Authenticator 알림에서 추가 컨텍스트 사용 - 인증 방법 정책
이 문서에서는 로그인의 애플리케이션 이름 및 지리적 위치를 Authenticator 암호 없는 푸시 알림에 추가하여 사용자 로그인의 보안을 개선하는 방법을 설명합니다.
필수 조건
- 조직에서는 새 인증 방법 정책을 사용하여 일부 사용자 또는 그룹에 대해 암호 없는 Authenticator 및 푸시 알림을 사용하도록 설정해야 합니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 인증 방법 정책을 편집할 수 있습니다.
- 추가 컨텍스트는 동적이거나 중첩될 수 있는 단일 그룹에만 대상이 될 수 있습니다. 그룹은 온-프레미스 또는 클라우드 전용에서 동기화할 수 있습니다.
암호 없는 휴대폰 로그인 및 다단계 인증
사용자가 Authenticator에서 암호 없는 전화 로그인 또는 MFA(다단계 인증) 푸시 알림을 받으면 승인을 요청하는 애플리케이션의 이름과 로그인이 시작된 IP 주소를 기반으로 하는 위치가 표시됩니다.
MFA 푸시 알림의 추가 컨텍스트를 보여 주는 
관리자는 추가 컨텍스트를 번호 매칭 프로세스와 결합하여 로그인 보안을 더욱 향상시킬 수 있습니다.
정책 스키마 변경
애플리케이션 이름과 지리적 위치를 별도로 사용하거나 사용하지 않도록 설정할 수 있습니다.
featureSettings아래에서 각 기능에 대해 다음 이름 매핑을 사용할 수 있습니다.
-
애플리케이션 이름:
displayAppInformationRequiredState -
지리적 위치:
displayLocationInformationRequiredState
참고
Microsoft Graph API에 대한 새 정책 스키마를 사용해야 합니다. 그래프 탐색기에서 Policy.Read.All 및 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
각 기능에 대한 단일 대상 그룹을 식별합니다. 그런 다음 다음 API 엔드포인트를 사용하여 displayAppInformationRequiredState 아래의 displayLocationInformationRequiredState properties 또는 featureSettings을 enabled으로 변경하고, 원하는 그룹을 포함하거나 제외합니다.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
자세한 내용은 microsoftAuthenticatorAuthenticationMethodConfiguration 리소스 종류를 참조하세요.
모든 사용자에 대해 추가 컨텍스트를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState과 displayLocationInformationRequiredState를 default에서 enabled로 변경합니다.
인증 모드의 값은 암호 없는 휴대폰 로그인을 사용하도록 설정할지 여부에 따라 any 또는 push입니다. 이 예제에서는 any을 사용하지만, 암호 없는 기능을 허용하지 않으려면 push을 사용하세요.
전체 스키마를 PATCH하여 이전 구성이 덮어쓰이지 않도록 할 필요가 있을 수 있습니다. 그런 경우에는 먼저 GET를 수행합니다. 그런 다음 관련 필드만 업데이트하고 나서 PATCH를 하세요. 다음 예제에서는 displayAppInformationRequiredState아래의 displayLocationInformationRequiredState와 featureSettings을 업데이트하는 방법을 보여줍니다.
includeTargets 아래에 Authenticator를 사용하도록 설정된 사용자만 애플리케이션 이름 또는 지리적 위치를 볼 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자에게는 이러한 기능이 표시되지 않습니다.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
별도의 그룹에 대해 애플리케이션 이름과 지리적 위치를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState과 displayLocationInformationRequiredState를 default에서 enabled로 변경합니다.
각 includeTarget에 대해 featureSetting 내부에서 ID를 all_users에서 Microsoft Entra 관리 센터의 그룹의 오브젝트 ID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH 처리하십시오.
GET을 먼저 수행하는 것이 좋습니다. 그런 다음 관련 필드만 업데이트하고 나서 PATCH를 하세요. 다음 예제에서는 displayAppInformationRequiredState아래의 displayLocationInformationRequiredState 및 featureSettings 대한 업데이트를 보여줍니다.
includeTargets 아래에 Authenticator를 사용하도록 설정된 사용자만 애플리케이션 이름 또는 지리적 위치를 볼 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자에게는 이러한 기능이 표시되지 않습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
확인하려면 GET 다시 실행하고 개체 ID를 확인합니다.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
애플리케이션 이름을 사용하지 않도록 설정하고 지리적 위치만 사용하도록 설정하는 방법의 예
featureSettings에서, displayAppInformationRequiredState의 상태를 default 또는 disabled로 변경하고, displayLocationInformationRequiredState의 상태를 enabled로 변경하세요.
각 includeTarget 값에 대해, featureSetting 내부에서 ID를 all_users에서 Microsoft Entra 관리 센터의 그룹 개체 ID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH 처리하십시오.
GET를 먼저 수행하는 것이 좋습니다. 그런 다음 관련 필드만 업데이트하고 나서 PATCH를 하세요. 다음 예제에서는 displayAppInformationRequiredState아래의 displayLocationInformationRequiredState 및 featureSettings 대한 업데이트를 보여줍니다.
includeTargets 아래에 Authenticator를 사용하도록 설정된 사용자만 애플리케이션 이름 또는 지리적 위치를 볼 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자에게는 이러한 기능이 표시되지 않습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
애플리케이션 이름 및 지리적 위치에서 그룹을 제외하는 방법의 예
또한 각 특징에 대해 Microsoft Entra 관리 센터에서 excludeTarget ID를 그룹의 개체 ID로 변경합니다. 이 변경은 해당 그룹이 애플리케이션 이름이나 지리적 위치를 볼 수 없도록 설정합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH 처리하십시오.
GET을 먼저 수행하는 것이 좋습니다. 그런 다음 관련 필드만 업데이트하고 나서 PATCH를 하세요. 다음 예제에서는 displayAppInformationRequiredState아래의 displayLocationInformationRequiredState 및 featureSettings 대한 업데이트를 보여줍니다.
includeTargets 아래에 Authenticator를 사용하도록 설정된 사용자만 애플리케이션 이름 또는 지리적 위치를 볼 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자에게는 이러한 기능이 표시되지 않습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
제외된 그룹을 제거하는 예
featureSettings에서 displayAppInformationRequiredState의 상태를 default에서 enabled으로 변경합니다.
excludeTarget의 ID를 00000000-0000-0000-0000-000000000000로 변경하세요.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH 처리하십시오. 먼저 GET 수행하는 것이 좋습니다. 그런 다음 관련 필드만 업데이트하고 나서 PATCH를 하세요. 다음 예제에서는 displayAppInformationRequiredState아래의 displayLocationInformationRequiredState 및 featureSettings 대한 업데이트를 보여줍니다.
includeTargets 아래에 Authenticator를 사용하도록 설정된 사용자만 애플리케이션 이름 또는 지리적 위치를 볼 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자에게는 이러한 기능이 표시되지 않습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
추가 컨텍스트 해제
추가 컨텍스트를 해제하려면 PATCH,displayAppInformationRequiredState, 및 displayLocationInformationRequiredState를 enabled에서 disabled,/,default로 변경해야 합니다. 기능 중 하나만 끌 수도 있습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra 관리 센터에서 추가 컨텍스트를 사용하도록 설정합니다.
Microsoft Entra 관리 센터에서 애플리케이션 이름 또는 지리적 위치를 사용하도록 설정하려면 다음 단계를 수행합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>Microsoft Authenticator로 이동합니다.
기본 탭에서 예를 선택하고 모든 사용자에 대해 정책을 사용하도록 설정하기 위해 모든 사용자를 선택합니다. 인증 모드를 모든로 변경합니다.
Authenticator를 사용하도록 설정된 사용자만 로그인의 애플리케이션 이름 또는 지리적 위치를 표시하는 정책에 포함되며, 해당 기능에서 제외될 수 있습니다. Authenticator에 대해 사용하도록 설정되지 않은 사용자는 애플리케이션 이름 또는 지리적 위치를 볼 수 없습니다.
모든 인증 모드에 대해 Authenticator 설정을 사용하도록 설정하는 방법을 보여 주는
구성 탭에서 상태를 사용으로 변경하여 푸시 및 비밀번호 없는 알림에서 애플리케이션 이름를 표시합니다. 정책에서 포함하거나 제외할 사용자를 선택한 다음 저장을 선택합니다.
그런 다음, 푸시 및 암호 없는 알림에 지리적 위치 표시에 대해서도 동일하게 수행합니다.
지리적 위치를 사용하도록 설정하는 방법을 보여 주는
애플리케이션 이름과 지리적 위치를 별도로 구성할 수 있습니다. 예를 들어 다음 정책은 모든 사용자에 대해 애플리케이션 이름 및 지리적 위치를 사용하도록 설정하지만 작업 그룹은 지리적 위치를 볼 수 없습니다.
애플리케이션 이름과 지리적 위치를 별도로 사용하도록 설정하는 방법을 보여 주는
알려진 문제
NPS(네트워크 정책 서버) 또는 Active Directory Federation Services에는 추가 컨텍스트가 지원되지 않습니다.
사용자는 iOS 및 Android 디바이스에서 보고된 위치를 수정할 수 있습니다. 결과적으로 Authenticator는 LBAC(Location-Based Access Control) 조건부 액세스 정책에 대한 보안 기준을 업데이트하고 있습니다. 인증자는 사용자가 Authenticator가 설치된 모바일 장치의 실제 GPS 위치와 다른 위치를 사용할 수 있는 인증을 거부합니다.
Authenticator의 2023년 11월 릴리스에서 디바이스의 위치를 수정하는 사용자는 LBAC 인증을 수행할 때 Authenticator에서 거부 메시지를 볼 수 있습니다. 2024년 1월부터 이전 Authenticator 버전을 실행하는 모든 사용자는 수정된 위치로 LBAC 인증에서 차단됩니다.
- Android의 Authenticator 버전 6.2309.6329 이하
- iOS의 Authenticator 버전 6.7.16 이하
이전 버전의 OTP를 실행하는 사용자를 찾으려면 Microsoft Graph API를 사용합니다.