如何在 Microsoft Authenticator 通知中使用其他內容 - 驗證方法原則
本主題說明如何將登入的應用程式名稱和地理位置新增至 Microsoft Authenticator 無密碼通知和推播通知,以改善使用者登入的安全性。
必要條件
您的組織必須使用新的驗證方法原則,為某些使用者或群組啟用 Microsoft Authenticator 無密碼通知和推播通知。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft Graph API 來編輯驗證方法原則。
注意
Microsoft Graph API 的原則結構描述已改善。 較舊的原則結構描述現已被取代。 請務必使用新的結構描述以利防止錯誤。
您可以將其他內容的目標設為只能是動態或巢狀的單一群組。 驗證方法原則支援內部部署同步的安全性群組和僅限雲端的安全性群組。
無密碼手機登入和多重要素驗證
當使用者在 Microsoft Authenticator 中收到無密碼手機登入或 MFA 推播通知時,將會看到要求核准的應用程式名稱,以及根據登入自哪個 IP 位址的位置。
其他內容可以與數字比對結合,以進一步改善登入安全性。
原則結構描述變更
您可以分別啟用和停用應用程式名稱和地理位置。 在 featureSettings 底下,您可以針對各項功能使用下列名稱對應:
- 應用程式名稱:displayAppInformationRequiredState
- 地理位置:displayLocationInformationRequiredState
注意
請務必對 Microsoft Graph API 使用新的原則結構描述。 在 Graph 總管中,您必須同意 Policy.Read.All 和 Policy.ReadWrite.AuthenticationMethod 權限。
識別每個功能的單一目標群組。 然後,使用下列 API 端點來變更 featureSettings 下的 displayAppInformationRequiredState 或 displayLocationInformationRequiredState 屬性,以啟用並包含或排除您想要的群組:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
MicrosoftAuthenticatorAuthenticationMethodConfiguration 屬性
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| id | String | 驗證方法原則識別碼。 |
| state | authenticationMethodState | 可能的值為:已啟用 已停用 |
關聯性
| 關聯 | 類型 | 描述 |
|---|---|---|
| includeTargets | microsoftAuthenticatorAuthenticationMethodTarget 集合 | 可使用驗證方法的使用者或群組集合。 |
| featureSettings | microsoftAuthenticatorFeatureSettings 集合 | Microsoft Authenticator 功能的集合。 |
MicrosoftAuthenticator includeTarget 屬性
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| authenticationMode | String | 可能的值包括: any:允許無密碼手機登入和傳統的第二個要素通知。 deviceBasedPush:只允許無密碼手機登入通知。 push:只允許傳統的第二個要素推播通知。 |
| id | String | Microsoft Entra 使用者或群組的物件識別碼。 |
| targetType | authenticationMethodTargetType | 可能的值為:user、group。 |
MicrosoftAuthenticator featureSettings 屬性
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | 需要 MFA 通知的數字比對。 手機登入通知會忽略值。 |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | 判斷使用者是否在 Microsoft Authenticator 通知中顯示應用程式名稱。 |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | 判斷使用者是否在 Microsoft Authenticator 通知中顯示地理位置內容。 |
驗證方法功能設定屬性
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| excludeTarget | featureTarget | 從這項功能中排除的單一實體。 每個功能只能排除一個群組。 |
| includeTarget | featureTarget | 這項功能中包含的單一實體。 每個功能只能包含一個群組。 |
| 州/省 | advancedConfigState | 可能的值包括: enabled,明確地為所選群組啟用該功能。 disabled,明確地為所選群組停用該功能。 default,可讓 Microsoft Entra ID 管理是否為所選群組啟用或停用該功能。 |
功能目標屬性
屬性
| 屬性 | 類型 | 描述 |
|---|---|---|
| id | String | 目標實體的識別碼。 |
| targetType | featureTargetType | 目標實體的類型,例如群組、角色或系統管理單位。 可能的值為:「group」、「administrativeUnit」、「role」、「unknownFutureValue」。 |
如何為所有使用者啟用其他內容的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。
驗證模式的值可以是 any or push,這取決於您是否也要啟用無密碼手機登入。 在這些範例中,我們將使用 any,但如果您不想要允許無密碼,請使用 push。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 在這種情況下,請先執行 GET,只更新相關的欄位,然後再使用 PATCH。 下列範例示範如何更新 featureSettings 下的 displayAppInformationRequiredState 和 displayLocationInformationRequiredState。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何為個別群組啟用應用程式名稱和地理位置的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 default 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
若要確認,請再次執行 GET 並確認 ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
如何停用應用程式名稱和僅啟用地理位置的範例
在 featureSettings 中,將 displayAppInformationRequiredState 的狀態變更為 default 或 disabled,並將 displayLocationInformationRequiredState 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
如何從應用程式名稱和地理位置排除群組的範例
在 featureSettings 中,將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的狀態從 default 變更為 enabled。在每個 featureSetting 的 includeTarget 內,將 id 從 all_users 變更為 Microsoft Entra 系統管理中心群組的 ObjectID。
此外,針對每個功能,您要將 excludeTarget 的識別碼變更為 Microsoft Entra 系統管理中心中群組的 ObjectID。 此變更會將該群組排除,使其無法看到應用程式名稱或地理位置。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
移除排除群組的範例
在 featureSettings 中,將 displayAppInformationRequiredState 的狀態從 default 變更為 enabled。您必須將 excludeTarget 的 id 變更為 00000000-0000-0000-0000-000000000000。
您需要使用 PATCH 修補整個結構描述,以防止覆寫任何先前的設定。 建議您先執行 GET,然後只更新相關的欄位,然後再執行 PATCH。 下列範例顯示 featureSettings 下 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 的更新。
只有在 Microsoft Authenticator 的 includeTargets 底下啟用 Microsoft Authenticator 的使用者才會看到應用程式名稱或地理位置。 未啟用 Microsoft Authenticator 的使用者看不到這些功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
關閉其他內容
若要關閉其他內容,您必須使用 PATCH 將 displayAppInformationRequiredState 和 displayLocationInformationRequiredState 從 enabled 變更為 disabled/default。 您也可以只關閉其中一個功能。
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
在 Microsoft Entra 系統管理中心中啟用其他內容
若要在 Microsoft Entra 系統管理中心中啟用應用程式名稱或地理位置,請完成下列步驟:
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[Microsoft Authenticator]。
在 [基本] 索引標籤上,按一下 [是] 和 [所有使用者] 以啟用每個人的原則,並將 [驗證模式] 變更為 [任何]。
只有在此處啟用 Microsoft Authenticator 的使用者才能包括在原則中以顯示登入的應用程式名稱或地理位置,或從中予以排除。 未啟用 Microsoft Authenticator 的使用者看不到應用程式名稱或地理位置。
![螢幕擷取畫面:如何啟用 [任何] 驗證模式的 Microsoft Authenticator 設定。](media/how-to-mfa-additional-context/enable-settings-additional-context.png)
在 [設定] 索引標籤上,針對 [在推播和無密碼通知中顯示應用程式名稱],將 [狀態] 變更為 [已啟用],並選擇要在原則中包含或排除的人員,然後按一下 [儲存]。
然後針對 [在推播和無密碼通知中顯示地理位置] 執行相同的作業。
您可以個別設定應用程式名稱和地理位置。 例如,下列原則會為所有使用者啟用應用程式名稱和地理位置,但會排除 Operations 群組,使其看不到地理位置。
已知問題
網路原則伺服器 (NPS) 或 Active Directory 同盟服務 (AD FS) 不支援其他內容。
使用者可以修改 iOS 和 Android 裝置所報告的位置。 因此,Microsoft Authenticator 正在更新其「位置型存取控制 (LBAC)」條件式存取原則的安全性基準。 如果使用者使用的位置與安裝了 Authenticator 的行動裝置的實際 GPS 位置不同,則 Authenticator 將拒絕驗證。
在 Authenticator 2023 年 11 月版本中,修改其裝置位置的使用者在進行 LBAC 驗證時將在 Authenticator 中看到拒絕訊息。 從 2024 年 1 月開始,任何執行舊版 Authenticator 版本的使用者都將被阻止使用修改過的位置進行 LBAC 驗證:
- Android 上的 Authenticator 6.2309.6329 版或更早版本
- iOS 上的 Authenticator 6.7.16 版或更早版本
若要尋找哪些使用者執行舊版的 Authenticator,請使用 Microsoft Graph API。