Verwendung von zusätzlichem Kontext in Benachrichtigungen zu Microsoft Authenticator-Benachrichtigungen – Richtlinie zu Authentifizierungsmethoden

In diesem Thema wird beschrieben, wie Sie die Sicherheit der Benutzeranmeldung verbessern, indem Sie den Anwendungsnamen und den geografischen Standort der Anmeldung zum kennwortlosen Microsoft Authenticator und Push-Benachrichtigungen hinzufügen.

Voraussetzungen

  • Ihr Unternehmen muss den kennwortlosen Microsoft Authenticator und Push-Benachrichtigungen für einige Benutzer oder Gruppen mithilfe der neuen Authentifizierungsmethoden-Richtlinien-API aktivieren. Sie können die Authentifizierungsmethodenrichtlinie mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API bearbeiten.

    Hinweis

    Das Richtlinienschema für Microsoft Graph-APIs wurde verbessert. Das ältere Richtlinienschema ist jetzt veraltet. Stellen Sie sicher, dass Sie das neue Schema verwenden, um Fehler zu verhindern.

  • Zusätzlicher Kontext kann nur auf eine einzige Gruppe ausgerichtet werden, die dynamisch oder verschachtelt sein kann. Für die Richtlinie zur Authentifizierungsmethode werden synchronisierte Sicherheitsgruppen vor Ort und reine Cloud-Sicherheitsgruppen unterstützt.

Passwortlose Telefonanmeldung und Multifaktor-Authentifizierung

Wenn ein Benutzer eine kennwortlose Telefonanmeldung oder eine MFA-Push-Benachrichtigung in der Microsoft Authenticator-App erhält, sieht er den Namen der Anwendung, die die Genehmigung anfordert, sowie den Standort basierend auf der IP-Adresse, von der die Anmeldung ausgeht.

Screenshot des zusätzlichen Kontexts in der MFA-Push-Benachrichtigung.

Der zusätzliche Kontext kann mit dem Nummernabgleich kombiniert werden, um die Anmeldesicherheit weiter zu verbessern.

Screenshot des zusätzlichen Kontexts mit Nummernabgleich in der MFA-Push-Benachrichtigung.

Änderungen am Richtlinienschema

Sie können den Namen und den geografischen Standort der Anwendung separat aktivieren und deaktivieren. Unter „featureSettings“ können Sie die folgende Namenszuordnung für die entsprechenden Features verwenden:

  • Anwendungsname: displayAppInformationRequiredState
  • Geografischer Standort: displayLocationInformationRequiredState

Hinweis

Verwenden Sie in jedem Fall das neue Richtlinienschema für Microsoft Graph-APIs. Im Graph-Tester müssen Sie den Berechtigungen Policy.Read.All und Policy.ReadWrite.AuthenticationMethod zustimmen.

Identifizieren Sie Ihre einzelne Zielgruppe für jedes der Features. Verwenden Sie dann den folgenden API-Endpunkt, um die Eigenschaften displayAppInformationRequiredState oder displayLocationInformationRequiredState unter featureSettings in aktiviert zu ändern und die gewünschten Gruppen einzubeziehen oder auszuschließen:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Weitere Informationen finden Sie im Ressourcentyp "microsoftAuthenticatorAuthenticationMethodConfiguration".

Beispiel für die Aktivierung von zusätzlichem Kontext für alle Benutzer

Ändern Sie in featureSettingsdisplayAppInformationRequiredState und displayLocationInformationRequiredStatestandardmäßig in aktiviert.

Der Wert für Authentifizierungsmodus kann entweder beliebig oder push sein, je nachdem, ob Sie auch die Anmeldung über ein passwortloses Telefon aktivieren möchten oder nicht. In diesen Beispielen verwenden wir beliebig, aber wenn Sie kein Passwort zulassen wollen, verwenden Sie push.

Möglicherweise müssen Sie das gesamte Schema PATCHEN, um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Verwenden Sie in diesem Fall zuerst eine GET-Anforderung, aktualisieren Sie nur die relevanten Felder, und führen Sie dann eine PATCH-Anforderung aus. Das folgende Beispiel zeigt, wie Sie displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings aktualisieren.

Nur Benutzer, die für Microsoft Authenticator unter includeTargets von Microsoft Authenticator aktiviert sind, sehen den Anwendungsnamen bzw. den geografischen Standort. Benutzern, die nicht für Microsoft Authenticator aktiviert sind, werden diese Features nicht angezeigt.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Beispiel einer Aktivierung des Anwendungsnamens und des geografischen Standorts für separate Gruppen

Ändern Sie in featureSettingsdisplayAppInformationRequiredState und displayLocationInformationRequiredState standardmäßig in aktiviert. Ändern Sie in includeTarget" für jedes featureSetting die ID von all_users in ObjectID der Gruppe aus dem Microsoft Entra Admin Center.

Sie müssen das gesamte Schema PATCHEN, um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Es wird empfohlen, zuerst eine GET-Anforderung auszuführen, nur die relevanten Felder zu aktualisieren und dann eine PATCH-Anforderung auszuführen. Das folgende Beispiel zeigt, wie displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings aktualisiert werden.

Nur Benutzer, die für Microsoft Authenticator unter includeTargets von Microsoft Authenticator aktiviert sind, sehen den Anwendungsnamen bzw. den geografischen Standort. Benutzern, die nicht für Microsoft Authenticator aktiviert sind, werden diese Features nicht angezeigt.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Führen Sie zur Überprüfung erneut eine GET-Anforderung aus, und überprüfen Sie die Objekt-ID:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Beispiel der Deaktivierung des Anwendungsnamens und der alleinigen Aktivierung des geografischen Standorts

Ändern Sie in featureSettings den Status von displayAppInformationRequiredState in default oder deaktiviert und displayLocationInformationRequiredState uo aktiviert. Ändern Sie in includeTarget für jedes featureSetting die ID von all_users in ObjectID der Gruppe aus dem Microsoft Entra Admin Center.

Sie müssen das gesamte Schema PATCHEN, um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Es wird empfohlen, zuerst eine GET-Anforderung auszuführen, nur die relevanten Felder zu aktualisieren und dann eine PATCH-Anforderung auszuführen. Das folgende Beispiel zeigt, wie displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings aktualisiert werden.

Nur Benutzer, die für Microsoft Authenticator unter includeTargets von Microsoft Authenticator aktiviert sind, sehen den Anwendungsnamen bzw. den geografischen Standort. Benutzern, die nicht für Microsoft Authenticator aktiviert sind, werden diese Features nicht angezeigt.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Beispiel für das Ausschließen einer Gruppe aus dem Anwendungsnamen und dem geografischen Standort

Ändern Sie in featureSettings die Status von displayAppInformationRequiredState und displayLocationInformationRequiredState standardmäßig in aktiviert. Ändern Sie in includeTarget" für jedes featureSetting die ID von all_users in ObjectID der Gruppe aus dem Microsoft Entra Admin Center.

Ändern Sie darüber hinaus für jedes der Features die ID von excludeTarget in die Objekt-ID der Gruppe im Microsoft Entra Admin Center. Durch diese Änderung kann diese Gruppe den Anwendungsnamen oder den geografischen Standort nicht anzeigen.

Sie müssen das gesamte Schema PATCHEN, um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Es wird empfohlen, zuerst eine GET-Anforderung auszuführen, nur die relevanten Felder zu aktualisieren und dann eine PATCH-Anforderung auszuführen. Das folgende Beispiel zeigt, wie displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings aktualisiert werden.

Nur Benutzer, die für Microsoft Authenticator unter includeTargets von Microsoft Authenticator aktiviert sind, sehen den Anwendungsnamen bzw. den geografischen Standort. Benutzern, die nicht für Microsoft Authenticator aktiviert sind, werden diese Features nicht angezeigt.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Beispiel für das Entfernen der ausgeschlossenen Gruppe

Ändern Sie unter featureSettings den Status von displayAppInformationRequiredState von Standard in aktiviert. Sie müssen die ID vonr excludeTarget in 00000000-0000-0000-0000-000000000000ändern.

Sie müssen das gesamte Schema PATCHEN, um zu verhindern, dass vorherige Konfigurationen überschrieben werden. Es wird empfohlen, zuerst eine GET-Anforderung auszuführen, nur die relevanten Felder zu aktualisieren und dann eine PATCH-Anforderung auszuführen. Das folgende Beispiel zeigt, wie displayAppInformationRequiredState und displayLocationInformationRequiredState unter featureSettings aktualisiert werden.

Nur Benutzer, die für Microsoft Authenticator unter includeTargets von Microsoft Authenticator aktiviert sind, sehen den Anwendungsnamen bzw. den geografischen Standort. Benutzern, die nicht für Microsoft Authenticator aktiviert sind, werden diese Features nicht angezeigt.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Deaktivieren des zusätzlichen Kontexts

Um zusätzlichen Kontext zu deaktivieren, müssen Sie displayAppInformationRequiredState und displayLocationInformationRequiredState von aktiviert in deaktiviert /Standard PATCHEN. Sie können auch nur eines der Features deaktivieren.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Aktivieren von zusätzlichem Kontext im Microsoft Entra Admin Center

Um den Anwendungsnamen oder den geografischen Standort im Microsoft Entra Admin Center zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.

  2. Navigieren Sie zu Schutz>Authentifizierungsmethoden>Microsoft Authenticator.

  3. Klicken Sie auf der Registerkarte Grundlagen auf Ja und Alle Benutzer, um die Richtlinie für jeden zu aktivieren und den Authentifizierungsmodus in Alle zu ändern.

    Nur Benutzer, die hier für Microsoft Authenticator aktiviert sind, können in die Richtlinie aufgenommen werden, um den Anwendungsnamen oder den geografischen Speicherort der Anmeldung anzuzeigen oder von dieser ausgeschlossen zu werden. Benutzer, die für Microsoft Authenticator nicht aktiviert sind, können keinen Anwendungsnamen oder geografischen Standort anzeigen.

    Screenshot zum Aktivieren der Microsoft Authenticator-Einstellungen für jeden Authentifizierungsmodus.

  4. Ändern Sie auf der Registerkarte Konfigurieren den Anwendungsnamen in Push- und Kennwortlosen Benachrichtigungen und ändern Sie den Status in Aktiviert, wählen Sie aus, wer von der Richtlinie eingeschlossen oder ausgeschlossen werden soll, und klicken Sie auf Speichern.

    Screenshot zum Aktivieren des Anwendungsnamens.

    Geografischen Standort in Push-Benachrichtigungen und kennwortlosen Benachrichtigungen anzeigen.

    Screenshot zum Aktivieren des geografischen Standorts.

    Sie können den Anwendungsnamen und den geografischen Standort separat konfigurieren. Die folgende Richtlinie aktiviert beispielsweise den Anwendungsnamen und den geografischen Standort für alle Benutzer, schließt jedoch die Betriebsgruppe von der Anzeige des geografischen Standorts aus.

    Screenshot, wie Anwendungsname und geografischer Standort separat aktiviert werden.

Bekannte Probleme

  • Zusätzlicher Kontext wird für Azure Netzwerk-Policy-Server (NPS) oder Active Directory-Verbunddienste (AD FS) nicht unterstützt.

  • Benutzer können den von iOS- und Android-Geräten gemeldeten Speicherort ändern. Daher aktualisiert Microsoft Authenticator seine Sicherheitsgrundwerte für LBAC-Richtlinien (Location Based Access Control). Authenticator verweigert Authentifizierungen, bei denen der Benutzer möglicherweise einen anderen Ort als den tatsächlichen GPS-Standort des mobilen Geräts verwendet, auf dem Authenticator installiert ist.

    In der November 2023-Version von Authenticator sehen Benutzer, die den Standort ihres Geräts ändern, eine Verweigerungsmeldung in Authenticator, wenn Sie eine LBAC-Authentifizierung durchführen. Ab Januar 2024 werden alle Benutzer, die ältere Authenticator-Versionen ausführen, von der LBAC-Authentifizierung mit einem geänderten Speicherort blockiert:

    • Authenticator Version 6.2309.6329 oder früher unter Android
    • Authenticator Version 6.7.16 oder früher unter iOS

    Verwenden Sie Microsft Graph-APIs, um zu ermitteln, welche Benutzer*innen ältere Versionen von Authenticator ausführen.

Nächste Schritte

Authentifizierungsmethoden in Microsoft Entra ID – Microsoft Authenticator-App