Microsoft Authenticator Lite：简化您的 MFA 体验

---

如果您是使用 Microsoft Authenticator 的数百万用户之一，那么请准备好迎接改变游戏规则的更新！通过最新更新，Microsoft Outlook 为多重身份验证 (MFA) 请求提供无缝且简化的体验。

隆重推出 Microsoft Authenticator Lite，这是 Office 365 用户从其本机 Microsoft 365 应用完成多重身份验证的另一个界面，现已在公开预览。截至目前，Outlook 移动应用支持 Authenticator Lite。

因此，现在是时候体验轻松高效的多重身份验证 (MFA) 流程了！ ? 让我们更进一步，了解这一创新更新如何增强您的 MFA 工作流程并将您的帐户安全提升到新的水平。

Authenticator Lite - 全新的 Microsoft Authenticator 应用

当您的本机应用本身可以拥有另一个应用时，为什么要安装另一个应用？

什么是 Microsoft Authenticator Lite？

Authenticator Lite 是一项 新功能，可帮助直接在 Microsoft 365 应用中完成 MFA 请求，而无需安装 Microsoft Authenticator 等其他应用。 目前，用户可以体验以下功能的集成：该功能已集成到适用于 Android 和 iOS 设备的 Microsoft Outlook 应用程序中。

因此，Office 365 用户只需使用 Outlook 移动版即可满足 MFA 请求。多酷不是吗？

但从 Outlook 开始的策略是什么？让我在这里透露一下，根据统计，Outlook 仅在 Android 上的下载量就超过 5 亿次！因此，此举将使 Microsoft 365 用户更容易采用 MFA。

事不宜迟，让我们来看看这个 Authenticator Lite 是如何工作的。

1. 首先，使用 Microsoft Entra 管理中心的身份验证方法为用户配置推送通知。
2. 接下来，使用 Graph API 为特定用户启用 Authenticator Lite。
3. 启用后，Outlook Mobile 允许最终用户直接通过 Authenticator Lite 进行注册。

注意：在预览阶段，默认的 Microsoft 托管设置处于禁用状态，并且只能通过 Graph API 启用 Authenticator Lite。

有关 Microsoft Authenticator 推出的最新更新：

• 自2023 年 5 月 17 日起，Microsoft Authenticator Lite（在 Outlook 中）将正式发布！ 请注意，在正式发布期间，Microsoft 托管值将保持禁用状态，租户不会受到任何影响。
• 最初，微软宣布，如果您保留默认设置，到 2023 年 5 月 26 日，将为您的租户“启用”Authenticator Lite “微软做到了。”

➤ 但是日期发生了变化！ 2023 年 6 月 9 日起，此功能的 Microsoft 托管值将从“已禁用”更改为“已启用”。

⚠️如果您在 6 月 9 日之前对配置进行多次更改，它们将不受影响。但是，如果管理员对使用此功能不感兴趣，他们可以在 2023 年 6 月 9 日之前禁用它。

那么，进一步的更新将引入指定的用户界面来管理 Authenticator Lite。那不是全部！现在，让我们探索如何启用这种强大的组合，并通过这种创新的集成来提升您的安全游戏水平。

使用 Microsoft Graph API 启用 Authenticator Lite

登录 Microsoft Graph Explorer API 并确保授予 Policy.ReadWrite.AuthenticationMethod 权限。在打开它之前，让我们使用以下查询检查 Authenticator Lite 的状态。

GET https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Microsoft 为 Authenticator Lite 指定了 CompanionAppsAllowedState 属性，并根据上图，初始阶段设置为“禁用”状态。在我们开始启用 Authenticator Lite 的步骤之前，必须注意它有一个限制，即 -

➤ 您一次只能包含/排除一组。 （这些组可以是动态组或嵌套组。）

要启用 Authenticator Lite，您可以使用以下示例代码并进行所需的更改。

• 将实际状态从“已禁用”更改为“已启用”。
• 然后，继续提及特定目标组的 ID或根据您的要求将目标设置为所有用户。

{ 
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity", 
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration", 
    "id": "MicrosoftAuthenticator", 
    "state": "enabled", 
    "isSoftwareOathEnabled": false, 
    "excludeTargets": [], 
    "featureSettings": { 
        "companionAppAllowedState": { 
            "state": "enabled", 
            "includeTarget": { 
                "targetType": "group", 
                "id": "<GroupID>" 
            }, 
            "excludeTarget": { 
                "targetType": "group", 
                "id": "00000000-0000-0000-0000-000000000000" 
            } 
        } 
    }, 
    "[email protected]": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets", 
    "includeTargets": [ 
        { 
            "targetType": "group", 
            "id": "all_users", 
            "isRegistrationRequired": false, 
            "authenticationMode": "any" 
        } 
    ] 
}

最后，完成了！现在，它已为目标用户启用，Microsoft Outlook 将提示用户注册其帐户，如下所示。在这里，用户可以注册自己的帐户并继续使用 Outlook 应用程序来满足 MFA 请求。

此外，您可以直接从 Microsoft Outlook 应用程序关闭或管理 Authenticator lite 设置。导航到下面的路径并开始管理 Authenticator Lite。

Microsoft Outlook 移动应用 ? 帐户 ? 设置 ? 身份验证器

要记住的一件事是，无法为 Authenticator Lite 配置特定的身份验证功能设置。也就是说，Microsoft Authenticator Lite 仅支持 MFA 号码匹配，不支持其他上下文，例如位置或应用程序名称。

Authenticator Lite - MFA 变得简单

总之，微软刚刚提高了简化多因素身份验证过程的标准。因此，只需使用旧的 Outlook 来完成 MFA 请求，就可以开始了！此举肯定会促进 MFA 的采用，并有助于以全新的方式保护您的帐户。因此，如果您正在升级安全性，请立即使用 Authenticator Lite。 ?

不再需要安装应用，不再有不必要的麻烦！