Outlook モバイルの Authenticator Lite を有効にする

Authenticator Lite は、Microsoft Entra ユーザーが Android または iOS デバイスでプッシュ通知または時間ベースのワンタイム パスコード (TOTP) を使用して多要素認証 (MFA) を完了するためのもう 1 つの面です。 Authenticator Lite を使用すると、ユーザーは使い慣れたアプリの利便性から MFA 要件を満たすことができます。 Authenticator Lite は現在、Outlook モバイルで有効になっています。

ユーザーは Outlook Mobile でサインインを承認または拒否する通知を受け取るか、サインイン時に使用する TOTP をコピーできます。

Note

通信トランスポートを使用して認証する場合は、次の重要なセキュリティ強化機能を使用します。

• この機能の Microsoft が管理する値は、認証方法ポリシーで有効になっています。 この機能を有効にしない場合は、状態を Default から Disabledに移動するか、ユーザーのグループのみにスコープを設定します。
• Authenticator Lite は、ユーザーごとの MFA ポリシーのモバイル アプリ検証オプションによる通知の一部として有効になります。 この機能を有効にしない場合は、この記事の手順に従って認証方法ポリシーで無効にすることができます。

前提条件

• 組織では、すべてのユーザーに対して Authenticator (第 2 要素) プッシュ通知を有効にするか、グループを選択する必要があります。 最新の 認証方法ポリシーを使用して Authenticator を有効にすることをお勧めします。 認証方法ポリシーは、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して編集できます。 Authenticator Lite は、アクティブな MFA サーバーを持つオンプレミスのユーザー アカウントや組織では使用できません。

  ヒント

  Authenticator Lite を有効にする場合は、システム優先 MFA も有効にすることをお勧めします。 システム優先 MFA が有効になっている場合、ユーザーは SMS や音声通話などの安全性の低いテレフォニー方式を試す前に、Authenticator Lite でサインインしようとします。

• 組織が Active Directory フェデレーション サービス (AD FS) アダプターまたはネットワーク ポリシー サーバー (NPS) 拡張機能を使用している場合は、一貫性のあるエクスペリエンスになるように最新バージョンにアップグレードしてください。

• Outlook モバイルで共有デバイス モードが有効になっているユーザーは、Authenticator Lite の対象になりません。

• ユーザーは、Outlook モバイルの最小バージョンを実行する必要があります。

  オペレーティング システム	Outlook のバージョン
  Android	4.2310.1
  iOS	4.2312.1

Authenticator Lite を有効にする

既定では、Authenticator Lite は認証方法ポリシーで Microsoft によって管理されます。 6 月 26 日に、この機能の Microsoft が管理する値が disabled から enabledに変更されました。 ユーザーごとの MFA ポリシーの [モバイル アプリによる通知] 確認オプションの一部として Authenticator Lite も含まれます。

Microsoft Entra 管理センターで Authenticator Lite を無効にする

Microsoft Entra 管理センターで Authenticator Lite を無効にするには、次の手順に従います。

1. 少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。

2. [保護]、>、[Microsoft Authenticator] の順に進みます。

3. [有効化およびターゲット設定]タブで、[有効化] と [すべてのユーザー ] を選択して、Authenticatorポリシーをすべてのユーザーに対して有効化するか、または選択したグループを追加します。 これらのユーザーまたはグループの認証モードを 任意の または プッシュに設定します。

   Authenticator が有効になっていないユーザーには、この機能が表示されません。 Outlook がダウンロードされているのと同じデバイスで Authenticator をダウンロードしたユーザーは、Outlook で Authenticator Lite に登録するように求められません。 デバイスで個人プロファイルと仕事用プロファイルを使用する Android ユーザーは、Authenticator が Outlook アプリケーションとは異なるプロファイルに存在する場合に登録を求められる場合があります。

   

4. [構成] タブで、コンパニオン アプリケーションの Microsoft Authenticatorの [状態] を [無効]に変更し、その後 [保存]を選択します。

   

組織が依然としてユーザー別の MFA ポリシーで認証方法を管理している場合、前述の手順に加え、検証オプションとして "モバイル アプリによる通知" を無効にする必要があります。 この手順は、認証方法ポリシーで Authenticator を有効にした後にのみ実行することをお勧めします。

Authenticator は最新の認証方法ポリシーで管理されている間、ユーザーごとの MFA ポリシーで認証方法の残りの部分を引き続き管理できます。 ただし、すべての認証方法の 管理を最新の認証方法ポリシーに移行 することをお勧めします。 ユーザーごとの MFA ポリシーの認証方法を管理する機能は、2025 年 9 月 30 日に廃止されます。

Graph API を使用して Authenticator Lite を有効にする

プロパティ	タイプ	説明
excludeTarget	featureTarget	この機能から除外される 1 つのエンティティ。 Authenticator Lite から除外できるグループは 1 つだけです。動的グループまたは入れ子になったグループを指定できます。
includeTarget	featureTarget	この機能に含まれる 1 つのエンティティ。 Authenticator Lite には、動的グループまたは入れ子になったグループを含めることができるグループを 1 つだけ含めることができます。
State	advancedConfigState	使用可能な値: 有効 選択したグループの機能を明示的に有効にします。 無効 選択したグループの機能を明示的に無効にします。 既定の を使用すると、Microsoft Entra ID は、選択したグループに対して機能が有効になっているかどうかを管理できます。

単一のターゲット グループを特定した後、次の API エンドポイントを使用して、featureSettingsの CompanionAppsAllowedState プロパティを変更します。

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Graph エクスプローラーでは、Policy.ReadWrite.AuthenticationMethod アクセス許可に同意する必要があります。

要求

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

ユーザーの登録

Authenticator Lite が有効になっている場合は、Outlook モバイルから直接アカウントを登録するように求められます。 Authenticator Lite の登録は、サインインを使用して使用することはできません。ユーザーは、Outlook モバイル内から Authenticator Lite を有効または無効にすることもできます。 ユーザー エクスペリエンスの詳細については、Authenticator Lite のサポートを参照してください。

ユーザーが MFA メソッドを登録していない場合は、登録フローを開始するときに Authenticator をダウンロードするように求められます。 最もシームレスなエクスペリエンスを実現するには、Authenticator Lite の登録時に 一時アクセス パス (TAP) を使用してユーザーをプロビジョニングします。

Authenticator Lite の使用状況を監視する

サインイン ログで、ユーザー認証を完了するために使用されたアプリを表示できます。 最新のサインインを表示するには、ベータ API エンドポイントで次の呼び出しを使用します。

GET auditLogs/signIns

サインインが電話アプリの通知によって行われた場合、authenticationAppDeviceDetailsの条件下でclientApp フィールドがmicrosoftAuthenticatorかのOutlookを返します。

ユーザーが Authenticator Lite を登録している場合、ユーザーの登録された認証方法には、Microsoft Authenticator (Outlook)が含まれます。

Authenticator Lite のプッシュ通知

Authenticator Lite から送信されるプッシュ通知は構成できず、Authenticator 機能の設定に依存しません。 Authenticator Lite では、パスワードレス認証モードはサポートされていません。 次の表に、Authenticator Lite エクスペリエンスに含まれる機能の設定を示します。 すべての認証には、認証機能の設定に関係なく、番号に一致するプロンプトが含まれており、アプリと場所のコンテキストは含まれません。

Authenticator 機能	Authenticator Lite エクスペリエンス
数値の一致	Enabled
場所コンテキスト	無効
アプリケーション コンテキスト	無効

Authenticator Lite がプッシュ通知を送信したときにユーザーに表示される内容を次のスクリーンショットに示します。

AD FS アダプターと NPS 拡張機能

Authenticator Lite では、認証ごとに数値の一致が実施されます。 テナントで AD FS アダプターまたは NPS 拡張機能を使用している場合、ユーザーは Authenticator Lite 通知を完了できない可能性があります。 詳細については、「AD FS アダプター」と「NPS 拡張機能」を参照してください。

検証通知の詳細については、Microsoft Authenticator の認証方法に関する記事を参照してください。

一般的な質問

次のセクションでは、一般的な質問の一覧を示します。

Authenticator Lite はブローカー アプリとして機能しますか?

いいえ。Authenticator Lite はプッシュ通知と TOTP でのみ使用できます。

Authenticator Lite を SSPR に使用できますか?

いいえ。Authenticator Lite はプッシュ通知と TOTP でのみ使用できます。

Authenticator Lite は Outlook デスクトップ アプリで使用できますか?

いいえ。Authenticator Lite は Outlook モバイルでのみ使用できます。

ユーザーはどこで Authenticator Lite に登録できますか?

ユーザーは、モバイル Outlook からのみ Authenticator Lite に登録できます。 Authenticator Lite の登録は、My Sign-Insから管理されます。

ユーザーは Authenticator と Authenticator Lite を登録できますか?

デバイスに Authenticator を持つユーザーは、その同じデバイスに Authenticator Lite を登録できません。 ユーザーが Authenticator Lite の登録を行い、その後 Authenticator をダウンロードした場合は、両方を登録できます。 ユーザーが 2 つのデバイスを持っている場合は、一方に Authenticator Lite を登録し、もう一方に Authenticator を登録できます。

既知の問題

次の問題がわかっている。

SSPR 通知

Outlook の TOTP コードは SSPR で動作しますが、プッシュ通知は機能せず、エラーが返されます。

追加された条件付きアクセスの評価がログに表示されている

条件付きアクセス ポリシーは、ユーザーが Outlook アプリを開いて Authenticator Lite に登録する資格があるかどうかを判断するたびに評価されます。 これらのチェックはログに表示される場合があります。

関連コンテンツ

• Microsoft Entra ID での認証方法