Delen via


Aanvullende context gebruiken in Authenticator-meldingen - Beleid voor verificatiemethoden

In dit artikel wordt beschreven hoe u de beveiliging van gebruikersaanmelding kunt verbeteren door de toepassingsnaam en geografische locatie van de aanmelding toe te voegen aan Authenticator zonder wachtwoord en pushmeldingen.

Vereisten

  • Uw organisatie moet Authenticator zonder wachtwoord en pushmeldingen inschakelen voor sommige gebruikers of groepen met behulp van het nieuwe beleid voor verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API.
  • Aanvullende context kan worden gericht op slechts één groep, die dynamisch of genest kan zijn. De groep kan worden gesynchroniseerd vanuit on-premises of alleen in de cloud.

Aanmelden bij telefoon zonder wachtwoord en meervoudige verificatie

Wanneer een gebruiker een MFA-pushmelding (MultiFactor Authentication) zonder wachtwoord ontvangt in Authenticator, zien ze de naam van de toepassing die de goedkeuring aanvraagt en de locatie op basis van het IP-adres van waaruit de aanmelding afkomstig is.

Schermopname van aanvullende context in de MFA-pushmelding.

Beheerders kunnen aanvullende context combineren met nummermatching om de aanmeldingsbeveiliging verder te verbeteren.

Schermopname met extra context met nummerkoppeling in de MFA-pushmelding.

Beleidsschemawijzigingen

U kunt de naam en geografische locatie van de toepassing afzonderlijk in- en uitschakelen. Onder featureSettingskunt u de volgende naamtoewijzing voor elke functie gebruiken:

  • toepassingsnaam: displayAppInformationRequiredState
  • geografische locatie: displayLocationInformationRequiredState

Notitie

Zorg ervoor dat u het nieuwe beleidsschema voor Microsoft Graph-API's gebruikt. In Graph Explorer moet u toestemming geven voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod.

Identificeer uw individuele doelgroep voor elk van de functies. Gebruik vervolgens het volgende API-eindpunt om displayAppInformationRequiredState of displayLocationInformationRequiredState properties onder featureSettings te wijzigen om enabled en de gewenste groepen op te nemen of uit te sluiten:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Zie microsoftAuthenticatorAuthenticationMethodConfiguration resourcetype voor meer informatie.

Voorbeeld van het inschakelen van aanvullende context voor alle gebruikers

Wijzig in featureSettingsdisplayAppInformationRequiredState en displayLocationInformationRequiredState van default in enabled.

De waarde van de verificatiemodus is any of push, afhankelijk van of u ook aanmelding zonder wachtwoord wilt inschakelen. In deze voorbeelden gebruiken we any, maar als u inloggen zonder wachtwoord niet wilt toestaan, gebruik dan push.

Mogelijk moet u het hele schema PATCH om eerdere configuraties niet te overschrijven. Voer in dat geval eerst een GET uit. Werk vervolgens alleen de relevante velden bij en voer daarna uit. In het volgende voorbeeld ziet u hoe u displayAppInformationRequiredState en displayLocationInformationRequiredState bijwerkt onder featureSettings.

Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Voorbeeld van het inschakelen van toepassingsnaam en geografische locatie voor afzonderlijke groepen

Wijzig in featureSettingsdisplayAppInformationRequiredState en displayLocationInformationRequiredState van default in enabled. Wijzig binnen includeTarget voor elke featureSettingde ID van all_users naar de object-ID van de groep vanuit het Microsoft Entra-beheerderscentrum.

U moet het hele schema uitvoeren met PATCH om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren. Werk vervolgens alleen de relevante velden bij en voer daarna PATCH uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.

Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Voer GET opnieuw uit en controleer de object-id om dit te controleren:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Voorbeeld van het uitschakelen van de naam van de toepassing en alleen de geografische locatie inschakelen

Wijzig in featureSettingsde status van displayAppInformationRequiredState in default of disabled en displayLocationInformationRequiredState in enabled. Wijzig in includeTarget voor elke featureSetting waarde het ID van all_users naar het object-ID van de groep uit het Microsoft Entra-beheercentrum.

U moet het hele schema uitvoeren met PATCH om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren. Werk vervolgens alleen de relevante velden bij en voer PATCH daarna uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.

Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Voorbeeld van het uitsluiten van een groep van de toepassingsnaam en geografische locatie

Daarnaast wijzigt u voor elke functie de id van excludeTarget in de object-id van de groep in het Microsoft Entra-beheercentrum. Deze wijziging sluit die groep uit van het weergeven van de naam van de toepassing of geografische locatie.

U moet het hele schema uitvoeren met PATCH om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren. Werk vervolgens alleen de relevante velden bij en voer vervolgens PATCH uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.

Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Voorbeeld van het verwijderen van de uitgesloten groep

Wijzig in featureSettingsde statussen van displayAppInformationRequiredState van default in enabled. Wijzig de id van excludeTarget in 00000000-0000-0000-0000-000000000000.

U moet het hele schema uitvoeren met PATCH om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET uit te voeren. Werk vervolgens alleen de relevante velden bij en voer PATCH daarna uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState en displayLocationInformationRequiredState onder featureSettings.

Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Aanvullende context uitschakelen

Als u extra context wilt uitschakelen, moet u PATCH,displayAppInformationRequiredState en displayLocationInformationRequiredState vanaf enabled tot disabled/default. U kunt ook slechts één van de functies uitschakelen.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Aanvullende context inschakelen in het Microsoft Entra-beheercentrum

Voer de volgende stappen uit om de naam van de toepassing of geografische locatie in te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar Bescherming>Authenticatiemethoden>Microsoft Authenticator.

  3. Op het tabblad Basisinformatie, selecteer Ja en Alle gebruikers om het beleid voor iedereen in te schakelen. Wijzig authenticatiemodus in Elke.

    Alleen gebruikers die hier zijn ingeschakeld voor Authenticator, zijn opgenomen in het beleid om de naam van de toepassing of geografische locatie van de aanmelding weer te geven of uitgesloten hiervan. Gebruikers die niet zijn ingeschakeld voor Authenticator, kunnen de naam of geografische locatie van de toepassing niet zien.

    Schermopname van het inschakelen van Authenticator-instellingen voor elke verificatiemodus.

  4. Wijzig op de tabblad Configureren, bij Toepassingsnaam weergeven in push- en wachtwoordloze meldingen, de Status naar Ingeschakeld. Kies wie u wilt opnemen of uitsluiten van het beleid en selecteer vervolgens Opslaan.

    schermopname die laat zien hoe u de naam van de toepassing inschakelt.

    Doe hetzelfde voor geografische locatie weergeven in push- en wachtwoordloze meldingen.

    Schermopname die laat zien hoe u de geografische locatie inschakelt.

    U kunt de naam en geografische locatie van de toepassing afzonderlijk configureren. Met het volgende beleid kunnen bijvoorbeeld de naam en geografische locatie van de toepassing voor alle gebruikers worden ingeschakeld, maar wordt de operations-groep uitgesloten van de geografische locatie.

    Schermopname die laat zien hoe u de toepassingsnaam en geografische locatie afzonderlijk kunt inschakelen.

Bekende problemen

  • Aanvullende context wordt niet ondersteund voor NPS (Network Policy Server) of Active Directory Federation Services.

  • Gebruikers kunnen de locatie wijzigen die wordt gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan werkt Authenticator de beveiligingsbasislijn bij voor Op Locatie Gebaseerde Conditionele Toegangscontrolebeleid (LBAC). Verificator weigert verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop Authenticator is geïnstalleerd.

    In de release van november 2023 van Authenticator zien gebruikers die de locatie van hun apparaat wijzigen een denial-bericht in Authenticator wanneer ze een LBAC-verificatie uitvoeren. Vanaf januari 2024 worden alle gebruikers die oudere Authenticator-versies uitvoeren, geblokkeerd voor LBAC-verificatie met een gewijzigde locatie:

    • Authenticator versie 6.2309.6329 of eerder op Android
    • Authenticator versie 6.7.16 of eerder op iOS

    Als u wilt zoeken welke gebruikers oudere versies van Authenticator uitvoeren, gebruikt u Microsoft Graph-API's.