Microsoft Authenticator Lite inschakelen voor Outlook Mobile
Microsoft Authenticator Lite is een ander oppervlak voor Microsoft Entra-gebruikers om meervoudige verificatie te voltooien met behulp van pushmeldingen of op tijd gebaseerde eenmalige wachtwoordcodes (TOTP) op hun Android- of iOS-apparaat. Met Authenticator Lite kunnen gebruikers voldoen aan een meervoudige verificatievereiste vanuit het gemak van een vertrouwde app. Authenticator Lite is momenteel ingeschakeld in Outlook Mobile.
Gebruikers ontvangen een melding in Outlook Mobile om aanmelding goed te keuren of te weigeren, of ze kunnen een TOTP kopiëren om te gebruiken tijdens het aanmelden.
Notitie
Dit zijn belangrijke beveiligingsverbeteringen voor gebruikers die verifiëren via telecomtransporten:
- Op 26 juni is de door Microsoft beheerde waarde van deze functie gewijzigd van Uitgeschakeldin Ingeschakeld in het beleid voor verificatiemethoden. Als u deze functie niet meer wilt inschakelen, verplaatst u de status van standaard naar Uitgeschakeld of beperkt u deze tot alleen een groep gebruikers.
- Vanaf 18 september wordt Authenticator Lite ingeschakeld als onderdeel van de optie *Notification through mobile app verification option in the per user MFA policy. Als u deze functie niet wilt inschakelen, kunt u deze uitschakelen in het beleid voor verificatiemethoden door de onderstaande stappen te volgen.
Vereisten
Uw organisatie moet pushmeldingen van Microsoft Authenticator (tweede factor) inschakelen voor alle gebruikers of groepen selecteren. U wordt aangeraden Microsoft Authenticator in te schakelen met behulp van het beleid voor moderne verificatiemethoden. U kunt het beleid voor verificatiemethoden bewerken met behulp van het Microsoft Entra-beheercentrum of Microsoft Graph API. Organisaties met een actieve MFA-server komen niet in aanmerking voor deze functie.
Tip
U wordt aangeraden ook meervoudige verificatie (MFA) in te schakelen wanneer u Authenticator Lite inschakelt. Als MFA is ingeschakeld voor het systeem, proberen gebruikers zich aan te melden met Authenticator Lite voordat ze minder veilige telefoniemethoden proberen, zoals sms of spraakoproep.
Als uw organisatie gebruikmaakt van de AD FS-adapter (Active Directory Federation Services) of NPS-extensies (Network Policy Server), voert u een upgrade uit naar de nieuwste versies voor een consistente ervaring.
Gebruikers die zijn ingeschakeld voor de modus gedeeld apparaat in Outlook Mobile komen niet in aanmerking voor Authenticator Lite.
Gebruikers moeten een minimale versie van Outlook Mobile uitvoeren.
Besturingssysteem Outlook-versie Android 4.2310.1 iOS 4.2312.1
Authenticator Lite inschakelen
Authenticator Lite wordt standaard beheerd door Microsoft in het beleid voor verificatiemethoden. Op 26 juni is de door Microsoft beheerde waarde van deze functie gewijzigd van uitgeschakeld in Ingeschakeld. Authenticator Lite is ook opgenomen als onderdeel van de melding via de verificatieoptie voor mobiele apps in het MFA-beleid per gebruiker.
Authenticator Lite uitschakelen in het Microsoft Entra-beheercentrum
Voer de volgende stappen uit om Authenticator Lite uit te schakelen in het Microsoft Entra-beheercentrum:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.
Blader naar beveiligingsverificatiemethoden>>Microsoft Authenticator.
Klik op het tabblad Inschakelen en doel op Inschakelen en Alle gebruikers om het Authenticator-beleid voor iedereen in te schakelen of selecteergroepen toe te voegen. Stel de verificatiemodus voor deze gebruikers/groepen in op Any of Push.
Gebruikers die niet zijn ingeschakeld voor Microsoft Authenticator, kunnen de functie niet zien. Gebruikers die Microsoft Authenticator hebben gedownload op hetzelfde apparaat waarop Outlook is gedownload, worden niet gevraagd zich te registreren voor Authenticator Lite in Outlook. Android-gebruikers die een persoonlijk en werkprofiel op hun apparaat gebruiken, kunnen worden gevraagd zich te registreren als Authenticator aanwezig is in een ander profiel dan de Outlook-toepassing.
Wijzig op het tabblad Configureren voor Microsoft Authenticator voor secundaire toepassingen de status in Uitgeschakeld en klik op Opslaan.
Notitie
Als uw organisatie nog steeds verificatiemethoden beheert in het MFA-beleid per gebruiker, moet u Meldingen via mobiele app uitschakelen als verificatieoptie daar naast de voorgaande stappen. We raden u aan dit alleen te doen nadat u Microsoft Authenticator hebt ingeschakeld in het beleid voor verificatiemethoden. U kunt de rest van uw verificatiemethoden in het MFA-beleid per gebruiker beheren terwijl Microsoft Authenticator wordt beheerd in het moderne beleid voor verificatiemethoden. Het is echter raadzaam om het beheer van alle verificatiemethoden te migreren naar het moderne verificatiemethodenbeleid. De mogelijkheid om verificatiemethoden in het MFA-beleid per gebruiker te beheren, wordt op 30 september 2025 buiten gebruik gesteld.
Authenticator Lite inschakelen via Graph API's
| Eigenschap | Type | Description |
|---|---|---|
| excludeTarget | featureTarget | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten van Authenticator Lite, wat een dynamische of geneste groep kan zijn. |
| includeTarget | featureTarget | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep voor Authenticator Lite opnemen. Dit kan een dynamische of geneste groep zijn. |
| Provincie | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard kan Microsoft Entra-id beheren of de functie al dan niet is ingeschakeld voor de geselecteerde groep. |
Zodra u de individuele doelgroep hebt geïdentificeerd, gebruikt u het volgende API-eindpunt om de eigenschap CompanionAppsAllowedState onder functie te wijzigen Instellingen.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Notitie
In Graph Explorer moet u toestemming geven voor de machtiging Policy.ReadWrite.AuthenticationMethod .
Aanvragen
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Gebruikersregistratie
Als deze optie is ingeschakeld voor Authenticator Lite, wordt gebruikers gevraagd hun account rechtstreeks vanuit Outlook Mobile te registreren. Authenticator Lite-registratie is niet beschikbaar met Behulp van MySignIns. Gebruikers kunnen Authenticator Lite ook in- of uitschakelen vanuit Outlook Mobile. Zie Authenticator Lite-ondersteuning voor meer informatie over de gebruikerservaring.
Notitie
Als er geen MFA-methoden zijn geregistreerd, wordt gebruikers gevraagd Authenticator te downloaden wanneer ze de registratiestroom starten. Voor de meest naadloze ervaring richt u gebruikers in met een Tijdelijke Access Pass (TAP) die ze kunnen gebruiken tijdens authenticator Lite-registratie.
Authenticator Lite-gebruik bewaken
Aanmeldingslogboeken kunnen weergeven welke app is gebruikt om gebruikersverificatie te voltooien. Als u de meest recente aanmeldingen wilt bekijken, gebruikt u de volgende aanroep op het bèta-API-eindpunt:
GET auditLogs/signIns
Als de aanmelding is uitgevoerd via de melding van de telefoon-app, retourneert het veld clientApp onder authenticationAppDeviceDetails microsoftAuthenticator of Outlook.
Als een gebruiker Authenticator Lite heeft geregistreerd, bevatten de geregistreerde verificatiemethoden van de gebruiker Microsoft Authenticator (in Outlook).
Pushmeldingen in Authenticator Lite
Pushmeldingen die door Authenticator Lite worden verzonden, kunnen niet worden geconfigureerd en zijn niet afhankelijk van de instellingen van de Authenticator-functie. Authenticator Lite biedt geen ondersteuning voor verificatiemodus zonder wachtwoord. De instellingen voor functies die zijn opgenomen in de Authenticator Lite-ervaring, worden vermeld in de volgende tabel. Elke verificatie bevat een nummerkoppelingsprompt en bevat geen app- en locatiecontext, ongeacht de instellingen van microsoft Authenticator-functies.
| Verificatorfunctie | Authenticator Lite-ervaring |
|---|---|
| Nummerkoppeling | Ingeschakeld |
| Locatiecontext | Uitgeschakeld |
| Toepassingscontext | Uitgeschakeld |
In de volgende schermopnamen ziet u wat gebruikers zien wanneer Authenticator Lite een pushmelding verzendt.
AD FS-adapter en NPS-extensie
Authenticator Lite dwingt nummerkoppeling af bij elke verificatie. Als uw tenant een AD FS-adapter of een NPS-extensie gebruikt, kunnen uw gebruikers mogelijk geen Authenticator Lite-meldingen voltooien. Zie AD FS-adapter en NPS-extensie voor meer informatie.
Zie de verificatiemethode van Microsoft Authenticator voor meer informatie over verificatiemeldingen.
Veelgestelde vragen
Werkt Authenticator Lite als broker-app?
Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.
Kan Authenticator Lite worden gebruikt voor SSPR?
Nee, Authenticator Lite is alleen beschikbaar voor pushmeldingen en TOTP.
Is dit beschikbaar in de bureaublad-app van Outlook?
Nee, Authenticator Lite is alleen beschikbaar in Outlook Mobile.
Waar kunnen gebruikers zich registreren voor Authenticator Lite?
Gebruikers kunnen zich alleen registreren voor Authenticator Lite vanuit mobiele Outlook. Authenticator Lite-registratie kan worden beheerd vanuit aka.ms/mysignins.
Kunnen gebruikers Microsoft Authenticator en Authenticator Lite registreren?
Gebruikers met Microsoft Authenticator op hun apparaat kunnen Authenticator Lite niet registreren op hetzelfde apparaat. Als een gebruiker een Authenticator Lite-registratie heeft en vervolgens Microsoft Authenticator later downloadt, kunnen ze beide registreren. Als een gebruiker twee apparaten heeft, kunnen ze Authenticator Lite registreren op een apparaat en Microsoft Authenticator op de andere.
Bekende problemen
SSPR-meldingen
TOTP-codes van Outlook werken voor SSPR, maar de pushmelding werkt niet en retourneert een fout.
Logboeken tonen aanvullende evaluaties van voorwaardelijke toegang
Het beleid voor voorwaardelijke toegang wordt telkens geëvalueerd wanneer een gebruiker zijn Outlook-app opent om te bepalen of de gebruiker in aanmerking komt voor registratie voor Authenticator Lite. Deze controles kunnen worden weergegeven in logboeken.