Povolení authenticatoru Lite pro mobilní aplikaci Outlook
Authenticator Lite je dalším rozhraním pro uživatele Microsoft Entra k dokončení vícefaktorového ověřování (MFA) pomocí push oznámení nebo časově omezených jednorázových hesel (TOTP) na vašem zařízení s Androidem nebo iOS. S authenticator Lite můžou uživatelé splnit požadavek vícefaktorového ověřování z pohodlí známé aplikace. Authenticator Lite je aktuálně povolený v Outlooku Mobile.
Uživatelům se v Outlooku Mobile zobrazí oznámení o schválení nebo zamítnutí přihlášení nebo můžete zkopírovat HESLO, které se má použít při přihlašování.
Poznámka:
Pokud ověřujete prostřednictvím telekomunikačních přenosů, použijte tato důležitá vylepšení zabezpečení:
- Hodnota této funkce spravovaná Microsoftem je povolená v zásadách metod ověřování. Pokud tuto funkci nechcete povolit, přesuňte stav ze Výchozí na Zakázáno, nebo jej omezte pouze na skupinu uživatelů.
- Authenticator Lite je v zásadách vícefaktorového ověřování pro jednotlivé uživatele povolená jako součást oznámení prostřednictvím možnosti ověření mobilní aplikace. Pokud tuto funkci nechcete povolit, můžete ji zakázat v zásadách metod ověřování pomocí kroků v tomto článku.
Požadavky
Vaše organizace musí povolit push oznámení aplikace Authenticator (druhý faktor) pro všechny uživatele nebo vybrané skupiny. Doporučujeme povolit Authenticator pomocí moderních zásad metod ověřování . Zásady metod ověřování můžete upravit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API. Authenticator Lite nemá nárok na místní uživatelské účty nebo organizace s aktivním serverem MFA.
Pokud vaše organizace používá adaptér Active Directory Federation Services (AD FS) (AD FS) nebo rozšíření NPS (Network Policy Server), upgradujte na nejnovější verze pro konzistentní prostředí.
Uživatelé s povoleným režimem sdíleného zařízení v Outlooku Mobile nemají nárok na Authenticator Lite.
Uživatelé musí používat minimálně mobilní verzi Outlooku.
Operační systém Verze aplikace Outlook Android 4.2310.1 iOS 4.2312.1
Povolení authenticatoru Lite
Ve výchozím nastavení je Authenticator Lite spravovaný Microsoft v zásadách metod ověřování. Dne 26. června se hodnota této funkce spravovaná Microsoftem změnila z disabled na enabled. Authenticator Lite je také součástí oznámení prostřednictvím možnosti ověření mobilní aplikace v zásadách vícefaktorového ověřování pro jednotlivé uživatele.
Zakázání Authenticator Lite v Centru pro správu Microsoft Entra
Chcete-li zakázat Authenticator Lite v Centru pro správu Microsoft Entra, postupujte takto:
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce zásad ověřování.
Přejděte k metodám>>microsoft Authenticator.
Na kartě Povolení a Cíl vyberte Povolit a Všichni uživatelé, abyste povolili zásadu Authenticatoru pro všechny uživatele, nebo přidejte vybrané skupiny. Nastavte režim ověřování pro tyto uživatele nebo skupiny na libovolný nebo Push.
Uživatelé, kteří nemají povolenou funkci Authenticator, tuto funkci nevidí. Uživatelé, kteří mají aplikaci Authenticator staženou na stejném zařízení, na kterém je stažený Outlook, se nezobrazí výzva k registraci pro Authenticator Lite v Outlooku. Uživatelům Androidu, kteří na svém zařízení používají osobní a pracovní profil, se může zobrazit výzva k registraci, pokud je aplikace Authenticator k dispozici v jiném profilu než aplikace Outlook.
Na kartě KonfigurovatMicrosoft Authenticator v partnerských aplikacíchzměňte Stav na Zakázánoa pak vyberte Uložit.
Pokud vaše organizace stále spravuje metody ověřování v zásadách vícefaktorového ověřování pro jednotlivé uživatele, musíte kromě předchozích kroků zakázat oznámení prostřednictvím mobilní aplikace jako možnost ověření. Tento krok doporučujeme provést až po povolení authenticatoru v zásadách metod ověřování.
Zbývající metody ověřování můžete dál spravovat v zásadách vícefaktorového ověřování pro jednotlivé uživatele, zatímco Authenticator se spravuje v moderních zásadách metod ověřování. Doporučujeme ale migrovat správu všech metod ověřování na moderní zásady metod ověřování. Schopnost spravovat metody ověřování v zásadách vícefaktorového ověřování pro jednotlivé uživatele bude ukončena 30. září 2025.
Povolení authenticatoru Lite prostřednictvím rozhraní Graph API
| Vlastnost | Type | Popis |
|---|---|---|
excludeTarget |
featureTarget |
Jedna entita, která je z této funkce vyloučená. Z authenticatoru Lite můžete vyloučit jenom jednu skupinu, což může být dynamická nebo vnořená skupina. |
includeTarget |
featureTarget |
Jedna entita, která je součástí této funkce. Můžete zahrnout pouze jednu skupinu pro Authenticator Lite, což může být dynamická nebo vnořená skupina. |
State |
advancedConfigState |
Možné hodnoty: Povoleno explicitně povolí funkci pro vybranou skupinu. Zakázáno tuto funkci pro vybranou skupinu explicitně zakáže. Výchozí umožňuje službě Microsoft Entra ID spravovat, zda je tato funkce povolená nebo ne pro vybranou skupinu. |
Jakmile identifikujete jednu cílovou skupinu, pomocí následujícího koncového bodu rozhraní API změňte vlastnost CompanionAppsAllowedState v části featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
V Graph Exploreru potřebujete souhlas s oprávněním Policy.ReadWrite.AuthenticationMethod.
Žádost
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Registrace uživatele
Pokud jsou uživatelé povoleni pro Authenticator Lite, zobrazí se jim výzva k registraci vašeho účtu přímo z Outlooku Mobile. Registrace Authenticator Lite není dostupná prostřednictvím Moje přihlášení. Uživatelé mohou také povolit nebo zakázat Authenticator Lite z aplikace Outlook pro mobilní zařízení. Další informace o uživatelském prostředí najdete v tématu Podpora Authenticator Lite.
Pokud uživatelé nemají zaregistrované žádné metody vícefaktorového ověřování, zobrazí se jim výzva ke stažení authenticatoru při zahájení registračního toku. Pro co nejplynulejší zážitek poskytněte uživatelům dočasný přístupový průkaz (TAP) během registrace Authenticator Lite.
Monitorování využití Authenticator Lite
Protokoly přihlašování můžou ukázat, která aplikace byla použita k dokončení ověřování uživatelů. Pokud chcete zobrazit nejnovější přihlášení, použijte následující volání koncového bodu beta rozhraní API:
GET auditLogs/signIns
Pokud bylo přihlášení provedeno oznámením aplikace na telefonu, v části authenticationAppDeviceDetails pole clientApp vrátí microsoftAuthenticator nebo Outlook.
Pokud uživatel zaregistroval Authenticator Lite, registrované metody ověřování uživatele zahrnují Microsoft Authenticator (v Outlooku).
Nabízená oznámení v Authenticator Lite
Nabízená oznámení odesílaná službou Authenticator Lite nejsou konfigurovatelná a nezávisí na nastavení funkce Authenticator. Authenticator Lite nepodporuje režim ověřování bez hesla. Následující tabulka uvádí nastavení funkcí zahrnutých v prostředí Authenticator Lite. Každé ověřování zahrnuje výzvu odpovídající číslu a neobsahuje kontext aplikace a umístění bez ohledu na nastavení funkcí Authenticatoru.
| Funkce autentizátoru | Zkušenost s Authenticator Lite |
|---|---|
| Porovnávání čísel | Povoleno |
| Kontext umístění | Zakázáno |
| Kontext aplikace | Zakázáno |
Následující snímky obrazovky ukazují, co uživatelé uvidí, když Authenticator Lite odešle nabízené oznámení.
Adaptér AD FS a rozšíření NPS
Authenticator Lite vynucuje porovnávání čísel při každém ověřování. Pokud váš tenant používá adaptér služby AD FS nebo rozšíření NPS, nemusí být vaši uživatelé schopni dokončit oznámení Authenticator Lite. Další informace najdete v tématu Adaptér služby AD FS a rozšíření NPS.
Další informace o ověřovacích oznámeních najdete v tématu Metoda ověřování microsoft Authenticatoru.
Časté dotazy
V následujících částech najdete seznam běžných otázek.
Funguje Authenticator Lite jako zprostředkační aplikace?
Ne, Authenticator Lite je k dispozici pouze pro nabízená oznámení a TOTP.
Je možné použít Authenticator Lite pro SSPR?
Ne, Authenticator Lite je k dispozici pouze pro nabízená oznámení a TOTP.
Je authenticator Lite dostupný v desktopové aplikaci Outlook?
Ne, Authenticator Lite je k dispozici jenom v Outlooku Mobile.
Kde se můžou uživatelé zaregistrovat pro Authenticator Lite?
Uživatelé se můžou zaregistrovat pro Authenticator Lite jenom z mobilního Outlooku. Registrace do Authenticator Lite se spravuje z Moje přihlášení.
Můžou si uživatelé zaregistrovat Authenticator a Authenticator Lite?
Uživatelé, kteří mají na svém zařízení Authenticator, nemůžou na stejném zařízení zaregistrovat Authenticator Lite. Pokud má uživatel registraci Authenticator Lite a později stáhne Authenticator, může zaregistrovat obojí. Pokud má uživatel dvě zařízení, může zaregistrovat Authenticator Lite na jednom a Authenticator na druhém.
Známé problémy
Jsou známé následující problémy.
Oznámení pro samoobslužné resetování hesla (SSPR)
Kódy TOTP z Outlooku fungují pro SSPR, ale push oznámení nebude fungovat a vrátí chybu.
V protokolech se zobrazují přidaná vyhodnocení podmíněného přístupu
Zásady podmíněného přístupu se vyhodnocují pokaždé, když uživatel otevře aplikaci Outlook a určí, jestli má nárok na registraci pro Authenticator Lite. Tyto kontroly se můžou zobrazit v protokolech.