Использование дополнительного контекста в уведомлениях Authenticator — политика методов проверки подлинности
В этой статье описывается, как повысить безопасность входа пользователя, добавив имя приложения и географическое расположение входа в Authenticator без пароля и push-уведомлений.
Предварительные условия
- Вашей организации необходимо включить безпарольный вход через Authenticator и push-уведомления для некоторых пользователей или групп с помощью новой политики методов аутентификации. Политику методов проверки подлинности можно изменить с помощью Центра администрирования Microsoft Entra или API Microsoft Graph.
- Дополнительный контекст может быть направлен только на одну группу, которая может быть динамической или вложенной. Группу можно синхронизировать из локальной или облачной среды.
Вход без пароля с помощью телефона и многофакторная проверка подлинности
Когда пользователь получает push-уведомление о входе без пароля или о многофакторной аутентификации (MFA) в приложении Authenticator, он видит имя приложения, которое запрашивает подтверждение, и местоположение на основе IP-адреса, от которого возник вход.
Администраторы могут комбинировать дополнительный контекст с сопоставлением номеров и для дальнейшего повышения безопасности входа в систему.
Изменения схемы политики
Вы можете включить и отключить имя приложения и географическое расположение отдельно. В разделе featureSettingsможно использовать следующее сопоставление имен для каждой функции:
-
имя приложения:
displayAppInformationRequiredState -
географическое расположение:
displayLocationInformationRequiredState
Примечание.
Убедитесь, что вы используете новую схему политики для API Microsoft Graph. Для работы с Graph Explorer необходимо предоставить согласие на разрешения Policy.Read.All и Policy.ReadWrite.AuthenticationMethod.
Определите одну целевую группу для каждой возможности. Затем используйте следующую конечную точку API, чтобы изменить displayAppInformationRequiredState или displayLocationInformationRequiredState properties под featureSettings на enabled, а также включите или исключите нужные группы.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Дополнительные сведения см. в статье о типе ресурса MicrosoftAuthenticatorAuthenticationMethodConfiguration.
Пример включения дополнительного контекста для всех пользователей
В featureSettingsизмените displayAppInformationRequiredState и displayLocationInformationRequiredState с default на enabled.
Значение режима проверки подлинности — any или pushв зависимости от того, требуется ли также включить авторизацию без пароля через телефон. В этих примерах мы используем any, но если вы не хотите разрешать без пароля, используйте push.
Возможно, потребуется PATCH всю схему, чтобы предотвратить перезапись предыдущей конфигурации. В этом случае сначала сделайте GET. Затем обновите только соответствующие поля, а затем PATCH. В следующем примере показано, как обновить displayAppInformationRequiredState и displayLocationInformationRequiredState в featureSettings.
Только пользователи, которые имеют доступ к Authenticator в includeTargets, видят имя приложения или географическое расположение. Пользователи, которые не включены для Authenticator, не видят эти функции.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример того, как включить имя приложения и географическое расположение для отдельных групп
В featureSettingsизмените displayAppInformationRequiredState и displayLocationInformationRequiredState с default на enabled.
Внутри includeTarget для каждого featureSetting измените идентификатор с all_users на идентификатор группы из Центра администрирования Microsoft Entra.
Чтобы предотвратить перезапись предыдущей конфигурации, необходимо PATCH всю схему. Рекомендуем сначала выполнить GET. Затем обновите только соответствующие поля, а затем PATCH. В следующем примере показано обновление на displayAppInformationRequiredState и displayLocationInformationRequiredState под featureSettings.
Только пользователи, которые имеют доступ к Authenticator в includeTargets, видят имя приложения или географическое расположение. Пользователи, которые не включены для Authenticator, не видят эти функции.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Чтобы проверить, выполните GET еще раз и проверьте идентификатор объекта:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Пример отключения имени приложения и включения только географического расположения
В featureSettingsизмените состояние displayAppInformationRequiredState на default или disabled и displayLocationInformationRequiredState на enabled.
В includeTarget для каждого значения featureSetting измените идентификатор с all_users на объектный идентификатор группы из Центра администрирования Microsoft Entra.
Чтобы предотвратить перезапись предыдущей конфигурации, необходимо PATCH всю схему. Рекомендуем сначала выполнить GET. Затем обновите только соответствующие поля, а затем PATCH. В следующем примере показано обновление в displayAppInformationRequiredState и displayLocationInformationRequiredState под featureSettings.
Только пользователи, которые имеют доступ к Authenticator в includeTargets, видят имя приложения или географическое расположение. Пользователи, которые не включены для Authenticator, не видят эти функции.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример исключения группы из имени приложения и географического расположения
Кроме того, для каждой из функций вы изменяете идентификатор excludeTarget на идентификатор объекта группы из центра администрирования Microsoft Entra. Это изменение исключает для этой группы возможность видеть имя приложения или географическое расположение.
Чтобы предотвратить перезапись предыдущей конфигурации, необходимо PATCH всю схему. Рекомендуем сначала выполнить GET. Затем обновите только соответствующие поля, а затем PATCH. В следующем примере показано обновление для displayAppInformationRequiredState и displayLocationInformationRequiredState под featureSettings.
Только пользователи, которые имеют доступ к Authenticator в includeTargets, видят имя приложения или географическое расположение. Пользователи, которые не включены для Authenticator, не видят эти функции.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Пример удаления исключенной группы
В featureSettingsизмените состояния displayAppInformationRequiredState с default на enabled. Измените идентификатор excludeTarget на 00000000-0000-0000-0000-000000000000.
Чтобы предотвратить перезапись предыдущей конфигурации, необходимо PATCH всю схему. Рекомендуем сначала выполнить GET. Затем обновите только соответствующие поля, а затем PATCH. В следующем примере показано обновление для displayAppInformationRequiredState и displayLocationInformationRequiredState под featureSettings.
Только пользователи, которые имеют доступ к Authenticator в includeTargets, видят имя приложения или географическое расположение. Пользователи, которые не включены для Authenticator, не видят эти функции.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Отключение дополнительного контекста
Чтобы отключить дополнительный контекст, необходимо PATCHdisplayAppInformationRequiredState и displayLocationInformationRequiredState от enabled до disabled/default. Вы также можете отключить только одну из функций.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Включение дополнительного контекста в Центре администрирования Microsoft Entra
Чтобы включить имя приложения или географическое расположение в Центре администрирования Microsoft Entra, выполните следующие действия.
Войдите в центр администрирования Microsoft Entra как минимум как Администратор политики проверки подлинности.
Перейдите к Защита>Методы аутентификации>Microsoft Authenticator.
На вкладке "Основы" выберите "Да" и "Все пользователи", чтобы включить политику для всех пользователей. Измените режим проверки подлинности на Любой.
Только пользователи, у которых здесь активировано приложение Authenticator, попадают под политику, которая отображает имя приложения или географическое расположение входа, или исключения из этой политики. Пользователи, которые не включены для Authenticator, не могут видеть имя приложения или географическое расположение.
На вкладке Настройка для Показывать имя приложения в push- и безпарольных уведомлениях, измените Статус на Включено. Выберите, кого включить или исключить из политики, а затем выберите Сохранить.
Затем выполните тоже самое для параметра Показывать географическое расположение в push-уведомлениях и уведомлениях без пароля.
Имя приложения и географическое расположение можно настроить отдельно. Например, следующая политика включает имя приложения и географическое расположение для всех пользователей, но исключает группу операций из просмотра географического расположения.
Известные проблемы
Дополнительный контекст не поддерживается для серверов политики сети (NPS) или служб федерации Active Directory.
Пользователи могут изменять расположение, сообщаемое устройствами iOS и Android. В результате Authenticator обновляет базовый уровень безопасности для политик условного контроля доступа Location-Based (LBAC). Authenticator запрещает проверку подлинности, в которой пользователь может использовать другое расположение, отличное от фактического расположения GPS мобильного устройства, на котором установлен Authenticator.
В выпуске Authenticator за ноябрь 2023 г. пользователи, изменяющие расположение устройства, видят сообщение об отказе в Authenticator при выполнении проверки подлинности LBAC. Начиная с января 2024 года, всем пользователям, использующим старые версии Authenticator, будет заблокирована проверка подлинности LBAC при изменении местоположения.
- Authenticator версии 6.2309.6329 или более ранней на Android
- Authenticator версии 6.7.16 или более ранней для iOS
Чтобы найти, какие пользователи выполняют более старые версии Authenticator, используйте API Microsoft Graph.