Korzystanie z dodatkowego kontekstu w powiadomieniach autentykatora — zasady dotyczące metod uwierzytelniania
W tym artykule omówiono, jak poprawić bezpieczeństwo logowania użytkownika poprzez dodanie nazwy aplikacji i lokalizacji geograficznej logowania do powiadomień bezhasłowych i powiadomień wypychanych Authenticator.
Wymagania wstępne
- Twoja organizacja musi włączyć bezhasłowe logowanie w aplikacji Authenticator i powiadomienia push dla niektórych użytkowników lub grup za pomocą nowych zasad metod uwierzytelniania. Zasady metody uwierzytelniania można edytować przy użyciu centrum administracyjnego firmy Microsoft lub interfejsu API programu Microsoft Graph.
- Dodatkowy kontekst może być przeznaczony tylko dla jednej grupy, która może być dynamiczna lub zagnieżdżona. Grupę można synchronizować ze środowiska lokalnego lub tylko w chmurze.
Logowanie bez hasła i uwierzytelnianie wieloskładnikowe
Gdy użytkownik otrzymuje powiadomienie o logowaniu telefonicznym bez użycia hasła lub uwierzytelnianiu wieloskładnikowym (MFA) w aplikacji Authenticator, widzi nazwę aplikacji, która żąda zatwierdzenia, oraz lokalizację ustaloną na podstawie adresu IP, z którego pochodzi logowanie się.
Administratorzy mogą łączyć dodatkowy kontekst z dopasowaniem numeru do, aby jeszcze bardziej zwiększyć bezpieczeństwo logowania.
Zmiany schematu zasad
Nazwę aplikacji i lokalizację geograficzną można włączyć i wyłączyć oddzielnie. W featureSettingsmożna użyć następującego mapowania nazw dla każdej funkcji:
-
nazwa aplikacji:
displayAppInformationRequiredState -
Lokalizacja geograficzna:
displayLocationInformationRequiredState
Uwaga
Upewnij się, że używasz nowego schematu zasad dla interfejsów API programu Microsoft Graph. W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienia Policy.Read.All i Policy.ReadWrite.AuthenticationMethod.
Zidentyfikuj pojedynczą grupę docelową dla każdej z funkcji. Następnie użyj następującego punktu końcowego interfejsu API, aby zmienić displayAppInformationRequiredState lub displayLocationInformationRequiredState properties pod featureSettings na enabled i uwzględnić lub wykluczyć żądane grupy:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Aby uzyskać więcej informacji, zobacz microsoftAuthenticatorAuthenticationMethodConfiguration typ zasobu.
Przykład włączania dodatkowego kontekstu dla wszystkich użytkowników
W featureSettingszmień displayAppInformationRequiredState i displayLocationInformationRequiredState z default na enabled.
Wartość trybu uwierzytelniania to any lub push, w zależności od tego, czy chcesz również włączyć logowanie bez hasła za pomocą telefonu. W tych przykładach używamy any, ale jeśli nie chcesz zezwalać na używanie bez hasła, użyj push.
Może być konieczne PATCH całego schematu, aby uniknąć nadpisania poprzedniej konfiguracji. W takim przypadku najpierw wykonaj GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano, jak zaktualizować displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład sposobu włączania nazwy aplikacji i lokalizacji geograficznej dla oddzielnych grup
W featureSettingszmień displayAppInformationRequiredState i displayLocationInformationRequiredState z default na enabled.
Wewnątrz includeTarget dla każdego featureSettingzmień identyfikator z all_users na identyfikator obiektu grupy z centrum administracyjnego firmy Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, musisz wykonać PATCH na całym schemacie. Zalecamy najpierw wykonanie GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie pokazano aktualizację dla displayAppInformationRequiredState i displayLocationInformationRequiredState w ramach featureSettings.
Tylko użytkownicy, którzy mają włączone uwierzytelnianie w aplikacji Authenticator pod includeTargets, widzą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Aby sprawdzić, uruchom ponownie GET i sprawdź identyfikator obiektu:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Przykład sposobu wyłączania nazwy aplikacji i włączania tylko lokalizacji geograficznej
W featureSettingszmień stan displayAppInformationRequiredState na default lub disabled, a displayLocationInformationRequiredState na enabled.
Wewnątrz includeTarget dla każdej wartości featureSetting zmień identyfikator z all_users na identyfikator obiektu grupy z centrum administracyjnego Microsoft Entra.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy wykonać operację PATCH na całym schemacie. Zalecamy najpierw wykonanie GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie przedstawiono aktualizację displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze featureSettings.
Tylko użytkownicy, którzy mają możliwość używania Authenticator w includeTargets, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład wykluczania grupy z nazwy aplikacji i lokalizacji geograficznej
Ponadto dla każdej z funkcji należy zmienić identyfikator excludeTarget na identyfikator obiektu grupy z centrum administracyjnego firmy Microsoft Entra. Ta zmiana wyklucza tę grupę z wyświetlania nazwy aplikacji lub lokalizacji geograficznej.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy PATCH cały schemat. Zalecamy najpierw wykonanie GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie przedstawiono aktualizację displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze featureSettings.
Tylko użytkownicy, którym aktywowano Authenticator w ramach includeTargets, zobaczą nazwę aplikacji lub lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Przykład usuwania wykluczonej grupy
W featureSettingszmień stany displayAppInformationRequiredState z default na enabled. Zmień identyfikator excludeTarget na 00000000-0000-0000-0000-000000000000.
Aby zapobiec zastępowaniu poprzedniej konfiguracji, należy PATCH całego schematu. Zalecamy, aby najpierw wykonać GET. Następnie zaktualizuj tylko odpowiednie pola, a następnie PATCH. W poniższym przykładzie przedstawiono aktualizację displayAppInformationRequiredState i displayLocationInformationRequiredState w obszarze featureSettings.
Tylko użytkownicy, którzy mają włączoną aplikację Authenticator pod includeTargets, zobaczą nazwę aplikacji albo lokalizację geograficzną. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tych funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Wyłącz dodatkowy kontekst
Aby wyłączyć dodatkowy kontekst, należy PATCHdisplayAppInformationRequiredState i displayLocationInformationRequiredState z enabled do disabled/default. Można również wyłączyć tylko jedną z funkcji.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Włączanie dodatkowego kontekstu w centrum administracyjnym firmy Microsoft Entra
Aby włączyć nazwę aplikacji lub lokalizację geograficzną w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do sekcji >
Na karcie Podstawowe
wybierz pozycję Tak iWszyscy użytkownicy , aby włączyć zasady dla wszystkich użytkowników. Zmień tryb uwierzytelniania na Dowolny.W zasadach uwzględniono tylko użytkowników, którzy są włączeni dla aplikacji Authenticator, aby pokazać nazwę aplikacji lub lokalizację geograficzną logowania lub wykluczyć z niej. Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą nazwy aplikacji ani lokalizacji geograficznej.
Na karcie
Konfigurowanie dlaPokaż nazwę aplikacji w powiadomieniach wypychanych i bez hasła zmień stanna Włączone . Wybierz, kto ma zostać uwzględniony lub wykluczony z polityki, a następnie wybierz pozycję Zapisz.
Następnie wykonaj te same czynności w przypadku wyświetlania lokalizacji geograficznej w powiadomieniach wypychanych i bez hasła.
Nazwę aplikacji i lokalizację geograficzną można skonfigurować oddzielnie. Na przykład następujące zasady umożliwiają wyświetlanie lokalizacji geograficznej i nazwy aplikacji dla wszystkich użytkowników, ale wyklucza grupę Operacje z wyświetlania lokalizacji geograficznej.
Znane problemy
Dodatkowy kontekst nie jest obsługiwany w przypadku serwera zasad sieciowych (NPS) ani usług Active Directory Federation Services.
Użytkownicy mogą modyfikować lokalizację zgłaszaną przez urządzenia z systemami iOS i Android. W związku z tym aplikacja Authenticator aktualizuje punkt odniesienia zabezpieczeń dla zasad dostępu warunkowego kontroli dostępu Location-Based (LBAC). Aplikacja Authenticator odrzuca uwierzytelnianie, w których użytkownik może używać innej lokalizacji niż rzeczywista lokalizacja GPS urządzenia przenośnego, na którym zainstalowano aplikację Authenticator.
W wydaniu aplikacji Authenticator z listopada 2023 r. użytkownicy, którzy modyfikują lokalizację urządzenia, zobaczą komunikat odmowy w aplikacji Authenticator podczas uwierzytelniania LBAC. Począwszy od stycznia 2024 r., wszyscy użytkownicy, którzy uruchamiają starsze wersje authenticatora, są blokowani od uwierzytelniania LBAC przy użyciu zmodyfikowanej lokalizacji:
- Authenticator w wersji 6.2309.6329 lub starszej w systemie Android
- Aplikacja Authenticator w wersji 6.7.16 lub starszej w systemie iOS
Aby dowiedzieć się, którzy użytkownicy uruchamiają starsze wersje aplikacji Authenticator, użyj interfejsów API programu Microsoft Graph.