如何为 Outlook Mobile 启用 Microsoft Authenticator

Microsoft Authenticator 支持 Microsoft Outlook 移动版等配套应用程序，为用户提供简化的“精简版”体验，使其能够使用强大的多重身份验证方法，而无需在移动设备上安装其他 MFA 应用程序。在 Outlook 移动版上使用 Authenticator Lite（而不是 Microsoft Authenticator 应用程序）可以为用户身份提供相同级别的保护，例如号码匹配和 OTP 体验。

在本教程中，我将解释 Authenticator Lite 体验的工作原理、是否应该使用它以及如何在 Entra Portal 中启用它并使用 Microsoft Graph PowerShell。

什么是 Outlook mobile 的 Authenticator Lite？

Authenticator Lite 是一种简单且安全的多因素身份验证方法，直接内置于常见的 Microsoft 移动应用程序中，更具体地说是 IOS 和 Android 操作系统上的 Outlook for mobile。这种简化的体验意味着您可以直接从手机上可能已安装的应用程序完成安全的 OTP 和推送通知第二步身份验证。

对于 Outlook，Authenticator Lite 体验适用于 Android Outlook 版本 4.2308.0 及更高版本以及 IOS Outlook 4.2309.0 及更高版本。

Authenticator Lite 的先决条件

1. 您需要在 IOS 或 Android 设备上下载 Outlook 应用程序，并且必须使用您的工作或学校帐户配置该应用程序。如果您尚未安装和配置 Outlook，则需要先执行此操作，然后才能启用 Authenticator Lite。

2. 您必须按照以下步骤在租户中启用必要的设置。可以立即对所有用户执行此操作，也可以慢慢向组织中的特定用户执行此操作。

3. 您的帐户必须已配置第二因素身份验证方法。这可以是 Microsoft Authenticator 应用程序之外的任何其他方法。

我应该使用 Microsoft Authenticator 还是 Authenticator Lite？

完整的 Microsoft Authenticator 应用程序将为您带来更好的体验。例如，如果您需要连接到多个 Microsoft 365 帐户，则使用完整的 Microsoft Authenticator 应用程序比 Outlook 移动版中的 Lite 体验更容易管理。

但是，如果您当前正在使用基于短信或语音的身份验证并通过移动设备上的 Outlook 访问公司数据（同时未安装 Microsoft Authenticator 应用程序），则应该使用它。

Authenticator Lite 是否优先于 Microsoft Authenticator？

不可以。如果您的设备上安装了 Microsoft Authenticator 应用，您将无法在 Outlook 移动版上注册 Authenticator Lite，因为配套应用 (Outlook) 将检测 Microsoft Authenticator 是否已安装，并且在启用时不会提示您注册。

Authenticator Lite 的默认状态是什么？

默认情况下，Authenticator Lite 设置为 Microsoft 托管。这意味着微软可以管理和控制Authenticator Lite的默认状态。在 2023 年 6 月 9 日之前，Microsoft 托管状态默认为“禁用”，但是，在该日期之后，Authenticator Lite 将自动启用，除非您选择禁用它。

什么场景下需要部署Authenticator Lite？

Authenticator Lite 可用于简化用户进入多重身份验证的过程，并将用户从安全性和便利性较差的环境中迁移出来 身份验证短信等方式语音。

无需在设备上安装额外的应用程序，可以帮助新用户入门。但就我个人而言，我觉得这种经历有些不必要。如果用户安装了 Outlook 移动版应用程序，您可以很容易地想象他们已经安装了身份验证器应用程序。如果他们尚未使用 Outlook 移动版，则在入职时应至少安装 Microsoft Authenticator。没有理由反对用户在不安装 Microsoft Authenticator 的情况下安装 Outlook 移动应用程序并在个人设备上访问公司数据，如果有异议，则不应在该设备上访问公司数据，或者应颁发公司设备（如果存在）被认为是必需品。

虽然，如果您继承了不完美的环境，或者由于个人偏好或缺乏更强方法的实施而先前部署了 SMS 身份验证，则 Authenticator Lite 可以用作快速满足要求的方法，并且可以被视为滚动的中间步骤出 Microsoft Authenticator 应用程序。反对这一点的理由是，您为您和您的最终用户增加了额外的复杂性。当您只需推出 Microsoft Authenticator 应用程序时，为什么要加倍努力、文档和沟通呢？

Authenticator Lite 是一种简化用户的 MFA 体验并满足 MFA 要求的便捷体验，这在简单的环境中非常有用，并且可以作为协助推出 MFA 的中间步骤。在更复杂的环境中，某些用户可能拥有第二个云帐户来执行特权任务，面向所有用户的 Microsoft Authenticator 应用将提供更好的灵活性和一致性。

如何通过 Web UI 启用 Authenticator Lite

可以通过 Azure Active Directory 的“身份验证方法”页面启用 Authenticator Lite。请按照以下步骤为组织中的所有用户启用它。

1. 登录 Microsoft Entra，展开保护和安全，然后选择身份验证方法。

2. 从方法列表中选择Microsoft Authenticator。

3. 选择配置选项卡。

4. 在配套应用程序上的 Microsoft Authenticator 下，将状态更改为已启用，然后单击“保存”。

如何使用 Microsoft Graph 启用 Authenticator Lite

如果需要使用 PowerShell 以编程方式启用 Authenticator Lite，可以使用 Microsoft Graph PowerShell 模块来执行此操作。如果您尚未安装这些模块，请查看我的如何安装 Microsoft Graph PowerShell 模块的指南。请按照以下步骤使用 PowerShell 启用此设置：

1. 首先使用 Policy.ReadWrite.AuthenticationMethods 权限范围连接到 Microsoft Graph：

Connect-MgGraph -Scope Policy.ReadWrite.AuthenticationMethod

2. 您需要为 Microsoft Authenticator 方法设置定义 URI：

$uri = "https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator"

3. 然后使用 Invoke-MgGraphRequest cmdlet 从租户获取策略配置并将其存储在会话中的变量中。这将作为哈希表保存在 $body 中并用作我们的有效负载。

$body = Invoke-MgGraphRequest -uri $uri -method GET

4. 现在需要修改有效负载以满足我们所需的新配置：

$body.featureSettings.companionAppAllowedState.state = `
$body.featureSettings.companionAppAllowedState.state.Replace('disabled','enabled')

5. 如果您之前通过门户配置了号码匹配，则还必须从负载中删除此设置，您可以使用以下命令来执行此操作：

$body.featureSettings.Remove('numberMatchingRequiredState')

如果您未能执行此步骤，则在下一步中您将遇到以下错误：

“code”:“badRequest”,“message”:“策略持久性失败并出现错误：Microsoft Authenticator 的号码匹配功能无法再作为一部分进行切换featureSettings

6. 最后，使用 PATCH 方法运行 Invoke-MgGraphRequest 命令来更新您的配置：

Invoke-MgGraphRequest -uri $uri -body $body -method PATCH

7. 使用以下命令验证您的配置已更改：

(Invoke-MgGraphRequest -uri $uri -method GET).featuresettings.companionAppAllowedState

复制并粘贴以下完整脚本：

#Connect to Microsoft Graph
Connect-MgGraph -Scope Policy.ReadWrite.AuthenticationMethod

#Define the URI
$uri = "https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator"

#Get the current configuration
$body = Invoke-MgGraphRequest -uri $uri -method GET

#Modify your payload
$body.featureSettings.companionAppAllowedState.state = $body.featureSettings.companionAppAllowedState.state.Replace('disabled','enabled')
$body.featureSettings.Remove('numberMatchingRequiredState')

#Configure your new policy settings
Invoke-MgGraphRequest -uri $uri -body $body -method PATCH