Uso de contexto adicional en las notificaciones de Authenticator: directiva de métodos de autenticación
En este artículo se describe cómo mejorar la seguridad del inicio de sesión de usuario agregando el nombre de la aplicación y la ubicación geográfica del inicio de sesión a las notificaciones push y sin contraseña de Authenticator.
Prerrequisitos
- Su organización debe habilitar las notificaciones push y sin contraseña de Authenticator para algunos usuarios o grupos mediante la nueva directiva de métodos de autenticación. Puede editar la directiva de métodos de autenticación mediante el centro de administración de Microsoft Entra o Microsoft Graph API.
- El contexto adicional se puede dirigir a un único grupo, que puede ser dinámico o anidado. El grupo se puede sincronizar desde el entorno local o solo en la nube.
Inicio de sesión con teléfono sin contraseña y autenticación multifactor
Cuando un usuario recibe una notificación push de inicio de sesión telefónico sin contraseña o autenticación multifactor (MFA) en Authenticator, ve el nombre de la aplicación que solicita la aprobación y la ubicación en función de la dirección IP desde donde se originó el inicio de sesión.
Los administradores pueden combinar contexto adicional con coincidencia numérica para mejorar aún más la seguridad del inicio de sesión.
Cambios de esquema de directiva
Puede habilitar y deshabilitar el nombre de la aplicación y la ubicación geográfica por separado. Puede usar la siguiente asignación de nombres para cada característica bajo featureSettings.
- Nombre de aplicación:
displayAppInformationRequiredState - ubicación geográfica:
displayLocationInformationRequiredState
Nota:
Asegúrese de usar el nuevo esquema de directiva para las API de Microsoft Graph. En el Explorador de Graph, debe dar su consentimiento a los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod.
Identifique el grupo de destino único para cada una de las características. A continuación, use el siguiente punto de conexión de API para cambiar displayAppInformationRequiredState o displayLocationInformationRequiredState properties en featureSettings a enabled e incluir o excluir los grupos que desee:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obtener más información, consulte tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Ejemplo de cómo habilitar contexto adicional para todos los usuarios
En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de default a enabled.
El valor del modo de autenticación es any o push, en función de si también desea habilitar o no el inicio de sesión telefónico sin contraseña. En estos ejemplos, usamos any, pero si no desea permitir sin contraseña, use push.
Es posible que tenga que PATCH todo el esquema para evitar sobrescribir cualquier configuración anterior. En ese caso, realice primero una GET. A continuación, actualice solo los campos pertinentes y luego PATCH. En el ejemplo siguiente se muestra cómo actualizar displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios que tienen habilitado el Authenticator en includeTargets ven el nombre de la aplicación o la ubicación geográfica. Los usuarios que no están habilitados para Authenticator no ven estas características.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de cómo habilitar el nombre de la aplicación y la ubicación geográfica para grupos independientes
En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de default a enabled.
Dentro de includeTarget para cada featureSetting, cambie el identificador de all_users al identificador de objeto del grupo desde el Centro de administración de Microsoft Entra.
Debe PATCH todo el esquema para evitar sobrescribir cualquier configuración anterior. Se recomienda realizar primero una GET. A continuación, actualice solo los campos pertinentes y luego PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState bajo featureSettings.
Solo los usuarios que tienen habilitado Authenticator en includeTargets ven el nombre de la aplicación o la ubicación geográfica. Los usuarios que no están habilitados para Authenticator no ven estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para comprobarlo, vuelva a ejecutar GET y compruebe el identificador de objeto:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Ejemplo de cómo deshabilitar el nombre de la aplicación y habilitar solo la ubicación geográfica
En featureSettings, cambie el estado de displayAppInformationRequiredState a default o disabled y displayLocationInformationRequiredState a enabled.
Dentro de includeTarget para cada valor featureSetting, cambie el identificador de all_users al identificador de objeto del grupo desde el Centro de administración de Microsoft Entra.
Debe PATCH todo el esquema para evitar sobrescribir cualquier configuración anterior. Se recomienda realizar primero una GET. A continuación, actualice solo los campos pertinentes y después PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState bajo featureSettings.
Solo los usuarios que tienen habilitado el Authenticator en includeTargets ven el nombre de la aplicación o la ubicación geográfica. Los usuarios que no están habilitados para Authenticator no ven estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de cómo excluir un grupo del nombre de la aplicación y la ubicación geográfica
Además, para cada una de las funcionalidades, cambie el identificador de excludeTarget al identificador de objeto del grupo desde el Centro de administración de Microsoft Entra. Este cambio excluye ese grupo de ver el nombre de la aplicación o la ubicación geográfica.
Debe PATCH todo el esquema para evitar sobrescribir cualquier configuración anterior. Se recomienda realizar primero una GET. A continuación, actualice solo los campos pertinentes y luego PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState bajo featureSettings.
Solo los usuarios que tienen habilitada la autenticación en includeTargets ven el nombre de la aplicación o la ubicación geográfica. Los usuarios que no están habilitados para Authenticator no ven estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de eliminación del grupo excluido
En featureSettings, cambie los estados de displayAppInformationRequiredState de default a enabled. Cambie el identificador de excludeTarget a 00000000-0000-0000-0000-000000000000.
Debe PATCH todo el esquema para evitar sobrescribir cualquier configuración anterior. Se recomienda realizar primero una GET. A continuación, actualice solo los campos pertinentes y después PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState bajo featureSettings.
Solo los usuarios que están habilitados para Authenticator en includeTargets ven el nombre de la aplicación o la ubicación geográfica. Los usuarios que no están habilitados para Authenticator no ven estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desactivación del contexto adicional
Para desactivar el contexto adicional, debe PATCHdisplayAppInformationRequiredState y displayLocationInformationRequiredState de enabled a disabled/default. También puede desactivar una de las funciones.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Habilitación del contexto adicional en el Centro de administración de Microsoft Entra
Para habilitar el nombre de la aplicación o la ubicación geográfica en el Centro de administración de Microsoft Entra, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Protection>Métodos de autenticación>Microsoft Authenticator.
En la pestaña Aspectos básicos, seleccione Sí y Todos los usuarios para activar la directiva para todos. Cambie modo de autenticación a Cualquiera.
Solo los usuarios que están habilitados para Authenticator aquí se incluyen en la directiva para mostrar el nombre de la aplicación o la ubicación geográfica del inicio de sesión, o se excluyen de él. Los usuarios que no están habilitados para Authenticator no pueden ver el nombre de la aplicación ni la ubicación geográfica.
En la pestaña Configurar, para Mostrar el nombre de la aplicación en las notificaciones push y sin contraseña, cambie Estado a Habilitado. Elija a quién incluir o excluir en la directiva y, a continuación, seleccione Guardar.
A continuación, haga lo mismo para Mostrar ubicación geográfica en notificaciones de inserción y sin contraseña.
Puede configurar el nombre de la aplicación y la ubicación geográfica por separado. Por ejemplo, la siguiente directiva habilita el nombre de la aplicación y la ubicación geográfica para todos los usuarios, pero excluye el grupo Operaciones de ver la ubicación geográfica.
Problemas conocidos
No se admite contexto adicional para el servidor de directivas de red (NPS) ni los servicios de federación de Active Directory.
Los usuarios pueden modificar la ubicación notificada por dispositivos iOS y Android. Como resultado, Authenticator actualiza su línea base de seguridad para las directivas de acceso condicional de Control de acceso basado en ubicación (LBAC). El autenticador deniega las autenticaciones en las que el usuario podría estar usando una ubicación diferente a la ubicación GPS real del dispositivo móvil donde está instalado Authenticator.
En la versión de noviembre de 2023 de Authenticator, los usuarios que modifican la ubicación de su dispositivo ven un mensaje de denegación en Authenticator cuando realizan una autenticación LBAC. A partir de enero de 2024, los usuarios que ejecutan versiones anteriores de Authenticator se bloquean de la autenticación LBAC con una ubicación modificada:
- Authenticator versión 6.2309.6329 o anterior en Android
- Authenticator versión 6.7.16 o anterior en iOS
Para buscar qué usuarios ejecutan versiones anteriores de Authenticator, use las API de Microsoft Graph.