Dela via


Så här aktiverar du Microsoft Authenticator Lite för Outlook Mobile

Microsoft Authenticator Lite är en annan yta där Microsoft Entra-användare kan slutföra multifaktorautentisering med hjälp av push-meddelanden eller tidsbaserade engångslösenord (TOTP) på sin Android- eller iOS-enhet. Med Authenticator Lite kan användarna uppfylla ett krav på multifaktorautentisering från bekvämligheten med en välbekant app. Authenticator Lite är för närvarande aktiverat i Outlook Mobile.

Användare får ett meddelande i Outlook Mobile om att godkänna eller neka inloggning, eller så kan de kopiera en TOTP som ska användas under inloggningen.

Kommentar

Det här är viktiga säkerhetsförbättringar för användare som autentiserar via telekommunikationstransporter:

  • Den 26 juni ändrades Microsofts hanterade värde för den här funktionen från Inaktiverad till Aktiverad i principen Autentiseringsmetoder. Om du inte längre vill att den här funktionen ska aktiveras flyttar du tillståndet från Standard till Inaktiverad eller omfångsanpassar den till endast en grupp användare.
  • Från och med den 18 september aktiveras Authenticator Lite som en del av alternativet *Meddelande via mobilappverifiering i MFA-principen per användare. Om du inte vill att den här funktionen ska vara aktiverad kan du inaktivera den i principen Autentiseringsmetoder enligt stegen nedan.

Förutsättningar

  • Din organisation måste aktivera Push-meddelanden från Microsoft Authenticator (andra faktorn) för alla användare eller välja grupper. Vi rekommenderar att du aktiverar Microsoft Authenticator med hjälp av principen för moderna autentiseringsmetoder. Du kan redigera principen Autentiseringsmetoder med hjälp av administrationscentret för Microsoft Entra eller Microsoft Graph API. Authenticator Lite är inte berättigat till lokala användarkonton eller organisationer med en aktiv MFA-server.

    Dricks

    Vi rekommenderar att du även aktiverar system föredragen multifaktorautentisering (MFA) när du aktiverar Authenticator Lite. Med system föredragen MFA aktiverad försöker användarna logga in med Authenticator Lite innan de provar mindre säkra telefonimetoder som SMS eller röstsamtal.

  • Om din organisation använder tilläggen Active Directory Federation Services (AD FS) (AD FS) eller NPS (Network Policy Server) uppgraderar du till de senaste versionerna för en konsekvent upplevelse.

  • Användare som är aktiverade för delat enhetsläge på Outlook Mobile är inte berättigade till Authenticator Lite.

  • Användarna måste köra en lägsta outlook-mobilversion.

    Operativsystem Outlook-version
    Android 4.2310.1
    iOS 4.2312.1

Aktivera Authenticator Lite

Authenticator Lite hanteras som standard av Microsoft i principen för autentiseringsmetoder. Den 26 juni ändrades Microsofts hanterade värde för den här funktionen från "inaktiverad" till "aktiverad". Authenticator Lite ingår också som en del av alternativet Avisering via mobilappverifiering i MFA-principen per användare.

Inaktivera Authenticator Lite i administrationscentret för Microsoft Entra

Utför följande steg för att inaktivera Authenticator Lite i administrationscentret för Microsoft Entra:

  1. Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.

  2. Bläddra till Skydd>autentiseringsmetoder>Microsoft Authenticator.

  3. På fliken Aktivera och mål klickar du på Aktivera och Alla användare för att aktivera autentiseringsprincipen för alla eller lägga till utvalda grupper. Ange autentiseringsläget för dessa användare/grupper till Valfri eller Push.

    Användare som inte är aktiverade för Microsoft Authenticator kan inte se funktionen. Användare som har Microsoft Authenticator nedladdat på samma enhet som Outlook laddas ned på uppmanas inte att registrera sig för Authenticator Lite i Outlook. Android-användare som använder en personlig profil och arbetsprofil på sin enhet kan uppmanas att registrera sig om Authenticator finns i en annan profil än Outlook-programmet.

    Inställningar för Administrationscenter för Microsoft Entra Authenticator
  4. På fliken Konfigurera för Microsoft Authenticator i tilläggsprogram ändrar du Status till Inaktiverad och klickar på Spara.

    Konfigurationsinställningar för Authenticator Lite

    Kommentar

    Om din organisation fortfarande hanterar autentiseringsmetoder i MFA-principen per användare måste du inaktivera Meddelande via mobilapp som ett verifieringsalternativ där utöver föregående steg. Vi rekommenderar att du gör detta först när du har aktiverat Microsoft Authenticator i principen Autentiseringsmetoder. Du kan fortsätta att hantera resten av dina autentiseringsmetoder i MFA-principen per användare medan Microsoft Authenticator hanteras i principen för moderna autentiseringsmetoder. Vi rekommenderar dock att du migrerar hanteringen av alla autentiseringsmetoder till principen för moderna autentiseringsmetoder. Möjligheten att hantera autentiseringsmetoder i MFA-principen per användare dras tillbaka den 30 september 2025.

Aktivera Authenticator Lite via Graph-API:er

Property Type Beskrivning
excludeTarget featureTarget En enda entitet som undantas från den här funktionen.
Du kan bara exkludera en grupp från Authenticator Lite, som kan vara en dynamisk eller kapslad grupp.
includeTarget featureTarget En enda entitet som ingår i den här funktionen.
Du kan bara inkludera en grupp för Authenticator Lite, som kan vara en dynamisk eller kapslad grupp.
Tillstånd advancedConfigState Möjliga värden är:
aktiverad aktiverar uttryckligen funktionen för den valda gruppen.
inaktiveras inaktiveras uttryckligen funktionen för den valda gruppen.
standard tillåter Microsoft Entra-ID att hantera om funktionen är aktiverad eller inte för den valda gruppen.

När du har identifierat den enskilda målgruppen använder du följande API-slutpunkt för att ändra egenskapen CompanionAppsAllowedState under featureSettings.

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Kommentar

I Graph Explorer måste du godkänna behörigheten Policy.ReadWrite.AuthenticationMethod .

Förfrågan

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

Användarregistrering

Om det är aktiverat för Authenticator Lite uppmanas användarna att registrera sitt konto direkt från Outlook Mobile. Authenticator Lite-registrering är inte tillgängligt med hjälp av MySignIns. Användare kan också aktivera eller inaktivera Authenticator Lite inifrån Outlook Mobile. Mer information om användarupplevelsen finns i Support för Authenticator Lite.

Skärmbild av hur du registrerar Authenticator Lite.

Kommentar

Om de inte har några MFA-metoder registrerade uppmanas användarna att ladda ned Authenticator när de påbörjar registreringsflödet. För den mest sömlösa upplevelsen kan du etablera användare med ett tillfälligt åtkomstpass (TAP) som de kan använda under Authenticator Lite-registreringen.

Övervaka användning av Authenticator Lite

Inloggningsloggar kan visa vilken app som användes för att slutföra användarautentiseringen. Om du vill visa de senaste inloggningarna använder du följande anrop på beta-API-slutpunkten:

GET auditLogs/signIns

Om inloggningen gjordes via ett meddelande från telefonappen returnerar fältet clientApp microsoftAuthenticator eller Outlook under autentiseringAppDetails.

Om en användare har registrerat Authenticator Lite inkluderar användarens registrerade autentiseringsmetoder Microsoft Authenticator (i Outlook).

Push-meddelanden i Authenticator Lite

Push-meddelanden som skickas av Authenticator Lite kan inte konfigureras och är inte beroende av funktionsinställningarna för Authenticator. Authenticator Lite stöder inte lösenordslöst autentiseringsläge. Inställningarna för funktioner som ingår i Authenticator Lite-upplevelsen visas i följande tabell. Varje autentisering innehåller en nummermatchningsprompt och inkluderar inte app- och platskontext, oavsett funktionsinställningar för Microsoft Authenticator.

Autentiseringsfunktion Authenticator Lite-upplevelse
Nummermatchning Aktiverat
Platskontext Inaktiverad
Programkontext Inaktiverad

Följande skärmbilder visar vad användarna ser när Authenticator Lite skickar ett push-meddelande.

Skärmbild av push-meddelanden i Outlook Mobile.

AD FS-adapter och NPS-tillägg

Authenticator Lite framtvingar nummermatchning i varje autentisering. Om din klientorganisation använder ett AD FS-kort eller ett NPS-tillägg kanske användarna inte kan slutföra Authenticator Lite-meddelanden. Mer information finns i AD FS-adapter och NPS-tillägg.

Mer information om verifieringsmeddelanden finns i Microsoft Authenticator-autentiseringsmetod.

Vanliga frågor

Fungerar Authenticator Lite som en asynkron app?

Nej, Authenticator Lite är bara tillgängligt för push-meddelanden och TOTP.

Kan Authenticator Lite användas för SSPR?

Nej, Authenticator Lite är bara tillgängligt för push-meddelanden och TOTP.

Är det här tillgängligt i Outlook-skrivbordsappen?

Nej, Authenticator Lite är bara tillgängligt på Outlook Mobile.

Var kan användare registrera sig för Authenticator Lite?

Användare kan bara registrera sig för Authenticator Lite från mobila Outlook. Authenticator Lite-registrering kan hanteras från aka.ms/mysignins.

Kan användare registrera Microsoft Authenticator och Authenticator Lite?

Användare som har Microsoft Authenticator på sin enhet kan inte registrera Authenticator Lite på samma enhet. Om en användare har en Authenticator Lite-registrering och senare hämtar Microsoft Authenticator kan de registrera båda. Om en användare har två enheter kan de registrera Authenticator Lite på en och Microsoft Authenticator på den andra.

Kända problem

SSPR-meddelanden

TOTP-koder från Outlook fungerar för SSPR, men push-meddelandet fungerar inte och returnerar ett fel.

Loggar visar ytterligare utvärderingar av villkorsstyrd åtkomst

Principerna för villkorlig åtkomst utvärderas varje gång en användare öppnar sin Outlook-app för att avgöra om användaren är berättigad att registrera sig för Authenticator Lite. Dessa kontroller kan visas i loggar.

Nästa steg

Autentiseringsmetoder i Microsoft Entra-ID