Поделиться через

Включение Authenticator Lite для мобильного Outlook

  • Статья

Authenticator Lite — это другая поверхность для пользователей Microsoft Entra для выполнения многофакторной проверки подлинности (MFA) с помощью push-уведомлений или однократных секретных кодов на устройстве Android или iOS. С помощью Authenticator Lite пользователи могут выполнить требование MFA с удобством знакомого приложения. В настоящее время в Outlook mobile включена функция Authenticator Lite.

Пользователи получают уведомление в приложении Outlook на мобильном устройстве, чтобы одобрить или отклонить попытку входа, или скопировать TOTP для использования при входе в систему.

Примечание.

Используйте следующие важные улучшения безопасности, если вы используете аутентификацию через телекоммуникационные средства передачи.

  • Управляемое корпорацией Майкрософт значение этой функции включено в политике методов проверки подлинности. Если вы не хотите включать эту функцию, измените состояние с По умолчанию на Отключеноили ограничьте его действие только для группы пользователей.
  • Authenticator Lite включён в качестве части опции 'Проверка через мобильное приложение' в политике MFA для каждого пользователя. Если эта функция не включена, ее можно отключить в политике методов проверки подлинности, выполнив действия, описанные в этой статье.

Необходимые компоненты

  • Вашей организации необходимо включить push-уведомления Authenticator (второй фактор) для всех пользователей или выбрать группы. Рекомендуем включить Authenticator, используя политику современных методов аутентификации . Политику методов проверки подлинности можно изменить с помощью Центра администрирования Microsoft Entra или API Microsoft Graph. Lite authenticator не подходит для локальных учетных записей пользователей или организаций с активным сервером MFA.

    Совет

    Рекомендуется также включить предпочитаемую системой MFA при активации Authenticator Lite. Если включена системная MFA, пользователи пытаются войти в систему с помощью Authenticator Lite, прежде чем пытаться использовать менее безопасные методы телефонии, такие как SMS или голосовой звонок.

  • Если ваша организация использует адаптер службы федерации Active Directory (AD FS) (AD FS) или расширения сервера политики сети (NPS), обновите до последних версий для согласованного взаимодействия.

  • Пользователи, включенные в режим общего устройства в Outlook Mobile, не имеют права на использование Authenticator Lite.

  • Пользователи должны запускать минимальную версию Outlook mobile.

    Операционная система Версия Outlook
    Android 4.2310.1
    iOS 4.2312.1

Включение Authenticator Lite

По умолчанию Authenticator Lite управляется корпорацией Майкрософт в политике методов проверки подлинности. 26 июня управляемое корпорацией Майкрософт значение этой функции изменилось с disabled на enabled. Authenticator Lite также включается в состав уведомления с помощью параметра проверки мобильного приложения в политике MFA для каждого пользователя.

Отключение Authenticator Lite в Центре администрирования Microsoft Entra

Чтобы отключить Authenticator Lite в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор политики проверки подлинности.

  2. Перейдите к методам>Microsoft Authenticator.

  3. На вкладке Включить и Целевые параметры выберите Включить и всех пользователей, чтобы включить политику Authenticator для всех пользователей или добавить выбранные группы. Задайте для этих пользователей или групп режим проверки подлинности на Любой или Push.

    Пользователи, которые не включены для Authenticator, не могут видеть эту функцию. Пользователи, у которых на одном устройстве установлены Authenticator и Outlook, не получают запроса на регистрацию для Authenticator Lite в Outlook. Пользователям Android, использующим личный и рабочий профиль на устройстве, может быть предложено зарегистрировать, присутствует ли Authenticator в другом профиле приложения Outlook.

    Параметры Проверки подлинности Центра администрирования Microsoft Entra

  4. На вкладке Настройка для Microsoft Authenticator в вспомогательных приложенияхизмените состояния на Отключены, а затем выберите Сохранить.

    Параметры конфигурации Lite для Authenticator

Если ваша организация по-прежнему управляет методами проверки подлинности в политике MFA для каждого пользователя, необходимо отключить уведомление через мобильное приложение в качестве варианта проверки в дополнение к предыдущим шагам. Мы рекомендуем выполнить этот шаг только после включения Authenticator в политике методов проверки подлинности.

Вы можете продолжать управлять остальными методами проверки подлинности в политике MFA для каждого пользователя, пока Authenticator управляется в современной политике методов проверки подлинности. Однако рекомендуется перенести управление всеми методами проверки подлинности в современную политику методов проверки подлинности. Возможность управления методами проверки подлинности в политике MFA для каждого пользователя выходит из эксплуатации 30 сентября 2025 года.

Включение функции Authenticator Lite с помощью API Graph

Свойство Type Описание
excludeTarget featureTarget Одна сущность, исключенная из этой функции.
Вы можете исключить только одну группу из Lite Authenticator, которая может быть динамической или вложенной группой.
includeTarget featureTarget Одна сущность, включенная в эту функцию.
Вы можете включить только одну группу для Authenticator Lite, которая может быть динамической или вложенной группой.
State advancedConfigState Возможные значения:
включено явно включает функцию для выбранной группы.
Отключение явно деактивирует функцию для выбранной группы.
по умолчанию позволяет идентификатору Microsoft Entra управлять тем, включена ли функция для выбранной группы.

После идентификации одной целевой группы используйте следующую конечную точку API, чтобы изменить свойство CompanionAppsAllowedState в featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

В обозревателе Graph необходимо предоставить согласие на разрешение Policy.ReadWrite.AuthenticationMethod.

Запросить

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Регистрация пользователей

Если пользователи включены для Authenticator Lite, им будет предложено зарегистрировать свою учетную запись непосредственно из Outlook mobile. Регистрация в Authenticator Lite недоступна при использовании Мои входы в систему. Пользователи также могут включать или отключать Authenticator Lite в Outlook Mobile. Дополнительные сведения о пользовательском интерфейсе см. в разделе поддержки Authenticator Lite.

снимок экрана, показывающий, как зарегистрировать Lite Authenticator.

Если у пользователей нет зарегистрированных методов MFA, им будет предложено скачать Authenticator при начале процесса регистрации. Для наиболее беспрепятственного опыта предоставьте пользователям Временный Пропуск Доступа (TAP) во время регистрации в Authenticator Lite.

Мониторинг использования Authenticator Lite

Журналы входа могут показать, какое приложение использовалось для завершения проверки подлинности пользователя. Чтобы просмотреть последние входы, используйте следующий вызов в конечной точке БЕТА-API:

GET auditLogs/signIns

Если вход в систему был выполнен с помощью уведомления приложения на телефоне, в поле clientApp под authenticationAppDeviceDetails возвращается microsoftAuthenticator или Outlook.

Если пользователь зарегистрировал Authenticator Lite, зарегистрированные методы проверки подлинности пользователя включают Microsoft Authenticator (в Outlook).

Push-уведомления в Authenticator Lite

Push-уведомления, отправленные Lite Authenticator, не настраивают и не зависят от параметров функции Authenticator. Authenticator Lite не поддерживает режим проверки подлинности без пароля. В следующей таблице перечислены параметры функций, включенных в интерфейс Lite Authenticator. Каждая аутентификация включает в себя запрос на сопоставление чисел и не включает контекст приложения и расположения, независимо от настроек функций Authenticator.

Функция Authenticator Опыт использования Authenticator Lite
Сопоставление чисел Включен
Контекст расположения Выключено
Контекст приложения Выключено

На следующих снимках экрана показано, что пользователи видят, когда Authenticator Lite отправляет push-уведомление.

снимок экрана с push-уведомлением в Outlook Mobile.

Адаптер AD FS и расширение NPS

Authenticator Lite применяет сопоставление чисел в каждой проверке подлинности. Если ваш арендатор использует адаптер AD FS или расширение NPS, ваши пользователи могут столкнуться с проблемами при завершении уведомлений Authenticator Lite. Дополнительные сведения см. в разделе адаптера AD FS и расширения NPS.

Дополнительные сведения о уведомлениях о проверке см. в статье о методе проверки подлинности Microsoft Authenticator.

Часто задаваемые вопросы

В следующих разделах перечислены распространенные вопросы.

Работает ли Средство Authenticator Lite в качестве приложения брокера?

Нет, Средство Authenticator Lite доступно только для push-уведомлений и TOTP.

Можно ли использовать Lite authenticator для SSPR?

Нет, Средство Authenticator Lite доступно только для push-уведомлений и TOTP.

Доступна ли Функция Authenticator Lite в классическом приложении Outlook?

Нет, Средство Authenticator Lite доступно только на мобильных устройствах Outlook.

Где пользователи могут зарегистрировать для Authenticator Lite?

Пользователи могут зарегистрировать приложение Authenticator Lite только из мобильного Outlook. Регистрация Authenticator Lite управляется из Моих входов.

Могут ли пользователи зарегистрировать Authenticator и Authenticator Lite?

Пользователи, у которых есть Authenticator на своем устройстве, не могут зарегистрировать Lite authenticator на том же устройстве. Если пользователь имеет регистрацию Authenticator Lite, а затем скачивает Authenticator, они могут зарегистрировать оба. Если у пользователя есть два устройства, они могут зарегистрировать Authenticator Lite на одном и Authenticator на другом.

Известные проблемы

Известны следующие проблемы.

Уведомления SSPR

Коды TOTP из Outlook работают для SSPR, но push-уведомление не будет работать и возвращает ошибку.

Журналы отображают добавленные оценки условий доступа

Политики условного доступа оцениваются каждый раз, когда пользователь открывает свое приложение Outlook, чтобы определить, разрешено ли зарегистрировать приложение Authenticator Lite. Эти проверки могут отображаться в журналах.

Связанное содержимое