Uso de contexto adicional en notificaciones de Microsoft Authenticator: directiva de métodos de autenticación
En este tema se describe cómo mejorar la seguridad del inicio de sesión del usuario mediante la adición de la ubicación geográfica y el nombre de aplicación del inicio de sesión en las notificaciones de inserción y sin contraseña de Microsoft Authenticator.
Prerrequisitos
Su organización debe habilitar las notificaciones de inserción y sin contraseña de Microsoft Authenticator para algunos usuarios o grupos mediante la nueva directiva de métodos de autenticación. Puede editar la directiva de métodos de autenticación mediante el centro de administración de Microsoft Entra o Microsoft Graph API.
Nota:
Se ha mejorado el esquema de directiva para las API de Microsoft Graph. El esquema de directiva anterior ya está en desuso. Asegúrese de usar el nuevo esquema para ayudar a evitar errores.
El contexto adicional se puede dirigir a un único grupo, que puede ser dinámico o anidado. En la directiva de métodos de autenticación, se admiten tanto los grupos de seguridad sincronizados locales como los grupos de seguridad solo en la nube.
Inicio de sesión con teléfono sin contraseña y autenticación multifactor
Cuando un usuario recibe un inicio de sesión telefónico sin contraseña o una notificación push de autenticación multifactor en la aplicación Microsoft Authenticator, verá el nombre de la aplicación que solicita la aprobación y la ubicación según la dirección IP desde la que se origina el inicio de sesión.
El contexto adicional se puede combinar con la coincidencia de números para mejorar aún más la seguridad de los inicios de sesión.
Cambios de esquema de directiva
Puede habilitar y deshabilitar el nombre de la aplicación y la ubicación geográfica por separado. En featureSettings puede usar la siguiente asignación de nombres para cada característica:
- Nombre de la aplicación: displayAppInformationRequiredState
- Ubicación geográfica: displayLocationInformationRequiredState
Nota
Asegúrese de usar el nuevo esquema de directiva para las API de Microsoft Graph. En el Explorador de Graph, necesitará dar su consentimiento a los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod.
Identifique el grupo de destino único para cada una de las características. A continuación, use el siguiente punto de conexión de API para cambiar las propiedades isplayAppInformationRequiredState o displayLocationInformationRequiredState en featureSettings a habilitado e incluya y excluya los grupos que desee:
https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Propiedades de MicrosoftAuthenticatorAuthenticationMethodConfiguration
PROPIEDADES
| Propiedad | Tipo | Descripción |
|---|---|---|
| id | String | El identificador de la directiva de métodos de autenticación. |
| state | authenticationMethodState | Los valores posibles son: enabled disabled |
RELACIONES
| Relación | Tipo | Descripción |
|---|---|---|
| includeTargets | Colección microsoftAuthenticatorAuthenticationMethodTarget | Una colección de usuarios o grupos habilitados para usar el método de autenticación. |
| featureSettings | Colección microsoftAuthenticatorFeatureSettings | Colección de características de Microsoft Authenticator. |
Propiedades MicrosoftAuthenticator includeTarget
PROPIEDADES
| Propiedad | Tipo | Descripción |
|---|---|---|
| authenticationMode | String | Los valores posibles son: any: se permiten tanto el inicio de sesión mediante teléfono sin contraseña como las notificaciones tradicionales de segundo factor. deviceBasedPush: solo se permiten notificaciones de inicio de sesión mediante teléfono sin contraseña. push: solo se permiten las notificaciones push de segundo factor tradicionales. |
| id | String | Id. de objeto de un usuario o grupo de Microsoft Entra. |
| targetType | authenticationMethodTargetType | Los valores posibles son user o group. |
Propiedades featureSettings de MicrosoftAuthenticator
PROPIEDADES
| Propiedad | Tipo | Descripción |
|---|---|---|
| numberMatchingRequiredState | authenticationMethodFeatureConfiguration | Requiere coincidencia numérica para las notificaciones de MFA. El valor se omite para las notificaciones de inicio de sesión por teléfono. |
| displayAppInformationRequiredState | authenticationMethodFeatureConfiguration | Determina si al usuario se le muestra el nombre de la aplicación en la notificación de Microsoft Authenticator. |
| displayLocationInformationRequiredState | authenticationMethodFeatureConfiguration | Determina si al usuario se le muestra el contexto de la ubicación geográfica en la notificación de Microsoft Authenticator. |
Propiedades de configuración de las características del método de autenticación
PROPIEDADES
| Propiedad | Tipo | Descripción |
|---|---|---|
| excludeTarget | featureTarget | De esta característica se excluye solo una entidad. Solo se puede excluir un grupo por característica. |
| includeTarget | featureTarget | En esta característica se incluye solo una entidad. Solo se puede incluir un grupo por característica. |
| State | advancedConfigState | Los valores posibles son: enabled habilita explícitamente la característica para el grupo seleccionado. disabled deshabilita explícitamente la característica para el grupo seleccionado. default permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado. |
Propiedades de destino de las características
PROPIEDADES
| Propiedad | Tipo | Descripción |
|---|---|---|
| id | String | Identificador de registro de la entidad. |
| targetType | featureTargetType | Tipo de entidad de destino, como grupo, rol o unidad administrativa. Los valores posibles son: "group", "administrativeUnit", "role", "unknownFutureValue". |
Ejemplo de cómo habilitar contexto adicional para todos los usuarios
En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado.
El valor del modo de autenticación puede ser any o push, en función de si también se desea habilitar el inicio de sesión de teléfono sin contraseña, o no. En estos ejemplos se usará any, pero si no desea permitir que se pueda iniciar sesión sin contraseña, use push.
Es posible que tenga que REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. En ese caso, realice primero una operación GET, actualice solo los campos pertinentes y, después, realice una operación PATCH. En el ejemplo siguiente se muestra cómo actualizar displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "all_users"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de cómo habilitar el nombre de la aplicación y la ubicación geográfica para grupos independientes
En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado. En includeTarget de cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.
Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Para comprobarlo, vuelva a ejecutar GET y compruebe el valor de ObjectID:
GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Ejemplo de cómo deshabilitar el nombre de la aplicación y habilitar solo la ubicación geográfica
En featureSettings, cambie el estado de displayAppInformationRequiredState a predeterminado o deshabilitado y displayLocationInformationRequiredState a habilitado. En includeTarget, para cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.
Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de cómo excluir un grupo del nombre de la aplicación y la ubicación geográfica
En featureSettings, cambie los estados de displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado. En includeTarget, para cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.
Además, para cada una de las características, debe cambiar el identificador de excludeTarget al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra. Este cambio impedirá que ese grupo pueda ver el nombre de la aplicación ni la ubicación geográfica.
Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
}
},
"displayLocationInformationRequiredState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Ejemplo de eliminación del grupo excluido
En featureSettings, cambie los estados de displayAppInformationRequiredState de predeterminado a habilitado. Debe cambiar el identificador de excludeTarget a 00000000-0000-0000-0000-000000000000.
Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.
Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
" displayAppInformationRequiredState ": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
},
"excludeTarget": {
"targetType": "group",
"id": " 00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Desactivación del contexto adicional
Para desactivar el contexto adicional, tendrá que CAMBIAR displayAppInformationRequiredState y displayLocationInformationRequiredState de habilitado a deshabilitado/predeterminado. También puede desactivar solo una de las características.
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"featureSettings": {
"displayAppInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
},
"displayLocationInformationRequiredState": {
"state": "disabled",
"includeTarget": {
"targetType": "group",
"id": "a229e768-961a-4401-aadb-11d836885c11"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any",
}
]
}
Habilitación del contexto adicional en el Centro de administración de Microsoft Entra
Para habilitar el nombre de la aplicación o la ubicación geográfica en el centro de administración de Microsoft Entra, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Protection>Métodos de autenticación>Microsoft Authenticator.
En la pestaña Aspectos básicos, haga clic en Sí y Todos los usuarios a fin de habilitar la directiva para todos y cambie el Modo de autenticación a Cualquiera.
Solo los usuarios que están habilitados para Microsoft Authenticator aquí se pueden incluir en la directiva para mostrar el nombre de la aplicación o la ubicación geográfica del inicio de sesión, o excluirse de él. Los usuarios que no están habilitados para Microsoft Authenticator no pueden ver el nombre de la aplicación ni la ubicación geográfica.
En la pestaña Configurar, en Mostrar el nombre de la aplicación en notificaciones de inserción y sin contraseña, cambie Estado a Habilitado, elija quién incluir o excluir de la directiva y haga clic en Guardar.
A continuación, haga lo mismo para Mostrar ubicación geográfica en notificaciones de inserción y sin contraseña.
Puede configurar el nombre de la aplicación y la ubicación geográfica por separado. Por ejemplo, la siguiente directiva habilita el nombre de la aplicación y la ubicación geográfica para todos los usuarios, pero excluye el grupo de operaciones de ver la ubicación geográfica.
Problemas conocidos
No se admite contexto adicional para el servidor de directivas de red (NPS) o Servicios de federación de Active Directory (AD FS).
Los usuarios pueden modificar la ubicación notificada por dispositivos iOS y Android. Como resultado, Microsoft Authenticator actualiza su línea base de seguridad para las directivas de acceso condicional de Control de acceso basado en ubicación (LBAC). Authenticator denegará las autenticaciones en las que el usuario pueda estar usando una ubicación diferente a la ubicación GPS real del dispositivo móvil donde se instaló Authenticator.
En la versión de noviembre de 2023 de Authenticator, los usuarios que modifican la ubicación de su dispositivo verán un mensaje de denegación en Authenticator al realizar una autenticación LBAC. A partir de enero de 2024, se bloqueará la autenticación LBAC a todos los usuarios que ejecuten versiones anteriores de Authenticator con una ubicación modificada:
- Authenticator versión 6.2309.6329 o anterior en Android
- Authenticator versión 6.7.16 o anterior en iOS
Para buscar qué usuarios ejecutan versiones anteriores de Authenticator, use las API de Microsoft Graph.
Pasos siguientes
Métodos de autenticación en Microsoft Entra ID: aplicación de autenticación de Microsoft