何をするのか
Microsoft Authenticatorの承認画面に、アプリ名と要求された位置情報を表示させます。 (2022/09現在はプレビュー機能)
この画面が
このような画面に変更されます。
注意
Apple Watchで承認ボタンを押しても、この設定をすると承認されずログイン画面が遷移しません。
この設定をした場合には、スマホでの承認作業が必須となるようです。(2022/09現在)
この画面は通知されてくるが、承認してもログイン画面が遷移せずです。
目次
AzureADのセキュリティ設定を変更する
- AzureAD管理画面にアクセスします。
- 管理カテゴリにある【セキュリティ】をクリックします。
- 管理カテゴリにある【認証方法】をクリックします。
- 【Microsoft Authenticator】をクリックします。
- 「基本」タブの「有効にする」を「はい」にし、「ターゲット」を「すべてのユーザー」にします。(必要に応じてターゲットは設定を変更してください。)
- 【構成】タブをクリックします。
- 「プッシュ通知とパスワードレス通知に地理的な場所を表示する」の状態を「有効」に変更します。
- 同じように、「プッシュ通知とパスワードレス通知にアプリケーション名を表示する」の状態を「有効」に変更します。
- 【保存】をクリックします。
通知内容を確認する
MFA要求の設定がされていることが前提で進めます。
必要に応じて条件付きアクセス等で設定を追加してください。
- シークレットウインドウで、Azure Portalにログインします。
- MFAが要求され以下のような画面に切り替わりました。
アプリ名にちゃんと「Azure Portal」と表示されていますね。
別なアプリでも確認してみます。
アプリ名がちゃんと変わっていますね
まとめ
ただ承認だけが表示されているだけだと、それが本当に自分が要求したものなのかがわからないので、位置情報+アプリ名が表示されることでおかしいぞ? と気づきやすくなると思います。
MFAを何度も要求して、承認されるまで何度も送りつける攻撃等もあるのでこの設定をしておくことで被害は多少防げるようになるかもしれませんね。
追記
後から気がついたのですが、自分のサインイン情報を確認するとこちらのログにも、アプリ名と場所が表示させるようになっていました。
