Włączanie aplikacji Authenticator Lite dla aplikacji Outlook Mobile
Authenticator Lite to kolejna możliwość dla użytkowników Microsoft Entra do przeprowadzenia uwierzytelniania wieloskładnikowego (MFA) przy użyciu powiadomień push lub jednorazowych kodów dostępu (TOTP) na urządzeniu z systemem Android lub iOS. Dzięki aplikacji Authenticator Lite użytkownicy mogą spełnić wymagania uwierzytelniania wieloskładnikowego w wygodny sposób, korzystając ze znanej im aplikacji. Aplikacja Authenticator Lite jest obecnie włączona w programie Outlook Mobile.
Użytkownicy otrzymują powiadomienie w aplikacji Outlook Mobile, aby zatwierdzić lub odrzucić logowanie, lub mogą skopiować kod TOTP do użycia podczas logowania.
Uwaga
Użyj tych ważnych ulepszeń zabezpieczeń, jeśli uwierzytelniasz się za pośrednictwem transportu telekomunikacyjnego:
- Wartość zarządzana przez firmę Microsoft dla tej funkcji jest włączona w zasadach dotyczących metod uwierzytelniania. Jeśli nie chcesz włączać tej funkcji, przenieś stan z Domyślne na Wyłączonelub określ zakres tylko dla grupy użytkowników.
- Aplikacja Authenticator Lite jest włączona w ramach opcji Powiadamianie poprzez weryfikację aplikacji mobilnej w zasadach uwierzytelniania wieloskładnikowego dla użytkownika. Jeśli ta funkcja nie jest włączona, możesz ją wyłączyć w zasadach Metody uwierzytelniania, wykonując kroki opisane w tym artykule.
Wymagania wstępne
Twoja organizacja musi włączyć powiadomienia push aplikacji Authenticator (drugi czynnik) dla wszystkich użytkowników lub wybranych grup. Zalecamy włączenie aplikacji Authenticator, korzystając z zasady nowoczesnych metod uwierzytelniania . Zasady metody uwierzytelniania można edytować przy użyciu centrum administracyjnego firmy Microsoft lub interfejsu API programu Microsoft Graph. Aplikacja Authenticator Lite nie kwalifikuje się do lokalnych kont użytkowników ani organizacji z aktywnym serwerem usługi MFA.
Napiwek
Zalecamy również włączenie uwierzytelniania wieloskładnikowego preferowanego przez system , gdy włączasz aplikację Authenticator Lite. W przypadku włączenia uwierzytelniania wieloskładnikowego preferowanego przez system użytkownicy próbują zalogować się przy użyciu aplikacji Authenticator Lite, zanim spróbują mniej bezpiecznych metod telefonii, takich jak sms lub połączenie głosowe.
Jeśli twoja organizacja korzysta z karty usług Active Directory Federation Services (AD FS) lub rozszerzeń serwera zasad sieciowych (NPS), uaktualnij do najnowszych wersji, aby uzyskać spójne środowisko.
Użytkownicy włączeni dla trybu udostępnionego urządzenia w aplikacji Outlook Mobile nie kwalifikują się do aplikacji Authenticator Lite.
Użytkownicy muszą uruchomić minimalną wersję mobilną programu Outlook.
System operacyjny Wersja aplikacji Outlook Android 4.2310.1 iOS 4.2312.1
Włączanie aplikacji Authenticator Lite
Domyślnie aplikacja Authenticator Lite jest zarządzana przez firmę Microsoft w zasadach metod uwierzytelniania. 26 czerwca wartość zarządzana przez firmę Microsoft tej funkcji zmieniła się z disabled na enabled. Aplikacja Authenticator Lite jest również uwzględniona w ramach opcji Powiadamianie za pośrednictwem weryfikacji aplikacji mobilnej w zasadach uwierzytelniania wieloskładnikowego dla użytkownika.
Wyłącz Authenticator Lite w centrum administracyjnym Microsoft Entra
Aby wyłączyć aplikację Authenticator Lite w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator zasad uwierzytelniania.
Przejdź do sekcji Metody>Microsoft Authenticator.
Na karcie Włącz i Docelowi użytkownicy wybierz Włącz i Wszyscy użytkownicy, aby włączyć politykę Authenticator dla wszystkich lub dodać wybrane grupy. Ustaw tryb uwierzytelniania dla tych użytkowników lub grup na Dowolny lub Push.
Użytkownicy, którzy nie są włączeni dla aplikacji Authenticator, nie widzą tej funkcji. Użytkownicy, którzy pobrali aplikację Authenticator na tym samym urządzeniu, na którym pobrano program Outlook, nie są monitowani o zarejestrowanie się w aplikacji Authenticator Lite w programie Outlook. Użytkownicy systemu Android korzystający z profilu osobistego i służbowego na urządzeniu mogą zostać poproszony o zarejestrowanie się, jeśli aplikacja Authenticator jest obecna w innym profilu niż aplikacja Outlook.
Na karcie Konfigurowanie dla Microsoft Authenticator w aplikacjach towarzyszącychzmień Status na Wyłączony, a następnie wybierz Zapisz.
Jeśli twoja organizacja nadal zarządza metodami uwierzytelniania w zasadach uwierzytelniania wieloskładnikowego dla poszczególnych użytkowników, musisz wyłączyć powiadomienie za pomocą aplikacji mobilnej jako opcję weryfikacji oprócz powyższych kroków. Zalecamy wykonanie tego kroku dopiero po włączeniu Authenticator w zasadzie metod uwierzytelniania.
Możesz nadal zarządzać resztą metod uwierzytelniania w polityce MFA na użytkownika, podczas gdy Authenticator jest zarządzany w nowoczesnej polityce metod uwierzytelniania. Zalecamy jednak migrację zarządzania wszystkimi metodami uwierzytelniania do nowoczesnej polityki metod uwierzytelniania. Możliwość zarządzania metodami uwierzytelniania w polityce MFA dla poszczególnych użytkowników zostanie wycofana 30 września 2025 r.
Włączanie aplikacji Authenticator Lite za pośrednictwem interfejsów API programu Graph
| Właściwość | Type | Opis |
|---|---|---|
excludeTarget |
featureTarget |
Jedna jednostka, która jest wykluczona z tej funkcji. Można wykluczyć tylko jedną grupę z aplikacji Authenticator Lite, która może być grupą dynamiczną lub zagnieżdżoną. |
includeTarget |
featureTarget |
Jedna jednostka, która jest uwzględniona w tej funkcji. Można dodać tylko jedną grupę w aplikacji Authenticator Lite, która może być grupą dynamiczną lub zagnieżdżoną. |
State |
advancedConfigState |
Możliwe wartości: Włączenie jawnie aktywuje funkcję dla wybranej grupy. Wyłączone jawnie wyłącza funkcję dla wybranej grupy. domyślna umożliwia firmie Microsoft Entra ID zarządzanie tym, czy funkcja jest włączona, czy nie dla wybranej grupy. |
Po zidentyfikowaniu pojedynczej grupy docelowej użyj następującego punktu końcowego interfejsu API, aby zmienić właściwość CompanionAppsAllowedState w obszarze featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
W Eksploratorze programu Graph musisz wyrazić zgodę na uprawnienie Policy.ReadWrite.AuthenticationMethod.
Żądanie
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Rejestracja użytkownika
Jeśli użytkownicy mają włączoną funkcję Authenticator Lite, zostanie wyświetlony monit o zarejestrowanie konta bezpośrednio z poziomu mobilnej aplikacji Outlook. Rejestracja aplikacji Authenticator Lite nie jest dostępna przy użyciu Moje logowania. Użytkownicy mogą również włączać lub wyłączać aplikację Authenticator Lite z poziomu aplikacji Outlook Mobile. Aby uzyskać więcej informacji na temat środowiska użytkownika, zobacz Obsługa aplikacji Authenticator Lite.
Jeśli użytkownicy nie mają żadnych zarejestrowanych metod uwierzytelniania wieloskładnikowego, zostanie wyświetlony monit o pobranie aplikacji Authenticator po rozpoczęciu przepływu rejestracji. Aby zapewnić najbardziej bezproblemowe środowisko, należy wyposażyć użytkowników w Tymczasowy Identyfikator Dostępu (TAP) podczas rejestracji w aplikacji Authenticator Lite.
Monitorowanie użycia aplikacji Authenticator Lite
Dzienniki logowania mogą pokazywać, która aplikacja została użyta do ukończenia uwierzytelniania użytkownika. Aby wyświetlić najnowsze logowania, użyj następującego wywołania punktu końcowego interfejsu API w wersji beta:
GET auditLogs/signIns
Jeśli logowanie zostało wykonane przez powiadomienie aplikacji telefonicznej, w obszarze authenticationAppDeviceDetails pole clientApp zwraca wartość microsoftAuthenticator lub Outlook.
Jeśli użytkownik zarejestrował aplikację Authenticator Lite, zarejestrowane metody uwierzytelniania użytkownika obejmują Microsoft Authenticator (w programie Outlook).
Powiadomienia wypychane w aplikacji Authenticator Lite
Powiadomienia wypychane wysyłane przez aplikację Authenticator Lite nie są konfigurowalne i nie zależą od ustawień funkcji Authenticator. Aplikacja Authenticator Lite nie obsługuje trybu uwierzytelniania bez hasła. W poniższej tabeli wymieniono ustawienia funkcji zawartych w środowisku Authenticator Lite. Każde uwierzytelnianie zawiera prompt do dopasowywania liczby i nie uwzględnia kontekstu aplikacji ani lokalizacji, niezależnie od ustawień funkcji Authenticatora.
| Funkcja uwierzytelniająca | Środowisko Authenticator Lite |
|---|---|
| Dopasowywanie liczb | Włączona |
| Kontekst lokalizacji | Disabled |
| Kontekst aplikacji | Disabled |
Poniższe zrzuty ekranu pokazują, co użytkownicy widzą, gdy aplikacja Authenticator Lite wysyła powiadomienie wypychane.
Adapter usług AD FS i rozszerzenie serwera NPS
Aplikacja Authenticator Lite wymusza dopasowywanie numerów w każdym uwierzytelnianiu. Jeśli klient korzysta z adaptera AD FS lub rozszerzenia NPS, użytkownicy mogą nie być w stanie ukończyć powiadomień Authenticator Lite. Aby uzyskać więcej informacji, zobacz Ad FS adapter i rozszerzenie NPS.
Aby dowiedzieć się więcej na temat powiadomień weryfikacyjnych, zobacz Metoda uwierzytelniania microsoft Authenticator.
Często zadawane pytania
W poniższych sekcjach wymieniono typowe pytania.
Czy aplikacja Authenticator Lite działa jako aplikacja brokera?
Nie, Authenticator Lite jest dostępny tylko dla powiadomień push i TOTP.
Czy można używać protokołu Authenticator Lite na potrzeby samoobsługowego resetowania hasła?
Nie, Authenticator Lite jest dostępny tylko dla powiadomień push i TOTP.
Czy aplikacja Authenticator Lite jest dostępna w aplikacji klasycznej Outlook?
Nie, Authenticator Lite jest dostępny tylko w programie Outlook Mobile.
Gdzie użytkownicy mogą zarejestrować się w aplikacji Authenticator Lite?
Użytkownicy mogą rejestrować się tylko w aplikacji Authenticator Lite z poziomu aplikacji Outlook dla urządzeń przenośnych. Rejestracja aplikacji Authenticator Lite jest zarządzana z Moje logowania.
Czy użytkownicy mogą zarejestrować aplikację Authenticator i Authenticator Lite?
Użytkownicy, którzy mają Authenticator na swoim urządzeniu, nie mogą zarejestrować Authenticator Lite na tym samym urządzeniu. Jeśli użytkownik ma rejestrację Authenticator Lite, a następnie pobierze aplikację Authenticator, może zarejestrować oba te elementy. Jeśli użytkownik ma dwa urządzenia, może zarejestrować aplikację Authenticator Lite na jednym i Authenticator na drugim.
Znane problemy
Znane są następujące problemy.
Powiadomienia systemu samoobsługowego resetu hasła
Kody TOTP z programu Outlook działają przy samoobsługowym resetowaniu hasła, ale powiadomienie push nie działa i zwraca błąd.
Dzienniki są wyświetlane z dodanymi ocenami dostępu warunkowego
Zasady dostępu warunkowego są oceniane za każdym razem, gdy użytkownik otworzy aplikację Outlook, aby określić, czy kwalifikuje się do zarejestrowania się w aplikacji Authenticator Lite. Te kontrole mogą pojawiać się w dziennikach.