Aktivera Authenticator Lite för Outlook Mobile
Authenticator Lite är en annan yta för Microsoft Entra-användare att slutföra multifaktorautentisering (MFA) med hjälp av push-meddelanden eller tidsbaserade engångslösenord (TOTP) på din Android- eller iOS-enhet. Med Authenticator Lite kan användarna uppfylla ett MFA-krav från bekvämligheten med en välbekant app. Authenticator Lite är för närvarande aktiverat i Outlook Mobile.
Användare får ett meddelande i Outlook Mobile om att godkänna eller neka inloggning, eller så kan du kopiera en TOTP som ska användas under inloggningen.
Kommentar
Använd dessa viktiga säkerhetsförbättringar om du autentiserar dig via telekom:
- Det Microsoft-hanterade värdet för den här funktionen är aktiverat i autentiseringsmetoder-policyn. Om du inte vill aktivera den här funktionen flyttar du tillståndet från Standard till Inaktiveradeller omfångsanpassar den till endast en grupp användare.
- Authenticator Lite är aktiverat som en del av alternativet Avisering via mobilappverifiering i MFA-principen per användare. Om du inte vill att den här funktionen ska vara aktiverad kan du inaktivera den i principen Autentiseringsmetoder genom att följa stegen i den här artikeln.
Förutsättningar
Din organisation måste aktivera push-meddelanden för Authenticator (andra faktorn) för alla användare eller välja grupper. Vi rekommenderar att du aktiverar Authenticator med hjälp av principen för moderna -autentiseringsmetoder. Du kan redigera principen Autentiseringsmetoder med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API. Authenticator Lite är inte berättigat till lokala användarkonton eller organisationer med en aktiv MFA-server.
Dricks
Vi rekommenderar att du även aktiverar systemprefererade MFA- när du sätter på Authenticator Lite. Med system föredragen MFA aktiverad försöker användarna logga in med Authenticator Lite innan de provar mindre säkra telefonimetoder som SMS eller röstsamtal.
Om din organisation använder tilläggen Active Directory Federation Services (AD FS) (AD FS) eller NPS (Network Policy Server) uppgraderar du till de senaste versionerna för en konsekvent upplevelse.
Användare som är aktiverade för delat enhetsläge på Outlook Mobile är inte berättigade till Authenticator Lite.
Användarna måste köra en lägsta outlook-mobilversion.
Operativsystem Outlook-version Android 4.2310.1 iOS 4.2312.1
Aktivera Authenticator Lite
Authenticator Lite hanteras som standard av Microsoft i principen för autentiseringsmetoder. Den 26 juni ändrades det Microsoft-hanterade värdet för den här funktionen från disabled till enabled. Authenticator Lite ingår också som en del av alternativet Avisering via mobilappverifiering i MFA-principen per användare.
Inaktivera Authenticator Lite i administrationscentret för Microsoft Entra
Så här inaktiverar du Authenticator Lite i administrationscentret för Microsoft Entra:
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Skydd>autentiseringsmetoder>Microsoft Authenticator.
På fliken Aktivera och Mål väljer du Aktivera och Alla användare för att aktivera autentiseringspolicyn för alla, eller lägg till valda grupper. Ange autentiseringsläget för dessa användare eller grupper till Valfri eller Push-.
Användare som inte är aktiverade för Authenticator kan inte se funktionen. Användare som har Authenticator nedladdat på samma enhet där Outlook laddas ned uppmanas inte att registrera sig för Authenticator Lite i Outlook. Android-användare som använder en personlig profil och arbetsprofil på sin enhet kan uppmanas att registrera sig om Authenticator finns i en annan profil än Outlook-programmet.
På fliken Konfigurera för Microsoft Authenticator i tillhörande programändrar du Status till Inaktiveradoch väljer sedan Spara.
Om din organisation fortfarande hanterar autentiseringsmetoder i MFA-principen per användare måste du inaktivera Meddelande via mobilapp som ett verifieringsalternativ där utöver föregående steg. Vi rekommenderar att du gör det här steget först när du har aktiverat Authenticator i principen Autentiseringsmetoder.
Du kan fortsätta att hantera resten av dina autentiseringsmetoder i MFA-principen per användare medan Authenticator hanteras i principen för moderna autentiseringsmetoder. Vi rekommenderar dock att du migrerar hanteringen av alla autentiseringsmetoder till policyn för hantering av moderna autentiseringsmetoder. Möjligheten att hantera autentiseringsmetoder i MFA-principen per användare dras tillbaka den 30 september 2025.
Aktivera Authenticator Lite via Graph-API:er
| Property | Type | Beskrivning |
|---|---|---|
excludeTarget |
featureTarget |
En enda entitet som undantas från den här funktionen. Du kan bara exkludera en grupp från Authenticator Lite, som kan vara en dynamisk eller kapslad grupp. |
includeTarget |
featureTarget |
En enda entitet som ingår i den här funktionen. Du kan bara inkludera en grupp för Authenticator Lite, som kan vara en dynamisk eller kapslad grupp. |
State |
advancedConfigState |
Möjliga värden: Aktiverad aktiverar uttryckligen funktionen för den valda gruppen. Inaktiverad inaktiverar uttryckligen funktionen för den valda gruppen. Standard gör att Microsoft Entra-ID kan hantera om funktionen är aktiverad eller inte för den valda gruppen. |
När du har identifierat den enskilda målgruppen använder du följande API-slutpunkt för att ändra egenskapen CompanionAppsAllowedState under featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
I Graph Explorer måste du godkänna Policy.ReadWrite.AuthenticationMethod behörighet.
Förfrågan
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Användarregistrering
Om användare är aktiverade för Authenticator Lite uppmanas de att registrera ditt konto direkt från Outlook Mobile. Authenticator Lite-registrering är inte tillgängligt med hjälp av Mina inloggningar. Användare kan också aktivera eller inaktivera Authenticator Lite inifrån Outlook Mobile. Mer information om användarupplevelsen finns i Support för Authenticator Lite.
Om användarna inte har några MFA-metoder registrerade uppmanas de att ladda ned Authenticator när de påbörjar registreringsflödet. För den mest sömlösa upplevelsen, ge användare ett tillfälligt åtkomstpass (TAP) under Authenticator-Lite-registreringen.
Övervaka användning av Authenticator Lite
Inloggningsloggar kan visa vilken app som användes för att slutföra användarautentiseringen. Om du vill visa de senaste inloggningarna använder du följande anrop på beta-API-slutpunkten:
GET auditLogs/signIns
Om inloggningen gjordes via ett meddelande från telefonappen authenticationAppDeviceDetails fältet clientApp returnerar microsoftAuthenticator eller Outlook-.
Om en användare har registrerat Authenticator Lite inkluderar användarens registrerade autentiseringsmetoder Microsoft Authenticator (i Outlook).
Push-meddelanden i Authenticator Lite
Push-meddelanden som skickas av Authenticator Lite kan inte konfigureras och är inte beroende av funktionsinställningarna för Authenticator. Authenticator Lite stöder inte lösenordslöst autentiseringsläge. I följande tabell visas inställningarna för funktioner som ingår i Authenticator Lite-upplevelsen. Varje autentisering innehåller en nummermatchningsprompt och innehåller inte app- och platskontext, oavsett funktionsinställningar för Authenticator.
| Autentiseringsfunktion | Authenticator Lite-upplevelse |
|---|---|
| Nummermatchning | Aktiverat |
| Platskontext | Inaktiverad |
| Programkontext | Inaktiverad |
Följande skärmbilder visar vad användarna ser när Authenticator Lite skickar ett push-meddelande.
AD FS-adapter och NPS-tillägg
Authenticator Lite framtvingar nummermatchning i varje autentisering. Om din klientorganisation använder ett AD FS-kort eller ett NPS-tillägg kanske användarna inte kan slutföra Authenticator Lite-meddelanden. Mer information finns i AD FS-adapter och NPS-tillägg.
Mer information om verifieringsmeddelanden finns i Microsoft Authenticator-autentiseringsmetod.
Vanliga frågor
Följande avsnitt innehåller vanliga frågor.
Fungerar Authenticator Lite som en asynkron app?
Nej, Authenticator Lite är endast tillgängligt för push-meddelanden och TOTP.
Kan Authenticator Lite användas för SSPR?
Nej, Authenticator Lite är endast tillgängligt för push-meddelanden och TOTP.
Är Authenticator Lite tillgängligt i Outlook-skrivbordsappen?
Nej, Authenticator Lite är endast tillgängligt på Outlook Mobile.
Var kan användare registrera sig för Authenticator Lite?
Användare kan endast registrera sig för Authenticator Lite från mobila Outlook. Authenticator Lite-registrering hanteras från Mina inloggningar.
Kan användare registrera Authenticator och Authenticator Lite?
Användare som har Authenticator på sin enhet kan inte registrera Authenticator Lite på samma enhet. Om en användare har en Authenticator Lite-registrering och senare laddar ned Authenticator kan de registrera båda. Om en användare har två enheter kan de registrera Authenticator Lite på den ena och Authenticator på den andra.
Kända problem
Följande problem är kända.
SSPR-meddelanden
TOTP-koder från Outlook fungerar för SSPR, men push-meddelandet fungerar inte och returnerar ett fel.
Loggar visar tillagda utvärderingar av villkorsstyrd åtkomst
Principerna för villkorsstyrd åtkomst utvärderas varje gång en användare öppnar sin Outlook-app för att avgöra om de är berättigade att registrera sig för Authenticator Lite. Dessa kontroller kan visas i loggar.