Compartir vía


Habilitar Microsoft Authenticator Lite para Outlook Mobile

Microsoft Authenticator Lite es otra superficie que permite a los usuarios de Microsoft Entra completar la autenticación multifactor mediante notificaciones push o códigos de acceso de un solo uso y duración definida (TOTP) en su dispositivo Android o iOS. Con Authenticator Lite, los usuarios pueden satisfacer un requisito de autenticación multifactor desde la comodidad de una aplicación conocida. Authenticator Lite está habilitado actualmente en Outlook Mobile.

Los usuarios reciben una notificación en Outlook Mobile para aprobar o denegar el inicio de sesión, o pueden copiar un TOTP para usarlo durante el inicio de sesión.

Nota:

Estas son mejoras de seguridad importantes para los usuarios que se autentican a través de transportes de telecomunicaciones:

  • El 26 de junio, el valor administrado de Microsoft de esta característica se cambiará de Deshabilitado a Habilitado en la directiva de métodos de autenticación. Si ya no desea que esta característica esté habilitada, cambie el estado de Predeterminado a Deshabilitado o limítela solo a un grupo de usuarios.
  • A partir del 18 de septiembre, Authenticator Lite se habilitará como parte de la opción de verificación *Notificación a través de la aplicación móvil en la directiva de MFA por usuario. Si no desea habilitar esta característica, puede deshabilitarla en la directiva de métodos de autenticación siguiendo los pasos que se indican a continuación.

Requisitos previos

  • La organización debe habilitar las notificaciones push de Microsoft Authenticator (segundo factor) para todos los usuarios o grupos seleccionados. Se recomienda habilitar Microsoft Authenticator mediante la directiva de métodos de autenticación moderna. Puede editar la directiva de métodos de autenticación mediante el centro de administración de Microsoft Entra o Microsoft Graph API. Autenticador Básico no es apto para cuentas de usuario locales u organizaciones con un servidor MFA activo.

    Sugerencia

    Se recomienda habilitar también la autenticación multifactor preferida por el sistema (MFA) al habilitar Authenticator Lite. Con la MFA preferida por el sistema habilitada, los usuarios intentan iniciar sesión con Authenticator Lite antes de probar métodos de telefonía menos seguros como los SMS o las llamadas de voz.

  • Si su organización usa el adaptador de Servicios de federación de Active Directory (AD FS) o las extensiones del servidor de directivas de redes (NPS), actualice a las versiones más recientes para obtener una experiencia coherente.

  • Los usuarios habilitados para el modo de dispositivo compartido en Outlook Mobile no son aptos para Authenticator Lite.

  • Los usuarios deben ejecutar una versión mínima de Outlook Mobile.

    Sistema operativo Versión de Outlook
    Android 4.2310.1
    iOS 4.2312.1

Habilitación de Authenticator Lite

De forma predeterminada, Authenticator Lite está administrado por Microsoft en la directiva de métodos de autenticación. El 26 de junio, el valor administrado de Microsoft de esta característica se cambió de "Deshabilitado" a "Habilitado". Authenticator Lite también se incluye como parte de la opción de verificación Notificación a través de la aplicación móvil en la directiva de MFA por usuario.

Deshabilitar Authenticator Lite en el Centro de administración de Microsoft Entra

Para deshabilitar Authenticator Lite en el Centro de administración de Microsoft Entra, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.

  2. Vaya a Protection>Métodos de autenticación>Microsoft Authenticator.

  3. En la pestaña Habilitar y establecer como destino, haga clic en Habilitar y Todos los usuarios a fin de habilitar la directiva de Authenticator para todos o agregar los grupos seleccionados. Establezca el Modo de autenticación para estos usuarios o grupos en Cualquiera o Inserción.

    Los usuarios que no estén habilitados para Microsoft Authenticator no pueden ver la característica. No se pedirá a los usuarios que tengan Microsoft Authenticator descargado en el mismo dispositivo en el que Outlook se descargue para registrarse en Authenticator Lite en Outlook. A los usuarios de Android que utilicen un perfil personal y de trabajo en su dispositivo se les puede pedir que se registren si Authenticator está presente en un perfil diferente de la aplicación de Outlook.

    Configuración del autenticador del centro de administración de Microsoft Entra
  4. En la pestaña Configurar, para Microsoft Authenticator en aplicaciones complementarias, cambie Estado a Deshabilitado.

    Opciones de configuración de Authenticator Lite

    Nota:

    Si su organización sigue administrando los métodos de autenticación en la directiva de MFA por usuario, debe deshabilitar Notificación a través de la aplicación móvil como opción de verificación, además de los pasos anteriores. Se recomienda hacerlo solo después de habilitar Microsoft Authenticator en la directiva de métodos de autenticación. Puede seguir administrando el resto de los métodos de autenticación en la directiva MFA por usuario mientras Microsoft Authenticator se administra en la directiva de métodos de autenticación modernos. Sin embargo, se recomienda migrar la administración de todos los métodos de autenticación a la directiva de métodos de autenticación modernos. La capacidad de administrar métodos de autenticación en la directiva MFA por usuario se retirará el 30 de septiembre de 2025.

Habilitación de Authenticator Lite a través de Graph API

Propiedad Tipo Descripción
excludeTarget featureTarget De esta característica se excluye solo una entidad.
Solo puede excluir un grupo de Authenticator Lite, que puede ser un grupo dinámico o anidado.
includeTarget featureTarget En esta característica se incluye solo una entidad.
Solo puede incluir un grupo para Authenticator Lite, que puede ser un grupo dinámico o anidado.
State advancedConfigState Los valores posibles son:
enabled habilita explícitamente la característica para el grupo seleccionado.
disabled deshabilita explícitamente la característica para el grupo seleccionado.
default permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado.

Una vez que identifique el grupo de destino único, use el siguiente punto de conexión de la API para cambiar la propiedad CompanionAppsAllowedState en featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Nota:

En el Explorador de Graph, necesitará dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod.

Solicitud

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Registro de usuarios

Si los usuarios están habilitados para Authenticator Lite, se les pide que registren su cuenta directamente desde Outlook Mobile. El registro de Authenticator Lite no está disponible mediante MySignIns. Los usuarios también pueden habilitar o deshabilitar Authenticator Lite desde Outlook Mobile. Para obtener más información sobre la experiencia del usuario, consulte la compatibilidad de Authenticator Lite.

Captura de pantalla en la que se muestra cómo registrar Authenticator Lite.

Nota

Si no tienen ningún método de MFA registrado, se pedirá a los usuarios que descarguen Authenticator cuando inicien el flujo de registro. Para obtener la experiencia más fluida, aprovisione a los usuarios con un Pase de acceso temporal (TAP) que puedan usar durante el registro de Authenticator Lite.

Supervisión del uso de Authenticator Lite

Los registros de inicio de sesión pueden mostrar qué aplicación se usó para completar la autenticación del usuario. Para ver los inicios de sesión más recientes, use la siguiente llamada en el punto de conexión de la API beta:

GET auditLogs/signIns

Si el inicio de sesión se realizó mediante la notificación de la aplicación de teléfono, en authenticationAppDeviceDetails, el campo clientApp devuelve microsoftAuthenticator o Outlook.

Si un usuario ha registrado Authenticator Lite, los métodos de autenticación registrados del usuario incluyen Microsoft Authenticator (en Outlook).

Notificaciones push en Authenticator Lite

Las notificaciones push que envía Authenticator Lite no se pueden configurar y no dependen de los valores de las características de Authenticator. Authenticator Lite no admite el modo de autenticación sin contraseña. Los valores de las características incluidas en la experiencia de Authenticator Lite se muestran en la tabla siguiente. Cada autenticación incluye un mensaje de coincidencia de números y no incluye el contexto de la aplicación y la ubicación, independientemente de la configuración de características de Microsoft Authenticator.

Característica de Authenticator Experiencia de Authenticator Lite
Coincidencia de números habilitado
Contexto de ubicación Disabled
Contexto de aplicación Disabled

En las capturas de pantalla siguientes se muestra lo que ven los usuarios cuando Authenticator Lite envía una notificación push.

Captura de pantalla de una notificación push en Outlook Mobile.

Adaptador de AD FS y extensión de NPS

Authenticator Lite aplica la coincidencia de números en cada autenticación. Si el inquilino usa un adaptador de AD FS o una extensión de NPS, es posible que los usuarios no puedan completar las notificaciones de Authenticator Lite. Para obtener más información, consulte Adaptador de AD FS y Extensión de NPS.

Para más información sobre las notificaciones de comprobación, consulte Método de autenticación de Microsoft Authenticator.

Preguntas frecuentes

¿Funciona Authenticator Lite como una aplicación de agente?

No, Authenticator Lite solo está disponible para las notificaciones push y TOTP.

¿Se puede usar Authenticator Lite para el autoservicio de restablecimiento de contraseña?

No, Authenticator Lite solo está disponible para las notificaciones push y TOTP.

¿Está disponible en la aplicación de escritorio de Outlook?

No, Authenticator Lite solo está disponible en Outlook Mobile.

¿Dónde pueden los usuarios registrarse en Authenticator Lite?

Los usuarios solo pueden registrarse en Authenticator Lite desde Outlook Mobile. El registro de Authenticator Lite se puede administrar desde aka.ms/mysignins.

¿Los usuarios pueden registrar Microsoft Authenticator y Authenticator Lite?

Los usuarios que tienen Microsoft Authenticator en su dispositivo no pueden registrar Authenticator Lite en el mismo dispositivo. Si un usuario tiene un registro de Authenticator Lite y, después, descarga Microsoft Authenticator, puede registrar ambos servicios. Si un usuario tiene dos dispositivos, puede registrar Authenticator Lite en uno y Microsoft Authenticator en el otro.

Problemas conocidos

Notificaciones de SSPR

Los códigos TOTP de Outlook funcionarán para SSPR, pero la notificación de inserción no funcionará y devolverá un error.

Los registros muestran evaluaciones de acceso condicional adicionales

Las directivas de acceso condicional se evalúan cada vez que un usuario abre su aplicación de Outlook para determinar si el usuario es apto para registrarse en Authenticator Lite. Estas comprobaciones pueden aparecer en los registros.

Pasos siguientes

Métodos de autenticación en Microsoft Entra ID