Como usar contexto adicional nas notificações do Microsoft Authenticator – Política de métodos de autenticação
Este tópico aborda como melhorar a segurança da entrada do usuário adicionando o nome do aplicativo e a localização geográfica da entrada nas notificações por push e sem senha do Microsoft Authenticator.
Pré-requisitos
Sua organização precisa habilitar as notificações por push e sem senha do Microsoft Authenticator para alguns usuários ou grupos usando a nova política de métodos de autenticação. Você pode editar a política de Métodos de autenticação no centro de administração do Microsoft Entra ou na API do Microsoft Graph.
Observação
O esquema de política para APIs do Microsoft Graph foi aprimorado. O esquema de política mais antigo agora está preterido. Verifique se está usando o novo esquema para ajudar a evitar erros.
O contexto adicional pode ser direcionado a somente um único grupo, que pode ser dinâmico ou aninhado. Os grupos de segurança sincronizados locais e os grupos de segurança somente na nuvem tem suporte da política de método de autenticação.
Logon por telefone sem senha e autenticação multifator
Quando um usuário recebe uma notificação de entrada por telefone sem senha ou uma notificação por push de MFA no Microsoft Authenticator, ele vê o nome e o local do aplicativo que está solicitando a aprovação com base no endereço IP de origem da entrada.
O contexto adicional pode ser combinado com a correspondência de números para melhorar ainda mais a segurança do logon.
Alterações no esquema da política
É possível habilitar e desabilitar separadamente o nome do aplicativo e a localização geográfica. Em featureSettings, é possível usar o seguinte mapeamento de nomes para cada recurso:
- Nome do aplicativo: displayAppInformationRequiredState
- Localização geográfica: displayLocationInformationRequiredState
Observação
Verifique se está usando o novo esquema de política para as APIs do Microsoft Graph. No Explorador do Graph, você precisará consentir com as permissões Policy.Read.All e Policy.ReadWrite.AuthenticationMethod.
Identifique seu grupo de destino único para cada um dos recursos. Em seguida, use o seguinte ponto de extremidade de API para alterar as propriedades displayAppInformationRequiredState ou displayLocationInformationRequiredState em featureSettings para habilitado e incluir ou excluir os grupos desejados:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Para obter mais informações, consulte o tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.
Exemplo de como habilitar o contexto adicional para todos os usuários
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de padrão para habilitado.
O valor do modo de autenticação pode ser qualquer um ou push, de acordo com sua preferência de habilitação ou desabilitação da entrada por telefone sem senha. Nestes exemplos, usaremos qualquer um, mas se você não quiser permitir senhas, use push.
Pode ser necessário realizar PATCH em todo o esquema para evitar a substituição de configurações anteriores. Nesse caso, faça primeiro um GET, atualize somente os campos relevantes e, em seguida, realize PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os usuários habilitados para o Microsoft Authenticator no includeTargets desse produto verão o nome do aplicativo ou a localização geográfica. Os usuários que não estiverem habilitados para o Microsoft Authenticator não verão esses recursos.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como habilitar o nome do aplicativo e a localização geográfica para grupos separados
Em featureSettings, altere displayAppInformationRequiredState e displayLocationInformationRequiredState de padrão para habilitado. No includeTarget de cada featureSetting, altere a ID de all_users para a ObjectID do grupo do centro de administração do Microsoft Entra.
É necessário realizar PATCH em todo o esquema para evitar a substituição de configurações anteriores. Recomenda-se fazer primeiro um GET, atualizar somente os campos relevantes e, em seguida, realizar PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os usuários habilitados para o Microsoft Authenticator no includeTargets desse produto verão o nome do aplicativo ou a localização geográfica. Os usuários que não estiverem habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para verificar, execute GET novamente e verifique ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Exemplo de como desabilitar o nome do aplicativo e habilitar somente a localização geográfica
Em featureSettings, altere o status de displayAppInformationRequiredState para padrão ou desabilitado e de displayLocationInformationRequiredState para habilitado. No includeTarget de cada featureSetting, altere a ID de all_users para a ObjectID do grupo do centro de administração do Microsoft Entra.
É necessário realizar PATCH em todo o esquema para evitar a substituição de configurações anteriores. Recomenda-se fazer primeiro um GET, atualizar somente os campos relevantes e, em seguida, realizar PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os usuários habilitados para o Microsoft Authenticator no includeTargets desse produto verão o nome do aplicativo ou a localização geográfica. Os usuários que não estiverem habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de como excluir um grupo do nome do aplicativo e da localização geográfica
Em featureSettings, altere os status displayAppInformationRequiredState e displayLocationInformationRequiredState de padrão para habilitado. No includeTarget de cada featureSetting, altere a ID de all_users para a ObjectID do grupo do centro de administração do Microsoft Entra.
Além disso, para cada um dos recursos, você mudará a ID do excludeTarget para a ObjectID do grupo do centro de administração do Microsoft Entra. Essa alteração exclui esse grupo de ver o nome do aplicativo ou a localização geográfica.
É necessário realizar PATCH em todo o esquema para evitar a substituição de configurações anteriores. Recomenda-se fazer primeiro um GET, atualizar somente os campos relevantes e, em seguida, realizar PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os usuários habilitados para o Microsoft Authenticator no includeTargets desse produto verão o nome do aplicativo ou a localização geográfica. Os usuários que não estiverem habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Exemplo de remoção do grupo excluído
Em featureSettings, altere os status de displayAppInformationRequiredState de padrão para habilitado. É necessário alterar a ID do excludeTarget para 00000000-0000-0000-0000-000000000000.
É necessário realizar PATCH em todo o esquema para evitar a substituição de configurações anteriores. Recomenda-se fazer primeiro um GET, atualizar somente os campos relevantes e, em seguida, realizar PATCH. O exemplo a seguir mostra como atualizar displayAppInformationRequiredState e displayLocationInformationRequiredState em featureSettings.
Só os usuários habilitados para o Microsoft Authenticator no includeTargets desse produto verão o nome do aplicativo ou a localização geográfica. Os usuários que não estiverem habilitados para o Microsoft Authenticator não verão esses recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desativar o contexto adicional
Para desativar o contexto adicional, será necessário realizar PATCH em displayAppInformationRequiredState e em displayLocationInformationRequiredState de habilitado para desabilitado/padrão. Também é possível desativar somente um dos recursos.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Habilitar contexto adicional no centro de administração do Microsoft Entra
Para habilitar o nome do aplicativo ou a localização geográfica no centro de administração do Microsoft Entra, siga estas etapas:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Microsoft Authenticator.
Na guia Básico, clique em Sim e Todos os usuários para habilitar a política para todos e altere o Modo de autenticação para Qualquer.
Somente os usuários habilitados para o Microsoft Authenticator podem ser incluídos na política para mostrar o nome do aplicativo ou a localização geográfica da entrada ou ser excluídos dele. Os usuários que não estão habilitados para o Microsoft Authenticator não podem ver o nome do aplicativo ou a localização geográfica.
Na guia Configurar, em Mostrar o nome do aplicativo em notificações por push e sem senha, altere o Status para Habilitado, escolha quem deve ser incluído ou excluído da política e clique em Salvar.
Em seguida, faça o mesmo para Mostrar a localização geográfica em notificações por push e sem senha.
O nome do aplicativo e a localização geográfica podem ser configurados separadamente. Por exemplo, a política a seguir habilita o nome do aplicativo e a localização geográfica para todos os usuários, mas exclui o grupo Operações de ver a localização geográfica.
Problemas conhecidos
Não há suporte para contexto adicional para o NPS (Servidor de Políticas de Rede) ou Serviços de Federação do Active Directory (AD FS).
Os usuários podem modificar a localização relatada por dispositivos iOS e Android. Como resultado, o Microsoft Authenticator está atualizando sua linha de base de segurança para políticas de acesso condicional do LBAC (Controle de Acesso Baseado em Localização). O Autenticador negará autenticações em que o usuário pode estar usando um local diferente da localização de GPS real do dispositivo móvel em que o Authenticator foi instalado.
Na versão de novembro de 2023 do Authenticator, os usuários que modificarem a localização de seu dispositivo verão uma mensagem de negação no Authenticator ao fazer uma autenticação LBAC. A partir de janeiro de 2024, todos os usuários que executam versões mais antigas do Authenticator serão bloqueados da autenticação LBAC com um localização modificada:
- Authenticator versão 6.2309.6329 ou anterior no Android
- Authenticator versão 6.7.16 ou anterior no iOS
Para descobrir quais usuários executam versões mais antigas do Authenticator, use as APIs do Microsoft Graph.
Próximas etapas
Métodos de autenticação do Microsoft Entra ID - aplicativo Microsoft Authenticator