Habilitar Authenticator Lite para Outlook Mobile
Authenticator Lite es otra superficie para que los usuarios de Microsoft Entra completen la autenticación multifactor (MFA) mediante notificaciones push o códigos de acceso de un solo uso (TOTP) basados en el tiempo en el dispositivo Android o iOS. Con Authenticator Lite, los usuarios pueden satisfacer un requisito de MFA desde la comodidad de una aplicación conocida. Authenticator Lite está habilitado actualmente en Outlook Mobile.
Los usuarios reciben una notificación en Outlook Mobile para aprobar o denegar el inicio de sesión, o puede copiar un TOTP para usarlo durante el inicio de sesión.
Nota:
Utilice estas importantes mejoras de seguridad si se autentica a través de medios de telecomunicaciones.
- El valor administrado por Microsoft de esta característica está habilitado en la directiva de métodos de autenticación. Si no desea habilitar esta característica, cambie el estado de Valor predeterminado a Deshabilitado, o aplíquelo únicamente a un grupo de usuarios.
- Authenticator Lite está habilitado como parte de la opción de notificación mediante verificación a través de la aplicación móvil en la directiva de autenticación multifactor por usuario. Si no desea habilitar esta característica, puede deshabilitarla en la directiva de métodos de autenticación siguiendo los pasos descritos en este artículo.
Requisitos previos
Su organización debe habilitar las notificaciones push de Authenticator (segundo factor) para todos los usuarios o grupos seleccionados. Se recomienda habilitar el Autenticador mediante la directiva de métodos modernos de autenticación . Puede editar la directiva de métodos de autenticación mediante el centro de administración de Microsoft Entra o Microsoft Graph API. Autenticador Básico no es apto para cuentas de usuario locales u organizaciones con un servidor MFA activo.
Si su organización usa el adaptador de Servicios de federación de Active Directory (AD FS) o las extensiones del servidor de directivas de redes (NPS), actualice a las versiones más recientes para obtener una experiencia coherente.
Los usuarios habilitados para el modo de dispositivo compartido en Outlook Mobile no son aptos para Authenticator Lite.
Los usuarios deben ejecutar una versión mínima de Outlook Mobile.
Sistema operativo Versión de Outlook Android 4.2310.1 iOS 4.2312.1
Habilitación de Authenticator Lite
De forma predeterminada, Authenticator Lite está administrado por Microsoft en la directiva de métodos de autenticación. El 26 de junio, el valor administrado por Microsoft de esta característica cambió de disabled a enabled. Authenticator Lite también se incluye como parte de la opción de verificación Notificación a través de la aplicación móvil en la directiva de MFA por usuario.
Deshabilitar Authenticator Lite en el Centro de administración de Microsoft Entra
Para deshabilitar Authenticator Lite en el Centro de administración de Microsoft Entra, siga estos pasos:
Inicie sesión en el Centro de administración de Microsoft Entra como Administrador de directivas de autenticación como mínimo.
Vaya a Protection>Métodos de autenticación>Microsoft Authenticator.
En la pestaña Habilitar y establecer como destino, seleccione Habilitar y Todos los usuarios a fin de habilitar la directiva de Authenticator para todos o agregar los grupos seleccionados. Establezca el modo de autenticación para estos usuarios o grupos en Cualquiera o Inserción.
Los usuarios que no están habilitados para Authenticator no pueden ver la característica. Los usuarios que tienen Authenticator descargado en el mismo dispositivo en el que se descarga Outlook no se les pide que se registren en Authenticator Lite en Outlook. Es posible que se pida a los usuarios de Android que usen un perfil personal y profesional en su dispositivo que se registren si Authenticator está presente en un perfil diferente de la aplicación de Outlook.
En la pestaña Configurar, en Microsoft Authenticator en aplicaciones complementarias, cambie Estado a Deshabilitado y, a continuación, seleccione Guardar.
Si su organización sigue administrando los métodos de autenticación en la directiva de MFA por usuario, debe deshabilitar Notificación a través de la aplicación móvil como opción de verificación, además de los pasos anteriores. Se recomienda realizar este paso solo después de habilitar Authenticator en la directiva de métodos de autenticación.
Puede seguir administrando el resto de los métodos de autenticación en la directiva MFA por usuario mientras Authenticator se administra en la directiva de métodos de autenticación moderna. Recomendamos, sin embargo, migrar la administración de todos los métodos de autenticación a la directiva de métodos de autenticación modernos. La capacidad de administrar métodos de autenticación en la directiva MFA por usuario se retira el 30 de septiembre de 2025.
Habilitación de Authenticator Lite a través de Graph API
| Propiedad | Tipo | Descripción |
|---|---|---|
excludeTarget |
featureTarget |
Una sola entidad que se excluye de esta característica. Puede excluir solo un grupo de Authenticator Lite, que puede ser un grupo dinámico o anidado. |
includeTarget |
featureTarget |
En esta característica se incluye solo una entidad. Puede incluir solo un grupo para Authenticator Lite, que puede ser un grupo dinámico o anidado. |
State |
advancedConfigState |
Valores posibles: Habilitado habilita explícitamente la función para el grupo seleccionado. Deshabilitado deshabilita explícitamente la función para el grupo seleccionado. predeterminado permite a Microsoft Entra ID administrar si la característica está habilitada o no para el grupo seleccionado. |
Después de identificar el grupo de destino individual, use el siguiente punto de conexión de la API para cambiar la propiedad CompanionAppsAllowedState en featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
En el Explorador de Graph, debe dar su consentimiento al permiso Policy.ReadWrite.AuthenticationMethod.
Solicitud
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Registro de usuarios
Si los usuarios están habilitados para Authenticator Lite, se les pedirá que registren su cuenta directamente desde Outlook Mobile. El registro de Authenticator Lite no está disponible mediante Mis inicios de sesión. Los usuarios también pueden habilitar o deshabilitar Authenticator Lite desde Outlook Mobile. Para obtener más información sobre la experiencia del usuario, consulte la compatibilidad de Authenticator Lite.
Si los usuarios no tienen ningún método MFA registrado, se les pedirá que descarguen Authenticator cuando inicien el flujo de registro. Para una experiencia más fluida, proporcione a los usuarios un Pase de Acceso Temporal (TAP) durante el registro de Authenticator Lite.
Supervisión del uso de Authenticator Lite
Los registros de inicio de sesión pueden mostrar qué aplicación se usó para completar la autenticación del usuario. Para ver los inicios de sesión más recientes, use la siguiente llamada en el punto de conexión de la API beta:
GET auditLogs/signIns
Si el inicio de sesión se realizó mediante notificación de aplicación de teléfono, en authenticationAppDeviceDetails el campo clientApp devuelve microsoftAuthenticator o Outlook.
Si un usuario ha registrado Authenticator Lite, los métodos de autenticación registrados del usuario incluyen Microsoft Authenticator (en Outlook).
Notificaciones push en Authenticator Lite
Las notificaciones push que envía Authenticator Lite no se pueden configurar y no dependen de los valores de las características de Authenticator. Authenticator Lite no admite el modo de autenticación sin contraseña. En la tabla siguiente se enumeran los valores de las características incluidas en la experiencia Authenticator Lite. Cada autenticación incluye un mensaje de coincidencia de números y no incluye el contexto de la aplicación y la ubicación, independientemente de la configuración de características de Authenticator.
| Función de autenticación | Experiencia de Authenticator Lite |
|---|---|
| Coincidencia de números | habilitado |
| Contexto de ubicación | Disabled |
| Contexto de la aplicación | Disabled |
En las capturas de pantalla siguientes se muestra lo que ven los usuarios cuando Authenticator Lite envía una notificación push.
Adaptador de AD FS y extensión de NPS
Authenticator Lite aplica la coincidencia de números en cada autenticación. Si el inquilino usa un adaptador de AD FS o una extensión NPS, es posible que los usuarios no puedan completar las notificaciones de Authenticator Lite. Para obtener más información, consulte Adaptador de AD FS y Extensión de NPS.
Para más información sobre las notificaciones de comprobación, consulte Método de autenticación de Microsoft Authenticator.
Preguntas frecuentes
En las secciones siguientes se enumeran las preguntas comunes.
¿Funciona Authenticator Lite como una aplicación de agente?
No, Authenticator Lite solo está disponible para notificaciones push y TOTP.
¿Se puede usar Authenticator Lite para el autoservicio de restablecimiento de contraseña?
No, Authenticator Lite solo está disponible para notificaciones push y TOTP.
¿Authenticator Lite está disponible en la aplicación de escritorio de Outlook?
No, Authenticator Lite solo está disponible en Outlook Mobile.
¿Dónde pueden los usuarios registrarse en Authenticator Lite?
Los usuarios solo pueden registrarse en Authenticator Lite desde Outlook móvil. El registro de Authenticator Lite se administra desde Mis inicios de sesión.
¿Los usuarios pueden registrar Authenticator y Authenticator Lite?
Los usuarios que tienen Authenticator en su dispositivo no pueden registrar Authenticator Lite en ese mismo dispositivo. Si un usuario tiene un registro de Authenticator Lite y, después, descarga Authenticator, puede registrar ambos. Si un usuario tiene dos dispositivos, puede registrar Authenticator Lite en uno y Authenticator en el otro.
Problemas conocidos
Se conocen los siguientes problemas.
Notificaciones de SSPR
Los códigos TOTP de Outlook funcionan para SSPR, pero la notificación push no funciona y devuelve un error.
Los registros muestran evaluaciones de acceso condicional agregadas
Las directivas de acceso condicional se evalúan cada vez que un usuario abre su aplicación de Outlook para determinar si es apto para registrarse en Authenticator Lite. Estas comprobaciones pueden aparecer en los registros.