为 Outlook 移动版启用 Authenticator Lite
Authenticator Lite 是一个为 Microsoft Entra 用户提供的界面,允许他们在 Android 或 iOS 设备上通过推送通知或基于时间的一次性密码(TOTP)完成多重身份验证(MFA)。 使用 Authenticator Lite,用户可以从熟悉的应用的便利性中满足 MFA 要求。 Outlook 移动版当前已启用 Authenticator 精简版。
用户将会在 Outlook 移动版中收到可供他们批准或拒绝登录的通知,或可以复制 TOTP 以在登录期间使用。
注意
如果要通过电信传输进行身份验证,请使用以下重要的安全增强功能:
- 此功能的 Microsoft 托管值在身份验证方法策略中启用。 如果不想启用此功能,请将状态从 默认 移动到 禁用,或将其限定为仅一组用户。
- Authenticator Lite 作为按用户多重身份验证策略中“通过移动应用来提供通知”验证选项的一部分进行启用。 如果不希望启用此功能,可以按照本文中的步骤在身份验证方法策略中禁用此功能。
先决条件
你的组织需要为所有用户或某些用户组启用 Authenticator(第二因素)推送通知。 建议使用新式身份验证方法策略启用 Authenticator。 可以使用 Microsoft Entra 管理中心或 Microsoft Graph API 编辑身份验证方法策略。 Authenticator Lite 不符合具有活动 MFA 服务器的本地用户帐户或组织的条件。
提示
建议在启用 Authenticator Lite 时也启用系统首选多重身份验证。 启用系统首选的 MFA 后,用户尝试使用 Authenticator Lite 登录,然后再尝试不太安全的电话方法,例如短信或语音呼叫。
如果组织使用 Active Directory 联合身份验证服务 (AD FS) 适配器或网络策略服务器 (NPS) 扩展,请升级到最新版本,以获取一致的体验。
在 Outlook 移动版启用了共享设备模式的用户不符合使用 Authenticator 精简版的条件。
用户必须最低运行以下 Outlook 移动版本。
操作系统 Outlook 版本 Android 4.2310.1 iOS 4.2312.1
启用 Authenticator 精简版
默认情况下,Authenticator Lite 由 Microsoft 在“身份验证方法”策略中进行管理。 6月26日,此功能的Microsoft管理值从 disabled 更改为 enabled。 Authenticator Lite 还将作为按用户 MFA 策略中“通过移动应用来提供通知”验证选项的一部分提供。
在 Microsoft Entra 管理中心中禁用 Authenticator Lite
若要在 Microsoft Entra 管理中心中禁用 Authenticator Lite,请执行以下步骤:
至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心。
浏览到“保护”“身份验证方法”>“Microsoft Authenticator”。
在“启用和目标”选项卡上,选择“启用”和“所有用户”,以便为所有人启用 Authenticator 策略或添加选定的组。 将这些用户或组的“身份验证模式”设置为“任何”或“推送”。
未为 Authenticator 启用的用户看不到该功能。 在下载 Outlook 的同一设备上下载 Authenticator 的用户不会提示在 Outlook 中注册 Authenticator Lite。 如果 Authenticator 位于与 Outlook 应用程序不同的配置文件上,则系统可能会提示在设备上使用个人和工作配置文件的 Android 用户进行注册。
在
“配置 ”选项卡上,对于配套应用程序上的Microsoft Authenticator,请将 状态 更改为“禁用 ”,然后选择“保存 ”。
如果你的组织仍在按用户 MFA 策略中管理身份验证方法,则除了上述步骤外,还需要禁用“通过移动应用来提供通知”验证选项。 建议仅在身份验证方法策略中启用 Authenticator 后执行此步骤。
可以继续在按用户多重身份验证策略中管理其余身份验证方法,同时在新式“身份验证方法”策略中管理 Authenticator。 但是,建议将对所有身份验证方法的管理迁移到新式“身份验证方法”策略。 2025 年 9 月 30 日,管理每个用户 MFA 策略中的身份验证方法的功能将停用。
通过图形 API 启用 Authenticator Lite
| 属性 | 类型 | 说明 |
|---|---|---|
excludeTarget |
featureTarget |
从此功能中排除的单个实体。 只能从 Authenticator Lite 中排除一个组,该组可以是动态组或嵌套组。 |
includeTarget |
featureTarget |
此功能中包含的单个实体。 只能为 Authenticator Lite 包含一个组,该组可以是动态组或嵌套组。 |
State |
advancedConfigState |
可能的值: 启用为所选组显式启用该功能。 禁用为所选组显式禁用该功能。 默认允许 Microsoft Entra ID 管理为所选组启用或禁用该功能的操作。 |
标识单个目标组后,使用以下 API 终结点更改 featureSettings下的 CompanionAppsAllowedState 属性。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
在 Graph Explorer 中,您需要同意 Policy.ReadWrite.AuthenticationMethod 权限。
请求
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
用户注册
如果用户已启用 Authenticator Lite,系统会提示他们直接从 Outlook 移动版注册你的帐户。 Authenticator Lite 注册无法通过 My Sign-Ins使用。用户还可以在 Outlook 移动版中启用或禁用 Authenticator Lite。 有关用户体验的详细信息,请参阅 Authenticator 精简版支持。
如果用户未注册任何 MFA 方法,则会在开始注册流时提示他们下载 Authenticator。 为获得最无缝的体验,请在 Authenticator Lite 注册期间向用户提供 临时访问通行证(TAP)。
监视 Authenticator Lite 使用情况
登录日志可以显示用于完成用户身份验证的应用。 若要查看最新的登录,请在 beta 版 API 终结点上使用以下调用:
GET auditLogs/signIns
如果登录是通过电话应用通知完成的,则在 authenticationAppDeviceDetailsclientApp 字段下返回 microsoftAuthenticator 或 Outlook。
如果用户已注册 Authenticator Lite,则用户的已注册身份验证方法包括 Microsoft Authenticator(在 Outlook 中)。
Authenticator 精简版中的推送通知
Authenticator 精简版发送的推送通知不可配置,也不依赖于 Authenticator 的功能设置。 Authenticator Lite 不支持无密码身份验证模式。 下表列出了 Authenticator Lite 体验中包含的功能设置。 无论 Authenticator 功能设置如何,每个身份验证都包含一个数字匹配提示,并且不包括应用和位置上下文。
| 验证器功能 | Authenticator Lite 体验 |
|---|---|
| 数字匹配 | 已启用 |
| 位置上下文 | 已禁用 |
| 应用程序上下文 | 已禁用 |
以下屏幕截图显示了 Authenticator 精简版发送推送通知时用户看到的内容。
AD FS 适配器和 NPS 扩展
Authenticator 精简版会在每次的身份验证中强制实施数字匹配。 如果租户使用的是 AD FS 适配器或 NPS 扩展,则用户可能无法完成 Authenticator Lite 通知。 有关详细信息,请参阅 AD FS 适配器 和 NPS 扩展。
若要详细了解验证通知,请参阅 Microsoft Authenticator 身份验证方法。
常见问题
以下部分列出了常见问题。
Authenticator 精简版是否充当代理应用?
否,Authenticator Lite 仅适用于推送通知和 TOTP。
Authenticator 精简版能否用于 SSPR?
否,Authenticator Lite 仅适用于推送通知和 TOTP。
Authenticator Lite 是否在 Outlook 桌面应用中可用?
否,Authenticator Lite 仅在 Outlook 移动版上可用。
用户可以在哪里注册 Authenticator 精简版?
用户只能从移动 Outlook 注册 Authenticator Lite。 Authenticator Lite 注册是通过我的登录管理的。
用户是否可以注册 Authenticator 和 Authenticator Lite?
在其设备上拥有 Authenticator 的用户无法在同一设备上注册 Authenticator Lite。 如果用户先注册了 Authenticator Lite,然后再下载 Authenticator,他们可以注册这两个应用。 如果用户有两台设备,他们可以在一台设备上注册 Authenticator Lite,在另一台设备上注册 Authenticator。
已知问题
已知以下问题。
SSPR 通知
Outlook 中的 TOTP 代码适用于 SSPR,但推送通知不起作用,并返回错误。
日志显示新增的条件访问评估
每次用户打开 Outlook 应用以确定他们是否有资格注册 Authenticator Lite 时,都会评估条件访问策略。 这些检查可能显示在日志中。