Como habilitar o Microsoft Authenticator Lite para o Outlook móvel (pré-visualização)
O Microsoft Authenticator Lite é outra superfície para os usuários do Microsoft Entra concluírem a autenticação multifator usando notificações por push ou TOTP (Senhas Avulsas por Tempo Limitado) em seus dispositivos Android ou iOS. Com o Authenticator Lite, os usuários podem satisfazer um requisito de autenticação multi-fator da conveniência de um aplicativo familiar. O Authenticator Lite está atualmente habilitado no Outlook móvel.
Os usuários recebem uma notificação no Outlook móvel para aprovar ou negar a credencial ou podem copiar um TOTP para usar durante a entrada.
Observação
Esses são aprimoramentos de segurança importantes para os usuários que se autenticam por meio dos transportes de telecomunicações:
- Em 26 de junho, o valor gerenciado pela Microsoft desse recurso foi alterado de Desabilitado para Habilitado na política de métodos de autenticação. Se você não quiser mais que esse recurso seja habilitado, mova o estado de Padrão para Desabilitado ou defina o escopo dele para apenas um grupo de usuários.
- A partir de 18 de setembro, o Authenticator Lite será habilitado como parte da opção de verificação *Notificação por meio do aplicativo móvel na política de MFA por usuário. Se você não quiser que esse recurso seja habilitado, poderá desabilitá-lo na política de métodos de autenticação seguindo as etapas abaixo.
Pré-requisitos
Sua organização precisa habilitar as notificações por push do Microsoft Authenticator (segundo fator) para todos os usuários ou grupos selecionados. É recomendável habilitar o Microsoft Authenticator usando a política moderna de métodos de autenticação. Você pode editar a política de Métodos de autenticação no centro de administração do Microsoft Entra ou na API do Microsoft Graph. Organizações com um servidor de MFA ativo não estão qualificadas para esse recurso.
Dica
Recomendamos que você também habilite a autenticação multifator preferencial do sistema (MFA) ao habilitar o Authenticator Lite. Com a MFA preferencial do sistema, os usuários tentam entrar com o Authenticator Lite antes de tentar métodos de telefonia menos seguros, como SMS ou chamada de voz.
Se sua organização estiver usando o adaptador de Serviços de Federação do Active Directory (AD FS) ou extensões do Servidor de Políticas de Rede (NPS), atualize para as versões mais recentes para uma experiência consistente.
Os usuários habilitados para o modo de dispositivo compartilhado no Outlook móvel não são elegíveis para o Authenticator Lite.
Os usuários devem executar uma versão mínima do Outlook móvel.
Sistema operacional Versão do Outlook Android 4.2310.1 iOS 4.2312.1
Habilitar o Authenticator Lite
Por padrão, o Authenticator Lite é gerenciado pela Microsoft na política de métodos de autenticação. Em 26 de junho, o valor gerenciado pela Microsoft desse recurso foi alterado de ‘desabilitado’ para ‘habilitado’. O Authenticator Lite também está incluído como parte da opção de verificação Notificação por meio do aplicativo móvel na política de MFA por usuário.
Desabilitar o Authenticator Lite no centro de administração do Microsoft Entra
Para desabilitar o Authenticator Lite no centro de administração do Microsoft Entra, conclua as etapas a seguir:
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Proteção>Métodos de autenticação>Microsoft Authenticator.
Na guia Habilitar e Direcionar, clique em Habilitar e Todos os usuários para habilitar a política do Authenticator para todos ou adicione grupos selecionados. Defina o Modo de autenticação desses usuários/grupos como Qualquer ou Push.
Os usuários que não estão habilitados para o Microsoft Authenticator não verão o recurso. Os usuários que tem o Microsoft Authenticator baixado no mesmo dispositivo no qual o Outlook foi baixado não serão solicitados a se registrar no Authenticator Lite no Outlook. Os usuários do Android que usam um perfil pessoal e de trabalho em seu dispositivo podem ser solicitados a se registrar se o Authenticator estiver presente em um perfil diferente do aplicativo Outlook.
Na guia Configurar, do Microsoft Authenticator em aplicativos complementares, altere o Status para Desabilitado e clique em Salvar.
Observação
Se sua organização ainda gerencia métodos de autenticação na política de MFA por usuário, é necessário desabilitar a Notificação por meio do aplicativo móvel como uma opção de verificação, além das etapas acima. É recomendável fazer isso somente depois de habilitar o Microsoft Authenticator na política de métodos de autenticação. Você pode continuar a gerenciar o restante de seus métodos de autenticação na política de MFA por usuário enquanto o Microsoft Authenticator é gerenciado na política moderna de métodos de autenticação. No entanto, recomendamos migrar o gerenciamento de todos os métodos de autenticação para a política moderna de métodos de autenticação. A capacidade de gerenciar métodos de autenticação na política de MFA por usuário será desativada em 30 de setembro de 2025.
Habilitar o Authenticator Lite por meio de APIs do Graph
| Propriedade | Type | Descrição |
|---|---|---|
| excludeTarget | featureTarget | Uma única entidade que é excluída deste recurso. Você só pode excluir um grupo do Authenticator Lite, que pode ser um grupo dinâmico ou aninhado. |
| includeTarget | featureTarget | Uma única entidade que é incluída neste recurso. Você só pode excluir um grupo para o Authenticator Lite, que pode ser um grupo dinâmico ou aninhado. |
| Estado | advancedConfigState | Os valores possíveis são: habilitado habilita explicitamente o recurso para o grupo selecionado. desabilitado desabilita explicitamente o recurso para o grupo selecionado. padrão permite que o Microsoft Entra ID gerencie se o recurso está habilitado ou não para o grupo selecionado. |
Uma vez identificado o único grupo de destino, use o seguinte ponto de extremidade de API para alterar a propriedade CompanionAppsAllowedState em featureSettings.
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
Observação
No Explorador do Graph, você precisa consentir com a permissão Policy.ReadWrite.AuthenticationMethod.
Solicitação
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
Registro de usuário
Se habilitado para o Authenticator Lite, os usuários são solicitados a registrar suas contas diretamente do Outlook móvel. O registro do Authenticator Lite não é disponível usando MySignIns. Os usuários também podem habilitar ou desabilitar o Authenticator Lite a partir do Outlook móvel. Para obter mais informações sobre a experiência do usuário, consulte o Suporte do Authenticator Lite.
Observação
Se eles não tiverem nenhum método MFA registrado, os usuários serão solicitados a baixar o Authenticator quando iniciarem o fluxo de registro. Para obter uma experiência mais contínua, provisione aos seus usuários uma Senha de Acesso Temporária (TAP) que eles podem usar durante o registro do Authenticator Lite.
Monitoramento de uso do Authenticator Lite
Os Logs de credenciais podem mostrar qual aplicativo foi usado para concluir a autenticação do usuário. Para exibir as últimas entradas, use a seguinte chamada no ponto de extremidade da API beta:
GET auditLogs/signIns
Se a entrada foi feita através de notificação de aplicativo, em authenticationAppDeviceDetails, o campo clientApp retornará microsoftAuthenticator ou Outlook.
Se um usuário tiver registrado o Authenticator Lite, os métodos de autenticação registrados pelo usuário incluem o Microsoft Authenticator (no Outlook).
Notificações por push do Authenticator Lite
As notificações por push enviadas pelo Authenticator Lite não são configuráveis e não dependem das configurações da funcionalidade do Authenticator. O Authenticator Lite não dá suporte ao modo de autenticação sem senha. As configurações das funcionalidades incluídas na experiência do Authenticator Lite estão listadas na tabela a seguir. Cada autenticação inclui um prompt de correspondência de números e não inclui o contexto de aplicativo e local, independentemente das configurações de recurso do Microsoft Authenticator.
| Funcionalidade do Authenticator | Experiência do Authenticator Lite |
|---|---|
| Correspondência de Números | habilitado |
| Contexto de Localização | Desabilitado |
| Contexto do Aplicativo | Desabilitado |
As seguintes capturas de tela mostram o que os usuários veem quando o Authenticator Lite envia uma notificação por push.
Adaptador AD FS e extensão NPS
O Authenticator Lite impõe a correspondência de números em cada autenticação. Se seu locatário estiver usando um adaptador AD FS ou uma extensão NPS, seus usuários podem não ser capazes de concluir as notificações do Authenticator Lite. Para obter mais informações, consulte Adaptador AD FS e Extensão NPS.
Para saber mais sobre as notificações de verificação, consulte o Método de autenticação do Microsoft Authenticator.
Perguntas comuns
O Authenticator Lite funciona como um aplicativo de agente?
Não, o Authenticator Lite só está disponível para notificações por push e TOTP.
O Authenticator Lite pode ser usado para SSPR?
Não, o Authenticator Lite só está disponível para notificações por push e TOTP.
Isto está disponível no aplicativo Outlook desktop?
Não, o Authenticator Lite está disponível apenas no Outlook móvel.
Onde os usuários podem se registrar para o Authenticator Lite?
Os usuários só podem se registrar para o Authenticator Lite a partir do Outlook móvel. O registro do Authenticator Lite pode ser gerenciado a partir de aka.ms/mysignins.
Os usuários podem registrar o Microsoft Authenticator e o Authenticator Lite?
Os usuários que tem o Microsoft Authenticator em seu dispositivo não podem registrar o Authenticator Lite no mesmo dispositivo. Se um usuário tiver um registro do Authenticator Lite e depois baixar o Microsoft Authenticator, ele pode registrar ambos. Se um usuário tem dois dispositivos, ele pode registrar o Authenticator Lite em um e o Microsoft Authenticator no outro.
Problemas conhecidos
Notificações de SSPR
Os códigos TOTP do Outlook funcionarão para SSPR, mas a notificação por push não funcionará e retornará um erro.
Os logs estão mostrando avaliações adicionais de Acesso Condicional
As políticas de Acesso Condicional são avaliadas sempre que um usuário abre seu aplicativo do Outlook, a fim de determinar se o usuário está qualificado para se registrar no Authenticator Lite. Essas verificações podem aparecer nos registros.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de