Aanvullende context gebruiken in Authenticator-meldingen - Beleid voor verificatiemethoden
In dit artikel wordt beschreven hoe u de beveiliging van gebruikersaanmelding kunt verbeteren door de toepassingsnaam en geografische locatie van de aanmelding toe te voegen aan Authenticator zonder wachtwoord en pushmeldingen.
Vereisten
- Uw organisatie moet Authenticator zonder wachtwoord en pushmeldingen inschakelen voor sommige gebruikers of groepen met behulp van het nieuwe beleid voor verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API.
- Aanvullende context kan worden gericht op slechts één groep, die dynamisch of genest kan zijn. De groep kan worden gesynchroniseerd vanuit on-premises of alleen in de cloud.
Aanmelden bij telefoon zonder wachtwoord en meervoudige verificatie
Wanneer een gebruiker een MFA-pushmelding (MultiFactor Authentication) zonder wachtwoord ontvangt in Authenticator, zien ze de naam van de toepassing die de goedkeuring aanvraagt en de locatie op basis van het IP-adres van waaruit de aanmelding afkomstig is.
Beheerders kunnen aanvullende context combineren met nummermatching om de aanmeldingsbeveiliging verder te verbeteren.
Beleidsschemawijzigingen
U kunt de naam en geografische locatie van de toepassing afzonderlijk in- en uitschakelen. Onder featureSettings
kunt u de volgende naamtoewijzing voor elke functie gebruiken:
-
toepassingsnaam:
displayAppInformationRequiredState
-
geografische locatie:
displayLocationInformationRequiredState
Notitie
Zorg ervoor dat u het nieuwe beleidsschema voor Microsoft Graph-API's gebruikt. In Graph Explorer moet u toestemming geven voor de machtigingen Policy.Read.All
en Policy.ReadWrite.AuthenticationMethod
.
Identificeer uw individuele doelgroep voor elk van de functies. Gebruik vervolgens het volgende API-eindpunt om displayAppInformationRequiredState
of displayLocationInformationRequiredState properties
onder featureSettings
te wijzigen om enabled
en de gewenste groepen op te nemen of uit te sluiten:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Zie microsoftAuthenticatorAuthenticationMethodConfiguration resourcetype voor meer informatie.
Voorbeeld van het inschakelen van aanvullende context voor alle gebruikers
Wijzig in featureSettings
displayAppInformationRequiredState
en displayLocationInformationRequiredState
van default
in enabled
.
De waarde van de verificatiemodus is any
of push
, afhankelijk van of u ook aanmelding zonder wachtwoord wilt inschakelen. In deze voorbeelden gebruiken we any
, maar als u inloggen zonder wachtwoord niet wilt toestaan, gebruik dan push
.
Mogelijk moet u het hele schema PATCH
om eerdere configuraties niet te overschrijven. Voer in dat geval eerst een GET
uit. Werk vervolgens alleen de relevante velden bij en voer daarna displayAppInformationRequiredState
en displayLocationInformationRequiredState
bijwerkt onder featureSettings
.
Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets
de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het inschakelen van toepassingsnaam en geografische locatie voor afzonderlijke groepen
Wijzig in featureSettings
displayAppInformationRequiredState
en displayLocationInformationRequiredState
van default
in enabled
.
Wijzig binnen includeTarget
voor elke featureSetting
de ID van all_users
naar de object-ID van de groep vanuit het Microsoft Entra-beheerderscentrum.
U moet het hele schema uitvoeren met PATCH
om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET
uit te voeren. Werk vervolgens alleen de relevante velden bij en voer daarna PATCH
uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState
en displayLocationInformationRequiredState
onder featureSettings
.
Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets
de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voer GET
opnieuw uit en controleer de object-id om dit te controleren:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Voorbeeld van het uitschakelen van de naam van de toepassing en alleen de geografische locatie inschakelen
Wijzig in featureSettings
de status van displayAppInformationRequiredState
in default
of disabled
en displayLocationInformationRequiredState
in enabled
.
Wijzig in includeTarget
voor elke featureSetting
waarde het ID van all_users
naar het object-ID van de groep uit het Microsoft Entra-beheercentrum.
U moet het hele schema uitvoeren met PATCH
om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET
uit te voeren. Werk vervolgens alleen de relevante velden bij en voer PATCH
daarna uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState
en displayLocationInformationRequiredState
onder featureSettings
.
Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets
de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het uitsluiten van een groep van de toepassingsnaam en geografische locatie
Daarnaast wijzigt u voor elke functie de id van excludeTarget
in de object-id van de groep in het Microsoft Entra-beheercentrum. Deze wijziging sluit die groep uit van het weergeven van de naam van de toepassing of geografische locatie.
U moet het hele schema uitvoeren met PATCH
om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET
uit te voeren. Werk vervolgens alleen de relevante velden bij en voer vervolgens PATCH
uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState
en displayLocationInformationRequiredState
onder featureSettings
.
Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets
de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Voorbeeld van het verwijderen van de uitgesloten groep
Wijzig in featureSettings
de statussen van displayAppInformationRequiredState
van default
in enabled
. Wijzig de id van excludeTarget
in 00000000-0000-0000-0000-000000000000
.
U moet het hele schema uitvoeren met PATCH
om te voorkomen dat eerdere configuraties worden overschreven. U wordt aangeraden eerst een GET
uit te voeren. Werk vervolgens alleen de relevante velden bij en voer PATCH
daarna uit. In het volgende voorbeeld ziet u een update voor displayAppInformationRequiredState
en displayLocationInformationRequiredState
onder featureSettings
.
Alleen gebruikers die zijn ingeschakeld voor Authenticator onder includeTargets
de naam van de toepassing of geografische locatie zien. Gebruikers die niet zijn ingeschakeld voor Authenticator, zien deze functies niet.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Aanvullende context uitschakelen
Als u extra context wilt uitschakelen, moet u PATCH
,displayAppInformationRequiredState
en displayLocationInformationRequiredState
vanaf enabled
tot disabled
/default
. U kunt ook slechts één van de functies uitschakelen.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aanvullende context inschakelen in het Microsoft Entra-beheercentrum
Voer de volgende stappen uit om de naam van de toepassing of geografische locatie in te schakelen in het Microsoft Entra-beheercentrum:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Bescherming>Authenticatiemethoden>Microsoft Authenticator.
Op het tabblad Basisinformatie, selecteer Ja en Alle gebruikers om het beleid voor iedereen in te schakelen. Wijzig authenticatiemodus in Elke.
Alleen gebruikers die hier zijn ingeschakeld voor Authenticator, zijn opgenomen in het beleid om de naam van de toepassing of geografische locatie van de aanmelding weer te geven of uitgesloten hiervan. Gebruikers die niet zijn ingeschakeld voor Authenticator, kunnen de naam of geografische locatie van de toepassing niet zien.
Wijzig op de tabblad Configureren, bij Toepassingsnaam weergeven in push- en wachtwoordloze meldingen, de Status naar Ingeschakeld. Kies wie u wilt opnemen of uitsluiten van het beleid en selecteer vervolgens Opslaan.
Doe hetzelfde voor geografische locatie weergeven in push- en wachtwoordloze meldingen.
U kunt de naam en geografische locatie van de toepassing afzonderlijk configureren. Met het volgende beleid kunnen bijvoorbeeld de naam en geografische locatie van de toepassing voor alle gebruikers worden ingeschakeld, maar wordt de operations-groep uitgesloten van de geografische locatie.
Bekende problemen
Aanvullende context wordt niet ondersteund voor NPS (Network Policy Server) of Active Directory Federation Services.
Gebruikers kunnen de locatie wijzigen die wordt gerapporteerd door iOS- en Android-apparaten. Als gevolg hiervan werkt Authenticator de beveiligingsbasislijn bij voor Op Locatie Gebaseerde Conditionele Toegangscontrolebeleid (LBAC). Verificator weigert verificaties waarbij de gebruiker mogelijk een andere locatie gebruikt dan de werkelijke GPS-locatie van het mobiele apparaat waarop Authenticator is geïnstalleerd.
In de release van november 2023 van Authenticator zien gebruikers die de locatie van hun apparaat wijzigen een denial-bericht in Authenticator wanneer ze een LBAC-verificatie uitvoeren. Vanaf januari 2024 worden alle gebruikers die oudere Authenticator-versies uitvoeren, geblokkeerd voor LBAC-verificatie met een gewijzigde locatie:
- Authenticator versie 6.2309.6329 of eerder op Android
- Authenticator versie 6.7.16 of eerder op iOS
Als u wilt zoeken welke gebruikers oudere versies van Authenticator uitvoeren, gebruikt u Microsoft Graph-API's.