Microsoft Authenticator 알림에서 추가 컨텍스트를 사용하는 방법 - 인증 방법 정책
이 항목에서는 Microsoft Authenticator 암호 없는 알림 및 푸시 알림에 로그인의 애플리케이션 이름과 지리적 위치를 추가하여 사용자 로그인의 보안을 개선하는 방법을 다룹니다.
필수 조건
조직은 새로운 인증 방법 정책을 사용하여 일부 사용자 또는 그룹에 대해 Microsoft Authenticator 암호 없는 알림 및 푸시 알림을 사용하도록 설정해야 합니다. Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용하여 인증 방법 정책을 편집할 수 있습니다.
참고 항목
Microsoft Graph API에 대한 정책 스키마가 개선되었습니다. 이전 정책 스키마는 이제 더 이상 사용되지 않습니다. 새 스키마를 사용하여 오류를 방지해야 합니다.
추가 컨텍스트는 동적이거나 중첩될 수 있는 단일 그룹에만 대상이 될 수 있습니다. 인증 방법 정책에 대해 온-프레미스 동기화 보안 그룹 및 클라우드 전용 보안 그룹이 지원됩니다.
암호 없는 휴대폰 로그인 및 다단계 인증
사용자가 Microsoft Authenticator에서 암호 없는 휴대폰 로그인 또는 MFA 푸시 알림을 받으면 승인을 요청하는 애플리케이션의 이름과 로그인이 시작된 IP 주소를 기반으로 하는 위치가 표시됩니다.
추가 컨텍스트를 숫자 일치와 결합하여 로그인 보안을 더욱 개선시킬 수 있습니다.
정책 스키마 변경
애플리케이션 이름과 지리적 위치를 별도로 사용 및 사용하지 않을 수 있습니다. featureSettings에서 각 기능에 대한 다음 이름 매핑을 사용할 수 있습니다.
- 애플리케이션 이름: displayAppInformationRequiredState
- 지리적 위치: displayLocationInformationRequiredState
참고 항목
Microsoft Graph API에 대한 새 정책 스키마를 사용해야 합니다. Graph Explorer에서 Policy.Read.All 및 Policy.ReadWrite.AuthenticationMethod 권한에 동의해야 합니다.
각 기능에 대한 단일 대상 그룹을 식별합니다. 그런 다음, 다음 API 엔드포인트를 사용하여 featureSettings에서 displayAppInformationRequiredState 또는 displayLocationInformationRequiredState 속성을 enabled로 변경하고 원하는 그룹을 포함하거나 제외합니다.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
자세한 내용은 microsoftAuthenticatorAuthenticationMethodConfiguration 리소스 종류를 참조하세요.
모든 사용자에 대해 추가 컨텍스트를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 default에서 enabled로 변경합니다.
인증 모드의 값은 암호 없는 휴대폰 로그인도 사용하도록 설정할지 여부에 따라 any 또는 push일 수 있습니다. 이 예제에서는 any를 사용하지만 암호 없는 것을 허용하지 않으려면 push를 사용합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 할 수도 있습니다. 이 경우 먼저 GET을 수행하고 해당 필드만 업데이트한 다음 PATCH합니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 업데이트하는 방법을 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
별도의 그룹에 대해 애플리케이션 이름과 지리적 위치를 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 기본값에서 사용으로 변경합니다. 각 featureSetting의 includeTarget 내에서 id를 all_users에서 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
확인하려면 GET을 다시 실행하고 ObjectID를 확인합니다.
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
애플리케이션 이름을 사용하지 않도록 설정하고 지리적 위치만 사용하도록 설정하는 방법의 예
featureSettings에서 displayAppInformationRequiredState의 상태를 default 또는 disabled로 변경하고 displayLocationInformationRequiredState를 enabled로 변경합니다. 각 featureSetting에 대한 includeTarget 내에서 all_users의 id를 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
애플리케이션 이름 및 지리적 위치에서 그룹을 제외하는 방법의 예
featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState의 상태를 default에서 enabled로 변경합니다. 각 featureSetting에 대한 includeTarget 내에서 all_users의 id를 Microsoft Entra 관리 센터의 그룹 ObjectID로 변경합니다.
또한 각 기능에 대해 includeTarget의 ID를 Microsoft Entra 관리 센터에서 그룹의 ObjectID로 변경합니다. 그러면 애플리케이션 이름 또는 지리적 위치가 표시되지 않도록 해당 그룹이 제외됩니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
제외된 그룹을 제거하는 예
featureSettings에서 displayAppInformationRequiredState의 상태를 default에서 enabled로 변경합니다. excludeTarget의 id를 00000000-0000-0000-0000-000000000000으로 변경해야 합니다.
이전 구성을 덮어쓰지 않도록 전체 스키마를 PATCH해야 합니다. 먼저 GET을 수행한 다음 관련 필드만 업데이트한 다음 PATCH하는 것이 좋습니다. 다음 예에서는 featureSettings에서 displayAppInformationRequiredState 및 displayLocationInformationRequiredState에 대한 업데이트를 보여줍니다.
Microsoft Authenticator의 includeTargets에서 Microsoft Authenticator를 사용하도록 설정한 사용자에게만 애플리케이션 이름 또는 지리적 위치가 표시됩니다. Microsoft Authenticator에 사용할 수 없는 사용자는 이들 기능을 볼 수 없습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
추가 컨텍스트 해제
추가 컨텍스트를 끄려면 displayAppInformationRequiredState 및 displayLocationInformationRequiredState를 enabled에서 disabled/default로 PATCH해야 합니다. 기능 중 하나만 끌 수도 있습니다.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Microsoft Entra 관리 센터에서 추가 컨텍스트를 사용하도록 설정합니다.
Microsoft Entra 관리 센터에서 애플리케이션 이름 또는 지리적 위치를 사용하도록 설정하려면 다음 단계를 완료합니다.
최소한 인증 정책 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
보호>인증 방법>Microsoft Authenticator로 이동합니다.
기본 탭에서 예 및 모든 사용자를 클릭하여 모든 사람에 대한 정책을 사용하도록 설정하고 인증 모드를 모두로 변경합니다.
여기에 Microsoft Authenticator를 사용하도록 설정된 사용자만 정책에 포함되어 로그인의 애플리케이션 이름 또는 지리적 위치를 표시하거나 해당 위치에서 제외할 수 있습니다. Microsoft Authenticator를 사용하도록 설정하지 않은 사용자는 애플리케이션 이름 또는 지리적 위치를 볼 수 없습니다.
구성 탭의 푸시 및 암호 없는 알림에 애플리케이션 이름 표시에서 상태를 사용으로 변경하고 정책에서 포함하거나 제외할 사용자를 선택하고 저장을 클릭합니다.
그런 다음, 푸시 및 암호 없는 알림에 지리적 위치 표시에 대해서도 동일하게 수행합니다.
애플리케이션 이름과 지리적 위치를 별도로 구성할 수 있습니다. 예를 들어 다음 정책은 모든 사용자에 대해 애플리케이션 이름과 지리적 위치를 사용하도록 설정하지만 Operations 그룹은 지리적 위치를 볼 수 없도록 제외됩니다.
알려진 문제
NPS(네트워크 정책 서버) 또는 AD FS(Active Directory Federation Services)에는 추가 컨텍스트가 지원되지 않습니다.
사용자는 iOS 및 Android 디바이스에서 보고된 위치를 수정할 수 있습니다. 결과적으로 Microsoft Authenticator는 LBAC(위치 기반 액세스 제어) 조건부 액세스 정책에 대한 보안 기준을 업데이트하고 있습니다. Authenticator는 사용자가 Authenticator가 설치된 모바일 디바이스의 실제 GPS 위치와 다른 위치를 사용하는 경우 인증을 거부합니다.
Authenticator의 2023년 11월 릴리스에서는 디바이스 위치를 수정하는 사용자가 LBAC 인증을 수행할 때 Authenticator에 거부 메시지가 표시됩니다. 2024년 1월부터 이전 Authenticator 버전을 실행하는 모든 사용자는 수정된 위치를 사용하여 LBAC 인증에서 차단됩니다.
- Android의 Authenticator 버전 6.2309.6329 이하
- iOS의 Authenticator 버전 6.7.16 이하
이전 버전의 OTP를 실행하는 사용자를 찾으려면 Microsoft Graph API를 사용합니다.