayAppInformationRequiredState の状態を default から enabledに変更します。 excludeTarget の ID を 00000000-0000-0000-0000-000000000000に変更します。
以前の構成を上書きしないように、スキーマ全体を PATCH する必要があります。 最初に GET を行うことをお勧めします。 次に、関連するフィールドのみを更新し、PATCH を実行します。 次の例は、featureSettingsで displayAppInformationRequiredState と displayLocationInformationRequiredState の更新を示しています。
アプリケーション名または地理的な場所が表示されるのは、includeTargets の Authenticator が有効になっているユーザーだけです。 Authenticator が有効になっていないユーザーには、これらの機能が表示されません。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
追加のコンテキストをオフにする
追加のコンテキストをオフにするには、PATCH、displayAppInformationRequiredState を行い、enabled から disabled/defaultへ displayLocationInformationRequiredState する必要があります。 また、いずれかの機能のみをオフにすることもできます。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra 管理センターで追加のコンテキストを有効にする
Microsoft Entra 管理センターでアプリケーション名または地理的な場所を有効にするには、次の手順に従います。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]、>、[Microsoft Authenticator] の順に進みます。
[基本] タブで、[はい] と [すべてのユーザー] を選択して、ポリシーをすべてのユーザーに対して有効にします。 認証モード を 任意のに変更します。
ここで Authenticator が有効になっているユーザーのみが、サインインのアプリケーション名または地理的な場所を表示するポリシーに含まれるか、そこから除外されます。 Authenticator が有効になっていないユーザーには、アプリケーション名または地理的な場所が表示されません。
[構成] タブの [プッシュおよびパスワードレス通知にアプリケーション名を表示する] で、[状態] を [有効] に変更します。 ポリシーに含めるまたは除外する対象者を選び、保存を選択します。
次に、[Show geographic location in push and passwordless notifications] (プッシュおよびパスワードレス通知に地理的な場所を表示する) についても同じ操作を行います。
アプリケーション名と地理的な場所は個別に構成できます。 たとえば、次のポリシーでは、すべてのユーザーに対してアプリケーション名と地理的な場所が有効になりますが、Operations グループには地理的な場所が表示されなくなります。
既知の問題
ネットワーク ポリシー サーバー (NPS) または Active Directory フェデレーション サービスでは、追加のコンテキストはサポートされていません。
ユーザーは、iOS および Android デバイスによって報告される場所を変更できます。 その結果、Authenticator は、Location-Based アクセス制御 (LBAC) 条件付きアクセス ポリシーのセキュリティ ベースラインを更新しています。 認証子は、ユーザーが Authenticator がインストールされているモバイル デバイスの実際の GPS 位置とは異なる場所を使用している可能性がある認証を拒否します。
Authenticator の 2023 年 11 月リリースでは、デバイスの場所を変更するユーザーは、LBAC 認証を行うときに Authenticator に拒否メッセージが表示されます。 2024 年 1 月以降、古い Authenticator バージョンを実行するすべてのユーザーは、場所が変更された LBAC 認証からブロックされます。
- Android の Authenticator バージョン 6.2309.6329 以前
- iOS の Authenticator バージョン 6.7.16 以前
以前のバージョンの Authenticator を実行しているユーザーを見つけるには、Microsoft Graph API を使用します。