Additional Context für Passwordless Authentication aktivieren

Hat ein Microsoft Geschäftskonto Passwordless Authentication in der Authenticator App aktiviert sieht die Anmeldeaufforderung in der Art aus. Es wird die zweistellige Nummer für Passwordless Authentication angefordert.

Screenshot

Teilweise ist es für jemanden unklar welcher Dienst die Anfrage sendet. Mit Additional Context wird die Authenticator App mit zwei optionalen Informationen ergänzt.

  1. Welcher Microsoft Dienst oder welche App sendet die aktuelle MFA-Authentifizierungsanfrage?
  2. Von welchem Standort wurde die Anfrage ausgelöst?

Seit November 2021 ist Additional Context in Public Preview und soll laut Microsoft in naher Zukunft global verfügbar sein.

*************
Update vom 25. Oktober 2022:
Advanced Microsoft Authenticator Security Features haben die Preview verlassen und sind ab sofort global verfügbar. Additional Context und “MFA number matching” sind Teil der Security Features. Ab 27. Februar 2023 wird “MFA number matching” standardmässig für Benutzerkonten mit der Authenticator App aktiviert.
*************

Die Aktivierung von Additional Context kann über Azure AD und Microsoft Graph API erfolgen.
Folgende Voraussetzungen sind erforderlich:

  • In Azure AD ist für die Microsoft Authenticator App Passwordless Authentication freigeschalten, siehe Hilfe.
  • Benutzerkonten sind für Additional Context Informationen freigeschalten.
  • Ein Benutzer hat für sein Geschäftskonto über die Microsoft Authenticator App Passwordless Authentication eingerichtet, siehe Hilfe.
Aktivierung von Additional Context über Azure AD

Die Aktivierung von Additional Context ist in der Konfiguration von Microsoft Authenticator möglich (Azure AD > Security > Authentication Methods > Microsoft Authenticator > Configure).
Hier findest du Abschnitte für Application Name und Standort, und kannst Additional Context für alle Konten oder ausgewählte Gruppen aktivieren/deaktivieren. Standardmässig sind die Konfigurationen auf “Microsoft managed” gesetzt. Über die Konfiguration definiert Microsoft die zukünftige Aktivierung. Am Ende von dem Beitrag findest du einen Test mit der Authenticator App.

Screenshot

Aktivierung von Additional Context über Microsoft Graph

Die Aktivierung über Microsoft Graph erfolgt über microsoftAuthenticatorAuthenticationMethodConfiguration. Eine Azure App Registration benötigt die Berechtigung Policy.ReadWrite.AuthenticationMethod.

Screenshot

Im ersten Schritt hole ich mir über Get-TAMSAuthToken einen Token zur Authentifzierung und frage die aktuelle Authentication Policy ab. Für die Abfrage ist es aktuell wichtig die Beta-API einzusetzen, andernfalls fehlt in der Antwort das Property featureSettings.

Aktuelle Authentication Policy mit dem Property featureSettings
Aktuelle Authentication Policy mit dem Property featureSettings

Für Additional Context gibt es in der Policy ein Property featureSettings. In der aktuellen Policy ist der Status aller möglichen Settings deaktiviert.

featureSettings in Authentication Policy
featureSettings in Authentication Policy

Die Authenticator App zeigt aus dem Grund nur die Standardabfrage.
In der Dokumentation über microsoftAuthenticatorFeatureSettings listet es mögliche Properties für die Konfiguration. 3 Properties sind beschrieben.

  • displayAppInformationRequiredState
  • displayLocationInformationRequiredState
  • numberMatchingRequiredState
Screenshot

Bei Bedarf könnte jedes der Properties voneinander getrennt aktiv oder für ausgewählte Gruppen deaktiviert sein.

Für die Aktivierung müssen die Properties von featureSettings in der aktuellen Authentication Policy überschrieben werden. Dafür nimmt man die bestehende Policy, konvertiert es in ein JSON und passt die Properties der featureSettings an. In meinem Beispiel ergänze ich für 3 Settings den Status und die inkludierte AD-Gruppe.

Über die PATCH-Methode schreibe ich die Konfiguration zurück.

PowerShell
$Url = "https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator"
$Result = Invoke-RestMethod -Method PATCH -uri $Url -Body $Body -Headers $AuthHeader -ContentType "application/json" 


Kontrolliere ich die Konfigurationen für Microsoft Authenticator in Azure AD hat es die Angaben angepasst.

Screenshot

Additional Context mit Microsoft Authenticator App testen

Für einen Test öffne ich PowerShell und verbinde mich mit Exchange Online. Connect-ExchangeOnline fragt mich nach dem Benutzernamen und zeigt mir für Passwordless Authentication eine zweistellige Nummer. In der Authenticator App öffnet mir die App jetzt zusätzliche Angaben über den Auslöser und, basierend auf der IP-Adresse, woher die Anfrage ausgelöst wurde.

Additional Context Informationen
Additional Context Informationen
Share
Avatar-Foto

Tobias Asböck

Tobias ist ein Senior System Engineer mit rund 10 Jahren Berufserfahrung für Microsoft 365 Produkte wie SharePoint Online, OneDrive for Business, Teams Collaboration, Entra ID, Information Protection, Universal Print und Microsoft 365 Lizenzierung. Aus der Vergangenheit kennt er über einen Zeitraum von 15+ Jahren die Planung, Administration und den Betrieb von SharePoint Server Umgebungen. Tobias ist ein PowerShell Scripter mit Zertifizierungen für Microsoft 365 Produkte. In seiner Freizeit beschäftigt sich Tobias mit Aktualisierungen in der M365-Welt, ist mit seinem Rennvelo unterwegs und anderen sportlichen Aktivitäten beschäftigt. Bei Fragen kontaktiere mich über LinkedIn oder [email protected].

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert