Aktivieren von Authenticator Lite für Outlook Mobile
Authenticator Lite ist eine weitere Oberfläche für Microsoft Entra-Benutzer, um die mehrfaktorielle Authentifizierung (MFA) mit Hilfe von Push-Benachrichtigungen oder zeitbasierten Einmalpasswörtern (TOTP) auf Ihrem Android- oder iOS-Gerät abzuschließen. Mit Authenticator Lite können Benutzer eine MFA-Anforderung bequem in einer vertrauten App erfüllen. Authenticator Lite ist derzeit in Outlook Mobile aktiviert.
Benutzer erhalten eine Benachrichtigung in Outlook Mobile, um die Anmeldung zu genehmigen oder zu verweigern, oder Sie können ein TOTP kopieren, das während der Anmeldung verwendet werden soll.
Hinweis
Verwenden Sie diese wichtigen Sicherheitsverbesserungen, wenn Sie sich über Telekommunikationstransporte authentifizieren:
- Der von Microsoft verwaltete Wert dieses Features ist in der Richtlinie für Authentifizierungsmethoden aktiviert. Wenn Sie dieses Feature nicht aktivieren möchten, verschieben Sie den Status von Standard- auf Deaktivierte, oder legen Sie ihn nur auf eine Gruppe von Benutzern fest.
- Authenticator Lite ist als Bestandteil der Überprüfungsoption „Benachrichtigung durch mobile App“ in der benutzerbasierten MFA-Richtlinie aktiviert. Wenn Sie dieses Feature nicht aktivieren möchten, können Sie es in der Richtlinie für Authentifizierungsmethoden deaktivieren, indem Sie die Schritte in diesem Artikel ausführen.
Voraussetzungen
Ihre Organisation muss Authenticator-Pushbenachrichtigungen (zweiter Faktor) für alle Benutzenden oder ausgewählte Gruppen aktivieren. Es wird empfohlen, Authenticator unter Verwendung der Richtlinie für moderne Authentifizierungsmethoden zu aktivieren. Sie können die Authentifizierungsmethodenrichtlinie mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API bearbeiten. Authenticator Lite ist nicht für lokale Benutzerkonten oder Organisationen mit einem aktiven MFA-Server zulässig.
Tipp
Es wird empfohlen, auch die vom System bevorzugte Multi-Faktor-Authentifizierung zu aktivieren, wenn Sie Authenticator Lite aktivieren. Wenn die vom System bevorzugte MFA aktiviert ist, versuchen Benutzer, sich mit Authenticator Lite anzumelden, bevor sie weniger sichere Telefoniemethoden wie SMS oder Sprachanruf ausprobieren.
Wenn Ihre Organisation Active Directory-Verbunddienste(AD FS)-Adapter oder Netzwerkrichtlinienservererweiterungen (Network Policy Server, NPS) verwendet, führen Sie ein Upgrade auf die neuesten Versionen durch, um eine konsistente Benutzererfahrung zu gewährleisten.
Benutzer, die für den Modus für gemeinsam genutzte Geräte in Outlook Mobile aktiviert sind, sind nicht berechtigt, Authenticator Lite zu verwenden.
Benutzer müssen eine Mindestversion von Outlook Mobile ausführen.
Betriebssystem Outlook-Version Android 4.2310.1 iOS 4.2312.1
Authenticator Lite aktivieren
Authenticator Lite wird in der Richtlinie für Authentifizierungsmethoden standardmäßig von Microsoft verwaltet. Am 26. Juni wurde der von Microsoft verwaltete Wert dieses Features von disabled in enabledgeändert. Authenticator Lite ist auch Bestandteil der Überprüfungsoption Benachrichtigung durch mobile App in der benutzerbasierten MFA-Richtlinie.
Deaktivieren von Authenticator Lite im Microsoft Entra Admin Center
Führen Sie die folgenden Schritte aus, um Authenticator Lite im Microsoft Entra Admin Center zu deaktivieren:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Schutz>Authentifizierungsmethoden>Microsoft Authenticator.
Wählen Sie auf der Registerkarte Aktivieren und Ziel die Option Ja aus, und klicken Sie dann auf Alle Benutzer, um die Authenticator-Richtlinie für alle Benutzenden zu aktivieren, oder fügen Sie ausgewählte Gruppen hinzu. Legen Sie den Authentifizierungsmodus für diese Benutzer oder Gruppen auf Any oder Pushfest.
Benutzer, die nicht für Authenticator aktiviert sind, können das Feature nicht sehen. Benutzer, die Authenticator auf dasselbe Gerät heruntergeladen haben, auf dem Outlook heruntergeladen wird, werden nicht aufgefordert, sich für Authenticator Lite in Outlook zu registrieren. Android-Benutzer, die ein persönliches und geschäftliches Profil auf ihrem Gerät verwenden, werden möglicherweise aufgefordert, sich zu registrieren, wenn Authenticator in einem anderen Profil als die Outlook-Anwendung vorhanden ist.
Ändern Sie auf der Registerkarte Konfigurieren für Microsoft Authenticator in Begleitanwendungen den Status in Deaktiviert, und wählen Sie dann Speichern aus.
Wenn Ihre Organisation weiterhin Authentifizierungsmethoden in der benutzerbasierten MFA-Richtlinie verwaltet, müssen Sie dort zusätzlich zu den vorherigen Schritten Benachrichtigung über mobile App als Überprüfungsoption deaktivieren. Es wird empfohlen, diesen Schritt erst auszuführen, nachdem Sie Authenticator in der Richtlinie für Authentifizierungsmethoden aktiviert haben.
Sie können weiterhin den Rest Ihrer Authentifizierungsmethoden in der MFA-Richtlinie pro Benutzer verwalten, während Authenticator in der Richtlinie für moderne Authentifizierungsmethoden verwaltet wird. Wir empfehlen jedoch, die Verwaltung aller Authentifizierungsmethoden zur Richtlinie für moderne Authentifizierungsmethoden zu migrieren. Die Möglichkeit zum Verwalten von Authentifizierungsmethoden in der pro Benutzer geltenden MFA-Richtlinie wird am 30. September 2025 außer Betrieb genommen.
Authenticator Lite über Graph-APIs aktivieren
| Eigenschaft | Typ | BESCHREIBUNG |
|---|---|---|
excludeTarget |
featureTarget |
Eine einzelne Entität, die von diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von Authenticator Lite ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
includeTarget |
featureTarget |
Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe für Authenticator Lite einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
State |
advancedConfigState |
Mögliche Werte: Aktiviert aktiviert die Funktion ausdrücklich für die ausgewählte Gruppe. Deaktiviert deaktiviert die Funktion ausdrücklich für die ausgewählte Gruppe. Standard ermöglicht Microsoft Entra ID die Verwaltung, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
Nachdem Sie die einzelne Zielgruppe identifiziert haben, verwenden Sie den folgenden API-Endpunkt, um die CompanionAppsAllowedState-Eigenschaft unter featureSettings zu ändern.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
In Graph-Tester müssen Sie der Berechtigung Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Benutzerregistrierung
Wenn Benutzer für Authenticator Lite aktiviert sind, werden sie aufgefordert, Ihr Konto direkt über Outlook Mobile zu registrieren. Die Authenticator Lite-Registrierung ist mit My Sign-Insnicht verfügbar. Benutzer können Authenticator Lite auch in Outlook Mobile aktivieren oder deaktivieren. Weitere Informationen zur Benutzeroberfläche finden Sie unter Authenticator Lite-Support.
Wenn Benutzer keine MFA-Methoden registriert haben, werden sie aufgefordert, Authenticator herunterzuladen, wenn sie den Registrierungsfluss starten. Für die nahtloseste Erfahrung stellen Sie Benutzenden während der Authenticator Lite-Registrierung einen befristeten Zugriffspass (Temporary Access Pass, TAP) bereit.
Überwachen der Authenticator Lite-Verwendung
Anmeldeprotokolle können anzeigen, welche App zum Durchführen der Benutzerauthentifizierung verwendet wurde. Verwenden Sie den folgenden Aufruf für den Beta-API-Endpunkt, um die neuesten Anmeldungen anzuzeigen:
GET auditLogs/signIns
Wenn die Anmeldung per Telefon-App-Benachrichtigung durchgeführt wurde, gibt das Feld clientApp unterauthenticationAppDeviceDetails microsoftAuthenticator oder Outlook zurück.
Wenn ein Benutzer Authenticator Lite registriert hat, umfassen die registrierten Authentifizierungsmethoden des Benutzers Microsoft Authenticator (in Outlook).
Push-Benachrichtigungen in Authenticator Lite
Push-Benachrichtigungen, die von Authenticator Lite gesendet werden, sind nicht konfigurierbar und hängen nicht von den Einstellungen des Authenticator-Features ab. Authenticator Lite unterstützt keinen Modus zur kennwortlosen Authentifizierung. In der folgenden Tabelle sind die Einstellungen für Features aufgeführt, die in der Authenticator Lite-Benutzeroberfläche enthalten sind. Jede Authentifizierung enthält eine Aufforderung zur Nummernabgleichung und schließt unabhängig von den Funktions-Einstellungen des Authenticator keinen App- und Standort-Kontext ein.
| Authentifikator-Funktion | Authenticator Lite-Erfahrung |
|---|---|
| Nummernabgleich | Aktiviert |
| Standortkontext | Disabled |
| Anwendungskontext | Disabled |
Die folgenden Screenshots zeigen, was Benutzer sehen, wenn Authenticator Lite eine Push-Benachrichtigung sendet.
AD FS-Adapter und NPS-Erweiterung
Authenticator Lite erzwingt bei jeder Authentifizierung den Nummernabgleich. Wenn Ihr Mandant einen AD FS-Adapter oder eine NPS-Erweiterung verwendet, können Ihre Benutzenden möglicherweise keine Authenticator Lite-Benachrichtigungen abschließen. Weitere Informationen finden Sie unter AD FS-Adapter und NPS-Erweiterung.
Weitere Informationen zu Überprüfungsbenachrichtigungen finden Sie unter Microsoft Authenticator-Authentifizierungsmethode.
Häufig gestellte Fragen
In den folgenden Abschnitten werden allgemeine Fragen aufgeführt.
Funktioniert Authenticator Lite als Broker-App?
Nein, Authenticator Lite ist nur für Pushbenachrichtigungen und TOTP verfügbar.
Kann Authenticator Lite für SSPR verwendet werden?
Nein, Authenticator Lite ist nur für Pushbenachrichtigungen und TOTP verfügbar.
Ist Authenticator Lite in der Outlook-Desktop-App verfügbar?
Nein, Authenticator Lite ist nur in Outlook Mobile verfügbar.
Wo können sich Benutzer bei Authenticator Lite registrieren?
Benutzer können sich nur für Authenticator Lite über mobile Outlook registrieren. Die Authenticator Lite-Registrierung wird von My Sign-Insverwaltet.
Können Benutzer Authenticator und Authenticator Lite registrieren?
Benutzer, die Authenticator auf ihrem Gerät haben, können Authenticator Lite nicht auf demselben Gerät registrieren. Wenn ein Benutzer über eine Authenticator Lite-Registrierung verfügt und dann später Authenticator herunterlädt, kann er beide registrieren. Wenn ein Benutzer über zwei Geräte verfügt, kann er Authenticator Lite auf einem und Authenticator auf der anderen Seite registrieren.
Bekannte Probleme
Die folgenden Probleme sind bekannt.
SSPR-Benachrichtigungen
TOTP-Codes aus Outlook funktionieren für SSPR, die Pushbenachrichtigung funktioniert jedoch nicht und gibt einen Fehler zurück.
Protokolle zeigen zusätzliche Conditional Access-Auswertungen an.
Die Richtlinien für bedingten Zugriff werden jedes Mal ausgewertet, wenn ein Benutzer seine Outlook-App öffnet, um festzustellen, ob er berechtigt ist, sich für Authenticator Lite zu registrieren. Diese Prüfungen werden möglicherweise in Protokollen angezeigt.