Jak włączyć aplikację Microsoft Authenticator Lite dla aplikacji Outlook Mobile
Microsoft Authenticator Lite to kolejna powierzchnia dla użytkowników firmy Microsoft Entra w celu ukończenia uwierzytelniania wieloskładnikowego przy użyciu powiadomień wypychanych lub jednorazowych kodów dostępu (TOTP) na urządzeniu z systemem Android lub iOS. Dzięki aplikacji Authenticator Lite użytkownicy mogą spełnić wymagania dotyczące uwierzytelniania wieloskładnikowego z wygody znanej aplikacji. Aplikacja Authenticator Lite jest obecnie włączona w programie Outlook Mobile.
Użytkownicy otrzymują powiadomienie w aplikacji Outlook Mobile w celu zatwierdzenia lub odmowy logowania lub skopiowania protokołu TOTP do użycia podczas logowania.
Uwaga
Są to ważne ulepszenia zabezpieczeń dla użytkowników uwierzytelniania za pośrednictwem transportu telekomunikacyjnego:
- 26 czerwca wartość zarządzana przez firmę Microsoft tej funkcji zmieniła się z Wyłączone na Włączone w zasadach Metody uwierzytelniania. Jeśli nie chcesz już włączyć tej funkcji, przenieś stan z Domyślne na Wyłączone lub określ zakres tylko dla grupy użytkowników.
- Od 18 września aplikacja Authenticator Lite zostanie włączona w ramach opcji *Powiadomienie za pośrednictwem weryfikacji aplikacji mobilnej w zasadach uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników. Jeśli ta funkcja nie jest włączona, możesz ją wyłączyć w zasadach Metody uwierzytelniania, wykonując poniższe kroki.
Wymagania wstępne
Twoja organizacja musi włączyć powiadomienia wypychane Microsoft Authenticator (drugi czynnik) dla wszystkich użytkowników lub wybranych grup. Zalecamy włączenie aplikacji Microsoft Authenticator przy użyciu nowoczesnych zasad metod uwierzytelniania. Zasady metody uwierzytelniania można edytować przy użyciu centrum administracyjnego firmy Microsoft lub interfejsu API programu Microsoft Graph. Aplikacja Authenticator Lite nie kwalifikuje się do lokalnych kont użytkowników ani organizacji z aktywnym serwerem usługi MFA.
Napiwek
Zalecamy również włączenie uwierzytelniania wieloskładnikowego preferowanego przez system (MFA) podczas włączania aplikacji Authenticator Lite. W przypadku włączenia uwierzytelniania wieloskładnikowego preferowanego przez system użytkownicy próbują zalogować się przy użyciu aplikacji Authenticator Lite, zanim spróbują mniej bezpiecznych metod telefonii, takich jak sms lub połączenie głosowe.
Jeśli twoja organizacja korzysta z karty usług Active Directory Federation Services (AD FS) lub rozszerzeń serwera zasad sieciowych (NPS), uaktualnij do najnowszych wersji, aby uzyskać spójne środowisko.
Użytkownicy włączeni dla trybu udostępnionego urządzenia w aplikacji Outlook Mobile nie kwalifikują się do aplikacji Authenticator Lite.
Użytkownicy muszą uruchomić minimalną wersję mobilną programu Outlook.
System operacyjny Wersja aplikacji Outlook Android 4.2310.1 iOS 4.2312.1
Włączanie aplikacji Authenticator Lite
Domyślnie aplikacja Authenticator Lite jest zarządzana przez firmę Microsoft w zasadach metod uwierzytelniania. 26 czerwca wartość zarządzana przez firmę Microsoft tej funkcji zmieniła się z "disabled" na "enabled". Aplikacja Authenticator Lite jest również uwzględniona w ramach opcji Powiadamianie za pośrednictwem weryfikacji aplikacji mobilnej w zasadach uwierzytelniania wieloskładnikowego dla użytkownika.
Wyłączanie aplikacji Authenticator Lite w centrum administracyjnym firmy Microsoft Entra
Aby wyłączyć aplikację Authenticator Lite w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do sekcji Metody>uwierzytelniania ochrony>Microsoft Authenticator.
Na karcie Włącz i cel kliknij pozycję Włącz i Wszyscy użytkownicy, aby włączyć zasady Authenticator dla wszystkich lub dodać wybrane grupy. Ustaw tryb uwierzytelniania dla tych użytkowników/grup na dowolną lub wypychaną.
Użytkownicy, którzy nie są włączeni dla aplikacji Microsoft Authenticator, nie widzą tej funkcji. Użytkownicy, którzy mają aplikację Microsoft Authenticator pobraną na tym samym urządzeniu outlook, nie będą monitowani o zarejestrowanie się w aplikacji Authenticator Lite w programie Outlook. Użytkownicy systemu Android korzystający z profilu osobistego i służbowego na urządzeniu mogą być monitowani o zarejestrowanie się, jeśli aplikacja Authenticator jest obecna w innym profilu niż aplikacja Outlook.
Na karcie Konfigurowanie dla aplikacji towarzyszących w aplikacji microsoft Authenticator zmień stan na Wyłączone, a następnie kliknij przycisk Zapisz.
Uwaga
Jeśli twoja organizacja nadal zarządza metodami uwierzytelniania w zasadach uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników, musisz wyłączyć powiadomienie za pomocą aplikacji mobilnej jako opcję weryfikacji oprócz powyższych kroków. Zalecamy wykonanie tej czynności dopiero po włączeniu aplikacji Microsoft Authenticator w zasadach metod uwierzytelniania. Możesz nadal zarządzać resztą metod uwierzytelniania w zasadach uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników, podczas gdy aplikacja Microsoft Authenticator jest zarządzana w nowoczesnych zasadach metod uwierzytelniania. Zalecamy jednak migrację zarządzania wszystkimi metodami uwierzytelniania do nowoczesnych zasad metod uwierzytelniania. Możliwość zarządzania metodami uwierzytelniania w zasadach uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników zostanie wycofana 30 września 2025 r.
Włączanie aplikacji Authenticator Lite za pośrednictwem interfejsów API programu Graph
| Właściwość | Type | Opis |
|---|---|---|
| excludeTarget | featureTarget | Jedna jednostka, która jest wykluczona z tej funkcji. Można wykluczyć tylko jedną grupę z aplikacji Authenticator Lite, która może być grupą dynamiczną lub zagnieżdżona. |
| includeTarget | featureTarget | Jedna jednostka, która jest uwzględniona w tej funkcji. Można dołączyć tylko jedną grupę dla aplikacji Authenticator Lite, która może być grupą dynamiczną lub zagnieżdżona. |
| Stan | advancedConfigState | Dopuszczalne wartości: włączone jawnie włącza funkcję dla wybranej grupy. wyłączone jawnie wyłącza funkcję dla wybranej grupy. Ustawienie domyślne umożliwia firmie Microsoft Entra ID zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy. |
Po zidentyfikowaniu pojedynczej grupy docelowej użyj następującego punktu końcowego interfejsu API, aby zmienić właściwość CompanionAppsAllowedState w obszarze featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Uwaga
W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienie Policy.ReadWrite.AuthenticationMethod .
Żądanie
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Rejestracja użytkownika
W przypadku włączenia aplikacji Authenticator Lite użytkownicy będą monitowani o zarejestrowanie swojego konta bezpośrednio z poziomu aplikacji Outlook Mobile. Rejestracja authenticator Lite nie jest dostępna przy użyciu mySignIns. Użytkownicy mogą również włączać lub wyłączać aplikację Authenticator Lite z poziomu aplikacji Outlook Mobile. Aby uzyskać więcej informacji na temat środowiska użytkownika, zobacz Obsługa aplikacji Authenticator Lite.
Uwaga
Jeśli nie mają żadnych zarejestrowanych metod uwierzytelniania wieloskładnikowego, użytkownicy będą monitowani o pobranie aplikacji Authenticator po rozpoczęciu przepływu rejestracji. Aby uzyskać najbardziej bezproblemowe środowisko, aprowizuj użytkowników z tymczasowym dostępem pass (TAP), których mogą używać podczas rejestracji aplikacji Authenticator Lite.
Monitorowanie użycia aplikacji Authenticator Lite
Dzienniki logowania mogą pokazywać, która aplikacja została użyta do ukończenia uwierzytelniania użytkownika. Aby wyświetlić najnowsze logowania, użyj następującego wywołania punktu końcowego interfejsu API w wersji beta:
GET auditLogs/signIns
Jeśli logowanie zostało wykonane przez powiadomienie aplikacji telefonicznej, w obszarze authenticationAppDeviceDetails pole clientApp zwraca wartość microsoftAuthenticator lub Outlook.
Jeśli użytkownik zarejestrował aplikację Authenticator Lite, zarejestrowane metody uwierzytelniania użytkownika obejmują aplikację Microsoft Authenticator (w programie Outlook).
Powiadomienia wypychane w aplikacji Authenticator Lite
Powiadomienia wypychane wysyłane przez aplikację Authenticator Lite nie są konfigurowalne i nie zależą od ustawień funkcji Authenticator. Aplikacja Authenticator Lite nie obsługuje trybu uwierzytelniania bez hasła. Ustawienia funkcji zawartych w środowisku Authenticator Lite są wymienione w poniższej tabeli. Każde uwierzytelnianie zawiera liczbę pasujących monitów i nie zawiera kontekstu aplikacji i lokalizacji, niezależnie od ustawień funkcji Microsoft Authenticator.
| Funkcja wystawcy uwierzytelniającego | Authenticator Lite Experience |
|---|---|
| Dopasowywanie liczb | Włączona |
| Kontekst lokalizacji | Disabled |
| Kontekst aplikacji | Disabled |
Poniższe zrzuty ekranu pokazują, co użytkownicy widzą, gdy aplikacja Authenticator Lite wysyła powiadomienie wypychane.
Adapter usług AD FS i rozszerzenie serwera NPS
Aplikacja Authenticator Lite wymusza dopasowywanie numerów w każdym uwierzytelnianiu. Jeśli dzierżawa korzysta z adaptera usług AD FS lub rozszerzenia serwera NPS, użytkownicy mogą nie być w stanie ukończyć powiadomień Authenticator Lite. Aby uzyskać więcej informacji, zobacz Ad FS adapter i rozszerzenie NPS.
Aby dowiedzieć się więcej na temat powiadomień weryfikacyjnych, zobacz Metoda uwierzytelniania microsoft Authenticator.
Często zadawane pytania
Czy aplikacja Authenticator Lite działa jako aplikacja brokera?
Nie, Authenticator Lite jest dostępny tylko dla powiadomień wypychanych i TOTP.
Czy można używać protokołu Authenticator Lite na potrzeby samoobsługowego resetowania hasła?
Nie, Authenticator Lite jest dostępny tylko dla powiadomień wypychanych i TOTP.
Czy jest to dostępne w aplikacji klasycznej Outlook?
Nie, Aplikacja Authenticator Lite jest dostępna tylko w aplikacji Outlook Mobile.
Gdzie użytkownicy mogą zarejestrować się w aplikacji Authenticator Lite?
Użytkownicy mogą rejestrować się tylko w aplikacji Authenticator Lite z poziomu programu Outlook dla urządzeń przenośnych. Rejestrację Authenticator Lite można zarządzać z poziomu aka.ms/mysignins.
Czy użytkownicy mogą rejestrować aplikacje Microsoft Authenticator i Authenticator Lite?
Użytkownicy, którzy mają program Microsoft Authenticator na swoim urządzeniu, nie mogą zarejestrować aplikacji Authenticator Lite na tym samym urządzeniu. Jeśli użytkownik ma rejestrację Authenticator Lite, a następnie pobierze aplikację Microsoft Authenticator, może zarejestrować obie te elementy. Jeśli użytkownik ma dwa urządzenia, może zarejestrować aplikację Authenticator Lite w jednej i aplikacji Microsoft Authenticator w drugiej.
Znane problemy
Powiadomienia samoobsługowego resetowania hasła
Kody TOTP z programu Outlook będą działać dla samoobsługowego resetowania hasła, ale powiadomienie wypychane nie będzie działać i zwróci błąd.
Dzienniki pokazują dodatkowe oceny dostępu warunkowego
Zasady dostępu warunkowego są oceniane za każdym razem, gdy użytkownik otworzy aplikację Outlook, aby określić, czy użytkownik kwalifikuje się do zarejestrowania się w aplikacji Authenticator Lite. Te kontrole mogą być wyświetlane w dziennikach.