A Microsoft Authenticator Lite for Outlook mobile engedélyezése
A Microsoft Authenticator Lite egy másik felület a Microsoft Entra-felhasználók számára, hogy leküldéses értesítések vagy egyszeri pin-kódok (TOTP) használatával végezzenek többtényezős hitelesítést androidos vagy iOS-eszközükön. Az Authenticator Lite használatával a felhasználók egy ismerős alkalmazás kényelméből kielégíthetik a többtényezős hitelesítési követelményt. Az Authenticator Lite jelenleg engedélyezve van az Outlook mobile-ban.
A felhasználók értesítést kapnak az Outlook Mobile-ban a bejelentkezés jóváhagyásáról vagy elutasításról, vagy átmásolhatnak egy TOTP-t, amelyet a bejelentkezés során használhatnak.
Megjegyzés:
Ezek fontos biztonsági fejlesztések a távközlési eszközökön keresztül hitelesítést használó felhasználók számára:
- Június 26-án a Szolgáltatás Microsoft által felügyelt értéke letiltottról engedélyezve lett a hitelesítési módszerek házirendjében. Ha már nem szeretné, hogy ez a funkció engedélyezve legyen, helyezze át az állapotot az Alapértelmezettértékről a Letiltva állapotba, vagy hatókörét csak a felhasználók egy csoportjára.
- Szeptember 18-tól az Authenticator Lite a felhasználónkénti MFA-szabályzat *Értesítés mobilalkalmazáson keresztüli ellenőrzési lehetőségének részeként lesz engedélyezve. Ha nem szeretné, hogy ez a funkció engedélyezve legyen, az alábbi lépések végrehajtásával letilthatja azt a hitelesítési módszerek házirendjében.
Előfeltételek
A szervezetnek engedélyeznie kell a Microsoft Authenticator (második tényező) leküldéses értesítéseit az összes felhasználó számára, vagy csoportokat kell kiválasztania. Javasoljuk, hogy a Modern Hitelesítési módszerek szabályzatával engedélyezze a Microsoft Authenticatort. A hitelesítési módszerek házirendjének szerkesztéséhez használja a Microsoft Entra felügyeleti központot vagy a Microsoft Graph API-t. Az aktív MFA-kiszolgálóval rendelkező szervezetek nem jogosultak erre a funkcióra.
Tipp.
Javasoljuk, hogy az Authenticator Lite engedélyezésekor a rendszer által előnyben részesített többtényezős hitelesítést (MFA) is engedélyezze. Ha engedélyezve van a rendszer által előnyben részesített MFA, a felhasználók megpróbálnak bejelentkezni az Authenticator Lite szolgáltatással, mielőtt kevésbé biztonságos telefonos módszereket, például SMS-t vagy hanghívást próbálnának ki.
Ha a szervezet a Active Directory összevonási szolgáltatások (AD FS) (AD FS) adaptert vagy a Hálózati házirend-kiszolgáló (NPS) bővítményt használja, frissítsen a legújabb verziókra a konzisztens élmény érdekében.
Az Outlook mobile megosztott eszközmódjára engedélyezett felhasználók nem jogosultak az Authenticator Lite használatára.
A felhasználóknak legalább az Outlook mobilverziót kell futtatniuk.
Operating system Outlook-verzió Android 4.2310.1 iOS 4.2312.1
Authenticator Lite engedélyezése
Alapértelmezés szerint az Authenticator Lite a Microsoft felügyelete alatt áll a hitelesítési módszerek szabályzatában. Június 26-án a Szolgáltatás Microsoft által felügyelt értéke "letiltott" értékről "engedélyezve" értékre módosult. Az Authenticator Lite a felhasználónkénti MFA-szabályzat mobilalkalmazás-ellenőrzési lehetőségén keresztüli értesítés részeként is megtalálható.
Az Authenticator Lite letiltása a Microsoft Entra felügyeleti központban
Ha le szeretné tiltani az Authenticator Lite-t a Microsoft Entra felügyeleti központban, hajtsa végre az alábbi lépéseket:
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési szabályzatként Rendszergazda istratorként.
Keresse meg a Védelmi>hitelesítési módszereket>a Microsoft Authenticatorban.
Az Engedélyezés és a Cél lapon kattintson az Engedélyezés és a Minden felhasználó elemre az Authenticator házirend mindenki számára való engedélyezéséhez vagy a kijelölt csoportok hozzáadásához. Állítsa be a hitelesítési módot ezeknek a felhasználóknak/csoportoknak Bármelyik vagy Leküldés értékre.
Azok a felhasználók, akik nincsenek engedélyezve a Microsoft Authenticatorhoz, nem látják a funkciót. Azok a felhasználók, akik a Microsoft Authenticatort ugyanarra az eszközre töltötték le, az Outlook nem fogja kérni, hogy regisztráljanak az Authenticator Lite-ra az Outlookban. A személyes és munkahelyi profilt használó Android-felhasználók kérhetik a regisztrációt, ha az Authenticator az Outlook-alkalmazástól eltérő profilon található.
A Konfigurálás lapon a Microsoft Authenticatorhoz a társalkalmazásokon módosítsa az állapotot letiltottra, és kattintson a Mentés gombra.
Megjegyzés:
Ha a szervezet továbbra is kezeli a hitelesítési módszereket a felhasználónkénti MFA-házirendben, akkor az előző lépések mellett le kell tiltania a mobilalkalmazáson keresztüli értesítéseket ellenőrzési lehetőségként. Ezt csak akkor javasoljuk, ha engedélyezte a Microsoft Authenticatort a hitelesítési módszerek házirendjében. A felhasználónkénti MFA-házirendben folyamatosan kezelheti a hitelesítési módszerek fennmaradó részét, míg a Microsoft Authenticator kezelése a modern hitelesítési módszerek házirendjében történik. Javasoljuk azonban, hogy az összes hitelesítési módszer kezelését a modern hitelesítési módszerek szabályzatára migrálja . 2025. szeptember 30-án megszűnik a felhasználónkénti MFA-házirend hitelesítési módszereinek kezelése.
Authenticator Lite engedélyezése Graph API-k használatával
| Tulajdonság | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Egyetlen entitás, amely nincs kizárva ebből a funkcióból. Csak egy csoportot zárhat ki az Authenticator Lite-ból, amely lehet dinamikus vagy beágyazott csoport. |
| includeTarget | featureTarget | Egyetlen entitás, amely ebben a funkcióban szerepel. Az Authenticator Lite-hoz csak egy csoportot vehet fel, amely lehet dinamikus vagy beágyazott csoport. |
| Állami | advancedConfigState | A lehetséges értékek a következők: a explicit módon engedélyezi a kiválasztott csoport funkcióját. A letiltott beállítás kifejezetten letiltja a kijelölt csoport funkcióját. alapértelmezés szerint a Microsoft Entra ID segítségével kezelheti, hogy a szolgáltatás engedélyezve van-e a kijelölt csoport számára. |
Miután azonosította az egyetlen célcsoportot, a következő API-végponttal módosíthatja a CompanionAppsAllowedState tulajdonságot a funkció alatt Gépház.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Megjegyzés:
A Graph Explorerben hozzá kell adnia a Policy.ReadWrite.AuthenticationMethod engedélyt.
Kérelem
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Felhasználói regisztráció
Ha az Authenticator Lite engedélyezve van, a rendszer arra kéri a felhasználókat, hogy regisztrálják a fiókjukat közvetlenül az Outlook Mobile-ból. Az Authenticator Lite regisztrációja nem érhető el a MySignIns használatával. A felhasználók az Authenticator Lite-ot az Outlook mobile-on belül is engedélyezhetik vagy letilthatják. A felhasználói élményről további információt az Authenticator Lite támogatásában talál.
Megjegyzés:
Ha nincsenek regisztrálva MFA-metódusok, a felhasználók a regisztrációs folyamat megkezdésekor kérik az Authenticator letöltését. A leggördülékenyebb élmény érdekében a felhasználókat egy ideiglenes hozzáférési bérlettel (TAP) építheti ki, amelyet az Authenticator Lite regisztrációja során használhat.
Az Authenticator Lite használatának monitorozása
A bejelentkezési naplók meg tudják jeleníteni, hogy melyik alkalmazást használták a felhasználói hitelesítés befejezéséhez. A legújabb bejelentkezések megtekintéséhez használja a következő hívást a béta API-végponton:
GET auditLogs/signIns
Ha a bejelentkezés telefonos alkalmazásértesítéssel történt, az authenticationAppDeviceDetails alatt a clientApp mező a microsoftAuthenticatort vagy az Outlookot adja vissza.
Ha egy felhasználó regisztrált Authenticator Lite-t, a felhasználó regisztrált hitelesítési módszerei közé tartozik a Microsoft Authenticator (az Outlookban) is.
Leküldéses értesítések az Authenticator Lite-ban
Az Authenticator Lite által küldött leküldéses értesítések nem konfigurálhatók, és nem függnek az Authenticator funkció beállításaitól. Az Authenticator Lite nem támogatja a jelszó nélküli hitelesítési módot. Az Authenticator Lite felület funkcióinak beállításait az alábbi táblázat sorolja fel. Minden hitelesítés tartalmaz egy számegyeztető kérést, és nem tartalmaz alkalmazás- és helykörnyezetet, függetlenül a Microsoft Authenticator szolgáltatás beállításaitól.
| Hitelesítő funkció | Authenticator Lite Experience |
|---|---|
| Számegyezés | Engedélyezve |
| Hely környezete | Letiltva |
| Alkalmazáskörnyezet | Letiltva |
Az alábbi képernyőképek azt mutatják be, hogy a felhasználók mit látnak, amikor az Authenticator Lite leküldéses értesítést küld.
AD FS-adapter és NPS-bővítmény
Az Authenticator Lite minden hitelesítésben kikényszeríti a számegyezést. Ha a bérlő AD FS-adaptert vagy NPS-bővítményt használ, előfordulhat, hogy a felhasználók nem tudják végrehajtani az Authenticator Lite-értesítéseket. További információ: AD FS-adapter és NPS-bővítmény.
Az ellenőrzési értesítésekről további információt a Microsoft Authenticator hitelesítési módszerében talál.
Common questions
Az Authenticator Lite brókeralkalmazásként működik?
Nem, az Authenticator Lite csak leküldéses értesítésekhez és TOTP-hez érhető el.
Használható az Authenticator Lite az SSPR-hez?
Nem, az Authenticator Lite csak leküldéses értesítésekhez és TOTP-hez érhető el.
Ez elérhető az asztali Outlook alkalmazásban?
Nem, az Authenticator Lite csak az Outlook mobileszközökön érhető el.
Hol regisztrálhatnak a felhasználók az Authenticator Lite szolgáltatásra?
A felhasználók csak mobil Outlookból regisztrálhatnak az Authenticator Lite-ra. Az Authenticator Lite regisztráció a aka.ms/mysignins kezelhető.
Regisztrálhatják a felhasználók a Microsoft Authenticatort és az Authenticator Lite-ot?
Azok a felhasználók, akiknek az eszközükön a Microsoft Authenticator van, nem regisztrálhatják az Authenticator Lite-ot ugyanazon az eszközön. Ha egy felhasználó rendelkezik Authenticator Lite-regisztrációval, majd később letölti a Microsoft Authenticatort, mindkettőt regisztrálhatja. Ha egy felhasználó két eszközzel rendelkezik, regisztrálhatja az Authenticator Lite-ot az egyiken, a másikon pedig a Microsoft Authenticatort.
Ismert problémák
SSPR-értesítések
Az Outlook TOTP-kódjai az SSPR-hez fognak működni, de a leküldéses értesítés nem fog működni, és hibát ad vissza.
A naplók további feltételes hozzáférési kiértékeléseket mutatnak
A feltételes hozzáférési szabályzatok kiértékelése minden alkalommal történik, amikor egy felhasználó megnyitja az Outlook-alkalmazást, annak megállapításához, hogy a felhasználó jogosult-e regisztrálni az Authenticator Lite-ra. Ezek az ellenőrzések megjelenhetnek a naplókban.
További lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: