Ativar o Authenticator Lite para Outlook mobile

O Authenticator Lite é outra superfície para os usuários do Microsoft Entra concluírem a autenticação multifator (MFA) usando notificações por push ou códigos de acesso únicos baseados no tempo (TOTP) em seu dispositivo Android ou iOS. Com o Authenticator Lite, os usuários podem satisfazer um requisito de MFA a partir da conveniência de um aplicativo familiar. O Authenticator Lite está atualmente ativado no Outlook mobile.

Os usuários recebem uma notificação no Outlook mobile para aprovar ou negar o login, ou você pode copiar um TOTP para usar durante o login.

Nota

Utilize estes importantes aprimoramentos de segurança se estiver autenticando por meio de métodos de telecomunicações.

• O valor gerenciado pela Microsoft desse recurso está habilitado na política de métodos de autenticação. Se não quiser ativar esta funcionalidade, altere o estado de Padrão para Desativado, ou restrinja-o apenas a um grupo de utilizadores.
• O Authenticator Lite está ativado como parte da opção Notificação através da verificação de aplicações móveis na política de MFA por utilizador. Se não quiser que esse recurso seja habilitado, você pode desativá-lo na política de métodos de autenticação seguindo as etapas neste artigo.

Pré-requisitos

• Sua organização precisa habilitar as notificações por push do Autenticador (segundo fator) para todos os usuários ou grupos selecionados. Recomendamos que você habilite o Autenticador usando a moderna política de métodos de autenticação . Você pode editar a política de métodos de autenticação usando o centro de administração do Microsoft Entra ou a API do Microsoft Graph. O Authenticator Lite não é elegível para contas de usuário locais ou organizações com um servidor MFA ativo.

  Gorjeta

  Recomendamos que você também habilite MFA preferencial do sistema ao habilitar o Authenticator Lite. Com o MFA preferencial do sistema habilitado, os usuários tentam entrar com o Authenticator Lite antes de tentar métodos de telefonia menos seguros, como SMS ou chamada de voz.

• Se sua organização estiver usando o adaptador dos Serviços de Federação do Ative Directory (AD FS) ou as extensões do NPS (Servidor de Diretivas de Rede), atualize para as versões mais recentes para obter uma experiência consistente.

• Os utilizadores ativados para o modo de dispositivo partilhado no Outlook mobile não são elegíveis para o Authenticator Lite.

• Os usuários devem executar uma versão móvel mínima do Outlook.

  Sistema operativo	Versão do Outlook
  Android	4.2310.1
  iOS	4.2312.1

Ativar o Authenticator Lite

Por padrão, o Authenticator Lite é gerenciado pela Microsoft na política de métodos de autenticação. Em 26 de junho, o valor gerenciado pela Microsoft desse recurso mudou de disabled para enabled. O Authenticator Lite também está incluído como parte da opção Notificação através da verificação de aplicativos móveis na política de MFA por usuário.

Desativar o Authenticator Lite no centro de administração do Microsoft Entra

Para desativar o Authenticator Lite no centro de administração do Microsoft Entra, siga estas etapas:

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.

2. Navegue até Métodos>Microsoft Authenticator.

3. Na guia Habilitar e Destino, selecione Habilitar e Todos os usuários para habilitar a política do Autenticador para todos, ou selecionar grupos específicos. Defina o modo de Autenticação para esses usuários ou grupos como Qualquer ou Push.

   Os usuários que não estão habilitados para o Authenticator não podem ver o recurso. Os usuários que têm o Authenticator baixado no mesmo dispositivo no qual o Outlook é baixado não são solicitados a se registrar para o Authenticator Lite no Outlook. Os usuários do Android que usam um perfil pessoal e profissional em seus dispositivos podem ser solicitados a se registrar se o Autenticador estiver presente em um perfil diferente do aplicativo Outlook.

   

4. Na guia Configurar, para Microsoft Authenticator em aplicações complementares, altere Status para Desativadoe selecione Guardar.

   

Se sua organização ainda gerencia métodos de autenticação na política de MFA por usuário, você precisará desabilitar a Notificação por aplicativo móvel como uma opção de verificação, além das etapas anteriores. Recomendamos que você faça essa etapa somente depois de habilitar o Autenticador na política de métodos de autenticação.

Você pode continuar a gerenciar o restante de seus métodos de autenticação na política de MFA por usuário enquanto o Autenticador é gerenciado na política de métodos de autenticação moderna. No entanto, recomendamos que você migrar gerenciamento de todos os métodos de autenticação para a política de métodos de autenticação moderna. A capacidade de gerenciar métodos de autenticação na política de MFA por usuário é desativada em 30 de setembro de 2025.

Habilite o Authenticator Lite por meio de APIs do Graph

Propriedade	Type	Description
excludeTarget	featureTarget	Uma única entidade excluída desse recurso. Você pode excluir apenas um grupo do Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
includeTarget	featureTarget	Uma única entidade incluída neste recurso. Você pode incluir apenas um grupo para o Authenticator Lite, que pode ser um grupo dinâmico ou aninhado.
State	advancedConfigState	Valores possíveis: Ativado habilita explicitamente o recurso para o grupo selecionado. Desativado desativa explicitamente o recurso para o grupo selecionado. Padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado.

Depois de identificar o grupo-alvo específico, use o seguinte endpoint da API para alterar a propriedade CompanionAppsAllowedState em featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

No Graph Explorer, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.

Pedir

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Registo de utilizador

Se os usuários estiverem habilitados para o Authenticator Lite, eles serão solicitados a registrar sua conta diretamente do Outlook mobile. O registro do Authenticator Lite não está disponível usando Meus Logins. Os usuários também podem habilitar ou desabilitar o Authenticator Lite no Outlook mobile. Para obter mais informações sobre a experiência do usuário, consulte Suporte do Authenticator Lite.

Se os usuários não tiverem nenhum método MFA registrado, eles serão solicitados a baixar o Authenticator quando iniciarem o fluxo de registro. Para proporcionar a melhor experiência possível, forneça aos utilizadores um Passe de Acesso Temporário (TAP) durante o registo do Authenticator Lite.

Monitorar o uso do Authenticator Lite

Os logs de entrada podem mostrar qual aplicativo foi usado para concluir a autenticação do usuário. Para exibir as entradas mais recentes, use a seguinte chamada no ponto de extremidade da API beta:

GET auditLogs/signIns

Se o início de sessão tiver sido efetuado através da notificação da aplicação de telemóvel, o campo clientApp em authenticationAppDeviceDetails retorna microsoftAuthenticator ou Outlook.

Se um usuário tiver registrado o Authenticator Lite, os métodos de autenticação registrados do usuário incluirão Microsoft Authenticator (no Outlook).

Notificações push no Authenticator Lite

As notificações push enviadas pelo Authenticator Lite não são configuráveis e não dependem das configurações do recurso Authenticator. O Authenticator Lite não suporta o modo de autenticação sem senha. A tabela a seguir lista as configurações dos recursos incluídos na experiência do Authenticator Lite. Cada autenticação inclui uma solicitação de correspondência de número e não inclui informações sobre aplicativo e localização, independentemente das configurações do recurso do Autenticador.

Função de autenticador	Experiência do Authenticator Lite
Correspondência numérica	Ativado(a)
Contexto da localização	Desativado
Contexto da aplicação	Desativado

As capturas de tela a seguir mostram o que os usuários veem quando o Authenticator Lite envia uma notificação por push.

Adaptador AD FS e extensão NPS

O Authenticator Lite impõe a correspondência de números em todas as autenticações. Se o locatário estiver usando um adaptador AD FS ou uma extensão NPS, os usuários talvez não consigam concluir as notificações do Authenticator Lite. Para obter mais informações, consulte Adaptador AD FS e extensão NPS.

Para saber mais sobre notificações de verificação, consulte Método de autenticação do Microsoft Authenticator.

Perguntas comuns

As seções a seguir listam perguntas comuns.

O Authenticator Lite funciona como um aplicativo corretor?

Não, o Authenticator Lite está disponível apenas para notificações push e TOTP.

O Authenticator Lite pode ser usado para SSPR?

Não, o Authenticator Lite está disponível apenas para notificações push e TOTP.

O Authenticator Lite está disponível na aplicação de ambiente de trabalho Outlook?

Não, o Authenticator Lite está disponível apenas no Outlook mobile.

Onde os usuários podem se registrar no Authenticator Lite?

Os usuários podem se registrar para o Authenticator Lite somente a partir do Outlook móvel. O registo do Authenticator Lite é gerido a partir do My Sign-Ins.

Os usuários podem registrar o Authenticator e o Authenticator Lite?

Os usuários que têm o Authenticator em seus dispositivos não podem registrar o Authenticator Lite nesse mesmo dispositivo. Se um usuário tiver um registro no Authenticator Lite e, posteriormente, baixar o Authenticator, ele poderá registrar ambos. Se um usuário tiver dois dispositivos, ele pode registrar o Authenticator Lite em um e o Authenticator no outro.

Problemas conhecidos

Os seguintes problemas são conhecidos.

Notificações SSPR

Os códigos TOTP do Outlook funcionam para SSPR, mas a notificação por push não funciona e retorna um erro.

Os logs estão mostrando avaliações de Acesso Condicional adicionadas

As políticas de Acesso Condicional são avaliadas sempre que um utilizador abre a sua aplicação Outlook para determinar se está elegível para se registar no Authenticator Lite. Essas verificações podem aparecer em logs.

Conteúdo relacionado

• Métodos de autenticação no Microsoft Entra ID