Partager via


Comment activer Microsoft Authenticator Lite pour Outlook Mobile

Microsoft Authenticator Lite est une autre surface permettant aux utilisateurs Microsoft Entra d’effectuer l’authentification multifacteur à l’aide de notifications Push ou de codes secrets à usage unique et durée définie (TOTP) sur leurs appareils Android ou iOS. Avec Authenticator Lite, les utilisateurs peuvent satisfaire une exigence d’authentification multifacteur avec le confort d’une application familière. Authenticator Lite est actuellement activé dans Outlook Mobile.

Les utilisateurs reçoivent une notification dans Outlook Mobile pour approuver ou refuser la connexion, ou ils peuvent copier un TOTP à utiliser lors de la connexion.

Remarque

Voici des améliorations importantes de la sécurité pour les utilisateurs qui s’authentifient au moyen des transports de télécommunications :

  • Le 26 juin, la valeur gérée par Microsoft de cette fonctionnalité est passée de Désactivé à Activé dans la stratégie des méthodes d’authentification. Si vous ne souhaitez plus que cette fonctionnalité soit activée, remplacez l’état Par défaut par Désactivé ou définissez son étendue sur un groupe d’utilisateurs uniquement.
  • À compter du 18 septembre, Authenticator Lite sera activé dans le cadre de l’option de vérification Notification via une application mobile dans la stratégie MFA par utilisateur. Si vous ne souhaitez pas que cette fonctionnalité soit activée, vous pouvez la désactiver dans la stratégie des méthodes d’authentification en procédant comme suit.

Prérequis

  • Votre organisation doit activer les notifications Push (deuxième facteur) de Microsoft Authenticator pour tous les utilisateurs ou pour des groupes sélectionnés. Nous vous recommandons d’activer Microsoft Authenticator à l’aide de la stratégie des méthodes d’authentification moderne. Vous pouvez modifier la stratégie des méthodes d’authentification à l’aide du centre d’administration Microsoft Entra ou de l’API Microsoft Graph. Authenticator Lite ne prend pas en charge les comptes d’utilisateurs locaux ou les organisations avec un serveur MFA actif.

    Conseil

    Nous vous recommandons également d’activer l’authentification multifacteur (MFA) par défaut du système lorsque vous activez Authenticator Lite. Avec l’authentification multifacteur par défaut du système activée, les utilisateurs essaient de se connecter avec Authenticator Lite avant d’essayer des méthodes de téléphonie moins sécurisées, telles que les SMS ou les appels vocaux.

  • Si votre organisation utilise l’adaptateur services de fédération Active Directory (AD FS) ou les extensions de serveur NPS (Network Policy Server), effectuez une mise à niveau vers les dernières versions pour une expérience cohérente.

  • Les utilisateurs activés pour le mode d’appareil partagé sur Outlook Mobile ne sont pas éligibles à Authenticator Lite.

  • Les utilisateurs doivent exécuter une version minimale d’Outlook Mobile.

    Système d’exploitation Version d’Outlook
    Android 4.2310.1
    iOS 4.2312.1

Activer Authenticator Lite

Par défaut, Authenticator Lite est géré par Microsoft dans la stratégie des méthodes d’authentification. Le 26 juin, la valeur gérée par Microsoft de cette fonctionnalité est passée de « disabled » à « enabled ». Authenticator Lite est également inclus dans le cadre de l’option de vérification Notification via une application mobile dans la stratégie MFA par utilisateur.

Désactiver Authenticator Lite dans le centre d’administration Microsoft Entra

Pour désactiver Authenticator Lite dans le centre d’administration Microsoft Entra, procédez comme suit :

  1. Connectez-vous au Centre d'administration Microsoft Entra au moins en tant qu’Administrateur de stratégie d’authentification.

  2. Accédez à Protection>Méthodes d’authentification>Microsoft Authenticator.

  3. Sous l’onglet Activer et cibler, cliquez sur Activer et sur Tous les utilisateurs afin d’activer la stratégie Authenticator pour tout le monde ou ajoutez des groupes sélectionnés. Définissez le mode d’authentification de ces utilisateurs/groupes sur N’importe lequel ou Push.

    Les utilisateurs pour lesquels Microsoft Authenticator n’est pas activé ne peuvent pas voir la fonctionnalité. Les utilisateurs qui ont téléchargé Microsoft Authenticator sur le même appareil sur lequel Outlook est téléchargé ne seront pas invités à s’inscrire à Authenticator Lite dans Outlook. Les utilisateurs Android utilisant des profils personnel et professionnel sur leur appareil peuvent être invités à s’inscrire si Authenticator est présent sur un profil différent de l’application Outlook.

    Centre d'administration Microsoft Entra Paramètres de l'authentificateur
  4. Sous l’onglet Configurer, pour Microsoft Authenticator sur les applications complémentaires, passez l’état en Désactivé et appuyez sur Sauvegarder.

    Paramètres de configuration Authenticator Lite

    Remarque

    Si votre organisation continue à gérer les méthodes d’authentification dans la stratégie MFA par utilisateur, vous devez désactiver l’option de vérification Notification via une application mobile en plus des étapes précédentes. Nous vous recommandons d’effectuer cette opération uniquement après avoir activé Microsoft Authenticator dans la stratégie des méthodes d’authentification. Vous pouvez continuer à gérer le reste de vos méthodes d’authentification dans la stratégie MFA par utilisateur, tandis que Microsoft Authenticator est géré dans la stratégie des méthodes d’authentification moderne. Toutefois, nous vous recommandons de migrer la gestion de toutes les méthodes d’authentification vers la stratégie des méthodes d’authentification moderne. La possibilité de gérer les méthodes d’authentification dans la stratégie MFA par utilisateur sera supprimée le 30 septembre 2025.

Activer Authenticator Lite via les API Graph

Propriété Type Description
excludeTarget featureTarget Entité unique exclue de cette fonctionnalité.
Vous ne pouvez exclure qu’un seul groupe, dynamique ou imbriqué, d’Authenticator Lite.
includeTarget featureTarget Entité unique incluse dans cette fonctionnalité.
Vous ne pouvez inclure qu’un seul groupe, dynamique ou imbriqué, pour Authenticator Lite.
State advancedConfigState Les valeurs possibles sont les suivantes :
enabled active explicitement la fonctionnalité pour le groupe sélectionné.
disabled désactive explicitement la fonctionnalité pour le groupe sélectionné.
default permet à Microsoft Entra ID de gérer l’activation ou non de la fonctionnalité pour le groupe sélectionné.

Après avoir identifié le groupe cible unique, utilisez le point de terminaison d’API suivant pour modifier la propriété CompanionAppsAllowedState sous featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Notes

Dans l’Explorateur Graph, vous devez accepter les autorisations Policy.ReadWrite.AuthenticationMethod.

Requête

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Enregistrement des utilisateurs

Si Authenticator Lite est activé, les utilisateurs sont invités à inscrire leurs comptes directement depuis Outlook Mobile. L’inscription d’Authenticator Lite n’est pas disponible via MySignIns. Les utilisateurs peuvent également activer ou désactiver Authenticator Lite depuis Outlook Mobile. Si vous souhaitez en savoir plus sur l’expérience utilisateur, veuillez consulter la rubrique Prise en charge d’Authenticator Lite.

Capture d’écran montrant comment inscrire un compte utilisateur pour Authenticator Lite.

Notes

Si aucune méthode MFA n’est inscrite, les utilisateurs sont invités à télécharger Authenticator lorsqu’ils commencent le flux d’inscription. Pour une expérience plus fluide, provisionnez les utilisateurs avec un passe d’accès temporaire (TAP) qu’ils peuvent utiliser lors de l’inscription à Authenticator Lite.

Surveillance de l’utilisation d’Authenticator Lite

Les journaux de connexion peuvent indiquer l’application qui a servi à effectuer l’authentification utilisateur. Pour afficher les dernières connexions, utilisez l’appel suivant sur le point de terminaison d’API bêta :

GET auditLogs/signIns

Si la connexion a été effectuée par notification sur une application téléphonique, sous authenticationAppDeviceDetails, le champ clientApp renvoie à microsoftAuthenticator ou Outlook.

Si un utilisateur a inscrit son compte pour Authenticator Lite, les méthodes d’authentification inscrites de l’utilisateur incluent Microsoft Authenticator (dans Outlook).

Notifications Push dans Authenticator Lite

Les notifications Push envoyées par Authenticator Lite ne sont pas configurables et ne dépendent pas des paramètres de fonctionnalité d’Authenticator. Authenticator Lite ne prend pas en charge le mode d’authentification sans mot de passe. Les paramètres des fonctionnalités incluses dans l’expérience Authenticator Lite sont répertoriés dans le tableau suivant. Chaque authentification inclut une invite de correspondance de nombres et n’inclut pas le contexte de l’application et de l’emplacement, quels que soient les paramètres des fonctionnalités de Microsoft Authenticator.

Fonctionnalité d’Authenticator Expérience d’Authenticator Lite
Correspondance de nombres activé
Contexte d’emplacement Désactivé
Contexte de l’application Désactivé

Les captures d’écran suivantes montrent ce que les utilisateurs voient quand Authenticator Lite envoie une notification Push.

Capture d’écran de la notification Push dans Outlook Mobile.

Adaptateur AD FS et extension NPS

Authenticator Lite applique la correspondance des nombres dans chaque authentification. Si votre tenant (locataire) utilise un adaptateur AD FS ou une extension NPS, vos utilisateurs ne pourront sans doute pas effectuer de notifications Authenticator Lite. Si vous souhaitez en savoir plus, veuillez consulter les rubriques Adaptateur AD FS et Extension NPS.

Si vous souhaitez en savoir plus sur les notifications de vérification, veuillez consulter la rubrique Méthode d’authentification Microsoft Authenticator.

Questions courantes

Authenticator Lite fonctionne-t-il en tant qu’application répartiteur ?

Non, Authenticator Lite est disponible uniquement pour les notifications Push et le TOTP.

Authenticator Lite peut-il être utilisé pour la réinitialisation de mot de passe en libre-service (SSPR) ?

Non, Authenticator Lite est disponible uniquement pour les notifications Push et le TOTP.

Cette application est-elle disponible dans l’application de bureau Outlook ?

Non, Authenticator Lite n’est disponible que sur Outlook Mobile.

Où les utilisateurs peuvent-ils inscrire leurs comptes pour Authenticator Lite ?

Les utilisateurs peuvent uniquement inscrire leurs comptes pour Authenticator Lite depuis Outlook Mobile. L’inscription des comptes utilisateurs pour Authenticator Lite peut être managée depuis aka.ms/mysignins.

Les utilisateurs peuvent-ils inscrire leurs comptes pour Microsoft Authenticator et pour Authenticator Lite ?

Les utilisateurs disposant de Microsoft Authenticator sur leur appareil ne peuvent pas inscrire Authenticator Lite sur ce même appareil. Si un utilisateur a une inscription Authenticator Lite, puis télécharge ensuite Microsoft Authenticator, il peut inscrire son compte pour les deux. Si un utilisateur a deux appareils, il peut inscrire son compte pour Authenticator Lite sur l’un et pour Microsoft Authenticator sur l’autre.

Problèmes connus

Notifications de réinitialisation de mot de passe en libre-service (SSPR)

Les codes TOTP d’Outlook fonctionnent pour un SSPR, mais la notification Push ne fonctionne pas et retourne une erreur.

Les journaux d’activité affichent des évaluations d’accès conditionnel supplémentaires

Les stratégies d’accès conditionnel sont évaluées chaque fois qu’un utilisateur ouvre son application Outlook, afin de déterminer si l’utilisateur est éligible pour s’inscrire à Authenticator Lite. Ces vérifications peuvent apparaître dans les journaux.

Étapes suivantes

Méthodes d’authentification dans Microsoft Entra ID