Authenticator Lite 是一個平台,讓 Microsoft Entra 使用者可以在您的 Android 或 iOS 裝置上透過推播通知或以時間為基礎的一次性密碼(TOTP)完成多重要素驗證(MFA)。 透過 Authenticator Lite,使用者可以從熟悉的應用程式的便利性中滿足 MFA 需求。 Authenticator Lite 目前在 Outlook 行動裝置版中已啟用。
使用者會在 Outlook 行動應用程式中收到通知以允許或拒絕登入要求。此外,您還可以複製 TOTP 以在登入期間使用。
注意
如果您要透過電信傳輸進行驗證,請使用這些重要的安全性增強功能:
- 此功能由 Microsoft 管理的設定值已在驗證方法原則中啟用。 如果您不想啟用此功能,請將狀態從 [預設]
移至 [已停用] ,或將狀態限定為只有一組使用者。 - 將 Authenticator Lite 設為每位使用者 MFA 原則中的一部分,會透過行動應用程式的驗證選項啟用通知。 如果您不想要啟用此功能,您可以遵循本文中的步驟,在驗證方法原則中加以停用。
必要條件
您的組織需要為所有使用者或選定的群組啟用 Authenticator(雙重驗證)推播通知。 建議您使用新式 驗證方法原則來啟用 Authenticator。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft 圖形 API 來編輯驗證方法原則。 Authenticator Lite 不符合具有使用中 MFA 伺服器的內部部署用戶帳戶或組織資格。
提示
當您啟用 Authenticator Lite 時,建議您也啟用 系統慣用的 MFA 。 啟用系統慣用 MFA 後,使用者會先嘗試使用 Authenticator Lite 登入,然後再嘗試較不安全的電話語音方法,例如簡訊或語音通話。
如果您的組織使用 Active Directory 同盟服務 (AD FS) 配接器或網路原則伺服器 (NPS) 延伸模組,請升級至最新版本,以取得一致的體驗。
在 Outlook Mobile 上啟用共用裝置模式的使用者不符合 Authenticator Lite 的資格。
使用者必須執行最低 Outlook Mobile 版本。
作業系統 Outlook 版本 安卓 4.2310.1 iOS 4.2312.1
啟用 Authenticator Lite
根據預設,Authenticator Lite 會在驗證方法原則設定中由 Microsoft 管理。 6 月 26 日,此功能Microsoft管理的值從 disabled 變更為 enabled。 Authenticator Lite 也包含在每位使用者的 MFA 原則中,作為透過行動應用程式通知的驗證選項的一部分。
在 Microsoft Entra 系統管理中心停用 Authenticator Lite
若要在 Microsoft Entra 系統管理中心停用 Authenticator Lite,請遵循下列步驟:
請以至少「驗證政策系統管理員」的身分登入「Microsoft Entra 系統管理中心」。
流覽至Entra ID>驗證方法>Microsoft Authenticator。
在 [ 啟用和目標] 索引標籤上,選取 [ 啟用 ] 和 [ 所有使用者 ] 來啟用每個人的 Authenticator 原則,或新增選取群組。 將這些使用者或群組的驗證模式設定為 任何 或 推送。
未為 Authenticator 啟用的使用者看不到此功能。 在下載 Outlook 的相同裝置上下載 Authenticator 的使用者不會提示您在 Outlook 中註冊 Authenticator Lite。 如果 Authenticator 存存在於與 Outlook 應用程式不同的個人檔案上,使用個人和工作檔案的 Android 用戶可能會被提示註冊。
在 [
設定 ] 索引標籤上,針對隨附應用程式上的Microsoft Authenticator,將 [狀態] 變更為 [ 停用 ],然後選取 [儲存 ]。
如果您的組織仍然在每個使用者 MFA 原則中管理驗證方法,除了上述步驟之外,您還需要停用 [透過行動應用程式通知] 作為驗證選項。 建議您只在驗證方法原則中啟用 Authenticator 之後,才執行此步驟。
您可以在個別使用者 MFA 原則中繼續管理驗證方法的其餘部分,而驗證器是在新式驗證方法原則中管理。 不過,我們建議您將所有驗證方法的管理 移 轉至新式驗證方法原則。 2025 年 9 月 30 日,將終止在每位使用者的 MFA 策略中管理驗證方法的功能。
透過圖形 API 啟用 Authenticator Lite
| 屬性 | 類型 | 描述 |
|---|---|---|
excludeTarget |
featureTarget |
被排除在此功能之外的單一實體。 您只能從 Authenticator Lite 中排除一個群組,它可以是動態或巢狀群組。 |
includeTarget |
featureTarget |
這個功能中所包含的一個單一實體。 您只能包含一個 Authenticator Lite 群組,可以是動態或巢狀群組。 |
State |
advancedConfigState |
可能的值: [啟用 ] 會明確啟用所選群組的功能。 停用 會明確停用所選群組的功能。 預設值 允許Microsoft Entra ID 來管理選取的群組是否啟用此功能。 |
識別單一目標組之後,請使用下列 API 端點來變更 CompanionAppsAllowedState底下的 featureSettings 屬性。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
在 Graph Explorer 中,您必須同意 Policy.ReadWrite.AuthenticationMethod 權限。
請求
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
使用者註冊
如果使用者已啟用 Authenticator Lite,系統會提示他們直接從 Outlook 行動裝置註冊您的帳戶。 使用 「我的登入」無法使用 Authenticator Lite 註冊。使用者也可以從 Outlook 行動裝置版中啟用或停用 Authenticator Lite。 如需用戶體驗的詳細資訊,請參閱 Authenticator Lite 支援。
如果使用者未註冊任何 MFA 方法,系統會提示用戶在開始註冊流程時下載 Authenticator。 為了獲得最順暢的體驗,請在 Authenticator Lite 註冊期間為使用者提供 暫時存取通行證 (TAP)。
監視 Authenticator Lite 使用量
登入記錄 可以顯示哪些應用程式用來完成用戶驗證。 若要檢視最新的登入,請在 Beta API 端點上使用下列呼叫:
GET auditLogs/signIns
如果登入是透過電話應用程式通知完成,則在authenticationAppDeviceDetails欄位底下返回或microsoftAuthenticator。
如果用戶已註冊 Authenticator Lite,則使用者的已註冊驗證方法包括 Microsoft Authenticator(在 Outlook 中)。
Authenticator Lite 中的推播通知
Authenticator Lite 所傳送的推播通知無法設定,也不取決於 Authenticator 功能設定。 Authenticator Lite 不支援無密碼驗證模式。 下表列出 Authenticator Lite 體驗中包含的功能設定。 不論 Authenticator 功能設定為何,每個驗證都包含數位比對提示,且不包含應用程式和位置內容。
| 驗證器功能 | Authenticator Lite 體驗 |
|---|---|
| 數字比對 | 已啟用 |
| 位置背景 | 已停用 |
| 應用程式內容 | 已停用 |
下列螢幕擷取畫面顯示當 Authenticator Lite 傳送推播通知時,使用者會看到的內容。
AD FS 配接器和 NPS 延伸模組
Authenticator Lite 會在每個驗證中強制執行數字比對。 如果您的租戶使用 AD FS 配接器或 NPS 擴充功能,您的使用者可能無法完成 Authenticator Lite 通知。 如需詳細資訊,請參閱AD FS配接器和NPS擴充功能。
若要深入瞭解驗證通知,請參閱 Microsoft驗證器驗證方法。
常見問題
下列各節列出常見問題。
Authenticator Lite 是否能作為中介程式使用?
否,Authenticator Lite 僅適用於推播通知和 TOTP。
Authenticator Lite 是否可用於 SSPR?
否,Authenticator Lite 僅適用於推播通知和 TOTP。
Authenticator Lite 是否可在 Outlook 傳統型應用程式中使用?
否,Authenticator Lite 僅適用於 Outlook 行動裝置版。
使用者可以在哪裡註冊 Authenticator Lite?
使用者只能從行動 Outlook 註冊 Authenticator Lite。 您可以從 我的登入 管理 Authenticator Lite 註冊。
用戶可以註冊 Authenticator 和 Authenticator Lite 嗎?
在其裝置上擁有 Authenticator 的用戶無法在同一部裝置上註冊 Authenticator Lite。 如果使用者具有 Authenticator Lite 註冊,然後稍後下載 Authenticator,他們可以註冊這兩者。 如果使用者有兩個裝置,他們可以在一個裝置上註冊 Authenticator Lite,另一個裝置上註冊 Authenticator。
已知問題
已知下列問題。
SSPR 通知
Outlook 的 TOTP 程式代碼可用於 SSPR,但推播通知無法運作,並會傳回錯誤。
記錄顯示已新增條件式存取評估
每次用戶開啟 Outlook 應用程式時,都會評估條件式存取原則,以判斷他們是否有資格註冊 Authenticator Lite。 這些檢查可能會出現在記錄中。