Cara mengaktifkan Microsoft Authenticator Lite untuk Outlook seluler
Microsoft Authenticator Lite adalah permukaan lain bagi pengguna Microsoft Entra untuk menyelesaikan autentikasi multifaktor dengan menggunakan pemberitahuan push atau kode sandi satu kali berbasis waktu (TOTP) di perangkat Android atau iOS mereka. Dengan Authenticator Lite, pengguna dapat memenuhi persyaratan autentikasi multifaktor dari kenyamanan aplikasi yang sudah dikenal. Authenticator Lite saat ini diaktifkan di Outlook seluler.
Pengguna menerima pemberitahuan di Outlook seluler untuk menyetujui atau menolak masuk, atau mereka bisa menyalin TOTP untuk digunakan selama masuk.
Catatan
Ini adalah peningkatan keamanan penting bagi pengguna yang mengautentikasi melalui transportasi telekomunikasi:
- Pada 26 Juni, nilai terkelola Microsoft dari fitur ini berubah dari Dinonaktifkan menjadi Diaktifkan dalam kebijakan Metode autentikasi. Jika Anda tidak lagi ingin fitur ini diaktifkan, pindahkan status dari Default ke Dinonaktifkan atau cakupannya hanya ke sekelompok pengguna.
- Mulai 18 September, Authenticator Lite akan diaktifkan sebagai bagian dari opsi *Pemberitahuan melalui verifikasi aplikasi seluler dalam kebijakan MFA per pengguna. Jika Anda tidak ingin fitur ini diaktifkan, Anda dapat menonaktifkannya dalam kebijakan Metode autentikasi dengan mengikuti langkah-langkah di bawah ini.
Prasyarat
Organisasi Anda perlu mengaktifkan pemberitahuan push Microsoft Authenticator (faktor kedua) untuk semua pengguna atau memilih grup. Sebaiknya aktifkan Microsoft Authenticator dengan menggunakan kebijakan metode Autentikasi modern. Anda dapat mengedit kebijakan metode Autentikasi dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph API. Organisasi dengan server MFA aktif tidak memenuhi syarat untuk fitur ini.
Tip
Sebaiknya Anda juga mengaktifkan autentikasi multifaktor pilihan sistem (MFA) saat Mengaktifkan Authenticator Lite. Dengan MFA pilihan sistem diaktifkan, pengguna mencoba masuk dengan Authenticator Lite sebelum mereka mencoba metode telepon yang kurang aman seperti SMS atau panggilan suara.
Jika organisasi Anda menggunakan adaptor Layanan Federasi Direktori Aktif (AD FS) atau ekstensi Server Kebijakan Jaringan (NPS), tingkatkan ke versi terbaru untuk pengalaman yang konsisten.
Pengguna yang diaktifkan untuk mode perangkat bersama di Outlook seluler tidak memenuhi syarat untuk Authenticator Lite.
Pengguna harus menjalankan versi seluler Outlook minimum.
Sistem operasi Versi Outlook Android 4.2310.1 iOS 4.2312.1
Aktifkan Authenticator Lite
Secara default, Authenticator Lite dikelola Microsoft dalam kebijakan Metode autentikasi. Pada 26 Juni, nilai terkelola Microsoft dari fitur ini berubah dari 'dinonaktifkan' menjadi 'diaktifkan'. Authenticator Lite juga disertakan sebagai bagian dari opsi Pemberitahuan melalui verifikasi aplikasi seluler dalam kebijakan MFA per pengguna.
Menonaktifkan Authenticator Lite di pusat admin Microsoft Entra
Untuk menonaktifkan Authenticator Lite di pusat admin Microsoft Entra, selesaikan langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri metode >Autentikasi Perlindungan>Microsoft Authenticator.
Pada tab Aktifkan dan Target , klik Aktifkan dan Semua pengguna untuk mengaktifkan kebijakan Authenticator untuk semua orang atau tambahkan grup tertentu. Atur mode Autentikasi untuk pengguna/grup ini ke Apa pun atau Dorong.
Pengguna yang tidak diaktifkan untuk Microsoft Authenticator tidak dapat melihat fitur tersebut. Pengguna yang mengunduh Microsoft Authenticator pada perangkat yang sama yang diunduh Outlook tidak akan diminta untuk mendaftar Authenticator Lite di Outlook. Pengguna Android yang menggunakan profil pribadi dan kerja di perangkat mereka mungkin diminta untuk mendaftar jika Authenticator ada di profil yang berbeda dari aplikasi Outlook.
Pada tab Konfigurasi , untuk Microsoft Authenticator pada aplikasi pendamping, ubah Status menjadi Dinonaktifkan, dan klik Simpan.
Catatan
Jika organisasi Anda masih mengelola metode autentikasi dalam kebijakan MFA per pengguna, Anda perlu menonaktifkan Pemberitahuan melalui aplikasi seluler sebagai opsi verifikasi di sana selain langkah-langkah sebelumnya. Sebaiknya lakukan ini hanya setelah Anda mengaktifkan Microsoft Authenticator dalam kebijakan Metode autentikasi. Anda dapat terus mengelola sisa metode autentikasi Anda dalam kebijakan MFA per pengguna saat Microsoft Authenticator dikelola dalam kebijakan metode Autentikasi modern. Namun, sebaiknya migrasikan manajemen semua metode autentikasi ke kebijakan metode Autentikasi modern. Kemampuan untuk mengelola metode autentikasi dalam kebijakan MFA per pengguna akan dihentikan 30 September 2025.
Mengaktifkan Authenticator Lite melalui Graph API
| Properti | Tipe | Deskripsi |
|---|---|---|
| excludeTarget | featureTarget | Satu entitas yang dikecualikan dari fitur ini. Anda hanya dapat mengecualikan satu grup dari Authenticator Lite, yang dapat menjadi grup dinamis atau berlapis. |
| includeTarget | featureTarget | Satu entitas yang disertakan dalam fitur ini. Anda hanya dapat menyertakan satu grup untuk Authenticator Lite, yang dapat menjadi grup dinamis atau berlapis. |
| Provinsi | advancedConfigState | Kemungkinan nilai adalah: aktif secara eksplisit mengaktifkan fitur untuk grup yang dipilih. nonaktif secara eksplisit menonaktifkan fitur untuk grup yang dipilih. default memungkinkan MICROSOFT Entra ID mengelola apakah fitur diaktifkan atau tidak untuk grup yang dipilih. |
Setelah Anda mengidentifikasi grup target tunggal, gunakan titik akhir API berikut untuk mengubah properti CompanionAppsAllowedState di bawah fitur Pengaturan.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Catatan
Di Graph Explorer, Anda perlu menyetujui izin Policy.ReadWrite.AuthenticationMethod .
Permintaan
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Pendaftaran pengguna
Jika diaktifkan untuk Authenticator Lite, pengguna diminta untuk mendaftarkan akun mereka langsung dari Outlook seluler. Pendaftaran Authenticator Lite tidak tersedia dengan menggunakan MySignIns. Pengguna juga dapat mengaktifkan atau menonaktifkan Authenticator Lite dari dalam Outlook seluler. Untuk informasi selengkapnya tentang pengalaman pengguna, lihat Dukungan Authenticator Lite.
Catatan
Jika mereka tidak memiliki metode MFA yang terdaftar, pengguna diminta untuk mengunduh Authenticator saat mereka memulai alur pendaftaran. Untuk pengalaman yang paling mulus, provisikan pengguna dengan Kode Akses Sementara (TAP) yang dapat mereka gunakan selama pendaftaran Authenticator Lite.
Memantau penggunaan Authenticator Lite
Log masuk dapat menunjukkan aplikasi mana yang digunakan untuk menyelesaikan autentikasi pengguna. Untuk melihat rincian masuk terbaru, gunakan panggilan berikut pada titik akhir API beta:
GET auditLogs/signIns
Jika masuk dilakukan oleh pemberitahuan aplikasi telepon, di bawah autentikasiAppDeviceDetailsbidang clientApp mengembalikan microsoftAuthenticator atau Outlook.
Jika pengguna telah mendaftarkan Authenticator Lite, metode autentikasi terdaftar pengguna menyertakan Microsoft Authenticator (di Outlook).
Pemberitahuan push di Authenticator Lite
Pemberitahuan push yang dikirim oleh Authenticator Lite tidak dapat dikonfigurasi dan tidak bergantung pada pengaturan fitur Authenticator. Authenticator Lite tidak mendukung mode autentikasi tanpa kata sandi. Pengaturan untuk fitur yang disertakan dalam pengalaman Authenticator Lite tercantum dalam tabel berikut. Setiap autentikasi menyertakan perintah pencocokan angka dan tidak menyertakan konteks aplikasi dan lokasi, terlepas dari pengaturan fitur Microsoft Authenticator.
| Fitur Authenticator | Pengalaman Authenticator Lite |
|---|---|
| Pencocokan Angka | Diaktifkan |
| Konteks Lokasi | Nonaktif |
| Konteks Aplikasi | Nonaktif |
Cuplikan layar berikut menunjukkan apa yang dilihat pengguna saat Authenticator Lite mengirim pemberitahuan push.
Adaptor LAYANAN Federasi Direktori Aktif dan ekstensi NPS
Authenticator Lite memberlakukan pencocokan angka di setiap autentikasi. Jika penyewa Anda menggunakan adaptor LAYANAN Federasi Direktori Aktif atau ekstensi NPS, pengguna Anda mungkin tidak dapat menyelesaikan pemberitahuan Authenticator Lite. Untuk informasi selengkapnya, lihat Adaptor Layanan Federasi Direktori Aktif dan ekstensi NPS.
Untuk mempelajari selengkapnya tentang pemberitahuan verifikasi, lihat Metode autentikasi Microsoft Authenticator.
Pertanyaan umum
Apakah Authenticator Lite berfungsi sebagai aplikasi broker?
Tidak, Authenticator Lite hanya tersedia untuk pemberitahuan push dan TOTP.
Dapatkah Authenticator Lite digunakan untuk SSPR?
Tidak, Authenticator Lite hanya tersedia untuk pemberitahuan push dan TOTP.
Apakah ini tersedia di aplikasi desktop Outlook?
Tidak, Authenticator Lite hanya tersedia di Outlook mobile.
Di mana pengguna dapat mendaftar untuk Authenticator Lite?
Pengguna hanya dapat mendaftar untuk Authenticator Lite dari Outlook seluler. Pendaftaran Authenticator Lite dapat dikelola dari aka.ms/mysignins.
Bisakah pengguna mendaftarkan Microsoft Authenticator dan Authenticator Lite?
Pengguna yang memiliki Microsoft Authenticator di perangkat mereka tidak dapat mendaftarkan Authenticator Lite pada perangkat yang sama. Jika pengguna memiliki pendaftaran Authenticator Lite dan kemudian mengunduh Microsoft Authenticator, mereka dapat mendaftarkan keduanya. Jika pengguna memiliki dua perangkat, mereka dapat mendaftarkan Authenticator Lite di satu dan Microsoft Authenticator di perangkat lainnya.
Masalah Umum
Pemberitahuan SSPR
Kode TOTP dari Outlook akan berfungsi untuk SSPR, tetapi pemberitahuan push tidak akan berfungsi dan akan mengembalikan kesalahan.
Log memperlihatkan evaluasi Akses Bersyar tambahan
Kebijakan Akses Bersyar dievaluasi setiap kali pengguna membuka aplikasi Outlook mereka, untuk menentukan apakah pengguna memenuhi syarat untuk mendaftar authenticator Lite. Pemeriksaan ini mungkin muncul di log.