Aktivieren von Microsoft Authenticator Lite für Outlook Mobile
Microsoft Authenticator Lite ist eine weitere Oberfläche für Microsoft Entra-Benutzer*innen, um die Multi-Faktor-Authentifizierung mithilfe von Push-Benachrichtigungen oder zeitbasierten Einmalkennwörtern (TOTP) auf ihrem Android- oder iOS-Gerät durchzuführen. Mit Authenticator Lite können Benutzer eine Multi-Faktor-Authentifizierungsanforderung bequem mit einer vertrauten App erfüllen. Authenticator Lite ist derzeit in Outlook Mobile aktiviert.
Benutzer erhalten eine Benachrichtigung in Outlook Mobile, um die Anmeldung zu genehmigen oder zu verweigern, oder sie können ein zeitbasiertes Einmalkennwort kopieren, um es während der Anmeldung zu verwenden.
Hinweis
Dies sind wichtige Sicherheitsverbesserungen für Benutzer*innen, die sich über Telekommunikationstransporte authentifizieren:
- Am 26. Juni wurde der von Microsoft verwaltete Wert für dieses Feature in der Richtlinie für Authentifizierungsmethoden von Deaktiviert in Aktiviert geändert. Wenn Sie nicht möchten, dass dieses Feature aktiviert wird, ändern Sie den Status von Standard in Deaktiviert, oder beschränken Sie das Feature auf eine Gruppe von Benutzer*innen.
- Ab dem 18. September wird Authenticator Lite als Teil der Überprüfungsoption *Benachrichtigung über mobile Apps in der benutzerbasierten MFA-Richtlinie aktiviert. Wenn Sie dieses Feature nicht aktivieren möchten, können Sie es in der Richtlinie für Authentifizierungsmethoden deaktivieren, indem Sie die folgenden Schritte ausführen.
Voraussetzungen
Ihre Organisation muss Microsoft Authenticator-Pushbenachrichtigungen (zweiter Faktor) für alle Benutzer*innen oder ausgewählte Gruppen aktivieren. Es wird empfohlen, Microsoft Authenticator unter Verwendung der Richtlinie für moderne Authentifizierungsmethoden zu aktivieren. Sie können die Authentifizierungsmethodenrichtlinie mithilfe des Microsoft Entra Admin Centers oder der Microsoft Graph-API bearbeiten. Authenticator Lite ist nicht für lokale Benutzerkonten oder Organisationen mit einem aktiven MFA-Server berechtigt.
Tipp
Es wird empfohlen, auch die vom System bevorzugte Vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) zu aktivieren, wenn Sie Authenticator Lite aktivieren. Wenn die vom System bevorzugte MFA aktiviert ist, versuchen Benutzer, sich mit Authenticator Lite anzumelden, bevor sie weniger sichere Telefoniemethoden wie SMS oder Sprachanruf ausprobieren.
Wenn Ihre Organisation Active Directory-Verbunddienste(AD FS)-Adapter oder Netzwerkrichtlinienservererweiterungen (Network Policy Server, NPS) verwendet, führen Sie ein Upgrade auf die neuesten Versionen durch, um eine konsistente Benutzererfahrung zu gewährleisten.
Benutzer, die für den Modus für gemeinsam genutzte Geräte in Outlook Mobile aktiviert sind, sind nicht berechtigt, Authenticator Lite zu verwenden.
Benutzer müssen eine Mindestversion von Outlook Mobile ausführen.
Betriebssystem Outlook-Version Android 4.2310.1 iOS 4.2312.1
Authenticator Lite aktivieren
Authenticator Lite wird in der Richtlinie für Authentifizierungsmethoden standardmäßig von Microsoft verwaltet. Der von Microsoft verwaltete Wert dieser Funktion wurde am 26. Juni von „Deaktiviert“ in „Aktiviert“ geändert. Authenticator Lite ist auch Bestandteil der Überprüfungsoption Benachrichtigung durch mobile App in der benutzerbasierten MFA-Richtlinie.
Deaktivieren von Authenticator Lite im Microsoft Entra Admin Center
Führen Sie die folgenden Schritte aus, um den Authenticator Lite im Microsoft Entra Admin Center zu deaktivieren:
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Authentifizierungsrichtlinienadministrator an.
Navigieren Sie zu Schutz>Authentifizierungsmethoden>Microsoft Authenticator.
Klicken Sie auf der Registerkarte Aktivieren und Ziel auf Ja, und klicken Sie dann auf Alle Benutzer, um die Authenticator-Richtlinie für alle Benutzer*innen zu aktivieren, oder fügen Sie ausgewählte Gruppen hinzu. Legen Sie den Authentifizierungsmodus für diese Benutzer/Gruppen auf Beliebig oder Push fest.
Benutzer*innen, die nicht für Microsoft Authenticator aktiviert sind, wird dieses Features nicht angezeigt. Benutzer, die Microsoft Authenticator auf demselben Gerät heruntergeladen haben, auf dem Outlook heruntergeladen wurde, werden nicht aufgefordert, sich für Authenticator Lite in Outlook zu registrieren. Android-Benutzer, die ein persönliches Profil und ein Arbeitsprofil auf ihrem Gerät verwenden, werden möglicherweise zur Registrierung aufgefordert, wenn Authenticator in einem Profil außerhalb der Outlook-Anwendung vorhanden ist.
Ändern Sie auf der Registerkarte Konfigurieren für Microsoft Authenticator in Begleitanwendungen den Status zu Deaktiviert, und klicken Sie auf Speichern.
Hinweis
Wenn Ihre Organisation weiterhin Authentifizierungsmethoden in der benutzerbasierten MFA-Richtlinie verwaltet, müssen Sie dort zusätzlich zu den vorherigen Schritten Benachrichtigung über mobile App als Überprüfungsoption deaktivieren. Diesen Schritt sollten Sie erst durchführen, nachdem Sie Microsoft Authenticator in der Richtlinie für Authentifizierungsmethoden aktiviert haben. Sie können weiterhin den Rest Ihrer Authentifizierungsmethoden in der MFA-Richtlinie pro Benutzer verwalten, während Microsoft Authenticator in der Richtlinie für moderne Authentifizierungsmethoden verwaltet wird. Wir empfehlen jedoch, die Verwaltung aller Authentifizierungsmethoden zur Richtlinie für moderne Authentifizierungsmethoden zu migrieren. Die Möglichkeit zur Verwaltung von Authentifizierungsmethoden in der benutzerbasierten MFA-Richtlinie wird am 30. September 2025 eingestellt.
Authenticator Lite über Graph-APIs aktivieren
Eigenschaft | Typ | BESCHREIBUNG |
---|---|---|
excludeTarget | featureTarget | Eine einzelne Entität, die aus diesem Feature ausgeschlossen ist. Sie können nur eine Gruppe von Authenticator Lite ausschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
includeTarget | featureTarget | Eine einzelne Entität, die in diesem Feature enthalten ist. Sie können nur eine Gruppe in Authenticator Lite einschließen, bei der es sich um eine dynamische oder geschachtelte Gruppe handeln kann. |
State | advancedConfigState | Mögliche Werte: Enabled aktiviert explizit das Feature für die ausgewählte Gruppe. disabled deaktiviert explizit das Feature für die ausgewählte Gruppe. Mit default kann die Microsoft Entra ID verwalten, ob die Funktion für die ausgewählte Gruppe aktiviert ist oder nicht. |
Nachdem Sie die einzelne Zielgruppe identifiziert haben, verwenden Sie den folgenden API-Endpunkt, um die Eigenschaft CompanionAppsAllowedState unter featureSettings zu ändern.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Hinweis
Im Graph-Tester müssen Sie der Berechtigungen Policy.ReadWrite.AuthenticationMethod zustimmen.
Anforderung
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Benutzerregistrierung
Wenn Benutzer für Authenticator Lite aktiviert sind, werden sie aufgefordert, ihr Konto direkt über Outlook Mobile zu registrieren. Die Authenticator Lite-Registrierung ist mithilfe von MySignIns nicht verfügbar. Benutzer können Authenticator Lite auch über Outlook Mobile aktivieren oder deaktivieren. Weitere Informationen zur Benutzeroberfläche finden Sie unter Authenticator Lite-Support.
Hinweis
Wenn keine MFA-Methoden registriert sind, werden Benutzer aufgefordert, Authenticator herunterzuladen, wenn sie den Registrierungsflow starten. Stellen Sie Benutzern einen befristeten Zugriffspass (Temporary Access Pass, TAP) bereit, den sie während der Authenticator Lite-Registrierung verwenden können.
Überwachen der Authenticator Lite-Nutzung
Anmeldeprotokolle können anzeigen, welche App zum Durchführen der Benutzerauthentifizierung verwendet wurde. Verwenden Sie den folgenden Aufruf für den Beta-API-Endpunkt, um die neuesten Anmeldungen anzuzeigen:
GET auditLogs/signIns
Wenn die Anmeldung per Telefon-App-Benachrichtigung erfolgt ist, gibt das Feld clientApp unter authenticationAppDeviceDetails entweder microsoftAuthenticator oder Outlook zurück.
Wenn ein Benutzer Authenticator Lite registriert hat, gehört Microsoft Authenticator (in Outlook) zu den registrierten Authentifizierungsmethoden des Benutzers.
Push-Benachrichtigungen in Authenticator Lite
Push-Benachrichtigungen, die von Authenticator Lite gesendet werden, sind nicht konfigurierbar und hängen nicht von den Einstellungen des Authenticator-Features ab. Authenticator Lite unterstützt keinen Modus zur kennwortlosen Authentifizierung. Die Einstellungen für Features, die in der Authenticator Lite-Benutzeroberfläche enthalten sind, sind in der folgenden Tabelle aufgeführt. Jede Authentifizierung enthält eine Zahlenabgleichsaufforderung und keinen App- und Standortkontext, unabhängig von den Einstellungen des Microsoft Authenticator-Features.
Authenticator-Feature | Authenticator Lite-Benutzeroberfläche |
---|---|
Nummernabgleich | Aktiviert |
Standortkontext | Disabled |
Anwendungskontext | Disabled |
Die folgenden Screenshots zeigen, was Benutzer sehen, wenn Authenticator Lite eine Push-Benachrichtigung sendet.
AD FS-Adapter und NPS-Erweiterung
Authenticator Lite erzwingt bei jeder Authentifizierung den Nummernabgleich. Wenn Ihr Mandant einen AD FS-Adapter oder eine NPS-Erweiterung verwendet, können Ihre Benutzer möglicherweise keine Authenticator Lite-Benachrichtigungen abschließen. Weitere Informationen finden Sie unter AD FS-Adapter und NPS-Erweiterung.
Weitere Informationen zu Überprüfungsbenachrichtigungen finden Sie unter Microsoft Authenticator-Authentifizierungsmethode.
Häufig gestellte Fragen
Funktioniert Authenticator Lite als Broker-App?
Nein, Authenticator Lite ist nur für Push-Benachrichtigungen und TOTP verfügbar.
Kann Authenticator Lite für SSPR verwendet werden?
Nein, Authenticator Lite ist nur für Push-Benachrichtigungen und TOTP verfügbar.
Ist dies in der Outlook-Desktop-App verfügbar?
Nein, Authenticator Lite ist nur in Outlook Mobile verfügbar.
Wo können sich Benutzer bei Authenticator Lite registrieren?
Benutzer können sich nur über Outlook Mobile bei Authenticator Lite registrieren. Die Authenticator Lite-Registrierung kann über aka.ms/mysignins verwaltet werden.
Können sich Benutzer bei Microsoft Authenticator und Authenticator Lite registrieren?
Benutzer mit Microsoft Authenticator auf ihrem Gerät können sich nicht auf demselben Gerät bei Authenticator Lite registrieren. Wenn ein Benutzer über eine Authenticator Lite-Registrierung verfügt und Microsoft Authenticator später herunterlädt, kann er sich bei beiden registrieren. Wenn ein Benutzer über zwei Geräte verfügt, kann er sich bei Authenticator Lite auf dem einem und bei Microsoft Authenticator auf dem anderen registrieren.
Bekannte Probleme
SSPR-Benachrichtigungen
TOTP-Codes aus Outlook funktionieren für SSPR, aber die Pushbenachrichtigung wird nicht funktionieren und einen Fehler zurückgeben.
Protokolle enthalten zusätzliche Auswertungen für bedingten Zugriff
Die Richtlinien für bedingten Zugriff werden jedes Mal ausgewertet, wenn ein Benutzer seine Outlook-App öffnet, um zu bestimmen, ob der Benutzer berechtigt ist, sich für Authenticator Lite zu registrieren. Diese Überprüfungen werden möglicherweise in Protokollen angezeigt.