Habilitar o Authenticator Lite para o Outlook Mobile

O Authenticator Lite é outra plataforma para os usuários do Microsoft Entra concluírem a autenticação multifator (MFA) usando notificações push ou TOTP (senhas de uso único baseadas em tempo) em seu dispositivo Android ou iOS. Com o Authenticator Lite, os usuários podem atender a um requisito de MFA com a conveniência de um aplicativo já conhecido. O Authenticator Lite está atualmente habilitado no Outlook móvel.

Os usuários recebem uma notificação no Outlook Mobile para aprovar ou negar a entrada ou você pode copiar um TOTP para usar durante a entrada.

Observação

Use estes aprimoramentos importantes de segurança ao autenticar por meios de telecomunicações.

• O valor gerenciado pela Microsoft desse recurso está habilitado na política de métodos de autenticação. Se você não quiser habilitar esse recurso, altere o estado de Padrão para Desabilitado, ou restrinja o escopo para apenas um grupo de usuários.
• O Authenticator Lite é habilitado como parte da opção de verificação por Notificação por meio do aplicativo móvel na política de MFA por usuário. Se você não quiser que esse recurso seja habilitado, desabilite-o na política de métodos de autenticação seguindo as etapas deste artigo.

Pré-requisitos

• Sua organização precisa habilitar notificações por push do Authenticator (segundo fator) para todos os usuários ou grupos selecionados. É recomendável habilitar o Authenticator usando a política de métodos de autenticação moderna. Você pode editar a política de Métodos de autenticação no centro de administração do Microsoft Entra ou na API do Microsoft Graph. O Authenticator Lite não é qualificado para contas de usuário ou organizações locais com um servidor MFA ativo.

  Dica

  Recomendamos que você também habilite a MFA preferencial do sistema quando habilitar o Authenticator Lite. Com a MFA preferencial do sistema habilitada, os usuários tentam entrar com o Authenticator Lite antes de tentar métodos de telefonia menos seguros, como SMS ou chamada de voz.

• Se sua organização estiver usando o adaptador de Serviços de Federação do Active Directory (AD FS) ou extensões do Servidor de Políticas de Rede (NPS), atualize para as versões mais recentes para uma experiência consistente.

• Os usuários habilitados para o modo de dispositivo compartilhado no Outlook móvel não são elegíveis para o Authenticator Lite.

• Os usuários devem executar uma versão mínima do Outlook móvel.

  Sistema operacional	Versão do Outlook
  Android	4.2310.1
  iOS	4.2312.1

Habilitar o Authenticator Lite

Por padrão, o Authenticator Lite é gerenciado pela Microsoft na política de métodos de autenticação. Em 26 de junho, o valor gerenciado pela Microsoft desse recurso mudou de disabled para enabled. O Authenticator Lite também está incluído como parte da opção de verificação Notificação por meio do aplicativo móvel na política de MFA por usuário.

Desabilitar o Authenticator Lite no Centro de administração do Microsoft Entra

Para desabilitar o Authenticator Lite no Centro de administração do Microsoft Entra, siga estas etapas:

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.

2. Navegue até Proteção>Métodos de autenticação>Microsoft Authenticator.

3. Na guia Habilitar e Direcionar, selecione Habilitar e Todos os usuários para habilitar a política do Authenticator para todos ou adicione grupos selecionados. Defina o modo de Autenticação para esses usuários ou grupos para Qualquer ou Push.

   Os usuários que não estão habilitados para o Authenticator não podem ver o recurso. Os usuários que baixaram o Authenticator no mesmo dispositivo no qual o Outlook é baixado não são solicitados a se registrar no Authenticator Lite no Outlook. Os usuários do Android que usam um perfil pessoal e de trabalho em seu dispositivo podem ser solicitados a se registrar se o Authenticator estiver presente em um perfil diferente do aplicativo Outlook.

   

4. Na guia Configurar, para Microsoft Authenticator em aplicativos complementares, altere o Status para Desabilitadoe selecione Salvar.

   

Se sua organização ainda gerencia métodos de autenticação na política de MFA por usuário, é necessário desabilitar a Notificação por meio do aplicativo móvel como uma opção de verificação, além das etapas acima. Recomendamos que você faça essa etapa somente depois de habilitar o Authenticator na política de métodos de autenticação.

Você pode continuar a gerenciar o restante de seus métodos de autenticação na política de MFA por usuário enquanto o Authenticator é gerenciado na política moderna de métodos de autenticação. No entanto, recomendamos migrar o gerenciamento de todos os métodos de autenticação para a política moderna de métodos de autenticação. A capacidade de gerenciar métodos de autenticação na política de MFA por usuário é desativada em 30 de setembro de 2025.

Habilitar o Authenticator Lite por meio de APIs do Graph

Propriedade	Type	Descrição
excludeTarget	featureTarget	Uma única entidade excluída desse recurso. Você pode excluir apenas um grupo do Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
includeTarget	featureTarget	Uma única entidade incluída nesse recurso. Você pode incluir apenas um grupo para o Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
State	advancedConfigState	Valores possíveis: Habilitado habilita explicitamente o recurso para o grupo selecionado. Desabilitado desabilita explicitamente o recurso para o grupo selecionado. Padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado.

Após identificar o único grupo de destino, use o ponto de extremidade de API a seguir para alterar a propriedade CompanionAppsAllowedState em featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.

Solicitação

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Registro de usuário

Se os usuários estiverem habilitados para o Authenticator Lite, eles serão solicitados a registrar sua conta diretamente do Outlook mobile. O registro do Authenticator Lite não está disponível com o uso de Minhas Entradas. Os usuários também podem habilitar ou desabilitar o Authenticator Lite dentro do Outlook Mobile. Para obter mais informações sobre a experiência do usuário, consulte o Suporte do Authenticator Lite.

Se os usuários não tiverem nenhum método MFA registrado, eles serão solicitados a baixar o Authenticator quando iniciarem o fluxo de registro. Para obter a experiência mais contínua, provisione aos usuários uma Senha de Acesso Temporária (TAP) durante o registro do Authenticator Lite.

Monitorar o uso do Authenticator Lite

Os Logs de credenciais podem mostrar qual aplicativo foi usado para concluir a autenticação do usuário. Para exibir as últimas entradas, use a seguinte chamada no ponto de extremidade da API beta:

GET auditLogs/signIns

Se o login tiver sido feito por notificação de aplicativo por telefone, em authenticationAppDeviceDetails o campo clientApp retornará microsoftAuthenticator ou Outlook.

Se um usuário tiver registrado o Authenticator Lite, os métodos de autenticação registrados do usuário incluem Microsoft Authenticator (no Outlook).

Notificações por push do Authenticator Lite

As notificações por push enviadas pelo Authenticator Lite não são configuráveis e não dependem das configurações da funcionalidade do Authenticator. O Authenticator Lite não dá suporte ao modo de autenticação sem senha. A tabela a seguir lista as configurações dos recursos incluídos na experiência do Authenticator Lite. Cada autenticação inclui um aviso de verificação de números e não apresenta o contexto do aplicativo e do local, independentemente das configurações do aplicativo Authenticator.

Recurso do Authenticator	Experiência do Authenticator Lite
Correspondência numérica	habilitado
Contexto de localização	Desabilitado
Contexto do aplicativo	Desabilitado

As seguintes capturas de tela mostram o que os usuários veem quando o Authenticator Lite envia uma notificação por push.

Adaptador AD FS e extensão NPS

O Authenticator Lite impõe a correspondência de números em cada autenticação. Se o locatário estiver usando um adaptador do AD FS ou uma extensão NPS, talvez os usuários não consigam concluir as notificações do Authenticator Lite. Para obter mais informações, consulte Adaptador AD FS e Extensão NPS.

Para saber mais sobre as notificações de verificação, consulte o Método de autenticação do Microsoft Authenticator.

Perguntas comuns

As seções a seguir listam perguntas comuns.

O Authenticator Lite funciona como um aplicativo de agente?

Não, o Authenticator Lite está disponível apenas para notificações por push e TOTP.

O Authenticator Lite pode ser usado para SSPR?

Não, o Authenticator Lite está disponível apenas para notificações por push e TOTP.

O Authenticator Lite está disponível no aplicativo da área de trabalho do Outlook?

Não, o Authenticator Lite está disponível apenas no Outlook mobile.

Onde os usuários podem se registrar para o Authenticator Lite?

Os usuários podem se registrar no Authenticator Lite somente no Outlook móvel. O registro do Authenticator Lite é gerenciado em Minhas Entradas.

Os usuários podem registrar o Authenticator e o Authenticator Lite?

Os usuários que têm o Authenticator em seu dispositivo não podem registrar o Authenticator Lite nesse mesmo dispositivo. Se um usuário tiver um registro do Authenticator Lite e, posteriormente, baixar o Authenticator, ele poderá registrar ambos. Se um usuário tiver dois dispositivos, ele poderá registrar o Authenticator Lite em um e o Authenticator no outro.

Problemas conhecidos

Os problemas a seguir são conhecidos.

Notificações de SSPR

Os códigos TOTP do Outlook funcionam para SSPR, mas a notificação por push não funcionará e retornará um erro.

Os logs estão mostrando as avaliações de Acesso Condicional adicionadas

As políticas de Acesso Condicional são avaliadas sempre que um usuário abre seu aplicativo do Outlook para determinar se ele está qualificado para se registrar no Authenticator Lite. Essas verificações podem aparecer em logs.

Conteúdo relacionado

• Métodos de autenticação no Microsoft Entra ID