Usar contexto adicional em notificações do autenticador - Política de métodos de autenticação
Este artigo descreve como melhorar a segurança do início de sessão do utilizador adicionando o nome da aplicação e a localização geográfica do início de sessão ao Authenticator sem palavra-passe e às notificações push.
Pré-requisitos
- Sua organização precisa habilitar o Autenticador sem senha e notificações por push para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph.
- O contexto adicional pode ser direcionado a apenas um único grupo, que pode ser dinâmico ou aninhado. O grupo pode ser sincronizado no local ou somente na nuvem.
Login por telefone sem senha e autenticação multifator
Quando um utilizador recebe uma notificação por push de início de sessão por telefone sem palavra-passe ou autenticação multifator (MFA) no Authenticator, ele vê o nome da aplicação que solicita a aprovação e a localização com base no endereço IP de onde o início de sessão se originou.
Os administradores podem combinar contexto adicional com a correspondência numérica de para melhorar ainda mais a segurança de entrada.
Alterações no esquema de política
Você pode habilitar e desabilitar o nome do aplicativo e a localização geográfica separadamente. Em featureSettings, você pode usar o seguinte mapeamento de nome para cada recurso:
-
Nome do aplicativo:
displayAppInformationRequiredState -
Localização geográfica:
displayLocationInformationRequiredState
Nota
Certifique-se de usar o novo esquema de política para APIs do Microsoft Graph. No Graph Explorer, você precisa consentir com as permissões de Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.
Identifique seu grupo-alvo único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade da API para alterar displayAppInformationRequiredState ou displayLocationInformationRequiredState properties em featureSettings para enabled e incluir ou excluir os grupos desejados:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Exemplo de como habilitar contexto adicional para todos os usuários
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled.
O valor do modo de autenticação é any ou push, dependendo se você também deseja ou não habilitar o login por telefone sem senha. Nesses exemplos, usamos any, mas se você não quiser permitir a ausência de senha, use push.
Talvez seja necessário executar o comando PATCH no esquema completo para evitar a substituição de todas as configurações anteriores. Nesse caso, faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários que estão habilitados para o Authenticator em includeTargets vêem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled.
Dentro includeTarget para cada featureSetting, altere a ID de all_users para a ID de objeto do grupo a partir do centro de administração do Microsoft Entra.
Você precisa PATCH todo o esquema para impedir que qualquer configuração anterior seja substituída. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os utilizadores habilitados para o Authenticator em includeTargets veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para verificar, execute GET novamente e verifique o ID do objeto:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exemplo de como desativar o nome do aplicativo e habilitar apenas a localização geográfica
Em featureSettings, altere o estado de displayAppInformationRequiredState para default ou disabled e displayLocationInformationRequiredState para enabled.
Dentro de includeTarget, para cada valor de featureSetting, altere o ID de all_users para o ID de objeto do grupo no centro de administração do Microsoft Entra.
Você precisa PATCH todo o esquema para evitar sobrescrever qualquer configuração anterior. Recomendamos que faças um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Autenticador em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica
Além disso, para cada uma das funcionalidades, altera-se a ID de excludeTarget para a ID de objeto do grupo no centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.
Você precisa PATCH todo o esquema para evitar que qualquer configuração anterior seja substituída. Recomendamos que faças o GET primeiro. Em seguida, atualize apenas os campos relevantes e depois PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Autenticador sob includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de remoção do grupo excluído
Em featureSettings, altere os estados de displayAppInformationRequiredState de default para enabled. Altere a ID do excludeTarget para 00000000-0000-0000-0000-000000000000.
Você precisa executar o PATCH em todo o esquema para evitar a sobreposição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os utilizadores habilitados para o Autenticador no includeTargets veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desativar contexto adicional
Para desativar o contexto adicional, é necessário PATCHdisplayAppInformationRequiredState e displayLocationInformationRequiredState de enabled para disabled/default. Você também pode desativar apenas um dos recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ativar contexto adicional no centro de administração do Microsoft Entra
Para ativar o nome da aplicação ou localização geográfica no centro de administração do Microsoft Entra, siga estes passos:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>Microsoft Authenticator.
Na guia Noções básicas, selecione Sim e Todos os usuários para habilitar a política para todos. Altere modo de autenticação para qualquer.
Somente os usuários habilitados para o Autenticador aqui são incluídos na política para mostrar o nome do aplicativo ou a localização geográfica do login, ou excluídos dele. Os usuários que não estão habilitados para o Authenticator não podem ver o nome do aplicativo ou a localização geográfica.
Na guia Configurar, para Mostrar nome da aplicação em notificações por push e sem senha, altere o Estado para Ativado. Escolha quem incluir ou excluir da política e, em seguida, selecione Guardar.
Em seguida, faça o mesmo para Mostrar localização geográfica em notificações push e sem senha.
Você pode configurar o nome do aplicativo e a localização geográfica separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo Operações de ver a localização geográfica.
Problemas conhecidos
Não há suporte para contexto adicional para NPS (Servidor de Diretivas de Rede) ou Serviços de Federação do Active Directory.
Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Authenticator está a atualizar a sua base de segurança para as políticas de Acesso Condicional Location-Based de Controle de Acesso (LBAC). O Autenticador nega autenticações em que o usuário pode estar usando um local diferente da localização GPS real do dispositivo móvel onde o Autenticador está instalado.
Na versão de novembro de 2023 do Authenticator, os usuários que modificam a localização de seus dispositivos veem uma mensagem de negação no Authenticator quando fazem uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator serão bloqueados da autenticação LBAC com um local modificado:
- Autenticador versão 6.2309.6329 ou anterior no Android
- Autenticador versão 6.7.16 ou anterior no iOS
Para localizar quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.