Sdílet prostřednictvím

Jak povolit Microsoft Authenticator Lite pro mobilní aplikace Outlook

  • Článek

Microsoft Authenticator Lite je další možností, jak uživatelé Microsoft Entra dokončit vícefaktorové ověřování pomocí nabízených oznámení nebo jednorázových hesel (TOTP) na zařízení s Androidem nebo iOSem. S authenticator Lite můžou uživatelé splnit požadavek na vícefaktorové ověřování z pohodlí známé aplikace. Authenticator Lite je aktuálně povolený v Outlooku Mobile.

Uživatelům se v Outlooku Mobile zobrazí oznámení o schválení nebo zamítnutí přihlášení, nebo si můžou zkopírovat HESLO, které se má použít při přihlašování.

Poznámka:

Toto jsou důležitá vylepšení zabezpečení pro uživatele, kteří se ověřují prostřednictvím telekomunikačních přenosů:

  • Dne 26. června se hodnota spravované microsoftem této funkce změnila ze zakázáno na Povoleno v zásadách metod ověřování. Pokud už nechcete, aby byla tato funkce povolená, přesuňte stav z Výchozí na Zakázáno nebo ho využívejte jenom skupině uživatelů.
  • Od 18. září se v zásadách vícefaktorového ověřování pro jednotlivé uživatele povolí ověřovací možnost Authenticator Lite jako součást *Oznámení prostřednictvím ověření mobilní aplikace . Pokud tuto funkci nechcete povolit, můžete ji zakázat v zásadách metod ověřování pomocí následujícího postupu.

Požadavky

  • Vaše organizace musí povolit nabízená oznámení Microsoft Authenticatoru (druhý faktor) pro všechny uživatele nebo vybrat skupiny. Doporučujeme povolit Microsoft Authenticator pomocí moderních zásad ověřování. Zásady metod ověřování můžete upravit pomocí Centra pro správu Microsoft Entra nebo rozhraní Microsoft Graph API. Organizace s aktivním serverem MFA nemají na tuto funkci nárok.

    Tip

    Pokud povolíte Authenticator Lite, doporučujeme povolit také vícefaktorové ověřování (MFA) upřednostňované systémem. S povoleným vícefaktorovým ověřováním se uživatelé pokusí přihlásit pomocí authenticatoru Lite, než vyzkouší méně bezpečné metody telefonie, jako je SMS nebo hlasový hovor.

  • Pokud vaše organizace používá adaptér Active Directory Federation Services (AD FS) (AD FS) nebo rozšíření NPS (Network Policy Server), upgradujte na nejnovější verze pro konzistentní prostředí.

  • Uživatelé s povoleným režimem sdíleného zařízení v Outlooku Mobile nemají nárok na Authenticator Lite.

  • Uživatelé musí používat minimálně mobilní verzi Outlooku.

    Operační systém Verze Outlooku
    Android 4.2310.1
    iOS 4.2312.1

Povolení authenticatoru Lite

Ve výchozím nastavení je Authenticator Lite spravovaný Microsoft v zásadách metod ověřování. 26. června se hodnota spravované microsoftem této funkce změnila z zakázané na povolenou. Authenticator Lite je také součástí oznámení prostřednictvím možnosti ověření mobilní aplikace v zásadách vícefaktorového ověřování pro jednotlivé uživatele.

Zakázání Authenticator Lite v Centru pro správu Microsoft Entra

Pokud chcete v Centru pro správu Microsoft Entra zakázat Authenticator Lite, proveďte následující kroky:

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň zásady ověřování Správa istrator.

  2. Přejděte k metodám>ověřování ochrany>microsoft Authenticator.

  3. Na kartě Povolit a Cíl klikněte na Povolit a Všichni uživatelé a povolte zásady Authenticatoru pro všechny nebo přidejte vybrané skupiny. Nastavte režim ověřování pro tyto uživatele nebo skupiny na libovolnou nebo nabízenou.

    Uživatelé, kteří nejsou pro Microsoft Authenticator povoleni, tuto funkci nevidí. Uživatelé, kteří mají aplikaci Microsoft Authenticator staženou na stejném zařízení, na které je aplikace Outlook stažena, nebudou vyzváni k registraci pro Authenticator Lite v Outlooku. Uživatelům Androidu, kteří na svém zařízení používají osobní a pracovní profil, se může zobrazit výzva k registraci, pokud je aplikace Outlook k dispozici v jiném profilu než v aplikaci Outlook.

    Microsoft Entra admin center Authenticator settings

  4. Na kartě Konfigurovat v aplikaci Microsoft Authenticator v doprovodných aplikacích změňte stav na Zakázáno a klikněte na Uložit.

    Authenticator Lite configuration settings

    Poznámka:

    Pokud vaše organizace stále spravuje metody ověřování v zásadách vícefaktorového ověřování pro jednotlivé uživatele, musíte kromě předchozích kroků zakázat oznámení prostřednictvím mobilní aplikace jako možnost ověření. Doporučujeme to provést až po povolení aplikace Microsoft Authenticator v zásadách metod ověřování. Zbývající metody ověřování můžete spravovat v zásadách vícefaktorového ověřování pro jednotlivé uživatele, zatímco Microsoft Authenticator se spravuje v moderních zásadách metod ověřování. Doporučujeme ale migrovat správu všech metod ověřování na moderní zásady ověřování. Možnost spravovat metody ověřování v zásadách vícefaktorového ověřování pro jednotlivé uživatele bude vyřazena 30. září 2025.

Povolení authenticatoru Lite prostřednictvím rozhraní Graph API

Vlastnost Type Popis
excludeTarget featureTarget Jedna entita, která je vyloučena z této funkce.
Z authenticatoru Lite můžete vyloučit jenom jednu skupinu, což může být dynamická nebo vnořená skupina.
includeTarget featureTarget Jedna entita, která je součástí této funkce.
Pro Authenticator Lite můžete zahrnout jenom jednu skupinu, což může být dynamická nebo vnořená skupina.
State advancedConfigState Možné hodnoty jsou:
Povoleno explicitně povolí funkci pro vybranou skupinu.
zakázáno explicitně zakáže funkci pro vybranou skupinu.
Ve výchozím nastavení umožňuje ID Microsoft Entra spravovat, jestli je funkce povolená nebo ne pro vybranou skupinu.

Jakmile identifikujete jednu cílovou skupinu, pomocí následujícího koncového bodu rozhraní API změňte vlastnost CompanionAppsAllowedState v rámci funkce Nastavení.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Poznámka:

V Graph Exploreru potřebujete souhlas s oprávněním Policy.ReadWrite.AuthenticationMethod .

Požádat

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Registrace uživatele

Pokud je pro Authenticator Lite povolená, zobrazí se uživatelům výzva, aby si zaregistrovali svůj účet přímo z Outlooku Mobile. Registrace Authenticator Lite není dostupná pomocí mySignIns. Uživatelé můžou také povolit nebo zakázat Authenticator Lite z mobilní aplikace Outlook. Další informace o uživatelském prostředí najdete v tématu Podpora Authenticator Lite.

Screenshot of how to register Authenticator Lite.

Poznámka:

Pokud nemají zaregistrované žádné metody vícefaktorového ověřování, zobrazí se uživatelům výzva ke stažení authenticatoru při zahájení registračního toku. V případě nejprosadnějšího prostředí zřiďte uživatele pomocí dočasného přístupového passu (TAP), který můžou používat při registraci authenticatoru Lite.

Monitorování využití Authenticator Lite

Protokoly přihlašování můžou ukázat, která aplikace byla použita k dokončení ověřování uživatelů. Pokud chcete zobrazit nejnovější přihlášení, použijte následující volání koncového bodu beta rozhraní API:

GET auditLogs/signIns

Pokud bylo přihlášení provedeno oznámením telefonní aplikace, v části authenticationAppDeviceDetails pole clientApp vrátí microsoftAuthenticator nebo Outlook.

Pokud uživatel zaregistroval Authenticator Lite, registrované metody ověřování uživatele zahrnují Microsoft Authenticator (v Outlooku).

Nabízená oznámení v Authenticator Lite

Nabízená oznámení odesílaná službou Authenticator Lite nejsou konfigurovatelná a nezávisí na nastavení funkce Authenticator. Authenticator Lite nepodporuje režim ověřování bez hesla. Nastavení funkcí zahrnutých v prostředí Authenticator Lite jsou uvedená v následující tabulce. Každé ověřování zahrnuje výzvu odpovídající číslu a neobsahuje kontext aplikace a umístění bez ohledu na nastavení funkcí Microsoft Authenticatoru.

Funkce authenticatoru Prostředí Authenticator Lite
Porovnávání čísel Povoleno
Kontext umístění Disabled
Kontext aplikace Disabled

Následující snímky obrazovky ukazují, co uživatelé uvidí, když Authenticator Lite odešle nabízené oznámení.

Screenshot of push notification in Outlook mobile.

Adaptér AD FS a rozšíření NPS

Authenticator Lite vynucuje porovnávání čísel při každém ověřování. Pokud váš tenant používá adaptér služby AD FS nebo rozšíření NPS, nemusí být vaši uživatelé schopni dokončit oznámení Authenticator Lite. Další informace najdete v tématu Adaptér služby AD FS a rozšíření NPS.

Další informace o ověřovacích oznámeních najdete v tématu Metoda ověřování microsoft Authenticatoru.

Časté dotazy

Funguje Authenticator Lite jako zprostředkační aplikace?

Ne, Authenticator Lite je k dispozici pouze pro nabízená oznámení a TOTP.

Je možné použít Authenticator Lite pro SSPR?

Ne, Authenticator Lite je k dispozici pouze pro nabízená oznámení a TOTP.

Je tato možnost dostupná v desktopové aplikaci Outlook?

Ne, Authenticator Lite je k dispozici jenom v Outlooku Mobile.

Kde se můžou uživatelé zaregistrovat pro Authenticator Lite?

Uživatelé se můžou zaregistrovat jenom pro Authenticator Lite z mobilního Outlooku. Registraci authenticatoru Lite je možné spravovat z aka.ms/mysignins.

Mohou uživatelé zaregistrovat Microsoft Authenticator a Authenticator Lite?

Uživatelé, kteří mají na svém zařízení Microsoft Authenticator, nemůžou na stejném zařízení zaregistrovat Authenticator Lite. Pokud má uživatel registraci Authenticator Lite a později stáhne Microsoft Authenticator, může si zaregistrovat obojí. Pokud má uživatel dvě zařízení, může zaregistrovat Authenticator Lite na jednom a Microsoft Authenticator na druhé.

Známé problémy

Oznámení SSPR

Kódy TOTP z Outlooku budou fungovat pro SSPR, ale nabízené oznámení nebude fungovat a vrátí chybu.

Protokoly zobrazují další vyhodnocení podmíněného přístupu.

Zásady podmíněného přístupu se vyhodnocují při každém otevření aplikace Outlook, aby bylo možné určit, jestli má uživatel nárok na registraci pro Authenticator Lite. Tyto kontroly se můžou objevit v protokolech.

Další kroky

Metody ověřování v MICROSOFT Entra ID