Partilhar via


Usar contexto adicional em notificações do autenticador - Política de métodos de autenticação

Este artigo descreve como melhorar a segurança do início de sessão do utilizador adicionando o nome da aplicação e a localização geográfica do início de sessão ao Authenticator sem palavra-passe e às notificações push.

Pré-requisitos

  • Sua organização precisa habilitar o Autenticador sem senha e notificações por push para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph.
  • O contexto adicional pode ser direcionado a apenas um único grupo, que pode ser dinâmico ou aninhado. O grupo pode ser sincronizado no local ou somente na nuvem.

Login por telefone sem senha e autenticação multifator

Quando um utilizador recebe uma notificação por push de início de sessão por telefone sem palavra-passe ou autenticação multifator (MFA) no Authenticator, ele vê o nome da aplicação que solicita a aprovação e a localização com base no endereço IP de onde o início de sessão se originou.

Captura de tela que mostra contexto adicional na notificação por push de MFA.

Os administradores podem combinar contexto adicional com a correspondência numérica de para melhorar ainda mais a segurança de entrada.

Captura de ecrã que mostra o contexto adicional com a correspondência do número na notificação por push do MFA.

Alterações no esquema de política

Você pode habilitar e desabilitar o nome do aplicativo e a localização geográfica separadamente. Em featureSettings, você pode usar o seguinte mapeamento de nome para cada recurso:

  • Nome do aplicativo: displayAppInformationRequiredState
  • Localização geográfica: displayLocationInformationRequiredState

Nota

Certifique-se de usar o novo esquema de política para APIs do Microsoft Graph. No Graph Explorer, você precisa consentir com as permissões de Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.

Identifique seu grupo-alvo único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade da API para alterar displayAppInformationRequiredState ou displayLocationInformationRequiredState properties em featureSettings para enabled e incluir ou excluir os grupos desejados:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.

Exemplo de como habilitar contexto adicional para todos os usuários

Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled.

O valor do modo de autenticação é any ou push, dependendo se você também deseja ou não habilitar o login por telefone sem senha. Nesses exemplos, usamos any, mas se você não quiser permitir a ausência de senha, use push.

Talvez seja necessário executar o comando PATCH no esquema completo para evitar a substituição de todas as configurações anteriores. Nesse caso, faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.

Somente os usuários que estão habilitados para o Authenticator em includeTargets vêem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados

Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled. Dentro includeTarget para cada featureSetting, altere a ID de all_users para a ID de objeto do grupo a partir do centro de administração do Microsoft Entra.

Você precisa PATCH todo o esquema para impedir que qualquer configuração anterior seja substituída. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.

Somente os utilizadores habilitados para o Authenticator em includeTargets veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Para verificar, execute GET novamente e verifique o ID do objeto:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Exemplo de como desativar o nome do aplicativo e habilitar apenas a localização geográfica

Em featureSettings, altere o estado de displayAppInformationRequiredState para default ou disabled e displayLocationInformationRequiredState para enabled. Dentro de includeTarget, para cada valor de featureSetting, altere o ID de all_users para o ID de objeto do grupo no centro de administração do Microsoft Entra.

Você precisa PATCH todo o esquema para evitar sobrescrever qualquer configuração anterior. Recomendamos que faças um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.

Somente os usuários habilitados para o Autenticador em includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica

Além disso, para cada uma das funcionalidades, altera-se a ID de excludeTarget para a ID de objeto do grupo no centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.

Você precisa PATCH todo o esquema para evitar que qualquer configuração anterior seja substituída. Recomendamos que faças o GET primeiro. Em seguida, atualize apenas os campos relevantes e depois PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.

Somente os usuários habilitados para o Autenticador sob includeTargets veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Exemplo de remoção do grupo excluído

Em featureSettings, altere os estados de displayAppInformationRequiredState de default para enabled. Altere a ID do excludeTarget para 00000000-0000-0000-0000-000000000000.

Você precisa executar o PATCH em todo o esquema para evitar a sobreposição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.

Só os utilizadores habilitados para o Autenticador no includeTargets veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Desativar contexto adicional

Para desativar o contexto adicional, é necessário PATCHdisplayAppInformationRequiredState e displayLocationInformationRequiredState de enabled para disabled/default. Você também pode desativar apenas um dos recursos.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Ativar contexto adicional no centro de administração do Microsoft Entra

Para ativar o nome da aplicação ou localização geográfica no centro de administração do Microsoft Entra, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Métodos>Microsoft Authenticator.

  3. Na guia Noções básicas, selecione Sim e Todos os usuários para habilitar a política para todos. Altere modo de autenticação para qualquer.

    Somente os usuários habilitados para o Autenticador aqui são incluídos na política para mostrar o nome do aplicativo ou a localização geográfica do login, ou excluídos dele. Os usuários que não estão habilitados para o Authenticator não podem ver o nome do aplicativo ou a localização geográfica.

    Captura de tela que mostra como habilitar as configurações do Autenticador para qualquer modo de autenticação.

  4. Na guia Configurar, para Mostrar nome da aplicação em notificações por push e sem senha, altere o Estado para Ativado. Escolha quem incluir ou excluir da política e, em seguida, selecione Guardar.

    Captura de tela que mostra como habilitar o nome do aplicativo.

    Em seguida, faça o mesmo para Mostrar localização geográfica em notificações push e sem senha.

    Captura de ecrã que mostra como ativar a localização geográfica.

    Você pode configurar o nome do aplicativo e a localização geográfica separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo Operações de ver a localização geográfica.

    Captura de tela que mostra como habilitar o nome do aplicativo e a localização geográfica separadamente.

Problemas conhecidos

  • Não há suporte para contexto adicional para NPS (Servidor de Diretivas de Rede) ou Serviços de Federação do Active Directory.

  • Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Authenticator está a atualizar a sua base de segurança para as políticas de Acesso Condicional Location-Based de Controle de Acesso (LBAC). O Autenticador nega autenticações em que o usuário pode estar usando um local diferente da localização GPS real do dispositivo móvel onde o Autenticador está instalado.

    Na versão de novembro de 2023 do Authenticator, os usuários que modificam a localização de seus dispositivos veem uma mensagem de negação no Authenticator quando fazem uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator serão bloqueados da autenticação LBAC com um local modificado:

    • Autenticador versão 6.2309.6329 ou anterior no Android
    • Autenticador versão 6.7.16 ou anterior no iOS

    Para localizar quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.