Delen via

Authenticator Lite inschakelen voor Outlook Mobile

  • Artikel

Authenticator Lite is een ander oppervlak voor Microsoft Entra-gebruikers om meervoudige verificatie (MFA) te voltooien met behulp van pushmeldingen of op tijd gebaseerde eenmalige wachtwoordcodes (TOTP) op uw Android- of iOS-apparaat. Met Authenticator Lite kunnen gebruikers voldoen aan een MFA-vereiste vanuit het gemak van een vertrouwde app. Authenticator Lite is momenteel ingeschakeld in Outlook Mobile.

Gebruikers ontvangen een melding in Outlook Mobile om aanmelding goed te keuren of te weigeren, of u kunt een TOTP kopiëren om te gebruiken tijdens het aanmelden.

Notitie

Gebruik deze belangrijke beveiligingsverbeteringen als u verificatie uitvoert via telecomtransporten:

  • De door Microsoft beheerde waarde van deze functie is ingeschakeld in het beleid voor verificatiemethoden. Als u deze functie niet wilt inschakelen, verplaatst u de status van standaard- naar uitgeschakeldeof beperkt u deze tot slechts een groep gebruikers.
  • Authenticator Lite is ingeschakeld als onderdeel van de melding via de verificatieoptie voor mobiele apps in het MFA-beleid per gebruiker. Als u deze functie niet wilt inschakelen, kunt u deze uitschakelen in het beleid voor verificatiemethoden door de stappen in dit artikel te volgen.

Vereisten

  • Uw organisatie moet pushmeldingen van Authenticator (tweede factor) inschakelen voor alle gebruikers of groepen selecteren. We raden aan dat u Authenticator inschakelt door de moderne verificatiemethodenbeleidte gebruiken. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API. Authenticator Lite komt niet in aanmerking voor on-premises gebruikersaccounts of organisaties met een actieve MFA-server.

    Tip

    U wordt aangeraden om ook de systeemvoorkeur MFA- in te schakelen wanneer u Authenticator Lite inschakelt. Als MFA is ingeschakeld voor het systeem, proberen gebruikers zich aan te melden met Authenticator Lite voordat ze minder veilige telefoniemethoden proberen, zoals sms of spraakoproep.

  • Als uw organisatie gebruikmaakt van de AD FS-adapter (Active Directory Federation Services) of NPS-extensies (Network Policy Server), voert u een upgrade uit naar de nieuwste versies voor een consistente ervaring.

  • Gebruikers die zijn ingeschakeld voor de modus gedeeld apparaat in Outlook Mobile komen niet in aanmerking voor Authenticator Lite.

  • Gebruikers moeten een minimale versie van Outlook Mobile uitvoeren.

    Besturingssysteem Outlook-versie
    Android 4.2310.1
    iOS 4.2312.1

Authenticator Lite inschakelen

Authenticator Lite wordt standaard beheerd door Microsoft in het beleid voor verificatiemethoden. Op 26 juni is de door Microsoft beheerde waarde van deze functie gewijzigd van disabled in enabled. Authenticator Lite is ook opgenomen als onderdeel van de melding via de verificatieoptie voor mobiele apps in het MFA-beleid per gebruiker.

Authenticator Lite uitschakelen in het Microsoft Entra-beheercentrum

Volg deze stappen om Authenticator Lite uit te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >Microsoft Authenticator.

  3. Selecteer op het tabblad Inschakelen en doel inschakelen en Alle gebruikers om het Authenticator-beleid voor iedereen in te schakelen, of voeg geselecteerde groepen toe. Stel de verificatiemodus voor deze gebruikers of groepen in op Alle of Push.

    Gebruikers die niet zijn ingeschakeld voor Authenticator, kunnen de functie niet zien. Gebruikers die Authenticator hebben gedownload op hetzelfde apparaat waarop Outlook wordt gedownload, worden niet gevraagd zich te registreren voor Authenticator Lite in Outlook. Android-gebruikers die een persoonlijk en werkprofiel op hun apparaat gebruiken, kunnen worden gevraagd zich te registreren als Authenticator aanwezig is in een ander profiel dan de Outlook-toepassing.

    Authenticator-instellingen voor Het Microsoft Entra-beheercentrum

  4. Op het tabblad Configureren, voor Microsoft Authenticator bij begeleidende applicaties, wijzig Status in Uitgeschakeld, en selecteer daarna Opslaan.

    Configuratie-instellingen voor Authenticator Lite

Als uw organisatie nog steeds verificatiemethoden beheert in het MFA-beleid per gebruiker, moet u Meldingen via mobiele app uitschakelen als verificatieoptie daar naast de voorgaande stappen. U wordt aangeraden deze stap alleen uit te voeren nadat u Authenticator hebt ingeschakeld in het beleid voor verificatiemethoden.

U kunt de rest van uw verificatiemethoden blijven beheren in het MFA-beleid per gebruiker terwijl Authenticator wordt beheerd in het moderne verificatiemethodenbeleid. U wordt echter aangeraden beheer van alle verificatiemethoden te migreren naar het beleid voor moderne verificatiemethoden. De mogelijkheid om verificatiemethoden in het MFA-beleid per gebruiker te beheren, wordt op 30 september 2025 buiten gebruik gesteld.

Authenticator Lite inschakelen via Graph API's

Eigenschap Type Description
excludeTarget featureTarget Eén entiteit die is uitgesloten van deze functie.
U kunt slechts één groep uitsluiten van Authenticator Lite, wat een dynamische of geneste groep kan zijn.
includeTarget featureTarget Eén entiteit die is opgenomen in deze functie.
U kunt slechts één groep opnemen voor Authenticator Lite, die een dynamische of geneste groep kan zijn.
State advancedConfigState Mogelijke waarden:
ingeschakeld schakelt de functie voor de geselecteerde groep expliciet in.
Uitgeschakeld de functie voor de geselecteerde groep expliciet uitschakelt.
Standaard staat Microsoft Entra ID toe om te beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep.

Nadat u de ene doelgroep hebt geïdentificeerd, gebruikt u het volgende API-eindpunt om de eigenschap CompanionAppsAllowedState onder featureSettingste wijzigen.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

In Graph Explorer moet u toestemming geven voor de machtiging Policy.ReadWrite.AuthenticationMethod.

Aanvraag

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Gebruikersregistratie

Als gebruikers zijn ingeschakeld voor Authenticator Lite, wordt hen gevraagd om uw account rechtstreeks vanuit Outlook Mobile te registreren. Authenticator Lite-registratie is niet beschikbaar met Mijn aanmeldingen. Gebruikers kunnen Authenticator Lite ook in- of uitschakelen vanuit Outlook Mobile. Zie Authenticator Lite-ondersteuning voor meer informatie over de gebruikerservaring.

Schermopname die laat zien hoe u Authenticator Lite registreert.

Als gebruikers geen MFA-methoden hebben geregistreerd, wordt ze gevraagd Authenticator te downloaden wanneer ze de registratiestroom starten. Voor de meest naadloze ervaring richt u gebruikers in met een Tijdelijke Toegangspas (TAP) tijdens de Authenticator Lite-registratie.

Authenticator Lite-gebruik bewaken

Aanmeldingslogboeken kunnen weergeven welke app is gebruikt om gebruikersverificatie te voltooien. Als u de meest recente aanmeldingen wilt bekijken, gebruikt u de volgende aanroep op het bèta-API-eindpunt:

GET auditLogs/signIns

Als de aanmelding is uitgevoerd via de melding van de telefoon-app, retourneert onder authenticationAppDeviceDetails het veld clientAppmicrosoftAuthenticator of Outlook.

Als een gebruiker Authenticator Lite heeft geregistreerd, bevatten de geregistreerde verificatiemethoden van de gebruiker Microsoft Authenticator (in Outlook).

Pushmeldingen in Authenticator Lite

Pushmeldingen die door Authenticator Lite worden verzonden, kunnen niet worden geconfigureerd en zijn niet afhankelijk van de instellingen van de Authenticator-functie. Authenticator Lite biedt geen ondersteuning voor verificatiemodus zonder wachtwoord. De volgende tabel bevat de instellingen voor functies die zijn opgenomen in de Authenticator Lite-ervaring. Elke verificatie bevat een nummerkoppelingsprompt en bevat geen app- en locatiecontext, ongeacht de instellingen van de Authenticator-functie.

Authenticatie-functie Authenticator Lite-ervaring
Nummerkoppeling Ingeschakeld
Locatiecontext Uitgeschakeld
Toepassingscontext Uitgeschakeld

In de volgende schermopnamen ziet u wat gebruikers zien wanneer Authenticator Lite een pushmelding verzendt.

Schermopname van pushmeldingen in Outlook Mobile.

AD FS-adapter en NPS-extensie

Authenticator Lite dwingt nummerkoppeling af bij elke verificatie. Als uw tenant een AD FS-adapter of een NPS-extensie gebruikt, kunnen uw gebruikers mogelijk geen Authenticator Lite-meldingen voltooien. Zie AD FS-adapter en NPS-extensie voor meer informatie.

Zie de verificatiemethode van Microsoft Authenticator voor meer informatie over verificatiemeldingen.

Veelgestelde vragen

De volgende secties bevatten veelgestelde vragen.

Werkt Authenticator Lite als broker-app?

Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.

Kan Authenticator Lite worden gebruikt voor SSPR?

Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.

Is Authenticator Lite beschikbaar in de bureaublad-app van Outlook?

Nee, Authenticator Lite is alleen beschikbaar in Outlook Mobile.

Waar kunnen gebruikers zich registreren voor Authenticator Lite?

Gebruikers kunnen zich alleen registreren voor Authenticator Lite vanuit mobiele Outlook. Authenticator Lite-registratie wordt beheerd vanuit Mijn aanmeldingen.

Kunnen gebruikers Authenticator en Authenticator Lite registreren?

Gebruikers die Authenticator op hun apparaat hebben, kunnen Authenticator Lite niet registreren op hetzelfde apparaat. Als een gebruiker een Authenticator Lite-registratie heeft en vervolgens Authenticator later downloadt, kunnen ze beide registreren. Als een gebruiker twee apparaten heeft, kunnen ze Authenticator Lite registreren op de ene en Authenticator op de andere.

Bekende problemen

De volgende problemen zijn bekend.

SSPR-meldingen

TOTP-codes van Outlook werken voor SSPR, maar de pushmelding werkt niet en retourneert een fout.

Logboeken tonen toegevoegde evaluaties van voorwaardelijke toegang

Het beleid voor voorwaardelijke toegang wordt geëvalueerd telkens wanneer een gebruiker zijn Outlook-app opent om te bepalen of ze in aanmerking komen voor registratie voor Authenticator Lite. Deze controles kunnen worden weergegeven in logboeken.

Verwante inhoud