Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Authenticator Lite è un'altra superficie per consentire agli utenti di Microsoft Entra di completare l'autenticazione a più fattori (MFA) usando notifiche push o passcode monouso basati sul tempo (TOTP) nel dispositivo Android o iOS. Con Authenticator Lite, gli utenti possono soddisfare un requisito MFA per praticità di un'app familiare. Authenticator Lite è attualmente abilitato in Outlook mobile.
Gli utenti ricevono una notifica in Outlook mobile per approvare o negare l'accesso oppure è possibile copiare un TOTP da usare durante l'accesso.
Nota
Autenticatevi con questi importanti miglioramenti della sicurezza se utilizzate trasporti di telecomunicazioni.
- Il valore gestito da Microsoft di questa funzionalità è abilitato nei criteri dei Metodi di autenticazione. Se non si vuole abilitare questa funzionalità, spostare lo stato da predefinito a Disabilitatoo limitarlo a un gruppo di utenti.
- Authenticator Lite è abilitato come parte dell'opzione di notifica attraverso l'app di verifica su dispositivi mobili nella policy MFA per utente. Se non si vuole abilitare questa funzionalità, è possibile disabilitarla nei criteri Metodi di autenticazione seguendo la procedura descritta in questo articolo.
Prerequisiti
L'organizzazione deve abilitare le notifiche push authenticator (secondo fattore) per tutti gli utenti o selezionare i gruppi. È consigliabile abilitare Authenticator usando i criteri moderni dei metodi di autenticazione . È possibile modificare i criteri dei metodi di autenticazione usando l'interfaccia di amministrazione di Microsoft Entra o l'API Microsoft Graph. Authenticator Lite non è idoneo per gli account utente o le organizzazioni locali con un server MFA attivo.
Suggerimento
Si consiglia di abilitare anche il MFA preferito dal sistema quando abiliti Authenticator Lite. Con l'autenticazione a più fattori preferita dal sistema abilitata, gli utenti provano ad accedere con Authenticator Lite prima di provare metodi di telefonia meno sicuri, ad esempio SMS o chiamate vocali.
Se l'organizzazione usa l'adapter Active Directory Federation Services (AD FS) o le estensioni Network Policy Server (NPS), esegui l'aggiornamento alle versioni più recenti per un'esperienza coerente.
Gli utenti abilitati per la modalità dispositivo condiviso in Outlook mobile non sono idonei per Authenticator Lite.
Gli utenti devono eseguire una versione minima di Outlook mobile.
Sistema operativo Versione di Outlook Androide 4.2310.1 Ios 4.2312.1
Abilitare Authenticator Lite
Per impostazione predefinita, Authenticator Lite è Gestito da Microsoft nei criteri dei metodi di autenticazione. Il 26 giugno il valore gestito da Microsoft di questa funzionalità è cambiato da disabled a enabled. Authenticator Lite è incluso anche come parte dell'opzione notifica tramite app mobile nei criteri MFA per utente.
Disabilitare Authenticator Lite nell'interfaccia di amministrazione di Microsoft Entra
Per disabilitare Authenticator Lite nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:
Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore dei criteri di autenticazione.
Passare a Entra ID>metodi di autenticazione>Microsoft Authenticator.
Nella scheda Abilita e Destinazione, selezionare Abilita e Tutti gli utenti per abilitare la politica Authenticator per tutti, oppure aggiungere gruppi selezionati. Imposta la modalità di autenticazione per questi utenti o gruppi su Qualsiasi o Push.
Gli utenti che non sono abilitati per Authenticator non possono visualizzare la funzionalità. Agli utenti che hanno scaricato Authenticator nello stesso dispositivo in cui viene scaricato Outlook non viene richiesto di registrarsi per Authenticator Lite in Outlook. Agli utenti Android che usano un profilo personale e di lavoro nel dispositivo potrebbe essere richiesto di registrare se Authenticator è presente in un profilo diverso dall'applicazione Outlook.
Nella scheda Configura
per Microsoft Authenticator nelle applicazioni complementari , modificareStato inDisabilitato e quindi selezionareSalva .
Se l'organizzazione gestisce ancora i metodi di autenticazione nei criteri MFA per utente, è necessario disabilitare la notifica tramite l'app per dispositivi mobili come opzione di verifica oltre ai passaggi precedenti. È consigliabile eseguire questo passaggio solo dopo aver abilitato Authenticator nei criteri metodi di autenticazione.
È possibile continuare a gestire il resto dei metodi di autenticazione nei criteri MFA per utente mentre Authenticator è gestito nei criteri moderni dei metodi di autenticazione. È tuttavia consigliabile migrare la gestione di tutti i metodi di autenticazione ai criteri di metodi di autenticazione moderni. La possibilità di gestire i metodi di autenticazione nei criteri MFA per singolo utente viene ritirata il 30 settembre 2025.
Abilitare Authenticator Lite tramite le API Graph
| Proprietà | Tipo | Descrizione |
|---|---|---|
excludeTarget |
featureTarget |
Singola entità esclusa da questa funzionalità. È possibile escludere un solo gruppo da Authenticator Lite, che può essere un gruppo dinamico o annidato. |
includeTarget |
featureTarget |
Singola entità inclusa in questa funzionalità. È possibile includere un solo gruppo per Authenticator Lite, che può essere un gruppo dinamico o annidato. |
State |
advancedConfigState |
Valori possibili: Abilitato abilita in modo esplicito la funzionalità per il gruppo selezionato. Disabilitato disabilita in modo esplicito la funzionalità per il gruppo selezionato. Impostazione predefinita consente a Microsoft Entra ID di gestire l'abilitazione della funzionalità per il gruppo selezionato. |
Dopo aver identificato il singolo gruppo di destinazione, usare l'endpoint API seguente per modificare la proprietà CompanionAppsAllowedState sotto featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
In Graph Explorer è necessario fornire il consenso all'autorizzazione Policy.ReadWrite.AuthenticationMethod.
Richiedi
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Registrazione utente
Se gli utenti sono abilitati per Authenticator Lite, viene richiesto di registrare l'account direttamente da Outlook mobile. La registrazione di Authenticator Lite non è disponibile usando I miei accessi. Gli utenti possono abilitare o disabilitare Authenticator Lite in Outlook mobile. Per altre informazioni sull'esperienza utente, vedere Supporto di Authenticator Lite.
Se gli utenti non hanno metodi MFA registrati, viene richiesto di scaricare Authenticator quando iniziano il flusso di registrazione. Per un'esperienza più fluida, fornire agli utenti un Temporary Access Pass (TAP) durante la registrazione di Authenticator Lite.
Monitorare l'utilizzo di Authenticator Lite
I log di accesso possono mostrare l'app usata per completare l'autenticazione utente. Per visualizzare gli accessi più recenti, usare la chiamata seguente all'endpoint dell'API beta:
GET auditLogs/signIns
Se l'accesso è stato eseguito tramite notifica dall'app del telefono, in authenticationAppDeviceDetails il campo clientApp restituisce microsoftAuthenticator o Outlook.
Se un utente ha registrato Authenticator Lite, i metodi di autenticazione registrati dell'utente includono Microsoft Authenticator (in Outlook).
Notifiche push in Authenticator Lite
Le notifiche push inviate da Authenticator Lite non sono configurabili e non dipendono dalle impostazioni della funzionalità Authenticator. Authenticator Lite non supporta la modalità di autenticazione senza password. La tabella seguente elenca le impostazioni per le funzionalità incluse nell'esperienza Authenticator Lite. Ogni autenticazione include una richiesta di corrispondenza numerica e non include il contesto dell'app e della posizione, indipendentemente dalle impostazioni delle funzionalità di Authenticator.
| Funzionalità di autenticazione | Esperienza Authenticator Lite |
|---|---|
| Corrispondenza dei numeri | Attivata |
| Contesto della localizzazione | Disabilitata |
| Contesto dell'applicazione | Disabilitata |
Gli screenshot seguenti mostrano cosa vedono gli utenti quando Authenticator Lite invia una notifica push.
Adattatore AD FS ed estensione NPS
Authenticator Lite applica la corrispondenza dei numeri in ogni autenticazione. Se il tenant utilizza un adattatore AD FS o un'estensione NPS, gli utenti potrebbero avere difficoltà a completare le notifiche di Authenticator Lite. Per ulteriori informazioni, vedere adattatore AD FS ed estensione NPS.
Per altre informazioni sulle notifiche di verifica, vedere Metodo di autenticazione di Microsoft Authenticator.
Domande frequenti
Le sezioni seguenti elencano le domande comuni.
Authenticator Lite funziona come app broker?
No, Authenticator Lite è disponibile solo per le notifiche push e TOTP.
Authenticator Lite può essere usato per SSPR?
No, Authenticator Lite è disponibile solo per le notifiche push e TOTP.
Authenticator Lite è disponibile nell'app desktop di Outlook?
No, Authenticator Lite è disponibile solo su Outlook mobile.
Dove gli utenti possono registrarsi per Authenticator Lite?
Gli utenti possono registrarsi solo per Authenticator Lite da Outlook per dispositivi mobili. La registrazione di Authenticator Lite viene gestita da I miei accessi.
Gli utenti possono registrare Authenticator e Authenticator Lite?
Gli utenti che hanno Authenticator nel dispositivo non possono registrare Authenticator Lite nello stesso dispositivo. Se un utente ha una registrazione Authenticator Lite e successivamente scarica Authenticator, può registrare entrambi. Se un utente ha due dispositivi, può registrare Authenticator Lite su uno e Authenticator nell'altro.
Problemi noti
Sono noti i problemi seguenti.
Notifiche di reimpostazione della password self-service
I codici TOTP di Outlook funzionano per SSPR, ma la notifica push non funziona e restituisce un errore.
I log mostrano le valutazioni aggiunte per l'Accesso Condizionale
I criteri di accesso condizionale vengono valutati ogni volta che un utente apre l'app Outlook per determinare se è idoneo per la registrazione per Authenticator Lite. Questi controlli potrebbero essere visualizzati nei log.