如何在 Microsoft Authenticator 通知中使用其他內容 - 驗證方法原則
本主題說明如何將登入的應用程式名稱和地理位置新增至 Microsoft Authenticator 無密碼通知和推播通知,以改善使用者登入的安全性。
必要條件
您的組織必須使用新的驗證方法原則,為某些使用者或群組啟用 Microsoft Authenticator 無密碼通知和推播通知。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來編輯驗證方法原則。
注意
Microsoft Graph API 的原則結構描述已改善。 較舊的原則結構描述現已被取代。 請務必使用新的結構描述以利防止錯誤。
您可以將其他內容的目標設為只能是動態或巢狀的單一群組。 驗證方法原則支援內部部署同步的安全性群組和僅限雲端的安全性群組。
無密碼手機登入和多重要素驗證
當使用者在 Microsoft Authenticator 中收到無密碼手機登入或 MFA 推播通知時,將會看到要求核准的應用程式名稱,以及根據登入自哪個 IP 位址的位置。
其他內容可以與數字比對結合,以進一步改善登入安全性。
原則結構描述變更
您可以分別啟用和停用應用程式名稱和地理位置。 在 featureSettings 底下,您可以針對各項功能使用下列名稱對應:
- 應用程式名稱:displayAppInformationRequiredState
- 地理位置:displayLocationInformationRequiredState
注意
請務必對 Microsoft Graph API 使用新的原則結構描述。 在 Graph 總管中,您必須同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。
識別每個功能的單一目標群組。 然後,使用下列 API 端點來變更 featureSettings 下的 displayAppInformationRequiredState 或 displayLocationInformationRequiredState 屬性,以啟用並包含或排除您想要的群組:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如需詳細資訊,請參閱 microsoftAuthenticatorAuthenticationMethodConfiguration 資源類型。
如何為所有使用者啟用其他內容的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。
驗證模式的值可以是 any or push,這取決於您是否也要啟用無密碼手機登入。 在這些範例中,我們將使用 any,但如果您不想要允許無密碼,請使用 push。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 在這種情況下,請先執行 GET,只更新相關的欄位,然後再使用 PATCH。 下列範例示範如何更新 featureSettings 下的 displayAppInformationRequiredState 和 displayLocationInformationRequiredState。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何為個別群組啟用應用程式名稱和地理位置的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
若要確認,請再次執行 GET 並確認 ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如何停用應用程式名稱和僅啟用地理位置的範例
在 featureSettings 中,將 displayAppInformationRequiredState 的狀態變更為 default 或 disabled,並將 displayLocationInformationRequiredState 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何從應用程式名稱和地理位置排除群組的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的狀態從 default 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
此外,針對每個功能,您要將 excludeTarget 的識別碼變更為 Microsoft Entra 系統管理中心中群組的 ObjectID。 此變更會將該群組排除,使其無法看到應用程式名稱或地理位置。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
移除排除群組的範例
在 featureSettings 中,將 displayAppInformationRequiredState 的狀態從 default 變更為 enabled。您必須將 excludeTarget 的 id 變更為 00000000-0000-0000-0000-000000000000。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
關閉其他內容
若要關閉其他內容,您必須使用 PATCH 將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 enabled 變更為 disabled/default。 您也可以只關閉其中一個功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
在 Microsoft Entra 系統管理中心中啟用其他內容
若要在 Microsoft Entra 系統管理中心中啟用應用程式名稱或地理位置,請完成下列步驟:
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[Microsoft Authenticator]。
在 [基本] 索引標籤上,按一下 [是] 和 [所有使用者] 以啟用每個人的原則,並將 [驗證模式] 變更為 [任何]。
只有在此處啟用 Microsoft Authenticator 的使用者才能包括在原則中以顯示登入的應用程式名稱或地理位置,或從中予以排除。 未啟用 Microsoft Authenticator 的使用者看不到應用程式名稱或地理位置。
![螢幕擷取畫面:如何啟用 [任何] 驗證模式的 Microsoft Authenticator 設定。](media/how-to-mfa-additional-context/enable-settings-additional-context.png)
在 [設定] 索引標籤上,針對 [在推播和無密碼通知中顯示應用程式名稱],將 [狀態] 變更為 [已啟用],並選擇要在原則中包含或排除的人員,然後按一下 [儲存]。
然後針對 [在推播和無密碼通知中顯示地理位置] 執行相同的作業。
您可以個別設定應用程式名稱和地理位置。 例如,下列原則會為所有使用者啟用應用程式名稱和地理位置,但會排除 Operations 群組,使其看不到地理位置。
已知問題
網路原則伺服器 (NPS) 或 Active Directory 同盟服務 (AD FS) 不支援其他內容。
使用者可以修改 iOS 和 Android 裝置所報告的位置。 因此,Microsoft Authenticator 正在更新其「位置型存取控制 (LBAC)」條件式存取原則的安全性基準。 如果使用者使用的位置與安裝了 Authenticator 的行動裝置的實際 GPS 位置不同,則 Authenticator 將拒絕驗證。
在 Authenticator 2023 年 11 月版本中,修改其裝置位置的使用者在進行 LBAC 驗證時將在 Authenticator 中看到拒絕訊息。 從 2024 年 1 月開始,任何執行舊版 Authenticator 版本的使用者都將被阻止使用修改過的位置進行 LBAC 驗證:
- Android 上的 Authenticator 6.2309.6329 版或更早版本
- iOS 上的 Authenticator 6.7.16 版或更早版本
若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API。