Partilhar via


Como ativar o Microsoft Authenticator Lite para Outlook mobile

O Microsoft Authenticator Lite é outra superfície para os usuários do Microsoft Entra concluírem a autenticação multifator usando notificações por push ou códigos de acesso únicos baseados no tempo (TOTP) em seus dispositivos Android ou iOS. Com o Authenticator Lite, os usuários podem satisfazer um requisito de autenticação multifator a partir da conveniência de um aplicativo familiar. O Authenticator Lite está atualmente ativado no Outlook mobile.

Os usuários recebem uma notificação no Outlook mobile para aprovar ou negar a entrada ou podem copiar um TOTP para usar durante a entrada.

Nota

Estas são melhorias de segurança importantes para os utilizadores que se autenticam através de transportes de telecomunicações:

  • Em 26 de junho, o valor gerenciado pela Microsoft desse recurso foi alterado de Desabilitado para Habilitado na política de métodos de autenticação. Se você não quiser mais que esse recurso seja habilitado, mova o estado de Padrão para Desativado ou defina o escopo para apenas um grupo de usuários.
  • A partir de 18 de setembro, o Authenticator Lite será ativado como parte da opção *Notificação por meio de verificação de aplicativo móvel na política de MFA por usuário. Se não quiser que esse recurso seja habilitado, você pode desativá-lo na política de métodos de autenticação seguindo as etapas abaixo.

Pré-requisitos

  • Sua organização precisa habilitar as notificações por push do Microsoft Authenticator (segundo fator) para todos os usuários ou grupos selecionados. Recomendamos habilitar o Microsoft Authenticator usando a política de métodos de autenticação moderna. Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph. O Authenticator Lite não é elegível para contas de usuário locais ou organizações com um servidor MFA ativo.

    Gorjeta

    Recomendamos que você também habilite a autenticação multifator (MFA) preferida do sistema ao habilitar o Authenticator Lite. Com o MFA preferencial do sistema habilitado, os usuários tentam entrar com o Authenticator Lite antes de tentar métodos de telefonia menos seguros, como SMS ou chamada de voz.

  • Se sua organização estiver usando o adaptador dos Serviços de Federação do Ative Directory (AD FS) ou as extensões do NPS (Servidor de Diretivas de Rede), atualize para as versões mais recentes para obter uma experiência consistente.

  • Os utilizadores ativados para o modo de dispositivo partilhado no Outlook mobile não são elegíveis para o Authenticator Lite.

  • Os usuários devem executar uma versão móvel mínima do Outlook.

    Sistema operativo Versão do Outlook
    Android 4.2310.1
    iOS 4.2312.1

Ativar o Authenticator Lite

Por padrão, o Authenticator Lite é gerenciado pela Microsoft na política de métodos de autenticação. Em 26 de junho, o valor gerenciado pela Microsoft desse recurso mudou de 'desativado' para 'habilitado'. O Authenticator Lite também está incluído como parte da opção Notificação através da verificação de aplicativos móveis na política de MFA por usuário.

Desativando o Authenticator Lite no centro de administração do Microsoft Entra

Para desativar o Authenticator Lite no centro de administração do Microsoft Entra, conclua as seguintes etapas:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

  2. Navegue até Métodos>de autenticação de proteção>Microsoft Authenticator.

  3. Na guia Habilitar e Destino, clique em Habilitar e Todos os usuários para habilitar a política do Autenticador para todos ou adicionar grupos selecionados. Defina o modo de autenticação para esses usuários/grupos como Qualquer ou Push.

    Os usuários que não estão habilitados para o Microsoft Authenticator não podem ver o recurso. Os usuários que têm o Microsoft Authenticator baixado no mesmo dispositivo em que o Outlook foi baixado não serão solicitados a se registrar para o Authenticator Lite no Outlook. Os usuários do Android que utilizam um perfil pessoal e profissional em seu dispositivo podem ser solicitados a se registrar se o Autenticador estiver presente em um perfil diferente do aplicativo Outlook.

    Configurações do Autenticador do Centro de administração do Microsoft Entra
  4. Na guia Configurar, para Microsoft Authenticator em aplicativos complementares, altere Status para Desabilitado e clique em Salvar.

    Definições de configuração do Authenticator Lite

    Nota

    Se sua organização ainda gerencia métodos de autenticação na política de MFA por usuário, você precisará desabilitar a Notificação por aplicativo móvel como uma opção de verificação, além das etapas anteriores. Recomendamos fazer isso somente depois de habilitar o Microsoft Authenticator na política de métodos de autenticação. Você pode continuar a gerenciar o restante de seus métodos de autenticação na política de MFA por usuário enquanto o Microsoft Authenticator é gerenciado na política de métodos de autenticação moderna. No entanto, recomendamos migrar o gerenciamento de todos os métodos de autenticação para a política de métodos de autenticação moderna. A capacidade de gerenciar métodos de autenticação na política de MFA por usuário será desativada em 30 de setembro de 2025.

Habilite o Authenticator Lite por meio de APIs do Graph

Propriedade Type Description
excludeTarget featureTarget Uma única entidade que é excluída desse recurso.
Você só pode excluir um grupo do Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
incluirTarget featureTarget Uma única entidade incluída neste recurso.
Você só pode incluir um grupo para o Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
Estado advancedConfigState Os valores possíveis são:
ativado habilita explicitamente o recurso para o grupo selecionado.
desativado desativa explicitamente o recurso para o grupo selecionado.
default permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado.

Depois de identificar o único grupo-alvo, use o seguinte ponto de extremidade da API para alterar a propriedade CompanionAppsAllowedState em featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Nota

No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod .

Pedir

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Registo de utilizador

Se habilitado para o Authenticator Lite, os usuários serão solicitados a registrar suas contas diretamente do Outlook mobile. O registro do Authenticator Lite não está disponível usando MySignIns. Os usuários também podem habilitar ou desabilitar o Authenticator Lite no Outlook mobile. Para obter mais informações sobre a experiência do usuário, consulte Suporte do Authenticator Lite.

Captura de tela de como registrar o Authenticator Lite.

Nota

Se eles não tiverem nenhum método MFA registrado, os usuários serão solicitados a baixar o Authenticator quando iniciarem o fluxo de registro. Para obter a experiência mais perfeita, forneça aos usuários um Passe de Acesso Temporário (TAP) que eles podem usar durante o registro do Authenticator Lite.

Monitorando o uso do Authenticator Lite

Os logs de entrada podem mostrar qual aplicativo foi usado para concluir a autenticação do usuário. Para exibir as entradas mais recentes, use a seguinte chamada no ponto de extremidade da API beta:

GET auditLogs/signIns

Se o login foi feito por notificação de aplicativo de telefone, em authenticationAppDeviceDetails o campo clientApp retorna microsoftAuthenticator ou Outlook.

Se um usuário registrou o Authenticator Lite, os métodos de autenticação registrados do usuário incluem o Microsoft Authenticator (no Outlook).

Notificações push no Authenticator Lite

As notificações push enviadas pelo Authenticator Lite não são configuráveis e não dependem das configurações do recurso Authenticator. O Authenticator Lite não suporta o modo de autenticação sem senha. As configurações dos recursos incluídos na experiência do Authenticator Lite estão listadas na tabela a seguir. Cada autenticação inclui um prompt de correspondência de número e não inclui o contexto do aplicativo e do local, independentemente das configurações do recurso Microsoft Authenticator.

Recurso de autenticador Experiência Authenticator Lite
Correspondência numérica Ativado(a)
Contexto da localização Desativado
Contexto da aplicação Desativado

As capturas de tela a seguir mostram o que os usuários veem quando o Authenticator Lite envia uma notificação por push.

Captura de ecrã da notificação push no Outlook mobile.

Adaptador AD FS e extensão NPS

O Authenticator Lite impõe a correspondência de números em todas as autenticações. Se o locatário estiver usando um adaptador AD FS ou uma extensão NPS, os usuários talvez não consigam concluir as notificações do Authenticator Lite. Para obter mais informações, consulte Adaptador AD FS e extensão NPS.

Para saber mais sobre notificações de verificação, consulte Método de autenticação do Microsoft Authenticator.

Perguntas comuns

O Authenticator Lite funciona como um aplicativo corretor?

Não, o Authenticator Lite só está disponível para notificações push e TOTP.

O Authenticator Lite pode ser usado para SSPR?

Não, o Authenticator Lite só está disponível para notificações push e TOTP.

Isso está disponível no aplicativo de área de trabalho do Outlook?

Não, o Authenticator Lite só está disponível no Outlook mobile.

Onde os usuários podem se registrar no Authenticator Lite?

Os usuários só podem se registrar para o Authenticator Lite a partir do Outlook móvel. O registo do Authenticator Lite pode ser gerido a partir de aka.ms/mysignins.

Os usuários podem registrar o Microsoft Authenticator e o Authenticator Lite?

Os usuários que têm o Microsoft Authenticator em seus dispositivos não podem registrar o Authenticator Lite nesse mesmo dispositivo. Se um usuário tiver um registro no Authenticator Lite e, posteriormente, baixar o Microsoft Authenticator, ele poderá registrar ambos. Se um usuário tiver dois dispositivos, ele poderá registrar o Authenticator Lite em um e o Microsoft Authenticator no outro.

Problemas Conhecidos

Notificações SSPR

Os códigos TOTP do Outlook funcionarão para SSPR, mas a notificação por push não funcionará e retornará um erro.

Os logs estão mostrando avaliações adicionais de Acesso Condicional

As políticas de Acesso Condicional são avaliadas sempre que um usuário abre seu aplicativo do Outlook para determinar se o usuário está qualificado para se registrar no Authenticator Lite. Estas verificações podem aparecer nos registos.

Próximos passos

Métodos de autenticação no Microsoft Entra ID