Share via


Microsoft Authenticator Lite inschakelen voor Outlook Mobile

Microsoft Authenticator Lite is een ander oppervlak voor Microsoft Entra-gebruikers om meervoudige verificatie te voltooien met behulp van pushmeldingen of op tijd gebaseerde eenmalige wachtwoordcodes (TOTP) op hun Android- of iOS-apparaat. Met Authenticator Lite kunnen gebruikers voldoen aan een meervoudige verificatievereiste vanuit het gemak van een vertrouwde app. Authenticator Lite is momenteel ingeschakeld in Outlook Mobile.

Gebruikers ontvangen een melding in Outlook Mobile om aanmelding goed te keuren of te weigeren, of ze kunnen een TOTP kopiëren om te gebruiken tijdens het aanmelden.

Notitie

Dit zijn belangrijke beveiligingsverbeteringen voor gebruikers die verifiëren via telecomtransporten:

  • Op 26 juni is de door Microsoft beheerde waarde van deze functie gewijzigd van Uitgeschakeld in Ingeschakeld in het beleid voor verificatiemethoden. Als u deze functie niet meer wilt inschakelen, verplaatst u de status van standaard naar Uitgeschakeld of beperkt u deze tot alleen een groep gebruikers.
  • Vanaf 18 september wordt Authenticator Lite ingeschakeld als onderdeel van de optie *Notification through mobile app verification option in the per user MFA policy. Als u deze functie niet wilt inschakelen, kunt u deze uitschakelen in het beleid voor verificatiemethoden door de onderstaande stappen te volgen.

Vereisten

  • Uw organisatie moet pushmeldingen van Microsoft Authenticator (tweede factor) inschakelen voor alle gebruikers of groepen selecteren. U wordt aangeraden Microsoft Authenticator in te schakelen met behulp van het beleid voor moderne verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API. Authenticator Lite komt niet in aanmerking voor on-premises gebruikersaccounts of organisaties met een actieve MFA-server.

    Tip

    U wordt aangeraden ook meervoudige verificatie (MFA) in te schakelen wanneer u Authenticator Lite inschakelt. Als MFA is ingeschakeld voor het systeem, proberen gebruikers zich aan te melden met Authenticator Lite voordat ze minder veilige telefoniemethoden proberen, zoals sms of spraakoproep.

  • Als uw organisatie gebruikmaakt van de AD FS-adapter (Active Directory Federation Services) of NPS-extensies (Network Policy Server), voert u een upgrade uit naar de nieuwste versies voor een consistente ervaring.

  • Gebruikers die zijn ingeschakeld voor de modus gedeeld apparaat in Outlook Mobile komen niet in aanmerking voor Authenticator Lite.

  • Gebruikers moeten een minimale versie van Outlook Mobile uitvoeren.

    Besturingssysteem Outlook-versie
    Android 4.2310.1
    iOS 4.2312.1

Authenticator Lite inschakelen

Authenticator Lite wordt standaard beheerd door Microsoft in het beleid voor verificatiemethoden. Op 26 juni is de door Microsoft beheerde waarde van deze functie gewijzigd van uitgeschakeld in Ingeschakeld. Authenticator Lite is ook opgenomen als onderdeel van de melding via de verificatieoptie voor mobiele apps in het MFA-beleid per gebruiker.

Authenticator Lite uitschakelen in het Microsoft Entra-beheercentrum

Voer de volgende stappen uit om Authenticator Lite uit te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar beveiligingsverificatiemethoden>>Microsoft Authenticator.

  3. Klik op het tabblad Inschakelen en doel op Inschakelen en Alle gebruikers om het Authenticator-beleid voor iedereen in te schakelen of selecteergroepen toe te voegen. Stel de verificatiemodus voor deze gebruikers/groepen in op Any of Push.

    Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, kunnen de functie niet zien. Gebruikers die Microsoft Authenticator hebben gedownload op hetzelfde apparaat waarop Outlook is gedownload, worden niet gevraagd zich te registreren voor Authenticator Lite in Outlook. Android-gebruikers die een persoonlijk en werkprofiel op hun apparaat gebruiken, kunnen worden gevraagd zich te registreren als Authenticator aanwezig is in een ander profiel dan de Outlook-toepassing.

    Authenticator-instellingen voor Het Microsoft Entra-beheercentrum
  4. Wijzig op het tabblad Configureren voor Microsoft Authenticator voor secundaire toepassingen de status in Uitgeschakeld en klik op Opslaan.

    Configuratie-instellingen voor Authenticator Lite

    Notitie

    Als uw organisatie nog steeds verificatiemethoden beheert in het MFA-beleid per gebruiker, moet u Meldingen via mobiele app uitschakelen als verificatieoptie daar naast de voorgaande stappen. We raden u aan dit alleen te doen nadat u Microsoft Authenticator hebt ingeschakeld in het beleid voor verificatiemethoden. U kunt de rest van uw verificatiemethoden blijven beheren in het MFA-beleid per gebruiker terwijl Microsoft Authenticator wordt beheerd in het beleid voor moderne verificatiemethoden. Het is echter raadzaam om het beheer van alle verificatiemethoden te migreren naar het moderne verificatiemethodenbeleid. De mogelijkheid om verificatiemethoden in het MFA-beleid per gebruiker te beheren, wordt op 30 september 2025 buiten gebruik gesteld.

Authenticator Lite inschakelen via Graph API's

Eigenschap Type Description
excludeTarget featureTarget Eén entiteit die is uitgesloten van deze functie.
U kunt slechts één groep uitsluiten van Authenticator Lite, wat een dynamische of geneste groep kan zijn.
includeTarget featureTarget Eén entiteit die is opgenomen in deze functie.
U kunt slechts één groep voor Authenticator Lite opnemen. Dit kan een dynamische of geneste groep zijn.
Provincie advancedConfigState Mogelijke waarden zijn:
enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep.
disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep.
Standaard kan Microsoft Entra-id beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep.

Zodra u de individuele doelgroep hebt geïdentificeerd, gebruikt u het volgende API-eindpunt om de eigenschap CompanionAppsAllowedState onder featureSettings te wijzigen.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Notitie

In Graph Explorer moet u toestemming geven voor de machtiging Policy.ReadWrite.AuthenticationMethod .

Aanvraag

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Gebruikersregistratie

Als deze optie is ingeschakeld voor Authenticator Lite, wordt gebruikers gevraagd hun account rechtstreeks vanuit Outlook Mobile te registreren. Authenticator Lite-registratie is niet beschikbaar met Behulp van MySignIns. Gebruikers kunnen Authenticator Lite ook in- of uitschakelen vanuit Outlook Mobile. Zie Authenticator Lite-ondersteuning voor meer informatie over de gebruikerservaring.

Schermopname van het registreren van Authenticator Lite.

Notitie

Als er geen MFA-methoden zijn geregistreerd, wordt gebruikers gevraagd Authenticator te downloaden wanneer ze de registratiestroom starten. Voor de meest naadloze ervaring richt u gebruikers in met een Tijdelijke Access Pass (TAP) die ze kunnen gebruiken tijdens authenticator Lite-registratie.

Authenticator Lite-gebruik bewaken

Aanmeldingslogboeken kunnen weergeven welke app is gebruikt om gebruikersverificatie te voltooien. Als u de meest recente aanmeldingen wilt bekijken, gebruikt u de volgende aanroep op het bèta-API-eindpunt:

GET auditLogs/signIns

Als de aanmelding is uitgevoerd via de melding van de telefoon-app, retourneert het veld clientApp onder authenticationAppDeviceDetails microsoftAuthenticator of Outlook.

Als een gebruiker Authenticator Lite heeft geregistreerd, bevatten de geregistreerde verificatiemethoden van de gebruiker Microsoft Authenticator (in Outlook).

Pushmeldingen in Authenticator Lite

Pushmeldingen die door Authenticator Lite worden verzonden, kunnen niet worden geconfigureerd en zijn niet afhankelijk van de instellingen van de Authenticator-functie. Authenticator Lite biedt geen ondersteuning voor verificatiemodus zonder wachtwoord. De instellingen voor functies die zijn opgenomen in de Authenticator Lite-ervaring, worden vermeld in de volgende tabel. Elke verificatie bevat een nummerkoppelingsprompt en bevat geen app- en locatiecontext, ongeacht de instellingen van microsoft Authenticator-functies.

Verificatorfunctie Authenticator Lite-ervaring
Nummerkoppeling Ingeschakeld
Locatiecontext Uitgeschakeld
Toepassingscontext Uitgeschakeld

In de volgende schermopnamen ziet u wat gebruikers zien wanneer Authenticator Lite een pushmelding verzendt.

Schermopname van pushmeldingen in Outlook Mobile.

AD FS-adapter en NPS-extensie

Authenticator Lite dwingt nummerkoppeling af bij elke verificatie. Als uw tenant een AD FS-adapter of een NPS-extensie gebruikt, kunnen uw gebruikers mogelijk geen Authenticator Lite-meldingen voltooien. Zie AD FS-adapter en NPS-extensie voor meer informatie.

Zie de verificatiemethode van Microsoft Authenticator voor meer informatie over verificatiemeldingen.

Veelgestelde vragen

Werkt Authenticator Lite als broker-app?

Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.

Kan Authenticator Lite worden gebruikt voor SSPR?

Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.

Is dit beschikbaar in de bureaublad-app van Outlook?

Nee, Authenticator Lite is alleen beschikbaar in Outlook Mobile.

Waar kunnen gebruikers zich registreren voor Authenticator Lite?

Gebruikers kunnen zich alleen registreren voor Authenticator Lite vanuit mobiele Outlook. Authenticator Lite-registratie kan worden beheerd vanuit aka.ms/mysignins.

Kunnen gebruikers Microsoft Authenticator en Authenticator Lite registreren?

Gebruikers met Microsoft Authenticator op hun apparaat kunnen Authenticator Lite niet registreren op hetzelfde apparaat. Als een gebruiker een Authenticator Lite-registratie heeft en vervolgens Microsoft Authenticator later downloadt, kunnen ze beide registreren. Als een gebruiker twee apparaten heeft, kunnen ze Authenticator Lite registreren op een apparaat en Microsoft Authenticator op de andere.

Bekende problemen

SSPR-meldingen

TOTP-codes van Outlook werken voor SSPR, maar de pushmelding werkt niet en retourneert een fout.

Logboeken tonen aanvullende evaluaties van voorwaardelijke toegang

Het beleid voor voorwaardelijke toegang wordt telkens geëvalueerd wanneer een gebruiker zijn Outlook-app opent om te bepalen of de gebruiker in aanmerking komt voor registratie voor Authenticator Lite. Deze controles kunnen worden weergegeven in logboeken.

Volgende stappen

Verificatiemethoden in Microsoft Entra-id