Como usar contexto adicional em notificações do Microsoft Authenticator - Política de métodos de autenticação
Este tópico aborda como melhorar a segurança da entrada do usuário adicionando o nome do aplicativo e a localização geográfica da entrada às notificações por push e sem senha do Microsoft Authenticator.
Pré-requisitos
Sua organização precisa habilitar o Microsoft Authenticator sem senha e notificações por push para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph.
Nota
O esquema de política para APIs do Microsoft Graph foi melhorado. O esquema de política mais antigo agora foi preterido. Certifique-se de usar o novo esquema para ajudar a evitar erros.
O contexto adicional pode ser direcionado a apenas um único grupo, que pode ser dinâmico ou aninhado. Há suporte para grupos de segurança sincronizados locais e grupos de segurança somente na nuvem para a política de método de autenticação.
Login por telefone sem senha e autenticação multifator
Quando um usuário recebe uma entrada por telefone sem senha ou uma notificação por push MFA no Microsoft Authenticator, ele verá o nome do aplicativo que solicita a aprovação e o local com base no endereço IP de onde o logon se originou.
O contexto adicional pode ser combinado com a correspondência numérica para melhorar ainda mais a segurança de início de sessão.
Alterações no esquema de política
Você pode habilitar e desabilitar o nome do aplicativo e a localização geográfica separadamente. Em featureSettings, você pode usar o seguinte mapeamento de nome para cada recurso:
- Nome do aplicativo: displayAppInformationRequiredState
- Localização geográfica: displayLocationInformationRequiredState
Nota
Certifique-se de usar o novo esquema de política para APIs do Microsoft Graph. No Graph Explorer, você precisará consentir com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod .
Identifique seu grupo-alvo único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade da API para alterar as propriedades displayAppInformationRequiredState ou displayLocationInformationRequiredState em featureSettings para habilitar e incluir ou excluir os grupos desejados:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Exemplo de como habilitar contexto adicional para todos os usuários
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de padrão para enabled.
O valor do Modo de Autenticação pode ser qualquer ou push, dependendo se você também deseja ou não habilitar o login por telefone sem senha. Nesses exemplos, usaremos qualquer, mas se você não quiser permitir a ausência de senha, use o push.
Talvez seja necessário CORRIGIR todo o esquema para evitar a substituição de qualquer configuração anterior. Nesse caso, faça um GET primeiro, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Microsoft Authenticator em includeTargets do Microsoft Authenticator verão o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Microsoft Authenticator não verão esses recursos.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de padrão para enabled. Dentro do includeTarget para cada featureSetting, altere a id de all_users para ObjectID do grupo a partir do centro de administração do Microsoft Entra.
Você precisa CORRIGIR todo o esquema para evitar a substituição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro e, em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Microsoft Authenticator em includeTargets do Microsoft Authenticator verão o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para verificar, execute GET novamente e verifique o ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exemplo de como desativar o nome do aplicativo e habilitar apenas a localização geográfica
Em featureSettings, altere o estado de displayAppInformationRequiredState para default ou disabled e displayLocationInformationRequiredState para enabled. Dentro do includeTarget para cada featureSetting, altere a id de all_users para ObjectID do grupo a partir do centro de administração do Microsoft Entra.
Você precisa CORRIGIR todo o esquema para evitar a substituição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro e, em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Microsoft Authenticator em includeTargets do Microsoft Authenticator verão o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica
Em featureSettings, altere os estados de displayAppInformationRequiredState e displayLocationInformationRequiredState de default para enabled. Dentro do includeTarget para cada featureSetting, altere a id de all_users para ObjectID do grupo a partir do centro de administração do Microsoft Entra.
Além disso, para cada um dos recursos, você alterará a id do excludeTarget para o ObjectID do grupo a partir do centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.
Você precisa CORRIGIR todo o esquema para evitar a substituição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro e, em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Microsoft Authenticator em includeTargets do Microsoft Authenticator verão o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de remoção do grupo excluído
Em featureSettings, altere os estados de displayAppInformationRequiredState de padrão para habilitado. Você precisa alterar o id do excludeTarget para 00000000-0000-0000-0000-000000000000
.
Você precisa CORRIGIR todo o esquema para evitar a substituição de qualquer configuração anterior. Recomendamos que você faça um GET primeiro e, em seguida, atualize apenas os campos relevantes e, em seguida, PATCH. O exemplo a seguir mostra uma atualização para displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Somente os usuários habilitados para o Microsoft Authenticator em includeTargets do Microsoft Authenticator verão o nome do aplicativo ou a localização geográfica. Os usuários que não estão habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desativar contexto adicional
Para desativar o contexto adicional, você precisará PATCH displayAppInformationRequiredState e displayLocationInformationRequiredState de habilitado para desabilitado/ padrão. Você também pode desativar apenas um dos recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ativar contexto adicional no centro de administração do Microsoft Entra
Para habilitar o nome do aplicativo ou a localização geográfica no centro de administração do Microsoft Entra, conclua as seguintes etapas:
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Métodos>de autenticação de proteção>Microsoft Authenticator.
Na guia Noções básicas, clique em Sim e Todos os usuários para habilitar a política para todos e altere o modo de autenticação para Qualquer.
Somente os usuários habilitados para o Microsoft Authenticator aqui podem ser incluídos na política para mostrar o nome do aplicativo ou a localização geográfica da entrada ou excluídos dela. Os usuários que não estão habilitados para o Microsoft Authenticator não podem ver o nome do aplicativo ou a localização geográfica.
Na guia Configurar, para Mostrar nome do aplicativo em notificações por push e sem senha, altere Status para Habilitado, escolha quem incluir ou excluir da política e clique em Salvar.
Em seguida, faça o mesmo para Mostrar localização geográfica em notificações push e sem senha.
Você pode configurar o nome do aplicativo e a localização geográfica separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo Operações de ver a localização geográfica.
Problemas conhecidos
Não há suporte para contexto adicional para o NPS (Servidor de Políticas de Rede) ou os Serviços de Federação do Ative Directory (AD FS).
Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Microsoft Authenticator está atualizando sua linha de base de segurança para as políticas de Acesso Condicional do Controle de Acesso Baseado em Localização (LBAC). O Autenticador negará autenticações em que o usuário possa estar usando um local diferente da localização GPS real do dispositivo móvel onde o Autenticador foi instalado.
Na versão de novembro de 2023 do Authenticator, os usuários que modificarem a localização de seus dispositivos verão uma mensagem de negação no Authenticator ao fazer uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executarem versões mais antigas do Authenticator serão bloqueados da autenticação LBAC com um local modificado:
- Autenticador versão 6.2309.6329 ou anterior no Android
- Autenticador versão 6.7.16 ou anterior no iOS
Para localizar quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.
Próximos passos
Métodos de autenticação no Microsoft Entra ID - Aplicação Microsoft Authenticator