在 Authenticator 通知中使用額外的背景資訊 - 驗證方法政策
本文討論如何將登入的應用程式名稱和地理位置新增至 Authenticator 無密碼和推播通知,以改善使用者登入的安全性。
必要條件
- 您的組織必須使用新的驗證方法原則,為某些使用者或群組啟用 Authenticator 無密碼和推播通知。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來編輯驗證方法原則。
- 您可以將其他內容的目標設為只能是動態或巢狀的單一群組。 群組可以從內部部署系統或僅透過雲端進行同步。
無密碼手機登入和多重要素驗證
當使用者在 Authenticator 中收到無密碼電話登入或多重要素驗證 (MFA) 推播通知時,他們會看到要求核准的應用程式名稱,以及根據登入來源 IP 位址顯示的位置。
系統管理員可以結合額外的上下文與 數字匹配,以進一步提升登入安全性。
原則結構描述變更
您可以個別啟用和停用應用程式名稱和地理位置。 在 [featureSettings] 下,您可以針對每項功能使用下列名稱映射:
-
應用程式名稱:
displayAppInformationRequiredState -
地理位置:
displayLocationInformationRequiredState
注意
請確定您將新的原則架構用於 Microsoft Graph API。 在 Graph Explorer 中,您需要授予 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 許可。
識別每個功能的單一目標群組。 然後使用下列 API 端點,將 displayAppInformationRequiredState 或 displayLocationInformationRequiredState properties 變更為 featureSettings 底下的 enabled,並包含或排除您想要的群組:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如需詳細資訊,請參閱 microsoftAuthenticatorAuthenticationMethodConfiguration 資源類型。
如何為所有使用者啟用其他內容的範例
在 featureSettings中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。
驗證模式的值是 any 或 push,視您是否也想要啟用無密碼電話登入而定。 在這些範例中,我們使用 any,但如果您不想允許無密碼,請使用 push。
您可能需要 PATCH 整個架構,以避免覆寫任何先前的設定。 在此情況下,請先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例示範如何在 featureSettings底下更新 displayAppInformationRequiredState 和 displayLocationInformationRequiredState。
只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何為個別群組啟用應用程式名稱和地理位置的範例
在 featureSettings中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。
在每個 featureSetting的 includeTarget 內,將 ID 從 all_users 變更為 Microsoft Entra 系統管理中心群組的物件識別碼。
您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings底下對 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 所做的更新。
只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
若要確認,請再次執行 GET 並確認物件識別碼:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如何停用應用程式名稱並只啟用地理位置的範例
在 featureSettings中,將 displayAppInformationRequiredState 的狀態變更為 default 或 disabled,並將 displayLocationInformationRequiredState 變更為 enabled。
在 includeTarget 中,對於每個 featureSetting 值,將 ID 從 all_users 更改為 Microsoft Entra 系統管理中心中群組的 ID。
您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 接著只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings底下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何從應用程式名稱和地理位置排除群組的範例
此外,您可以針對每個功能,將 excludeTarget 的識別碼從 Microsoft Entra 系統管理中心更改為該群組的物件識別碼。 這項變更會排除該群組,而看不到應用程式名稱或地理位置。
您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 我們建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings之下對 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
移除排除群組的範例
在 featureSettings中,將 displayAppInformationRequiredState 的狀態從 default 變更為 enabled。 將 excludeTarget 的識別碼變更為 00000000-0000-0000-0000-000000000000。
您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示對 featureSettings中的 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 進行更新。
只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
關閉其他內容
若要關閉其他內容,您必須從 enabled 將 PATCH、displayAppInformationRequiredState 和 displayLocationInformationRequiredState 設置到 disabled/default。 您也可以關閉其中一項功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
在 Microsoft Entra 系統管理中心中啟用其他內容
若要在 Microsoft Entra 系統管理中心啟用應用程式名稱或地理位置,請遵循下列步驟:
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[Microsoft Authenticator]。
在 [基本] 索引標籤上,選取 [是] 和 [所有使用者] 以啟用該原則給所有人。 將 驗證模式 變更為 [任何]。
只有在這裡為 Authenticator 啟用的使用者才會包含在原則中,以顯示登入的應用程式名稱或地理位置,或將其排除在外。 未啟用 Authenticator 的使用者看不到應用程式名稱或地理位置。
在 [設定] 索引標籤上,針對 [在推播和無密碼通知中顯示應用程式名稱],將 [狀態] 變更為 [啟用 ]。 選擇要從原則中包含或排除的人員,然後選取 [儲存] [儲存]。
然後針對 [在推播和無密碼通知中顯示地理位置] 執行相同的作業。
您可以個別設定應用程式名稱和地理位置。 例如,下列原則允許所有使用者查看應用程式名稱和地理位置,但不允許 Operations 群組查看地理位置。
已知問題
網路原則伺服器(NPS)或 Active Directory 聯合服務不支援附加內容。
使用者可以修改 iOS 和 Android 裝置所報告的位置。 因此,Authenticator 將更新其 Location-Based 存取控制(LBAC)條件式存取政策的安全性基準。 若使用者可能使用的地點與安裝 Authenticator 的行動裝置的實際 GPS 位置不同,驗證器會拒絕該驗證。
在 2023 年 11 月版本的 Authenticator 中,修改裝置位置的使用者會在驗證器中執行 LBAC 驗證時看到拒絕訊息。 從 2024 年 1 月開始,任何使用舊版 Authenticator 的使用者,將會被封鎖,無法使用修改位置的 LBAC 驗證。
- Android 上的 Authenticator 6.2309.6329 版或更早版本
- iOS 上的 Authenticator 6.7.16 版或更早版本
若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API。