Compartir vía


Uso de contexto adicional en notificaciones de Microsoft Authenticator: directiva de métodos de autenticación

En este tema se describe cómo mejorar la seguridad del inicio de sesión del usuario mediante la adición de la ubicación geográfica y el nombre de aplicación del inicio de sesión en las notificaciones de inserción y sin contraseña de Microsoft Authenticator.

Prerrequisitos

  • Su organización debe habilitar las notificaciones de inserción y sin contraseña de Microsoft Authenticator para algunos usuarios o grupos mediante la nueva directiva de métodos de autenticación. Puede editar la directiva de métodos de autenticación mediante el centro de administración de Microsoft Entra o Microsoft Graph API.

    Nota:

    Se ha mejorado el esquema de directiva para las API de Microsoft Graph. El esquema de directiva anterior ya está en desuso. Asegúrese de usar el nuevo esquema para ayudar a evitar errores.

  • El contexto adicional se puede dirigir a un único grupo, que puede ser dinámico o anidado. En la directiva de métodos de autenticación, se admiten tanto los grupos de seguridad sincronizados locales como los grupos de seguridad solo en la nube.

Inicio de sesión con teléfono sin contraseña y autenticación multifactor

Cuando un usuario recibe un inicio de sesión telefónico sin contraseña o una notificación push de autenticación multifactor en la aplicación Microsoft Authenticator, verá el nombre de la aplicación que solicita la aprobación y la ubicación según la dirección IP desde la que se origina el inicio de sesión.

Captura de pantalla del contexto adicional en la notificación push de autenticación multifactor.

El contexto adicional se puede combinar con la coincidencia de números para mejorar aún más la seguridad de los inicios de sesión.

Captura de pantalla del contexto adicional con coincidencia de números en la notificación push de autenticación multifactor.

Cambios de esquema de directiva

Puede habilitar y deshabilitar el nombre de la aplicación y la ubicación geográfica por separado. En featureSettings puede usar la siguiente asignación de nombres para cada característica:

  • Nombre de la aplicación: displayAppInformationRequiredState
  • Ubicación geográfica: displayLocationInformationRequiredState

Nota

Asegúrese de usar el nuevo esquema de directiva para las API de Microsoft Graph. En el Explorador de Graph, necesitará dar su consentimiento a los permisos Policy.Read.All y Policy.ReadWrite.AuthenticationMethod.

Identifique el grupo de destino único para cada una de las características. A continuación, use el siguiente punto de conexión de API para cambiar las propiedades isplayAppInformationRequiredState o displayLocationInformationRequiredState en featureSettings a habilitado e incluya y excluya los grupos que desee:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Para obtener más información, consulte el tipo de recurso microsoftAuthenticatorAuthenticationMethodConfiguration.

Ejemplo de cómo habilitar contexto adicional para todos los usuarios

En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado.

El valor del modo de autenticación puede ser any o push, en función de si también se desea habilitar el inicio de sesión de teléfono sin contraseña, o no. En estos ejemplos se usará any, pero si no desea permitir que se pueda iniciar sesión sin contraseña, use push.

Es posible que tenga que REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. En ese caso, realice primero una operación GET, actualice solo los campos pertinentes y, después, realice una operación PATCH. En el ejemplo siguiente se muestra cómo actualizar displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.

Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
 
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "all_users"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
} 

Ejemplo de cómo habilitar el nombre de la aplicación y la ubicación geográfica para grupos independientes

En featureSettings, cambie displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado. En includeTarget de cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.

Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.

Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Para comprobarlo, vuelva a ejecutar GET y compruebe el valor de ObjectID:

GET https://graph.microsoft.com/v1.0/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Ejemplo de cómo deshabilitar el nombre de la aplicación y habilitar solo la ubicación geográfica

En featureSettings, cambie el estado de displayAppInformationRequiredState a predeterminado o deshabilitado y displayLocationInformationRequiredState a habilitado. En includeTarget, para cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.

Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.

Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Ejemplo de cómo excluir un grupo del nombre de la aplicación y la ubicación geográfica

En featureSettings, cambie los estados de displayAppInformationRequiredState y displayLocationInformationRequiredState de predeterminado a habilitado. En includeTarget, para cada featureSetting, cambie el identificador de all_users al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra.

Además, para cada una de las características, debe cambiar el identificador de excludeTarget al valor de ObjectID del grupo desde el centro de administración de Microsoft Entra. Este cambio impedirá que ese grupo pueda ver el nombre de la aplicación ni la ubicación geográfica.

Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.

Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "5af8a0da-5420-4d69-bf3c-8b129f3449ce"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "b6bab067-5f28-4dac-ab30-7169311d69e8"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Ejemplo de eliminación del grupo excluido

En featureSettings, cambie los estados de displayAppInformationRequiredState de predeterminado a habilitado. Debe cambiar el identificador de excludeTarget a 00000000-0000-0000-0000-000000000000.

Debe REVISAR todo el esquema para evitar sobrescribir cualquier configuración anterior. Es aconsejable que primero realice una operación GET, después, actualice solo los campos pertinentes y, luego, realice una operación PATCH. En el ejemplo siguiente se muestra una actualización de displayAppInformationRequiredState y displayLocationInformationRequiredState en featureSettings.

Solo los usuarios habilitados para Microsoft Authenticator en includeTargets de Microsoft Authenticator verán el nombre de la aplicación o la ubicación geográfica. Los usuarios que no estén habilitados para Microsoft Authenticator no verán estas características.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        " displayAppInformationRequiredState ": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "1ca44590-e896-4dbe-98ed-b140b1e7a53a"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": " 00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Desactivación del contexto adicional

Para desactivar el contexto adicional, tendrá que CAMBIAR displayAppInformationRequiredState y displayLocationInformationRequiredState de habilitado a deshabilitado/predeterminado. También puede desactivar solo una de las características.

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "featureSettings": {
        "displayAppInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "44561710-f0cb-4ac9-ab9c-e6c394370823"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        },
        "displayLocationInformationRequiredState": {
            "state": "disabled",
            "includeTarget": {
                "targetType": "group",
                "id": "a229e768-961a-4401-aadb-11d836885c11"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/v1.0/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any",
        }
    ]
}

Habilitación del contexto adicional en el Centro de administración de Microsoft Entra

Para habilitar el nombre de la aplicación o la ubicación geográfica en el centro de administración de Microsoft Entra, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protection>Métodos de autenticación>Microsoft Authenticator.

  3. En la pestaña Aspectos básicos, haga clic en y Todos los usuarios a fin de habilitar la directiva para todos y cambie el Modo de autenticación a Cualquiera.

    Solo los usuarios que están habilitados para Microsoft Authenticator aquí se pueden incluir en la directiva para mostrar el nombre de la aplicación o la ubicación geográfica del inicio de sesión, o excluirse de él. Los usuarios que no están habilitados para Microsoft Authenticator no pueden ver el nombre de la aplicación ni la ubicación geográfica.

    Captura de pantalla que muestra cómo habilitar la configuración de Microsoft Authenticator para cualquier modo de autenticación.

  4. En la pestaña Configurar, en Mostrar el nombre de la aplicación en notificaciones de inserción y sin contraseña, cambie Estado a Habilitado, elija quién incluir o excluir de la directiva y haga clic en Guardar.

    Captura de pantalla de cómo habilitar el nombre de la aplicación.

    A continuación, haga lo mismo para Mostrar ubicación geográfica en notificaciones de inserción y sin contraseña.

    Captura de pantalla de cómo habilitar la ubicación geográfica.

    Puede configurar el nombre de la aplicación y la ubicación geográfica por separado. Por ejemplo, la siguiente directiva habilita el nombre de la aplicación y la ubicación geográfica para todos los usuarios, pero excluye el grupo de operaciones de ver la ubicación geográfica.

    Captura de pantalla de cómo habilitar el nombre de la aplicación y la ubicación geográfica por separado.

Problemas conocidos

  • No se admite contexto adicional para el servidor de directivas de red (NPS) o Servicios de federación de Active Directory (AD FS).

  • Los usuarios pueden modificar la ubicación notificada por dispositivos iOS y Android. Como resultado, Microsoft Authenticator actualiza su línea base de seguridad para las directivas de acceso condicional de Control de acceso basado en ubicación (LBAC). Authenticator denegará las autenticaciones en las que el usuario pueda estar usando una ubicación diferente a la ubicación GPS real del dispositivo móvil donde se instaló Authenticator.

    En la versión de noviembre de 2023 de Authenticator, los usuarios que modifican la ubicación de su dispositivo verán un mensaje de denegación en Authenticator al realizar una autenticación LBAC. A partir de enero de 2024, se bloqueará la autenticación LBAC a todos los usuarios que ejecuten versiones anteriores de Authenticator con una ubicación modificada:

    • Authenticator versión 6.2309.6329 o anterior en Android
    • Authenticator versión 6.7.16 o anterior en iOS

    Para buscar qué usuarios ejecutan versiones anteriores de Authenticator, use las API de Microsoft Graph.

Pasos siguientes

Métodos de autenticación en Microsoft Entra ID: aplicación de autenticación de Microsoft