如何啟用 Outlook 行動版的 Microsoft Authenticator Lite
Microsoft Authenticator Lite 是 Microsoft Entra 使用者在其 Android 或 iOS 裝置上使用推播通知或以時間為基礎的單次密碼 (TOTP) 完成多重要素驗證的另一個介面。 透過 Authenticator Lite,使用者可以從熟悉應用程式的便利性中滿足多重要素驗證需求。 Authenticator Lite 目前在 Outlook Mobile 中已啟用。
使用者在 Outlook Mobile 中收到通知以核准或拒絕登入,或者他們可以複製 TOTP 以在登入期間使用。
注意
這些是透過電信傳輸驗證使用者的重要安全性增強功能:
- 在 6 月 26 日,這項功能的 Microsoft 受控值從 [已停用] 變更為 [驗證方法] 原則中的 [已啟用]。 如果您不想再啟用這項功能,請將狀態從 [預設] 移至 [已停用],或將它限定為只有一組使用者。
- 從 9 月 18 日起,Authenticator Lite 將會啟用為個別使用者 MFA 原則中 [透過行動應用程式通知] 驗證選項的一部分。 如果您不想要啟用此功能,則可以遵循下列步驟,在驗證方法原則中停用此功能。
必要條件
您的組織需要為所有使用者或選取群組啟用 Microsoft Authenticator (第二因素) 推播通知。 建議您使用新式驗證方法原則來啟用 Microsoft Authenticator。 您可以使用 Microsoft Entra 系統管理中心或 Microsoft 圖形 API 來編輯驗證方法原則。 具有作用中 MFA 伺服器的組織不符合此功能的資格。
提示
當您啟用 Authenticator Lite 時,建議您也啟用系統慣用的多重要素驗證 (MFA)。 啟用系統慣用的 MFA 後,使用者先嘗試使用 Authenticator Lite 登入,然後再嘗試較不安全的電話語音方法,例如簡訊或語音通話。
如果您的組織使用 Active Directory 同盟服務 (AD FS) 配接器或網路原則伺服器 (NPS) 延伸模組,請升級至最新版本,以取得一致的體驗。
在 Outlook Mobile 上啟用共用裝置模式的使用者不符合 Authenticator Lite 的資格。
使用者必須執行最低 Outlook Mobile 版本。
作業系統 Outlook 版本 Android 4.2310.1 iOS 4.2312.1
啟用 Authenticator Lite
根據預設,Authenticator Lite 會在驗證方法原則中由 Microsoft 管理。 在 6 月 26 日,此功能的 Microsoft 受控值從 [已停用] 變更為 [已啟用]。 Authenticator Lite 也會包含在每個使用者 MFA 原則中 [透過行動應用程式通知] 驗證選項的一部分。
在 Microsoft Entra 系統管理中心停用 Authenticator Lite
若要在 Microsoft Entra 系統管理中心停用 Authenticator Lite,請完成下列步驟:
以至少驗證原則管理員的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [保護]>[驗證方法]>[Microsoft Authenticator]。
在 [啟用和目標] 索引標籤上,按一下 [啟用] 和 [所有使用者] 來啟用每個人的驗證器原則,或新增選取群組。 將這些使用者/群組的 [驗證模式] 設定為 [任何] 或 [推送]。
未啟用 Microsoft Authenticator 的使用者將看不到此功能。 在下載 Outlook 的相同裝置上下載 Microsoft Authenticator 的使用者將不會收到在 Outlook 中註冊 Authenticator Lite 的提示。 如果 Authenticator 存在於 Outlook 應用程式的不同設定檔上,系統可能會提示 Android 使用者使用其裝置上的個人和工作設定檔進行註冊。
在 [設定] 索引標籤上,針對伴隨應用程式的Microsoft Authenticator,將 [狀態] 變更為 [已停用],然後按一下 [儲存]。
注意
如果您的組織仍然在每個使用者 MFA 原則中管理驗證方法,除了上述步驟之外,您還需要停用 [透過行動應用程式通知] 作為驗證選項。 只有在您在驗證方法原則中啟用 Microsoft Authenticator 之後,才建議這麼做。 您可以在個別使用者 MFA 原則中管理其餘的驗證方法,同時 Microsoft Authenticator 會在新式驗證方法原則中進行管理。 不過,建議將所有驗證方法的管理移轉至新式驗證方法原則。 2025 年 9 月 30 日將會淘汰在每個使用者 MFA 原則中管理驗證方法的能力。
透過圖形 API 啟用 Authenticator Lite
| 屬性 | 類型 | 描述 |
|---|---|---|
| excludeTarget | featureTarget | 從這項功能中排除的單一實體。 您只能從 Authenticator Lite 中排除一個群組,這可以是動態或巢狀群組。 |
| includeTarget | featureTarget | 這項功能中包含的單一實體。 您只能包含一個 Authenticator Lite 群組,這可以是動態或巢狀群組。 |
| 州/省 | advancedConfigState | 可能的值包括: enabled,明確地為所選群組啟用該功能。 disabled,明確地為所選群組停用該功能。 default,可讓 Microsoft Entra ID 管理是否為所選群組啟用或停用該功能。 |
識別單一目標群組之後,請使用下列 API 端點來變更 featureSettings 底下的 CompanionAppsAllowedState 屬性。
https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator
注意
在 Graph 總管中,您必須同意 Policy.ReadWrite.AuthenticationMethod 權限。
Request
//Retrieve your existing policy via a GET.
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the Query to PATCH and Run query
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
"@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
"id": "MicrosoftAuthenticator",
"state": "enabled",
"isSoftwareOathEnabled": false,
"excludeTargets": [],
"featureSettings": {
"companionAppAllowedState": {
"state": "enabled",
"includeTarget": {
"targetType": "group",
"id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
},
"excludeTarget": {
"targetType": "group",
"id": "00000000-0000-0000-0000-000000000000"
}
}
},
"includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
"includeTargets": [
{
"targetType": "group",
"id": "all_users",
"isRegistrationRequired": false,
"authenticationMode": "any"
}
]
}
使用者註冊
如果已啟用 Authenticator Lite,系統會提示使用者直接從 Outlook Mobile 註冊其帳戶。 Authenticator Lite 註冊無法使用 MySignIns。 使用者也可以從 Outlook Mobile 內啟用或停用 Authenticator Lite。 如需使用者體驗的詳細資訊,請參閱 Authenticator Lite 支援。
注意
如果他們未註冊任何 MFA 方法,系統會提示使用者在開始註冊流程時下載 Authenticator。 為了獲得最順暢的體驗,請使用可在 Authenticator Lite 註冊期間使用的臨時存取密碼 (TAP) 來佈建使用者。
監視 Authenticator Lite 使用量
登入記錄可以顯示哪些應用程式用來完成使用者驗證。 若要檢視最新的登入,請在 Beta API 端點上使用下列呼叫:
GET auditLogs/signIns
如果登入是透過電話應用程式通知來完成,則在 authenticationAppDeviceDetails 底下,[clientApp] 欄位會傳回 microsoftAuthenticator 或 Outlook。
如果使用者已註冊 Authenticator Lite,則使用者的已註冊驗證方法包括 Microsoft Authenticator (在 Outlook 中)。
Authenticator Lite 中的推播通知
Authenticator Lite 所傳送的推播通知無法設定,也不取決於 Authenticator 功能設定。 Authenticator Lite 不支援無密碼驗證模式。 下表列出 Authenticator Lite 體驗中包含的功能設定。 不論 Microsoft Authenticator 驗證器功能設定為何,每個驗證都包含數字比對提示,且不包含應用程式和位置內容。
| Authenticator 功能 | Authenticator Lite 體驗 |
|---|---|
| 數字比對 | 已啟用 |
| 位置內容 | 已停用 |
| 應用程式內容 | 已停用 |
下列螢幕擷取畫面顯示當 Authenticator Lite 傳送推播通知時,使用者會看到的內容。
AD FS 配接器和 NPS 延伸模組
Authenticator Lite 會在每個驗證中強制執行數字比對。 如果您的租用戶使用 AD FS 配接器或 NPS 延伸模組,則您的使用者可能無法完成 Authenticator Lite 通知。 如需詳細資訊,請參閱 AD FS配接器和 NPS 延伸模組。
若要深入了解驗證通知,請參閱 Microsoft Authenticator 驗證方法。
常見問題
Authenticator Lite 是否可作為訊息代理程式應用程式運作?
否,Authenticator Lite 僅適用於推播通知和 TOTP。
Authenticator Lite 是否可用於 SSPR?
否,Authenticator Lite 僅適用於推播通知和 TOTP。
這是否可在 Outlook 傳統型應用程式中使用?
否,Authenticator Lite 僅適用於 Outlook Mobile。
使用者可以在哪裡註冊 Authenticator Lite?
使用者只能從行動版 Outlook 註冊 Authenticator Lite。 您可以從 aka.ms/mysignins 管理 Authenticator Lite 註冊。
使用者可以註冊 Microsoft Authenticator 和 Authenticator Lite 嗎?
在其裝置上擁有 Microsoft Authenticator 的使用者無法在相同裝置上註冊 Authenticator Lite。 如果使用者具有 Authenticator Lite 註冊,然後稍後下載 Microsoft Authenticator,則他們可以註冊兩者。 如果使用者有兩個裝置,他們可以在一個裝置上註冊 Authenticator Lite,而在另一個裝置上註冊 Microsoft Authenticator。
已知問題
SSPR 通知
Outlook 的 TOTP 代碼適用於 SSPR,但推播通知將無法運作,且會傳回錯誤。
記錄會顯示其他條件式存取評估
每次使用者開啟其 Outlook 應用程式時,系統都會評估條件式存取原則,以判斷使用者是否有資格註冊 Authenticator Lite。 這些檢查可能會出現在記錄中。