Jak používat další kontext v oznámeních Microsoft Authenticatoru – zásady metod ověřování

Toto téma popisuje, jak zlepšit zabezpečení přihlašování uživatelů přidáním názvu aplikace a geografického umístění přihlášení do aplikace Microsoft Authenticator bez hesla a nabízených oznámení.

Požadavky

  • Vaše organizace potřebuje povolit microsoft Authenticator bez hesla a nabízená oznámení pro některé uživatele nebo skupiny pomocí nových zásad ověřování. Zásady metod ověřování můžete upravit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API.

    Poznámka:

    Vylepšili jsme schéma zásad pro rozhraní Microsoft Graph API. Starší schéma zásad je teď zastaralé. Ujistěte se, že používáte nové schéma, abyste zabránili chybám.

  • Další kontext je možné cílit jenom na jednu skupinu, která může být dynamická nebo vnořená. Pro zásady metody ověřování se podporují místní synchronizované skupiny zabezpečení a skupiny zabezpečení jen pro cloud.

Přihlášení k telefonu bez hesla a vícefaktorové ověřování

Když uživatel obdrží v Microsoft Authenticatoru nabízené oznámení o přihlášení pomocí telefonu bez hesla nebo vícefaktorového ověřování, zobrazí se mu název aplikace, která požaduje schválení, a umístění na základě IP adresy, ze které pochází přihlášení.

Snímek obrazovky s dalším kontextem v nabízeném oznámení MFA

Další kontext je možné kombinovat s párování čísel, aby se dále zlepšilo zabezpečení přihlašování.

Snímek obrazovky s dalším kontextem, který odpovídá číslu v nabízeném oznámení MFA

Změny schématu zásad

Název aplikace a zeměpisné umístění můžete povolit a zakázat samostatně. V části featureSettings můžete pro každou funkci použít následující mapování názvů:

  • Název aplikace: displayAppInformationRequiredState
  • Zeměpisné umístění: displayLocationInformationRequiredState

Poznámka:

Ujistěte se, že používáte nové schéma zásad pro rozhraní Microsoft Graph API. V Graph Exploreru budete muset udělit souhlas s oprávněními Policy.Read.All a Policy.ReadWrite.AuthenticationMethod .

Identifikujte jednu cílovou skupinu pro každou z těchto funkcí. Potom pomocí následujícího koncového bodu rozhraní API změňte vlastnosti displayAppInformationRequiredState nebo displayLocationInformationRequiredState v části featureSettings a povolte a zahrňte nebo vylučte požadované skupiny:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Další informace naleznete v tématu microsoftAuthenticatorAuthenticationMethodConfiguration typ prostředku.

Příklad povolení dalšího kontextu pro všechny uživatele

V featureSettings změňte displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozí na povoleno.

Hodnota režimu ověřování může být buď libovolná , nebo nabízená v závislosti na tom, jestli chcete povolit přihlášení telefonem bez hesla nebo ne. V těchto příkladech použijeme libovolnou možnost, ale pokud nechcete povolit bez hesla, použijte funkci Push.

Možná budete muset opravit celé schéma, abyste zabránili přepsání předchozí konfigurace. V takovém případě nejprve proveďte get, aktualizujte pouze příslušná pole a pak PATCH. Následující příklad ukazuje, jak aktualizovat displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.

Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Příklad povolení názvu aplikace a geografického umístění pro samostatné skupiny

V featureSettings změňte displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozí na povoleno. Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.

Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.

Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Pokud to chcete ověřit, spusťte příkaz GET znovu a ověřte ID objektu:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Příklad zakázání názvu aplikace a povolení pouze geografického umístění

V featureSettings změňte stav displayAppInformationRequiredState na výchozí nebo zakázané a displayLocationInformationRequiredState na povoleno. Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.

Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.

Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Příklad vyloučení skupiny z názvu aplikace a geografického umístění

V featureSettings změňte stavy displayAppInformationRequiredState a displayLocationInformationRequiredState z výchozí na povoleno. Uvnitř includeTarget pro každou featureSetting, změňte ID z all_users na ObjectID skupiny z Centra pro správu Microsoft Entra.

Kromě toho pro každou z funkcí změníte ID excludeTarget na ObjectID skupiny z Centra pro správu Microsoft Entra. Tato změna vyloučí tuto skupinu ze zobrazení názvu aplikace nebo zeměpisného umístění.

Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.

Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Příklad odebrání vyloučené skupiny

V featureSettings změňte stavy displayAppInformationRequiredState z výchozí na povoleno. Musíte změnit ID excludeTarget na 00000000-0000-0000-0000-000000000000.

Abyste zabránili přepsání předchozí konfigurace, musíte opravit celé schéma. Doporučujeme nejprve provést get a pak aktualizovat pouze příslušná pole a pak PATCH. Následující příklad ukazuje aktualizaci displayAppInformationRequiredState a displayLocationInformationRequiredState v části featureSettings.

Název aplikace nebo zeměpisné umístění uvidí jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator v rámci programu Microsoft Authenticator. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tyto funkce neuvidí.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Vypnutí dalšího kontextu

Pokud chcete vypnout další kontext, budete muset patch displayAppInformationRequiredState a displayLocationInformationRequiredState z povoleného výchozího nastavení zakázat/. Můžete také vypnout jenom jednu z těchto funkcí.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Povolení dalšího kontextu v Centru pro správu Microsoft Entra

Pokud chcete povolit název aplikace nebo zeměpisné umístění v Centru pro správu Microsoft Entra, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.

  2. Přejděte k metodám>ověřování ochrany>microsoft Authenticator.

  3. Na kartě Základy klepněte na tlačítko Ano a Všichni uživatelé, chcete-li povolit zásady pro všechny, a změnit režim ověřování na Jakýkoli.

    V zásadách můžou být zahrnuti jenom uživatelé, kteří mají povolenou aplikaci Microsoft Authenticator, aby se zobrazil název aplikace nebo zeměpisné umístění přihlášení nebo se z něj vyloučili. Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, nevidí název aplikace ani zeměpisné umístění.

    Snímek obrazovky s povolením nastavení aplikace Microsoft Authenticator pro jakýkoli režim ověřování

  4. Na kartě Konfigurovat vyberte možnost Zobrazit název aplikace v nabízených oznámeních a oznámeních bez hesla, změňte stav na Povoleno, zvolte, kdo má zásadu zahrnout nebo vyloučit, a klikněte na Uložit.

    Snímek obrazovky s povolením názvu aplikace

    Pak to samé udělejte u možnosti Zobrazit zeměpisné umístění v nabízených oznámeních a oznámeních bez hesla.

    Snímek obrazovky s povolením geografické polohy

    Název aplikace a zeměpisné umístění můžete nakonfigurovat samostatně. Následující zásada například povoluje název aplikace a zeměpisné umístění pro všechny uživatele, ale vylučuje skupinu Operací ze zobrazení geografického umístění.

    Snímek obrazovky s zvlášť povolením názvu aplikace a geografického umístění

Známé problémy

  • Další kontext se nepodporuje pro server NPS (Network Policy Server) ani Active Directory Federation Services (AD FS) (AD FS).

  • Uživatelé můžou změnit umístění hlášené zařízeními s iOSem a Androidem. V důsledku toho Microsoft Authenticator aktualizuje směrný plán zabezpečení pro zásady podmíněného přístupu na základě umístění (LBAC). Authenticator zamítne ověřování, kde uživatel může používat jiné umístění než skutečné umístění GPS mobilního zařízení, na kterém je nainstalovaná aplikace Authenticator.

    Ve verzi Authenticatoru z listopadu 2023 se uživatelům, kteří upravují umístění svého zařízení, při ověřování LBAC zobrazí v authenticatoru odepřenou zprávu. Od ledna 2024 budou všichni uživatelé se staršími verzemi Authenticatoru zablokovaní z ověřování LBAC s upraveným umístěním:

    • Authenticator verze 6.2309.6329 nebo starší v Androidu
    • Authenticator verze 6.7.16 nebo starší v iOSu

    Pokud chcete zjistit, kteří uživatelé používají starší verze Authenticatoru, použijte rozhraní Microsoft Graph API.

Další kroky

Metody ověřování v Microsoft Entra ID – aplikace Microsoft Authenticator