Activer Authenticator Lite pour Outlook mobile
Authenticator Lite est une autre surface pour que les utilisateurs de Microsoft Entra terminent l’authentification multifacteur (MFA) à l’aide de notifications Push ou de codes secrets à usage unique (TOTP) sur votre appareil Android ou iOS. Avec Authenticator Lite, les utilisateurs peuvent satisfaire une exigence MFA à partir de la commodité d’une application familière. Authenticator Lite est actuellement activé dans Outlook Mobile.
Les utilisateurs reçoivent une notification dans Outlook Mobile pour approuver ou refuser la connexion, ou vous pouvez copier un TOTP à utiliser pendant la connexion.
Remarque
Utilisez ces importantes améliorations de sécurité si vous vous authentifiez via les télécommunications.
- La valeur gérée par Microsoft de cette fonctionnalité est activée dans la stratégie de méthodes d’authentification. Si vous ne souhaitez pas activer cette fonctionnalité, déplacez l’état de par défaut vers Désactivé, ou limitez-le à un groupe d’utilisateurs uniquement.
- Authenticator Lite est activé dans le cadre de l’option de vérification Notification via une application mobile dans la stratégie MFA par utilisateur. Si vous ne souhaitez pas que cette fonctionnalité soit activée, vous pouvez la désactiver dans la stratégie de méthodes d’authentification en suivant les étapes décrites dans cet article.
Prérequis
Votre organisation doit activer les notifications Push Authenticator (deuxième facteur) pour tous les utilisateurs ou sélectionner des groupes. Nous vous recommandons d’activer Authenticator en utilisant la politique de méthodes modernes d’authentification . Vous pouvez modifier la stratégie des méthodes d’authentification à l’aide du centre d’administration Microsoft Entra ou de l’API Microsoft Graph. Authenticator Lite ne prend pas en charge les comptes d’utilisateurs locaux ou les organisations avec un serveur MFA actif.
Conseil
Nous vous recommandons également d’activer MFA préférée par le système lorsque vous activez Authenticator Lite. Avec l’authentification multifacteur par défaut activée, les utilisateurs essaient de se connecter avec Authenticator Lite avant d’essayer des méthodes de téléphonie moins sécurisées telles que sms ou appel vocal.
Si votre organisation utilise l’adaptateur services de fédération Active Directory (AD FS) ou les extensions de serveur NPS (Network Policy Server), effectuez une mise à niveau vers les dernières versions pour une expérience cohérente.
Les utilisateurs activés pour le mode d’appareil partagé sur Outlook Mobile ne sont pas éligibles à Authenticator Lite.
Les utilisateurs doivent exécuter une version minimale d’Outlook Mobile.
Système d’exploitation Version d’Outlook Android 4.2310.1 iOS 4.2312.1
Activer Authenticator Lite
Par défaut, Authenticator Lite est géré par Microsoft dans la stratégie des méthodes d’authentification. Le 26 juin, la valeur gérée par Microsoft de cette fonctionnalité est passée de disabled à enabled. Authenticator Lite est également inclus dans le cadre de l’option de vérification Notification via une application mobile dans la stratégie MFA par utilisateur.
Désactiver Authenticator Lite dans le Centre d’administration Microsoft Entra
Pour désactiver Authenticator Lite dans le Centre d’administration Microsoft Entra, procédez comme suit :
Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.
Accédez à Protection>Méthodes d’authentification>Microsoft Authenticator.
Sous l’onglet Activer et Cibler, sélectionnez Activer et Tous les utilisateurs pour activer la stratégie Authenticator pour tout le monde ou ajouter des groupes sélectionnés. Définissez le Mode d’authentification de ces utilisateurs ou groupes sur Tout ou Push.
Les utilisateurs qui ne sont pas activés pour Authenticator ne peuvent pas voir la fonctionnalité. Les utilisateurs qui ont téléchargé Authenticator sur le même appareil sur lequel Outlook est téléchargé ne sont pas invités à s’inscrire à Authenticator Lite dans Outlook. Les utilisateurs Android qui utilisent un profil personnel et professionnel sur leur appareil peuvent être invités à s’inscrire si Authenticator est présent sur un profil différent de l’application Outlook.
Sous l’onglet Configurer, pour Microsoft Authenticator sur les applications compagnons, remplacez Status par Désactivé, puis sélectionnez Enregistrer.
Si votre organisation continue à gérer les méthodes d’authentification dans la stratégie MFA par utilisateur, vous devez désactiver l’option de vérification Notification via une application mobile en plus des étapes précédentes. Nous vous recommandons d’effectuer cette étape uniquement après avoir activé Authenticator dans la stratégie de méthodes d’authentification.
Vous pouvez continuer à gérer le reste de vos méthodes d’authentification dans la stratégie MFA par utilisateur tandis que Authenticator est géré dans la stratégie de méthodes d’authentification modernes. Toutefois, nous vous recommandons de migrer la gestion de toutes les méthodes d’authentification vers la stratégie des méthodes d’authentification moderne. La possibilité de gérer les méthodes d’authentification dans la stratégie MFA par utilisateur prend fin le 30 septembre 2025.
Activer Authenticator Lite via les API Graph
| Propriété | Type | Description |
|---|---|---|
excludeTarget |
featureTarget |
Entité unique exclue de cette fonctionnalité. Vous ne pouvez exclure qu’un seul groupe d’Authenticator Lite, qui peut être un groupe dynamique ou imbriqué. |
includeTarget |
featureTarget |
Entité unique incluse dans cette fonctionnalité. Vous ne pouvez inclure qu’un seul groupe pour Authenticator Lite, qui peut être un groupe dynamique ou imbriqué. |
State |
advancedConfigState |
Valeurs possibles : activé active explicitement la fonctionnalité pour le groupe sélectionné. Désactivé désactive explicitement la fonctionnalité du groupe sélectionné. par défaut permet à Microsoft Entra ID de gérer si la fonctionnalité est activée ou non pour le groupe sélectionné. |
Après avoir identifié le groupe cible unique, utilisez le point de terminaison d’API suivant pour modifier la propriété CompanionAppsAllowedState sous featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Dans l’Explorateur Graph, vous devez donner votre consentement à l’autorisation Policy.ReadWrite.AuthenticationMethod.
Requête
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Enregistrement des utilisateurs
Si les utilisateurs sont activés pour Authenticator Lite, ils sont invités à inscrire votre compte directement à partir d’Outlook mobile. L’inscription Authenticator Lite n’est pas disponible à l’aide de Mes connexions. Les utilisateurs peuvent également activer ou désactiver Authenticator Lite à partir d’Outlook Mobile. Si vous souhaitez en savoir plus sur l’expérience utilisateur, veuillez consulter la rubrique Prise en charge d’Authenticator Lite.
Si les utilisateurs n’ont pas de méthodes MFA inscrites, ils sont invités à télécharger Authenticator lorsqu’ils commencent le flux d’inscription. Pour une expérience aussi fluide que possible, fournissez aux utilisateurs un pass d’accès temporaire (TAP) lors de l'inscription à Authenticator Lite.
Surveiller l’utilisation d’Authenticator Lite
Les journaux de connexion peuvent indiquer l’application qui a servi à effectuer l’authentification utilisateur. Pour afficher les dernières connexions, utilisez l’appel suivant sur le point de terminaison d’API bêta :
GET auditLogs/signIns
Si la connexion a été effectuée par notification d’application téléphonique, sous
Si un utilisateur a inscrit Authenticator Lite, les méthodes d’authentification inscrites de l’utilisateur incluent Microsoft Authenticator (dans Outlook).
Notifications Push dans Authenticator Lite
Les notifications Push envoyées par Authenticator Lite ne sont pas configurables et ne dépendent pas des paramètres de fonctionnalité d’Authenticator. Authenticator Lite ne prend pas en charge le mode d’authentification sans mot de passe. Le tableau suivant répertorie les paramètres des fonctionnalités incluses dans l’expérience Authenticator Lite. Chaque authentification inclut une notification de correspondance de chiffres et n'inclut pas le contexte de l'application et de l'emplacement, quels que soient les paramètres des fonctionnalités Authenticator.
| Fonctionnalité d’authentificateur | Expérience Authenticator Lite |
|---|---|
| Correspondance de numéro | activé |
| Contexte d’emplacement | Désactivé |
| Contexte d’application | Désactivé |
Les captures d’écran suivantes montrent ce que les utilisateurs voient quand Authenticator Lite envoie une notification Push.
Adaptateur AD FS et extension NPS
Authenticator Lite applique la correspondance des nombres dans chaque authentification. Si votre locataire utilise un adaptateur AD FS ou une extension NPS, vos utilisateurs peuvent ne pas être en mesure d’effectuer des notifications Authenticator Lite. Si vous souhaitez en savoir plus, veuillez consulter les rubriques Adaptateur AD FS et Extension NPS.
Si vous souhaitez en savoir plus sur les notifications de vérification, veuillez consulter la rubrique Méthode d’authentification Microsoft Authenticator.
Questions courantes
Les sections suivantes répertorient les questions courantes.
Authenticator Lite fonctionne-t-il en tant qu’application répartiteur ?
Non, Authenticator Lite est disponible uniquement pour les notifications Push et TOTP.
Authenticator Lite peut-il être utilisé pour la réinitialisation de mot de passe en libre-service (SSPR) ?
Non, Authenticator Lite est disponible uniquement pour les notifications Push et TOTP.
Authenticator Lite est-il disponible dans l’application de bureau Outlook ?
Non, Authenticator Lite est disponible uniquement sur outlook mobile.
Où les utilisateurs peuvent-ils inscrire leurs comptes pour Authenticator Lite ?
Les utilisateurs peuvent s’inscrire à Authenticator Lite uniquement à partir d’Outlook mobile. L'inscription à Authenticator Lite est gérée à partir de Mes Connexions.
Les utilisateurs peuvent-ils inscrire Authenticator et Authenticator Lite ?
Les utilisateurs qui ont Authenticator sur leur appareil ne peuvent pas inscrire Authenticator Lite sur ce même appareil. Si un utilisateur dispose d’une inscription Authenticator Lite et télécharge ultérieurement Authenticator, il peut inscrire les deux. Si un utilisateur a deux appareils, il peut inscrire Authenticator Lite sur l’un et Authenticator sur l’autre.
Problèmes connus
Les problèmes suivants sont connus.
Notifications de réinitialisation de mot de passe en libre-service (SSPR)
Les codes TOTP d’Outlook fonctionnent pour SSPR, mais la notification Push ne fonctionnera pas et retourne une erreur.
Les journaux d’activité affichent des évaluations d’accès conditionnel ajoutées
Les stratégies d’accès conditionnel sont évaluées chaque fois qu’un utilisateur ouvre son application Outlook pour déterminer s’il est éligible pour s’inscrire à Authenticator Lite. Ces vérifications peuvent apparaître dans les journaux.