在 Microsoft Authenticator 通知中显示额外上下文

Microsoft Authenticator 是 Microsoft 的官方移动应用程序，用于 MFA 和无密码身份验证，常作为 Entra ID 中的一种身份验证方法。

在进行 MFA 或无密码身份验证请求之后，该应用程序会发送一条推送通知。该通知可显示额外的上下文，包括目标应用程序以及登录尝试的位置（由 Microsoft 根据 IP 地址推断）。这有助于用户判断该提示是合法的还是恶意攻击。

此风险暴露指标 (IoE) 检查以下设置：

• “在推送和无密码通知中显示应用程序名称”
• “在推送和无密码通知中显示地理位置”

这两项设置的预期安全值均为“启用”。使用中间值“由 Microsoft 管理”（在 Graph API 中为默认值）可让 Microsoft 根据不断变化的安全威胁态势来定义确切值。然而，当此 IoE 在 2024 年底引入时，Microsoft 将这些设置设为“已禁用”，因此，此 IoE 默认不将“由 Microsoft 管理”视为安全操作（但您可以通过参数调整此行为）。

此功能对于防范 MFA 疲劳攻击特别有效，在这种攻击中，攻击者会不断向受害者发送通知，直到他们最终批准其中一个为止。额外的上下文可提高用户的意识，使他们更有可能识别并拒绝恶意尝试。

Microsoft 在“配置 Microsoft Entra 以提高安全性”一文中还建议“身份验证器应用应显示登录上下文”。

Tenable 建议您在 Microsoft Authenticator 身份验证方法中，将以下两个设置的状态设置为“已启用”：

• “在推送和无密码通知中显示应用程序名称”
• “在推送和无密码通知中显示地理位置”

有关这些额外上下文如何显示的详细信息，以及使用不同方法启用相关设置的说明，请参阅以下 Microsoft 文档：如何在 Microsoft Authenticator 通知中使用额外的上下文 - 身份验证方法策略。

正如漏洞描述中所述，我们建议不要使用“由 Microsoft 托管”状态（在 Graph API 中为默认值），因为其目前等同于“已禁用”（截至 2024 年底）。

如有需要，您可以将这些配置全局设为“已启用”，同时使用“包含”和“排除”设置来指定“目标”组。Tenable 建议通过使用“包含”和“所有用户”选项，为所有用户应用这些设置。

名称: 在 Microsoft Authenticator 通知中显示额外上下文

代码名称: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure