Bagikan melalui

Mengaktifkan Authenticator Lite untuk Outlook seluler

Authenticator Lite adalah permukaan lain bagi pengguna Microsoft Entra untuk menyelesaikan autentikasi multifaktor (MFA) dengan menggunakan pemberitahuan push atau kode sandi satu kali berbasis waktu (TOTP) di perangkat Android atau iOS Anda. Dengan Authenticator Lite, pengguna dapat memenuhi persyaratan MFA dari kenyamanan aplikasi yang sudah dikenal. Authenticator Lite saat ini diaktifkan di Outlook seluler.

Pengguna menerima pemberitahuan di Outlook mobile untuk menyetujui atau menolak masuk, atau Anda bisa menyalin TOTP untuk digunakan saat masuk.

Catatan

Gunakan peningkatan keamanan penting ini jika Anda mengautentikasi melalui transportasi telekomunikasi:

  • Nilai yang dikelola Microsoft dari fitur ini diaktifkan dalam kebijakan Metode autentikasi. Jika Anda tidak ingin mengaktifkan fitur ini, pindahkan status dari Default ke Dinonaktifkan, atau lingkup ke sekelompok pengguna saja.
  • Authenticator Lite diaktifkan sebagai bagian dari opsi Pemberitahuan melalui verifikasi aplikasi seluler dalam kebijakan MFA per pengguna. Jika Anda tidak ingin fitur ini diaktifkan, Anda dapat menonaktifkannya dalam kebijakan Metode autentikasi dengan mengikuti langkah-langkah dalam artikel ini.

Prasyarat

  • Organisasi Anda perlu mengaktifkan pemberitahuan push Authenticator (faktor kedua) untuk semua pengguna atau memilih grup. Kami menyarankan agar Anda mengaktifkan Authenticator dengan menggunakan kebijakan metode Autentikasi modern. Anda dapat mengedit kebijakan metode Autentikasi dengan menggunakan pusat admin Microsoft Entra atau Microsoft Graph API. Authenticator Lite tidak memenuhi syarat untuk akun pengguna atau organisasi lokal dengan server MFA aktif.

    Kiat

    Sebaiknya Anda juga mengaktifkan MFA pilihan sistem saat mengaktifkan Authenticator Lite. Dengan MFA pilihan sistem diaktifkan, pengguna mencoba masuk dengan Authenticator Lite sebelum mereka mencoba metode telepon yang kurang aman seperti SMS atau panggilan suara.

  • Jika organisasi Anda menggunakan adaptor Layanan Federasi Direktori Aktif (AD FS) atau ekstensi Server Kebijakan Jaringan (NPS), tingkatkan ke versi terbaru untuk pengalaman yang konsisten.

  • Pengguna yang diaktifkan untuk mode perangkat bersama di Outlook seluler tidak memenuhi syarat untuk Authenticator Lite.

  • Pengguna harus menjalankan versi seluler Outlook minimum.

    Sistem operasi Versi Outlook
    Android 4.2310.1
    Ios 4.2312.1

Aktifkan Authenticator Lite

Secara default, Authenticator Lite dikelola Microsoft dalam kebijakan Metode autentikasi. Pada 26 Juni, nilai yang dikelola Microsoft dari fitur ini berubah dari disabled menjadi enabled. Authenticator Lite juga disertakan sebagai bagian dari opsi Pemberitahuan melalui verifikasi aplikasi seluler dalam kebijakan MFA per pengguna.

Menonaktifkan Authenticator Lite di pusat admin Microsoft Entra

Untuk menonaktifkan Authenticator Lite di pusat admin Microsoft Entra, ikuti langkah-langkah berikut:

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.

  2. Telusuri ke Entra ID>Metode Autentikasi>Microsoft Authenticator.

  3. Pada tab Aktifkan dan Target , pilih Aktifkan dan Semua pengguna untuk mengaktifkan kebijakan Authenticator untuk semua orang, atau tambahkan grup tertentu. Atur mode Autentikasi untuk pengguna atau grup ini ke Apa pun atau Dorong.

    Pengguna yang tidak diaktifkan untuk Authenticator tidak dapat melihat fitur tersebut. Pengguna yang memiliki Authenticator yang diunduh pada perangkat yang sama tempat Outlook diunduh tidak diminta untuk mendaftar authenticator Lite di Outlook. Pengguna Android yang menggunakan profil pribadi dan kerja di perangkat mereka mungkin diminta untuk mendaftar jika Authenticator ada di profil yang berbeda dari aplikasi Outlook.

    Pengaturan pusat admin Microsoft Entra untuk Authenticator

  4. Pada tab Konfigurasikan, untuk Microsoft Authenticator pada aplikasi pendamping, ubah Status menjadi Dinonaktifkan, lalu pilih Simpan.

    Pengaturan konfigurasi Authenticator Lite

Jika organisasi Anda masih mengelola metode autentikasi dalam kebijakan MFA per pengguna, Anda perlu menonaktifkan Pemberitahuan melalui aplikasi seluler sebagai opsi verifikasi di sana selain langkah-langkah sebelumnya. Kami menyarankan agar Anda melakukan langkah ini hanya setelah mengaktifkan Authenticator dalam kebijakan Metode autentikasi.

Anda dapat terus mengelola sisa metode autentikasi Anda dalam kebijakan MFA per pengguna saat Authenticator dikelola dalam kebijakan metode Autentikasi modern. Namun, kami sarankan Anda memigrasikan manajemen semua metode autentikasi ke kebijakan metode Autentikasi modern. Kemampuan untuk mengelola metode autentikasi dalam kebijakan MFA per pengguna berhenti pada 30 September 2025.

Mengaktifkan Authenticator Lite melalui Graph API

Properti Tipe Deskripsi
excludeTarget featureTarget Satu entitas yang dikecualikan dari fitur ini.
Anda hanya dapat mengecualikan satu grup dari Authenticator Lite, yang dapat menjadi grup dinamis atau berlapis.
includeTarget featureTarget Satu entitas yang disertakan dalam fitur ini.
Anda hanya dapat menyertakan satu grup untuk Authenticator Lite, yang dapat menjadi grup dinamis atau berlapis.
State advancedConfigState Nilai yang mungkin:
Diaktifkan secara eksplisit mengaktifkan fitur untuk grup yang dipilih.
Dinonaktifkan secara eksplisit menonaktifkan fitur untuk grup yang dipilih.
Default memungkinkan Microsoft Entra ID untuk mengelola apakah fitur akan diaktifkan atau tidak untuk grup yang dipilih.

Setelah Anda mengidentifikasi grup target tunggal, gunakan titik akhir API berikut untuk mengubah properti CompanionAppsAllowedState di bawah featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Di Graph Explorer, Anda perlu menyetujui izin Policy.ReadWrite.AuthenticationMethod.

Permintaan

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Pendaftaran pengguna

Jika pengguna diaktifkan untuk Authenticator Lite, mereka diminta untuk mendaftarkan akun Anda langsung dari Outlook seluler. Pendaftaran Authenticator Lite tidak tersedia dengan menggunakan Masuk Saya. Pengguna juga dapat mengaktifkan atau menonaktifkan Authenticator Lite dari dalam Outlook seluler. Untuk informasi selengkapnya tentang pengalaman pengguna, lihat Dukungan Authenticator Lite.

Cuplikan layar yang memperlihatkan cara mendaftarkan Authenticator Lite.

Jika pengguna tidak memiliki metode MFA yang terdaftar, mereka diminta untuk mengunduh Authenticator saat memulai alur pendaftaran. Untuk pengalaman yang paling mulus, provisikan pengguna dengan Kode Akses Sementara (TAP) selama pendaftaran Authenticator Lite.

Memantau penggunaan Authenticator Lite

Log masuk dapat menunjukkan aplikasi mana yang digunakan untuk menyelesaikan autentikasi pengguna. Untuk melihat rincian masuk terbaru, gunakan panggilan berikut pada titik akhir API beta:

GET auditLogs/signIns

Jika masuk dilakukan melalui pemberitahuan aplikasi telepon, di bawah kolom authenticationAppDeviceDetails mengembalikan atau microsoftAuthenticator.

Jika pengguna telah mendaftarkan Authenticator Lite, metode autentikasi terdaftar pengguna menyertakan Microsoft Authenticator (di Outlook).

Pemberitahuan push di Authenticator Lite

Pemberitahuan push yang dikirim oleh Authenticator Lite tidak dapat dikonfigurasi dan tidak bergantung pada pengaturan fitur Authenticator. Authenticator Lite tidak mendukung mode autentikasi tanpa kata sandi. Tabel berikut mencantumkan pengaturan untuk fitur yang disertakan dalam pengalaman Authenticator Lite. Setiap autentikasi menyertakan perintah pencocokan angka dan tidak menyertakan konteks aplikasi dan lokasi, terlepas dari pengaturan fitur Authenticator.

Fitur Otentikator Pengalaman Authenticator Lite
Pencocokan angka Diaktifkan
Konteks lokasi Nonaktif
Konteks aplikasi Nonaktif

Cuplikan layar berikut menunjukkan apa yang dilihat pengguna saat Authenticator Lite mengirim pemberitahuan push.

Cuplikan layar yang memperlihatkan pemberitahuan push di Outlook seluler.

Adaptor AD FS dan Ekstensi NPS

Authenticator Lite memberlakukan pencocokan angka di setiap autentikasi. Jika tenant Anda menggunakan adapter AD FS atau ekstensi NPS, pengguna Anda mungkin tidak dapat menyelesaikan pemberitahuan Authenticator Lite. Untuk informasi selengkapnya, lihat AD FS Adapter dan Ekstensi NPS.

Untuk mempelajari selengkapnya tentang pemberitahuan verifikasi, lihat Metode autentikasi Microsoft Authenticator.

Pertanyaan umum

Bagian berikut mencantumkan pertanyaan umum.

Apakah Authenticator Lite berfungsi sebagai aplikasi broker?

Tidak, Authenticator Lite hanya tersedia untuk pemberitahuan push dan TOTP.

Dapatkah Authenticator Lite digunakan untuk SSPR?

Tidak, Authenticator Lite hanya tersedia untuk pemberitahuan push dan TOTP.

Apakah Authenticator Lite tersedia di aplikasi desktop Outlook?

Tidak, Authenticator Lite hanya tersedia di Outlook mobile.

Di mana pengguna dapat mendaftar untuk Authenticator Lite?

Pengguna hanya dapat mendaftar untuk Authenticator Lite dari Outlook seluler. Pendaftaran Authenticator Lite dikelola dari Masuk Saya.

Dapatkah pengguna mendaftarkan Authenticator dan Authenticator Lite?

Pengguna yang memiliki Authenticator di perangkat mereka tidak dapat mendaftarkan Authenticator Lite pada perangkat yang sama. Jika pengguna memiliki pendaftaran Authenticator Lite dan kemudian mengunduh Authenticator, mereka dapat mendaftarkan keduanya. Jika pengguna memiliki dua perangkat, mereka dapat mendaftarkan Authenticator Lite di satu dan Authenticator di perangkat lainnya.

Masalah yang diketahui

Masalah berikut diketahui.

Pemberitahuan SSPR

Kode TOTP dari Outlook berfungsi untuk SSPR, tetapi pemberitahuan push tidak akan berfungsi dan mengembalikan kesalahan.

Log menunjukkan evaluasi Akses Bersyarat yang baru ditambahkan

Kebijakan Akses Bersyarah dievaluasi setiap kali pengguna membuka aplikasi Outlook mereka untuk menentukan apakah mereka memenuhi syarat untuk mendaftar ke Authenticator Lite. Pemeriksaan ini mungkin muncul di log.

Konten terkait