Come abilitare Microsoft Authenticator Lite per Outlook mobile
Microsoft Authenticator Lite è un'altra superficie per consentire agli utenti di Microsoft Entra di completare l'autenticazione a più fattori usando notifiche push o passcode monouso (TOTP) sul dispositivo Android o iOS. Con Authenticator Lite, gli utenti possono soddisfare un requisito di autenticazione a più fattori dalla praticità di un'app familiare. Authenticator Lite è attualmente abilitato in Outlook mobile.
Gli utenti ricevono una notifica in Outlook mobile per approvare o negare l'accesso oppure possono copiare un TOTP da usare durante l'accesso.
Nota
Questi sono importanti miglioramenti della sicurezza per gli utenti che eseguono l'autenticazione tramite trasporti di telecomunicazioni:
- Il 26 giugno il valore gestito da Microsoft di questa funzionalità è cambiato da Disabilitato a Abilitato nei criteri dei metodi di autenticazione. Se non si vuole più abilitare questa funzionalità, spostare lo stato da Predefinito a Disabilitato o limitarlo a un gruppo di utenti.
- A partire dal 18 settembre, Authenticator Lite verrà abilitato come parte dell'opzione *Notifica tramite verifica delle app per dispositivi mobili nei criteri MFA per utente. Se non si vuole abilitare questa funzionalità, è possibile disabilitarla nei criteri Metodi di autenticazione seguendo la procedura seguente.
Prerequisiti
L'organizzazione deve abilitare le notifiche push di Microsoft Authenticator (secondo fattore) per tutti gli utenti o i gruppi selezionati. È consigliabile abilitare Microsoft Authenticator usando i criteri moderni dei metodi di autenticazione. È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph. Le organizzazioni con un server MFA attivo non sono idonee per questa funzionalità.
Suggerimento
È consigliabile abilitare anche l'autenticazione a più fattori (MFA) preferita dal sistema quando si abilita Authenticator Lite. Con l'autenticazione a più fattori preferita dal sistema abilitata, gli utenti provano ad accedere con Authenticator Lite prima di provare metodi di telefonia meno sicuri, ad esempio SMS o chiamate vocali.
Se l'organizzazione usa la scheda Active Directory Federation Services (AD FS) o le estensioni server dei criteri di rete (NPS), eseguire l'aggiornamento alle versioni più recenti per un'esperienza coerente.
Gli utenti abilitati per la modalità dispositivo condiviso in Outlook mobile non sono idonei per Authenticator Lite.
Gli utenti devono eseguire una versione minima di Outlook mobile.
Sistema operativo Versione di Outlook Android 4.2310.1 iOS 4.2312.1
Abilitare Authenticator Lite
Per impostazione predefinita, Authenticator Lite è Gestito da Microsoft nei criteri dei metodi di autenticazione. Il 26 giugno il valore gestito da Microsoft di questa funzionalità è cambiato da "disabilitato" a "abilitato". Authenticator Lite è incluso anche come parte dell'opzione Di notifica tramite la verifica delle app per dispositivi mobili nei criteri MFA per utente.
Disabilitazione di Authenticator Lite nell'interfaccia di amministrazione di Microsoft Entra
Per disabilitare Authenticator Lite nell'interfaccia di amministrazione di Microsoft Entra, completare i passaggi seguenti:
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un criterio di autenticazione Amministrazione istrator.
Passare a Metodi>di autenticazione di protezione>Microsoft Authenticator.
Nella scheda Abilita e destinazione fare clic su Abilita e tutti gli utenti per abilitare il criterio Authenticator per tutti o aggiungere gruppi selezionati. Impostare la modalità di autenticazione per questi utenti/gruppi su Qualsiasi o Push.
Gli utenti che non sono abilitati per Microsoft Authenticator non possono visualizzare la funzionalità. Agli utenti con Microsoft Authenticator scaricato nello stesso dispositivo Outlook non verrà richiesto di registrarsi per Authenticator Lite in Outlook. Agli utenti Android che utilizzano un profilo personale e di lavoro sul dispositivo potrebbe essere richiesto di registrare se Authenticator è presente in un profilo diverso dall'applicazione Outlook.
Nella scheda Configura , per Microsoft Authenticator nelle applicazioni complementari, impostare Stato su Disabilitato e fare clic su Salva.
Nota
Se l'organizzazione gestisce ancora i metodi di autenticazione nei criteri MFA per utente, è necessario disabilitare la notifica tramite l'app per dispositivi mobili come opzione di verifica oltre ai passaggi precedenti. È consigliabile farlo solo dopo aver abilitato Microsoft Authenticator nei criteri dei metodi di autenticazione. È possibile continere per gestire il resto dei metodi di autenticazione nei criteri MFA per utente mentre Microsoft Authenticator è gestito nei criteri moderni dei metodi di autenticazione. È tuttavia consigliabile eseguire la migrazione della gestione di tutti i metodi di autenticazione ai criteri moderni dei metodi di autenticazione. La possibilità di gestire i metodi di autenticazione nei criteri MFA per utente verrà ritirata il 30 settembre 2025.
Abilitare Authenticator Lite tramite le API Graph
| Proprietà | Type | Descrizione |
|---|---|---|
| excludeTarget | featureTarget | Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo da Authenticator Lite, che può essere un gruppo dinamico o annidato. |
| includeTarget | featureTarget | Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per Authenticator Lite, che può essere un gruppo dinamico o annidato. |
| Stato | advancedConfigState | I valori possibili sono: abilitato in modo esplicito abilita la funzionalità per il gruppo selezionato. disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. default consente a Microsoft Entra ID di gestire se la funzionalità è abilitata o meno per il gruppo selezionato. |
Dopo aver identificato il singolo gruppo di destinazione, usare l'endpoint API seguente per modificare la proprietà CompanionAppsAllowedState in feature Impostazioni.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Nota
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod .
Richiesta
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Registrazione utente
Se abilitato per Authenticator Lite, agli utenti viene richiesto di registrare il proprio account direttamente da Outlook mobile. La registrazione di Authenticator Lite non è disponibile tramite MySignIns. Gli utenti possono anche abilitare o disabilitare Authenticator Lite dall'interno di Outlook mobile. Per altre informazioni sull'esperienza utente, vedere Supporto di Authenticator Lite.
Nota
Se non hanno metodi di autenticazione a più fattori registrati, agli utenti viene richiesto di scaricare Authenticator quando iniziano il flusso di registrazione. Per un'esperienza più semplice, effettuare il provisioning degli utenti con un pass di accesso temporaneo (TAP) che possono usare durante la registrazione di Authenticator Lite.
Monitoraggio dell'utilizzo di Authenticator Lite
I log di accesso possono mostrare l'app usata per completare l'autenticazione utente. Per visualizzare gli accessi più recenti, usare la chiamata seguente all'endpoint dell'API beta:
GET auditLogs/signIns
Se l'accesso è stato eseguito tramite notifica dell'app per telefono, in authenticationAppDeviceDetails il campo clientApp restituisce microsoftAuthenticator o Outlook.
Se un utente ha registrato Authenticator Lite, i metodi di autenticazione registrati dell'utente includono Microsoft Authenticator (in Outlook).
Notifiche push in Authenticator Lite
Le notifiche push inviate da Authenticator Lite non sono configurabili e non dipendono dalle impostazioni della funzionalità Authenticator. Authenticator Lite non supporta la modalità di autenticazione senza password. Le impostazioni per le funzionalità incluse nell'esperienza Authenticator Lite sono elencate nella tabella seguente. Ogni autenticazione include una richiesta di corrispondenza numerica e non include il contesto dell'app e della posizione, indipendentemente dalle impostazioni delle funzionalità di Microsoft Authenticator.
| Funzionalità di autenticazione | Authenticator Lite Experience |
|---|---|
| Corrispondenza dei numeri | Attivato |
| Contesto della posizione | Disabled |
| Contesto dell'applicazione | Disabled |
Gli screenshot seguenti mostrano cosa vedono gli utenti quando Authenticator Lite invia una notifica push.
Adattatore AD FS ed estensione NPS
Authenticator Lite applica la corrispondenza dei numeri in ogni autenticazione. Se il tenant usa un adattatore AD FS o un'estensione NPS, gli utenti potrebbero non essere in grado di completare le notifiche authenticator Lite. Per altre informazioni, vedere Adapter AD FS ed estensione NPS.
Per altre informazioni sulle notifiche di verifica, vedere Metodo di autenticazione di Microsoft Authenticator.
Domande frequenti
Authenticator Lite funziona come app broker?
No, Authenticator Lite è disponibile solo per le notifiche push e TOTP.
Authenticator Lite può essere usato per la reimpostazione della password self-service?
No, Authenticator Lite è disponibile solo per le notifiche push e TOTP.
È disponibile nell'app desktop di Outlook?
No, Authenticator Lite è disponibile solo in Outlook mobile.
Dove gli utenti possono registrarsi per Authenticator Lite?
Gli utenti possono registrarsi solo per Authenticator Lite da Outlook per dispositivi mobili. La registrazione di Authenticator Lite può essere gestita da aka.ms/mysignins.
Gli utenti possono registrare Microsoft Authenticator e Authenticator Lite?
Gli utenti con Microsoft Authenticator nel dispositivo non possono registrare Authenticator Lite nello stesso dispositivo. Se un utente ha una registrazione Authenticator Lite e successivamente scarica Microsoft Authenticator, può registrare entrambi. Se un utente ha due dispositivi, può registrare Authenticator Lite su uno e Microsoft Authenticator sull'altro.
Problemi noti
Notifiche della reimpostazione della password self-service
I codici TOTP di Outlook funzioneranno per la reimpostazione della password self-service, ma la notifica push non funzionerà e restituirà un errore.
I log mostrano valutazioni aggiuntive per l'accesso condizionale
I criteri di accesso condizionale vengono valutati ogni volta che un utente apre l'app Outlook per determinare se l'utente è idoneo per la registrazione per Authenticator Lite. Questi controlli possono essere visualizzati nei log.