Usar contexto adicional em notificações do autenticador - Política de métodos de autenticação
Este artigo descreve como melhorar a segurança do início de sessão do utilizador adicionando o nome da aplicação e a localização geográfica do início de sessão ao Authenticator sem palavra-passe e às notificações push.
Pré-requisitos
- Sua organização precisa habilitar o Autenticador sem senha e notificações por push para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph.
- O contexto adicional pode ser direcionado a apenas um único grupo, que pode ser dinâmico ou aninhado. O grupo pode ser sincronizado no local ou somente na nuvem.
Login por telefone sem senha e autenticação multifator
Quando um utilizador recebe uma notificação por push de início de sessão por telefone sem palavra-passe ou autenticação multifator (MFA) no Authenticator, ele vê o nome da aplicação que solicita a aprovação e a localização com base no endereço IP de onde o início de sessão se originou.
Os administradores podem combinar contexto adicional com a correspondência numérica de para melhorar ainda mais a segurança de entrada.
Alterações no esquema de política
Você pode habilitar e desabilitar o nome do aplicativo e a localização geográfica separadamente. Em featureSettings
, você pode usar o seguinte mapeamento de nome para cada recurso:
-
Nome do aplicativo:
displayAppInformationRequiredState
-
Localização geográfica:
displayLocationInformationRequiredState
Nota
Certifique-se de usar o novo esquema de política para APIs do Microsoft Graph. No Graph Explorer, você precisa consentir com as permissões de Policy.Read.All
e Policy.ReadWrite.AuthenticationMethod
.
Identifique seu grupo-alvo único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade da API para alterar displayAppInformationRequiredState
ou displayLocationInformationRequiredState properties
em featureSettings
para enabled
e incluir ou excluir os grupos desejados:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Exemplo de como habilitar contexto adicional para todos os usuários
Em featureSettings
, altere displayAppInformationRequiredState
e displayLocationInformationRequiredState
de default
para enabled
.
O valor do modo de autenticação é any
ou push
, dependendo se você também deseja ou não habilitar o login por telefone sem senha. Nesses exemplos, usamos any
, mas se você não quiser permitir a ausência de senha, use push
.
Talvez seja necessário executar o comando PATCH
no esquema completo para evitar a substituição de todas as configurações anteriores. Nesse caso, faça um GET
primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH
. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState
e displayLocationInformationRequiredState
em featureSettings
.
Somente os usuários que estão habilitados para o Authenticator em includeTargets
vêem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados
Em featureSettings
, altere displayAppInformationRequiredState
e displayLocationInformationRequiredState
de default
para enabled
.
Dentro includeTarget
para cada featureSetting
, altere a ID de all_users
para a ID de objeto do grupo a partir do centro de administração do Microsoft Entra.
Você precisa PATCH
todo o esquema para impedir que qualquer configuração anterior seja substituída. Recomendamos que você faça um GET
primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH
. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState
e displayLocationInformationRequiredState
em featureSettings
.
Somente os utilizadores habilitados para o Authenticator em includeTargets
veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para verificar, execute GET
novamente e verifique o ID do objeto:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exemplo de como desativar o nome do aplicativo e habilitar apenas a localização geográfica
Em featureSettings
, altere o estado de displayAppInformationRequiredState
para default
ou disabled
e displayLocationInformationRequiredState
para enabled
.
Dentro de includeTarget
, para cada valor de featureSetting
, altere o ID de all_users
para o ID de objeto do grupo no centro de administração do Microsoft Entra.
Você precisa PATCH
todo o esquema para evitar sobrescrever qualquer configuração anterior. Recomendamos que faças um GET
primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH
. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState
e displayLocationInformationRequiredState
em featureSettings
.
Somente os usuários habilitados para o Autenticador em includeTargets
veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica
Além disso, para cada uma das funcionalidades, altera-se a ID de excludeTarget
para a ID de objeto do grupo no centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.
Você precisa PATCH
todo o esquema para evitar que qualquer configuração anterior seja substituída. Recomendamos que faças o GET
primeiro. Em seguida, atualize apenas os campos relevantes e depois PATCH
. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState
e displayLocationInformationRequiredState
em featureSettings
.
Somente os usuários habilitados para o Autenticador sob includeTargets
veem o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de remoção do grupo excluído
Em featureSettings
, altere os estados de displayAppInformationRequiredState
de default
para enabled
. Altere a ID do excludeTarget
para 00000000-0000-0000-0000-000000000000
.
Você precisa executar o PATCH
em todo o esquema para evitar a sobreposição de qualquer configuração anterior. Recomendamos que você faça um GET
primeiro. Em seguida, atualize apenas os campos relevantes e, em seguida, PATCH
. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState
e displayLocationInformationRequiredState
em featureSettings
.
Só os utilizadores habilitados para o Autenticador no includeTargets
veem o nome da aplicação ou a localização geográfica. Os usuários que não estão habilitados para o Authenticator não veem esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desativar contexto adicional
Para desativar o contexto adicional, é necessário PATCH
displayAppInformationRequiredState
e displayLocationInformationRequiredState
de enabled
para disabled
/default
. Você também pode desativar apenas um dos recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ativar contexto adicional no centro de administração do Microsoft Entra
Para ativar o nome da aplicação ou localização geográfica no centro de administração do Microsoft Entra, siga estes passos:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>Microsoft Authenticator.
Na guia Noções básicas, selecione Sim e Todos os usuários para habilitar a política para todos. Altere modo de autenticação para qualquer.
Somente os usuários habilitados para o Autenticador aqui são incluídos na política para mostrar o nome do aplicativo ou a localização geográfica do login, ou excluídos dele. Os usuários que não estão habilitados para o Authenticator não podem ver o nome do aplicativo ou a localização geográfica.
Na guia Configurar, para Mostrar nome da aplicação em notificações por push e sem senha, altere o Estado para Ativado. Escolha quem incluir ou excluir da política e, em seguida, selecione Guardar.
Em seguida, faça o mesmo para Mostrar localização geográfica em notificações push e sem senha.
Você pode configurar o nome do aplicativo e a localização geográfica separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo Operações de ver a localização geográfica.
Problemas conhecidos
Não há suporte para contexto adicional para NPS (Servidor de Diretivas de Rede) ou Serviços de Federação do Active Directory.
Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Authenticator está a atualizar a sua base de segurança para as políticas de Acesso Condicional Location-Based de Controle de Acesso (LBAC). O Autenticador nega autenticações em que o usuário pode estar usando um local diferente da localização GPS real do dispositivo móvel onde o Autenticador está instalado.
Na versão de novembro de 2023 do Authenticator, os usuários que modificam a localização de seus dispositivos veem uma mensagem de negação no Authenticator quando fazem uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator serão bloqueados da autenticação LBAC com um local modificado:
- Autenticador versão 6.2309.6329 ou anterior no Android
- Autenticador versão 6.7.16 ou anterior no iOS
Para localizar quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.