Поделиться через

Как включить Microsoft Authenticator Lite для Outlook mobile

  • Статья

Microsoft Authenticator Lite — это другая область для пользователей Microsoft Entra для выполнения многофакторной проверки подлинности с помощью push-уведомлений или одноразовых секретных кодов (TOTP) на устройстве Android или iOS. С помощью Lite Authenticator пользователи могут удовлетворить требование многофакторной проверки подлинности от удобства знакомого приложения. В настоящее время в Outlook mobile включена функция Authenticator Lite.

Пользователи получают уведомление в Outlook Mobile, чтобы утвердить или запретить вход, или скопировать TOTP для использования во время входа.

Примечание.

Это важные улучшения безопасности для пользователей, проверяющих подлинность через телекоммуникационные транспорты:

  • 26 июня управляемое корпорацией Майкрософт значение этой функции изменилось с "Отключено " на "Включено " в политике методов проверки подлинности. Если вы больше не хотите включить эту функцию, переместите состояние из "Отключено" или область его только группе пользователей.
  • Начиная с 18 сентября Lite authenticator будет включен в рамках параметра *Notification через проверку мобильного приложения в политике MFA для каждого пользователя. Если эта функция не включена, ее можно отключить в политике методов проверки подлинности, выполнив указанные ниже действия.

Необходимые компоненты

  • Вашей организации необходимо включить push-уведомления Microsoft Authenticator (второй фактор) для всех пользователей или выбрать группы. Рекомендуется включить Microsoft Authenticator с помощью современной политики методов проверки подлинности. Политику методов проверки подлинности можно изменить с помощью Центра администрирования Microsoft Entra или API Microsoft Graph. Организации с активным сервером MFA не имеют права на эту функцию.

    Совет

    Рекомендуется также включить системную многофакторную проверку подлинности (MFA) при включении Lite Authenticator. Если включена системная MFA, пользователи пытаются войти в систему с помощью Authenticator Lite, прежде чем пытаться использовать менее безопасные методы телефонии, такие как SMS или голосовой звонок.

  • Если ваша организация использует адаптер службы федерации Active Directory (AD FS) (AD FS) или расширения сервера политики сети (NPS), обновите до последних версий для согласованного взаимодействия.

  • Пользователи, включенные в режим общего устройства в Outlook Mobile, не имеют права на использование Authenticator Lite.

  • Пользователи должны запускать минимальную версию Outlook mobile.

    Операционная система Версия Outlook
    Android 4.2310.1
    iOS 4.2312.1

Включение Authenticator Lite

По умолчанию Authenticator Lite управляется корпорацией Майкрософт в политике методов проверки подлинности. 26 июня управляемое корпорацией Майкрософт значение этой функции изменилось с "отключено" на "включено". Authenticator Lite также включается в состав уведомления с помощью параметра проверки мобильного приложения в политике MFA для каждого пользователя.

Отключение Authenticator Lite в Центре администрирования Microsoft Entra

Чтобы отключить Authenticator Lite в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум политику проверки подлинности Администратор istrator.

  2. Перейдите к методам>проверки подлинности защиты>Microsoft Authenticator.

  3. На вкладке "Включить" и "Целевой" нажмите кнопку "Включить" и "Все пользователи", чтобы включить политику Authenticator для всех пользователей или добавить группы выбора. Установите режим проверки подлинности для этих пользователей или групп в значение Any или Push.

    Пользователи, для которых не включено приложение Microsoft Authenticator, не будут видеть эту возможность. Пользователи, скачанные на том же устройстве Outlook, скачанные на том же устройстве, не будут запрашивать регистрацию для Authenticator Lite в Outlook. Пользователям Android, использующим личный и рабочий профиль на устройстве, может быть предложено зарегистрировать, присутствует ли Authenticator в другом профиле приложения Outlook.

    Microsoft Entra admin center Authenticator settings

  4. На вкладке "Настройка" для Microsoft Authenticator в вспомогательных приложениях измените состояние "Отключено" и нажмите кнопку "Сохранить".

    Authenticator Lite configuration settings

    Примечание.

    Если ваша организация по-прежнему управляет методами проверки подлинности в политике MFA для каждого пользователя, необходимо отключить уведомление через мобильное приложение в качестве варианта проверки в дополнение к предыдущим шагам. Мы рекомендуем это сделать только после включения Microsoft Authenticator в политике методов проверки подлинности. Вы можете продолжать управлять остальными методами проверки подлинности в политике MFA для каждого пользователя, а Microsoft Authenticator управляется в современной политике методов проверки подлинности. Однако мы рекомендуем перенести управление всеми методами проверки подлинности в современную политику методов проверки подлинности. Возможность управления методами проверки подлинности в политике MFA для каждого пользователя будет прекращена 30 сентября 2025 г.

Включение функции Authenticator Lite с помощью API Graph

Свойство Type Описание
excludeTarget featureTarget Одна сущность, исключенная из этой возможности.
Вы можете исключить только одну группу из Lite Authenticator, которая может быть динамической или вложенной группой.
includeTarget featureTarget Одна сущность, включенная в эту возможность.
Вы можете включить только одну группу для Authenticator Lite, которая может быть динамической или вложенной группой.
State advancedConfigState Возможны следующие значения:
enabled: явным образом включает функцию для выбранной группы.
disabled: явным образом выключает функцию для выбранной группы.
значение по умолчанию позволяет идентификатору Microsoft Entra управлять включенной функцией или нет для выбранной группы.

После идентификации одной целевой группы используйте следующую конечную точку API, чтобы изменить свойство CompanionAppsAllowedState в разделе компонента Параметры.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Примечание.

В Graph Обозреватель необходимо предоставить разрешение Policy.ReadWrite.AuthenticationMethod.

Запросить

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Регистрация пользователей

Если этот параметр включен для Authenticator Lite, пользователям предлагается зарегистрировать свою учетную запись непосредственно из Outlook mobile. Регистрация Lite authenticator недоступна с помощью MySignIns. Пользователи также могут включать или отключать Lite Authenticator из Outlook mobile. Дополнительные сведения о пользовательском интерфейсе см. в разделе поддержки Authenticator Lite.

Screenshot of how to register Authenticator Lite.

Примечание.

Если у них нет зарегистрированных методов MFA, пользователям будет предложено скачать Authenticator при запуске потока регистрации. Для наиболее простого взаимодействия подготовьте пользователей с временным проходом доступа (TAP), которые они могут использовать во время регистрации Authenticator Lite.

Мониторинг использования Authenticator Lite

Журналы входа могут показать, какое приложение использовалось для завершения проверки подлинности пользователя. Чтобы просмотреть последние входы, используйте следующий вызов в конечной точке БЕТА-API:

GET auditLogs/signIns

Если вход был выполнен с помощью уведомления о телефоне приложения, в разделе authenticationAppDeviceDetails поле clientApp возвращает microsoftAuthenticator или Outlook.

Если пользователь зарегистрировал Authenticator Lite, зарегистрированные методы проверки подлинности пользователя включают Microsoft Authenticator (в Outlook).

Push-уведомления в Authenticator Lite

Push-уведомления, отправленные Lite Authenticator, не настраивают и не зависят от параметров функции Authenticator. Authenticator Lite не поддерживает режим проверки подлинности без пароля. Параметры функций, включенных в интерфейс Lite Authenticator, перечислены в следующей таблице. Каждая проверка подлинности включает запрос на сопоставление чисел и не включает контекст приложения и расположения независимо от параметров компонента Microsoft Authenticator.

Функция Authenticator Интерфейс Lite для authenticator
Сопоставление чисел Включен
Контекст расположения Выключено
Контекст приложения Выключено

На следующих снимках экрана показано, что пользователи видят, когда Authenticator Lite отправляет push-уведомление.

Screenshot of push notification in Outlook mobile.

Адаптер AD FS и расширение NPS

Authenticator Lite применяет сопоставление чисел в каждой проверке подлинности. Если клиент использует адаптер AD FS или расширение NPS, пользователи могут не выполнять уведомления Lite authenticator. Дополнительные сведения см. в разделе адаптера AD FS и расширения NPS.

Дополнительные сведения о уведомлениях о проверке см. в статье о методе проверки подлинности Microsoft Authenticator.

Часто задаваемые вопросы

Работает ли Средство Authenticator Lite в качестве приложения брокера?

Нет, Lite Authenticator доступен только для push-уведомлений и TOTP.

Можно ли использовать Lite authenticator для SSPR?

Нет, Lite Authenticator доступен только для push-уведомлений и TOTP.

Доступно ли это в классическом приложении Outlook?

Нет, Lite Authenticator доступен только на мобильных устройствах Outlook.

Где пользователи могут зарегистрировать для Authenticator Lite?

Пользователи могут регистрироваться только для Authenticator Lite из мобильного Outlook. Регистрацию Lite authenticator можно управлять из aka.ms/mysignins.

Могут ли пользователи зарегистрировать Microsoft Authenticator и Lite?

Пользователи, имеющие Microsoft Authenticator на устройстве, не могут зарегистрировать Lite Authenticator на том же устройстве. Если у пользователя есть регистрация Lite Authenticator, а затем скачивает Microsoft Authenticator, они могут зарегистрировать оба. Если у пользователя есть два устройства, они могут зарегистрировать Authenticator Lite в одном и Microsoft Authenticator на другом.

Известные проблемы

Уведомления SSPR

Коды TOTP из Outlook будут работать для SSPR, но push-уведомление не будет работать и вернет ошибку.

Журналы отображают дополнительные оценки условного доступа

Политики условного доступа оцениваются каждый раз, когда пользователь открывает свое приложение Outlook, чтобы определить, имеет ли пользователь право зарегистрировать для Authenticator Lite. Эти проверка могут отображаться в журналах.

Следующие шаги

Методы проверки подлинности в идентификаторе Microsoft Entra