Outlook モバイルに対して Microsoft Authenticator Lite を有効にする方法
Microsoft Authenticator Lite は、Microsoft Entra ユーザーが Android または iOS デバイスでプッシュ通知または時間ベースのワンタイム パスコード (TOTP) を使用して多要素認証を完了するためのもう 1 つのサーフェスです。 Authenticator Lite を使用すると、ユーザーは便利な使い慣れたアプリから多要素認証要件を満たすことができます。 Authenticator Lite は現在、Outlook モバイルで有効になっています。
ユーザーは Outlook モバイルでサインインを承認または拒否するための通知を受け取るか、サインイン時に使用する TOTP をコピーできます。
Note
以下は、通信トランスポート経由で認証するユーザーにとって重要なセキュリティ強化です。
- 6 月 26 日に、認証方法ポリシーにおいて、Microsoft が管理するこの機能の値は [無効] から [有効] に変更されました。 この機能を今後は有効にしない場合、状態を [既定] から [無効] に変更するか、範囲を一部のユーザー グループだけに設定します。
- 9 月 18 日以降、ユーザーごとの MFA ポリシーの *[モバイル アプリによる通知] 確認オプションの一部として Authenticator Lite が有効になります。 この機能を有効にしない場合、認証方法ポリシーで次の手順で無効にできます。
前提条件
組織は、Microsoft Authenticator (第 2 要素) プッシュ通知をすべてのユーザーまたは一部のグループに対して有効にする必要があります。 最新の認証方法ポリシーを利用して Microsoft Authenticator を有効にすることをお勧めします。 認証方法ポリシーは、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して編集できます。 MFA サーバーをアクティブにしている組織はこの機能を利用できません。
ヒント
Authenticator Lite を有効にする場合は、システム優先多要素認証 (MFA) も有効にすることをお勧めします。 システム優先 MFA が有効になっている場合、ユーザーは SMS や音声通話などの安全性の低いテレフォニー方法を試す前に、Authenticator Lite でサインインしようとします。
組織が Active Directory フェデレーション サービス (AD FS) アダプターまたはネットワーク ポリシー サーバー (NPS) 拡張機能を使用している場合は、一貫性のあるエクスペリエンスになるように最新バージョンにアップグレードしてください。
Outlook モバイルで共有デバイス モードが有効になっているユーザーは、Authenticator Lite の対象になりません。
ユーザーは、Outlook モバイルの最小バージョンを実行する必要があります。
オペレーティング システム Outlook のバージョン Android 4.2310.1 iOS 4.2312.1
Authenticator Lite を有効にする
既定では、Authenticator Lite は認証方法ポリシーで Microsoft によって管理されます。 6 月 26 日に、この機能の Microsoft マネージド値は [無効] から [有効] に変更されます。 ユーザーごとの MFA ポリシーの [モバイル アプリによる通知] 確認オプションの一部として Authenticator Lite も含まれます。
Microsoft Entra 管理センターで Authenticator Lite を無効にする
Microsoft Entra 管理センターで Authenticator Lite を無効にするには、次の手順を実行します。
少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
[保護]、[認証方法]、[Microsoft Authenticator] の順に進みます。
[有効化およびターゲット] タブで [有効化] と [すべてのユーザー] をクリックし、すべてのユーザーに対して Authenticator ポリシーを有効にするか、一部のグループを追加します。 それらのユーザーまたはグループの [認証モード] を [すべて] または [プッシュ] に設定します。
Microsoft Authenticator が有効になっていないユーザーは、この機能を表示できません。 Outlook がダウンロードされているのと同じデバイスに Microsoft Authenticator をダウンロードしたユーザーは、Outlook で Authenticator Lite に登録するように求められません。 個人用と仕事用のプロファイルをデバイスで利用している Android ユーザーは、Authenticator が Outlook アプリケーションとは異なるプロファイルに存在する場合に登録するように求められることがあります。
[構成] タブの [コンパニオン アプリケーションの Microsoft Authenticator] で、[ステータス] を [無効] に変更し、[保存] をクリックします。
Note
組織が依然としてユーザー別の MFA ポリシーで認証方法を管理している場合、前述の手順に加え、検証オプションとして "モバイル アプリによる通知" を無効にする必要があります。 これは必ず、認証方法ポリシーで Microsoft Authenticator を有効にした後に行うことをお勧めします。 Microsoft Authenticator が最新の認証方法ポリシーで管理されている間、ユーザーごとの MFA ポリシーで引き続き、残りの認証方法を管理できます。 ただし、すべての認証方法の管理を最新の認証方法ポリシーに移行することをお勧めします。 ユーザーごとの MFA ポリシーで認証方法を管理する機能は、2025 年 9 月 30 日に廃止されます。
Graph API を使用して Authenticator Lite を有効にする
| プロパティ | タイプ | 説明 |
|---|---|---|
| excludeTarget | featureTarget | この機能から除外される 1 つのエンティティ。 Authenticator Lite から除外できるグループは 1 つのみであり、動的または入れ子にしたグループを指定できます。 |
| includeTarget | featureTarget | この機能に含まれる 1 つのエンティティ。 Authenticator Lite に含めることができるグループは 1 つのみであり、動的または入れ子にしたグループを指定できます。 |
| State | advancedConfigState | 次のいずれかの値になります。 enabled では、選択したグループに対してこの機能を明示的に有効にします。 disabled では、選択したグループに対してこの機能を明示的に無効にします。 既定 では、選択したグループに対してこの機能を有効にするかどうかを Microsoft Entra ID で管理できます。 |
単一のターゲット グループを特定したら、次の API エンドポイントを使用して、featureSettings の CompanionAppsAllowedState プロパティを変更します。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
注意
Graph Explorer で、Policy.ReadWrite.AuthenticationMethod のアクセス許可に同意する必要があります。
要求
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
ユーザーの登録
Authenticator Lite が有効になっている場合、Outlook モバイルから直接アカウントを登録するように求めるプロンプトがユーザーに表示されます。 Authenticator Lite の登録を、MySignIns を使用して行なうことはできません。 ユーザーは、Outlook モバイル内から Authenticator Lite を有効または無効にすることもできます。 ユーザー エクスペリエンスの詳細については、Authenticator Lite のサポートを参照してください。
Note
MFA 方法が登録されていない場合、ユーザーは登録フローを開始するときに Authenticator をダウンロードするように求められます。 最もシームレスなエクスペリエンスを実現するには、Authenticator Lite の登録時に使用できる一時アクセス パス (TAP) を使用してユーザーをプロビジョニングします。
Authenticator Lite の使用状況の監視
サインイン ログで、ユーザー認証を完了するために使用されたアプリを表示できます。 最新のサインインを表示するには、ベータ API エンドポイントで次の呼び出しを使用します。
GET auditLogs/signIns
サインインが電話アプリ通知によって行われた場合は、authenticationAppDeviceDetails の下の clientApp フィールドに microsoftAuthenticator または Outlook が返されます。
ユーザーが Authenticator Lite を登録している場合、ユーザーの登録済み認証方法には Microsoft Authenticator (in Outlook) (Microsoft Authenticator (Outlook 内)) が含まれます。
Authenticator Lite のプッシュ通知
Authenticator Lite から送信されるプッシュ通知は構成できず、Authenticator 機能の設定に依存しません。 Authenticator Lite では、パスワードレス認証モードはサポートされていません。 Authenticator Lite エクスペリエンスに含まれる機能の設定を次の表に示します。 すべての認証には数値の一致プロンプトが含まれており、Microsoft Authentiator 機能の設定に関係なく、アプリと場所のコンテキストは含まれません。
| Authenticator 機能 | Authenticator Lite エクスペリエンス |
|---|---|
| 数値の一致 | Enabled |
| 場所コンテキスト | 無効 |
| アプリケーション コンテキスト | 無効 |
Authenticator Lite がプッシュ通知を送信したときにユーザーに表示される内容を次のスクリーンショットに示します。
AD FS アダプターと NPS 拡張機能
Authenticator Lite では、認証ごとに数値の一致が実施されます。 テナントで AD FS アダプターまたは NPS 拡張機能を使用している場合、ユーザーは Authenticator Lite 通知を完了できない可能性があります。 詳細については、「AD FS アダプター」と「NPS 拡張機能」を参照してください。
検証通知の詳細については、Microsoft Authenticator の認証方法に関する記事を参照してください。
一般的な質問
Authenticator Lite はブローカー アプリとして機能しますか?
いいえ。Authenticator Lite は、プッシュ通知と TOTP にのみ使用できます。
Authenticator Lite を SSPR に使用できますか?
いいえ。Authenticator Lite は、プッシュ通知と TOTP にのみ使用できます。
これは Outlook デスクトップ アプリで使用できますか?
いいえ。Authenticator Lite は Outlook モバイルでのみ使用できます。
ユーザーはどこで Authenticator Lite に登録できますか?
ユーザーはモバイル Outlook からのみ Authenticator Lite に登録できます。 Authenticator Lite の登録は、aka.ms/mysignins で管理できます。
ユーザーは Microsoft Authenticator と Authenticator Lite を登録できますか?
デバイスに Microsoft Authenticator があるユーザーは、その同じデバイスに Authenticator Lite を登録できません。 ユーザーが Authenticator Lite 登録を持っていて、後で Microsoft Authenticator をダウンロードした場合は、両方を登録できます。 ユーザーが 2 台のデバイスを持っている場合は、一方に Authenticator Lite を、もう一方に Microsoft Authenticator を登録できます。
の既知の問題
SSPR 通知
Outlook の TOTP コードは SSPR で機能しますが、プッシュ通知は機能せず、エラーが返されます。
ログに、追加の条件付きアクセス評価が表示されています
条件付きアクセス ポリシーは、ユーザーが Authenticator Lite に登録する資格があるかどうかを判断するために、ユーザーが Outlook アプリを開くたびに評価されます。 これらのチェックは、ログに表示される場合があります。