共用方式為


在 Authenticator 通知中使用額外的背景資訊 - 驗證方法政策

本文討論如何將登入的應用程式名稱和地理位置新增至 Authenticator 無密碼和推播通知,以改善使用者登入的安全性。

必要條件

  • 您的組織必須使用新的驗證方法原則,為某些使用者或群組啟用 Authenticator 無密碼和推播通知。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來編輯驗證方法原則。
  • 您可以將其他內容的目標設為只能是動態或巢狀的單一群組。 群組可以從內部部署系統或僅透過雲端進行同步。

無密碼手機登入和多重要素驗證

當使用者在 Authenticator 中收到無密碼電話登入或多重要素驗證 (MFA) 推播通知時,他們會看到要求核准的應用程式名稱,以及根據登入來源 IP 位址顯示的位置。

顯示 MFA 推播通知中更多內容的螢幕快照。

系統管理員可以結合額外的上下文與 數字匹配,以進一步提升登入安全性。

顯示在 MFA 推播通知中數字匹配的額外背景資訊的螢幕快照。

原則結構描述變更

您可以個別啟用和停用應用程式名稱和地理位置。 在 [featureSettings] 下,您可以針對每項功能使用下列名稱映射:

  • 應用程式名稱displayAppInformationRequiredState
  • 地理位置displayLocationInformationRequiredState

注意

請確定您將新的原則架構用於 Microsoft Graph API。 在 Graph Explorer 中,您需要授予 Policy.Read.AllPolicy.ReadWrite.AuthenticationMethod 許可。

識別每個功能的單一目標群組。 然後使用下列 API 端點,將 displayAppInformationRequiredStatedisplayLocationInformationRequiredState properties 變更為 featureSettings 底下的 enabled,並包含或排除您想要的群組:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

如需詳細資訊,請參閱 microsoftAuthenticatorAuthenticationMethodConfiguration 資源類型

如何為所有使用者啟用其他內容的範例

featureSettings中,將 displayAppInformationRequiredStatedisplayLocationInformationRequiredStatedefault 變更為 enabled

驗證模式的值是 anypush,視您是否也想要啟用無密碼電話登入而定。 在這些範例中,我們使用 any,但如果您不想允許無密碼,請使用 push

您可能需要 PATCH 整個架構,以避免覆寫任何先前的設定。 在此情況下,請先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例示範如何在 featureSettings底下更新 displayAppInformationRequiredStatedisplayLocationInformationRequiredState

只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

如何為個別群組啟用應用程式名稱和地理位置的範例

featureSettings中,將 displayAppInformationRequiredStatedisplayLocationInformationRequiredStatedefault 變更為 enabled。 在每個 featureSettingincludeTarget 內,將 ID 從 all_users 變更為 Microsoft Entra 系統管理中心群組的物件識別碼。

您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings底下對 displayAppInformationRequiredStatedisplayLocationInformationRequiredState 所做的更新。

只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

若要確認,請再次執行 GET 並確認物件識別碼:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

如何停用應用程式名稱並只啟用地理位置的範例

featureSettings中,將 displayAppInformationRequiredState 的狀態變更為 defaultdisabled,並將 displayLocationInformationRequiredState 變更為 enabled。 在 includeTarget 中,對於每個 featureSetting 值,將 ID 從 all_users 更改為 Microsoft Entra 系統管理中心中群組的 ID。

您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 接著只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings底下 displayAppInformationRequiredStatedisplayLocationInformationRequiredState 的更新。

只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

如何從應用程式名稱和地理位置排除群組的範例

此外,您可以針對每個功能,將 excludeTarget 的識別碼從 Microsoft Entra 系統管理中心更改為該群組的物件識別碼。 這項變更會排除該群組,而看不到應用程式名稱或地理位置。

您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 我們建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示在 featureSettings之下對 displayAppInformationRequiredStatedisplayLocationInformationRequiredState 的更新。

只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

移除排除群組的範例

featureSettings中,將 displayAppInformationRequiredState 的狀態從 default 變更為 enabled。 將 excludeTarget 的識別碼變更為 00000000-0000-0000-0000-000000000000

您必須 PATCH 整個架構,以避免覆寫任何先前的設定。 建議您先執行 GET。 然後只更新相關的欄位,然後 PATCH。 下列範例顯示對 featureSettings中的 displayAppInformationRequiredStatedisplayLocationInformationRequiredState 進行更新。

只有在 includeTargets 下為 Authenticator 啟用的使用者,才能看到應用程式名稱或地理位置。 未啟用 Authenticator 的使用者看不到這些功能。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

關閉其他內容

若要關閉其他內容,您必須從 enabledPATCHdisplayAppInformationRequiredStatedisplayLocationInformationRequiredState 設置到 disabled/default。 您也可以關閉其中一項功能。

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

在 Microsoft Entra 系統管理中心中啟用其他內容

若要在 Microsoft Entra 系統管理中心啟用應用程式名稱或地理位置,請遵循下列步驟:

  1. 以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心

  2. 瀏覽至 [保護]>[驗證方法]>[Microsoft Authenticator]

  3. 在 [基本] 索引標籤上,選取 [] 和 [所有使用者] 以啟用該原則給所有人。 將 驗證模式 變更為 [任何]。

    只有在這裡為 Authenticator 啟用的使用者才會包含在原則中,以顯示登入的應用程式名稱或地理位置,或將其排除在外。 未啟用 Authenticator 的使用者看不到應用程式名稱或地理位置。

    顯示如何啟用任何驗證模式驗證器設定的螢幕快照。

  4. 在 [設定] 索引標籤上,針對 [在推播和無密碼通知中顯示應用程式名稱],將 [狀態] 變更為 [啟用 ]。 選擇要從原則中包含或排除的人員,然後選取 [儲存] [儲存]

    顯示如何啟用應用程式名稱的螢幕快照。

    然後針對 [在推播和無密碼通知中顯示地理位置] 執行相同的作業。

    顯示如何啟用地理位置的螢幕快照。

    您可以個別設定應用程式名稱和地理位置。 例如,下列原則允許所有使用者查看應用程式名稱和地理位置,但不允許 Operations 群組查看地理位置。

    顯示如何個別啟用應用程式名稱和地理位置的螢幕快照。

已知問題

  • 網路原則伺服器(NPS)或 Active Directory 聯合服務不支援附加內容。

  • 使用者可以修改 iOS 和 Android 裝置所報告的位置。 因此,Authenticator 將更新其 Location-Based 存取控制(LBAC)條件式存取政策的安全性基準。 若使用者可能使用的地點與安裝 Authenticator 的行動裝置的實際 GPS 位置不同,驗證器會拒絕該驗證。

    在 2023 年 11 月版本的 Authenticator 中,修改裝置位置的使用者會在驗證器中執行 LBAC 驗證時看到拒絕訊息。 從 2024 年 1 月開始,任何使用舊版 Authenticator 的使用者,將會被封鎖,無法使用修改位置的 LBAC 驗證。

    • Android 上的 Authenticator 6.2309.6329 版或更早版本
    • iOS 上的 Authenticator 6.7.16 版或更早版本

    若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API