如何为 Outlook 移动版启用 Microsoft Authenticator 精简版
Microsoft Authenticator 精简版是又一个可供 Microsoft Entra 用户在 Android 或 iOS 设备上使用推送通知或基于时间的一次性密码 (TOTP) 完成多重身份验证的平台。 借助 Authenticator 精简版,用户可以通过便捷且熟悉的应用满足多重身份验证要求。 Outlook 移动版当前已启用 Authenticator 精简版。
用户将会在 Outlook 移动版中收到可供他们批准或拒绝登录的通知,或者可以复制 TOTP 以在登录期间使用。
注意
对于通过电信传输进行身份验证的用户,这些是重要的安全增强功能:
- 此功能的 Microsoft 托管值已于 6 月 26 日在“身份验证方法”策略中从“已禁用”更改为“已启用”。 如果你不再希望启用此功能,请将状态从“默认”更改为“已禁用”,或将其范围限定为一组用户。
- 从 9 月 18 日开始,Authenticator Lite 将作为按用户 MFA 策略中“*通过移动应用来提供通知”验证选项的一部分启用。 如果不希望启用此功能,可以按照以下步骤在“身份验证方法”策略中禁用此功能。
先决条件
你的组织需要为全部用户或部分用户启用 Microsoft Authenticator(第二因素)推送通知。 建议使用新式“身份验证方法”策略启用 Microsoft Authenticator。 可以使用 Microsoft Entra 管理中心或 Microsoft Graph API 编辑身份验证方法策略。 Authenticator Lite 不符合具有活动 MFA 服务器的本地用户帐户或组织的条件。
提示
我们建议你在启用 Authenticator Lite 时也启用系统首选多重身份验证 (MFA)。 启用系统首选 MFA 后,用户可以先尝试使用 Authenticator Lite 登录,然后再尝试短信或语音呼叫等不太安全的电话方法。
如果组织使用 Active Directory 联合身份验证服务 (AD FS) 适配器或网络策略服务器 (NPS) 扩展,请升级到最新版本,以获取一致的体验。
在 Outlook 移动版启用了共享设备模式的用户不符合使用 Authenticator 精简版的条件。
用户必须最低运行以下 Outlook 移动版本。
操作系统 Outlook 版本 Android 4.2310.1 iOS 4.2312.1
启用 Authenticator 精简版
默认情况下,Authenticator Lite 由 Microsoft 在“身份验证方法”策略中进行管理。 此功能的 Microsoft 托管值已于 6 月 26 日从“已禁用”更改为“已启用”。 Authenticator Lite 还将作为按用户 MFA 策略中“通过移动应用来提供通知”验证选项的一部分提供。
在Microsoft Entra 管理中心禁用 Authenticator Lite
若要在 Microsoft Entra 管理中心禁用 Authenticator Lite,请完成以下步骤:
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“保护”>“身份验证方法”>“Microsoft Authenticator”。
在“启用和目标”选项卡上,单击“启用”和“所有用户”,以便为所有人启用 Authenticator 策略或添加选定的组。 将这些用户/组的“身份验证模式”设置为“任何”或“推送”。
未启用 Microsoft Authenticator 的用户无法查看该功能。 系统不会提示在下载 Outlook 的同一设备上下载了 Microsoft Authenticator 的用户在 Outlook 中注册 Authenticator Lite。 如果 Authenticator 与 Outlook 应用程序在不同的配置文件中,则在各自设备上使用个人和工作配置文件的 Android 用户可能会收到注册提示。
在“配置”选项卡上,在“配套应用程序上的 Microsoft Authenticator”中,将状态更改为“已禁用”,然后单击“保存”。
注意
如果你的组织仍在按用户 MFA 策略中管理身份验证方法,则除了上述步骤外,还需要禁用“通过移动应用来提供通知”验证选项。 建议仅在“身份验证方法”策略中启用 Microsoft Authenticator 后再执行此操作。 在新式身份验证方法策略中管理 Microsoft Authenticator 时,可以继续管理每个用户 MFA 策略中的其余身份验证方法。 但是,我们建议将对所有身份验证方法的管理迁移到新式“身份验证方法”策略。 在每用户 MFA 策略中管理身份验证方法的功能将于 2025 年 9 月 30 日停用。
通过图形 API 启用 Authenticator Lite
| 属性 | 类型 | 说明 |
|---|---|---|
| excludeTarget | featureTarget | 从此功能中排除的单个实体。 你只能从 Authenticator 精简版中排除一个组,它可以是动态组或嵌套组。 |
| includeTarget | featureTarget | 此功能中包含的单个实体。 你只能在 Authenticator 精简版中包含一个组,它可以是动态组或嵌套组。 |
| 状态 | advancedConfigState | 可能的值为: enabled 为所选组显式启用该功能。 disabled 为所选组显式禁用该功能。 “default”允许 Microsoft Entra ID 管理为所选组启用或禁用该功能。 |
确定单个目标组后,请使用以下 API 终结点更改 featureSettings 下的 CompanionAppsAllowedState 属性。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
注意
在 Graph 浏览器中,需要同意 Policy.ReadWrite.AuthenticationMethod 权限。
请求
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
用户注册
如果为 Authenticator 精简版启用该功能,系统会提示用户直接从 Outlook 移动版注册其帐户。 使用 MySignIns 无法进行 Authenticator 精简版注册。 用户还可以在 Outlook 移动版中启用或禁用 Authenticator 精简版。 有关用户体验的详细信息,请参阅 Authenticator 精简版支持。
注意
如果用户未注册任何 MFA 方法,则在用户开始注册流时,系统会提示它们下载 Authenticator。 若要获得最无缝的体验,请为用户预配可在 Authenticator Lite 注册期间使用的临时访问密码 (TAP)。
监视 Authenticator 精简版的使用情况
登录日志可以显示用于完成用户身份验证的应用。 若要查看最新的登录,请在 beta 版 API 终结点上使用以下调用:
GET auditLogs/signIns
如果登录是通过手机应用通知完成的,那么“clientApp”字段将在“authenticationAppDeivceDetails”下返回“microsoftAuthenticator”或“Outlook”。
如果用户已注册 Authenticator 精简版,则用户的注册身份验证方法包括 Microsoft Authenticator(在 Outlook 中)。
Authenticator 精简版中的推送通知
Authenticator 精简版发送的推送通知不可配置,也不依赖于 Authenticator 的功能设置。 Authenticator Lite 不支持无密码身份验证模式。 下表列出了 Authenticator 精简版体验中包含的功能设置。 无论 Microsoft Authentiator 功能设置如何,每个身份验证都会包含数字匹配提示,并且不包括应用和位置上下文。
| Authenticator 的功能 | Authenticator 精简版体验 |
|---|---|
| 数字匹配 | 已启用 |
| 位置上下文 | 已禁用 |
| 应用程序上下文 | 已禁用 |
以下屏幕截图显示了 Authenticator 精简版发送推送通知时用户看到的内容。
AD FS 适配器和 NPS 扩展
Authenticator 精简版会在每次的身份验证中强制实施数字匹配。 如果租户使用的是 AD FS 适配器或 NPS 扩展,则用户可能无法完成 Authenticator 精简版通知。 有关详细信息,请参阅 AD FS 适配器 和 NPS 扩展。
若要详细了解验证通知,请参阅 Microsoft Authenticator 身份验证方法。
常见问题
Authenticator 精简版是否充当代理应用?
否,Authenticator 精简版仅支持使用推送通知和 TOTP。
Authenticator 精简版能否用于 SSPR?
否,Authenticator 精简版仅支持使用推送通知和 TOTP。
这是否在 Outlook 桌面应用中可用?
否,Authenticator 精简版仅在 Outlook 移动版上可用。
用户可以在哪里注册 Authenticator 精简版?
用户只能从移动版 Outlook 中注册 Authenticator 精简版, 且可以从 aka.ms/mysignins 管理 Authenticator 精简版注册。
用户是否可以注册 Microsoft Authenticator 和 Authenticator 精简版?
在其设备上安装了 Microsoft Authenticator 的用户无法在该相同设备上注册 Authenticator Lite。 如果用户注册了 Authenticator 精简版,之后又下载了 Microsoft Authenticator,则可以同时注册这两者。 如果用户有两个设备,他们可以在一个设备上注册 Authenticator 精简版,在另一个设备上注册 Microsoft Authenticator。
已知问题
SSPR 通知
Outlook 中的 TOTP 代码适用于 SSPR,但推送通知将不起作用,并返回错误。
日志显示其他条件访问评估
每次用户打开其 Outlook 应用时,系统都会评估条件访问策略,以确定用户是否有资格注册 Authenticator Lite。 这些检查可能会出现在日志中。