Usar contexto adicional em notificações do Authenticator – política de métodos de autenticação
Este artigo discute como melhorar a segurança da entrada do usuário adicionando o nome do aplicativo e a localização geográfica da entrada às notificações por push e sem senha do Authenticator.
Pré-requisitos
- Sua organização precisa habilitar notificações por push e sem senha do Authenticator para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de Métodos de autenticação no centro de administração do Microsoft Entra ou na API do Microsoft Graph.
- O contexto adicional pode ser direcionado a somente um único grupo, que pode ser dinâmico ou aninhado. O grupo pode ser sincronizado no local ou somente na nuvem.
Logon por telefone sem senha e autenticação multifator
Quando um usuário recebe uma notificação por push de autenticação de telefone sem senha ou MFA (autenticação multifator) no Authenticator, ele vê o nome do aplicativo que solicita a aprovação e o local com base no endereço IP de onde a entrada se originou.
Os administradores podem combinar contexto adicional à correspondência numérica para melhorar ainda mais a segurança de entrada.
Alterações no esquema da política
Você pode habilitar e desabilitar o nome do aplicativo e a localização geográfica separadamente. Em featureSettings, você pode usar o seguinte mapeamento de nomes para cada recurso:
- nome do aplicativo:
displayAppInformationRequiredState - Localização geográfica:
displayLocationInformationRequiredState
Observação
Certifique-se de usar o novo esquema de política para APIs do Microsoft Graph. No Explorador do Graph, você precisa consentir com as permissões de Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.
Identifique seu grupo de destino único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade de API para alterar displayAppInformationRequiredState ou displayLocationInformationRequiredState properties em featureSettings para enabled e incluir ou excluir os grupos desejados:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Exemplo de como habilitar o contexto adicional para todos os usuários
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled.
O valor do modo de Autenticação é any ou push, dependendo se você também deseja habilitar a entrada de telefone sem senha. Nestes exemplos, usamos any, mas se você não quiser permitir sem senha, use push.
Pode ser necessário aplicar PATCH em todo o esquema para evitar a substituição de qualquer configuração anterior. Nesse caso, faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Authenticator em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled.
Dentro de includeTarget para cada featureSetting, altere a ID de all_users para a ID do objeto do grupo do Centro de administração do Microsoft Entra.
É necessário aplicar PATCH a todo o esquema para evitar a substituição de configurações anteriores. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Authenticator em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para verificar, execute GET novamente e verifique a ID do objeto:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exemplo de como desabilitar o nome do aplicativo e habilitar apenas a localização geográfica
Em featureSettings, altere o estado de displayAppInformationRequiredState para default ou disabled e displayLocationInformationRequiredState para enabled.
Dentro de includeTarget, para cada valor de featureSetting, altere a ID de all_users para a ID do objeto do grupo do Centro de administração do Microsoft Entra.
É necessário aplicar PATCH a todo o esquema para evitar a substituição de configurações anteriores. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Authenticator sob includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica
Além disso, para cada um dos recursos, você altera a ID de excludeTarget para a ID do objeto do grupo no Centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.
É necessário aplicar PATCH a todo o esquema para evitar a substituição de configurações anteriores. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para Authenticator em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de remoção do grupo excluído
Em featureSettings, altere os estados de displayAppInformationRequiredState de default para enabled. Altere a ID de excludeTarget para 00000000-0000-0000-0000-000000000000.
É necessário aplicar PATCH a todo o esquema para evitar a substituição de configurações anteriores. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados pelo Authenticator em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desativar o contexto adicional
Para desativar o contexto adicional, você precisa PATCHdisplayAppInformationRequiredState e displayLocationInformationRequiredState de enabled para disabled/default. Você também pode desativar apenas um dos recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Habilitar contexto adicional no centro de administração do Microsoft Entra
Para habilitar o nome do aplicativo ou a localização geográfica no Centro de administração do Microsoft Entra, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Microsoft Authenticator.
Na guia Básico, selecione Sim e Todos os usuários para habilitar a política para todos. Altere o Modo de autenticação para Qualquer.
Somente os usuários que estão habilitados para o Authenticator aqui são abrangidos pela política que exibe o nome do aplicativo ou a localização geográfica do login, ou são excluídos dela. Os usuários que não estão habilitados para o Authenticator não podem ver o nome do aplicativo ou a localização geográfica.
Na guia Configurar, em Mostrar o nome do aplicativo em notificações por push e sem senha, altere o Status para Habilitado. Escolha quem incluir ou excluir da política e selecione Salvar.
Em seguida, faça o mesmo para Mostrar a localização geográfica em notificações por push e sem senha.
Você pode configurar o nome do aplicativo e a localização geográfica separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo operações de ver a localização geográfica.
Problemas conhecidos
Não há suporte para contexto adicional para o NPS (Servidor de Política de Rede) ou os Serviços de Federação do Active Directory.
Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Authenticator está atualizando sua linha de base de segurança para políticas de Controle de Acesso Condicional Location-Based (LBAC). O Authenticator nega autenticações em que o usuário pode estar usando um local diferente do local real do GPS do dispositivo móvel em que o Authenticator está instalado.
Na versão de novembro de 2023 do Authenticator, os usuários que modificam o local de seu dispositivo veem uma mensagem de negação no Authenticator quando fazem uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator são bloqueados da autenticação LBAC com um local modificado:
- Authenticator versão 6.2309.6329 ou anterior no Android
- Authenticator versão 6.7.16 ou anterior no iOS
Para descobrir quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.