Im März informierte Microsoft über Authenticator Lite. Authenticator Lite ist eine abgespeckte Version der bekannten Microsoft Authenticator App, direkt in die Outlook App von iOS und Android integriert.
Manche Personen möchten sich die normale Microsoft Authenticator App nicht auf ihrem Smartphone installieren, nutzen eine alternative App oder es wird stattdessen eine MFA-Methode über SMS oder E-Mail gewählt. Die Outlook App ist bei vielen Personen installiert. Da Authenticator Lite direkt in der Outlook App implementiert ist kann eine erweiterte Personengruppe Multi-Faktor Authentifizierungen über die Outlook App freigeben.
In der Dokumentation informiert Microsoft Authenticator Lite wird standardmässig am 9. Juni aktiviert. Seit ab März/April steht Authenticator Lite als Preview zur Verfügung.
**********
Update vom 20. Mai 2023:
Die globale Verfügbarkeit von Authenticator Lite und standardmässige Aktivierung wurde vom 26. Mai auf 9. Juni verschoben.
**********
Wissenswerte Punkte
- Entweder aktivierst du Authenticator Lite für alle Benutzerkonten, oder du benötigst eine Azure AD Gruppe. Microsoft empfiehlt es für alle Konten freizugeben.
- Authenticator Lite kann jemand in der Outlook Mobile App nur aktivieren, wenn die normale Authenticator App nicht auf dem Smartphone installiert ist. Erkennt Outlook die Installation der Authenticator App informiert Outlook die Aktivierung von Authenticator Lite sei nicht möglich.
- Damit Mitarbeitende Authenticator Lite einsetzen dürfen müssen die Konten für die Authentifizierungsmethode Authenticator App freigeschalten sein.
- Für die Konfiguration von Authenticator Lite benötigt ein Konto die Rolle Authentication Policy Administrator oder Global Admin.
- Authenticator Lite können Authentication Policy Administratoren über Azure AD oder Microsoft Graph vorab aktivieren. Ab 9. Juni aktiviert es Microsoft selbstständig.
- Für den Einsatz von Authenticator Lite wird eine aktuelle Outlook Mobile App erwartet.
- Outlook für iOS ab Version 4.2309.0
- Outlook für Android ab Version 4.2309.1
- Zur Konfiguration sollten Administratoren die Dokumentation beachten.
Aktivierung über Azure AD
Über Azure AD wählst du Security > Authentication methods > Microsoft Authenticator. Es es die Konfiguration für “Microsoft Authenticator on companion applications”.
Aktivierung über Microsoft Graph
Die Konfiguration für Authenticator Lite ist Teil der Microsoft Authenticator Methode. Es handelt sich um das Setting companionAppAllowedState.
companionAppAllowedState
Determines whether users will be able to approve push notifications on other Microsoft applications such as Outlook Mobile.
Zur Simulation aktivierte ich in meinem Tenant Authenticator Lite über Microsoft Graph. Zur Konfiguration benötigst du das PowerShell Modul Microsoft.Graph.Authentication.
Es gibt wieder drei mögliche Konfigurationen.
- Disabled, Authenticator Lite ist generell nicht aktiv. Bis Mai ist es die Standardkonfiguration für alle Benutzerkonten.
- Enabled, Authenticator Lite ist für alle Benutzerkonten oder eine ausgewählte Personengruppe aktiv.
- Default, eine Organisation überlässt Microsoft die Aktivierung. Ab 9. Juni soll es die Standardkonfiguration sein.
Für die manuelle Konfiguration über Microsoft Graph folge den Schritten.
- Installiere/Importiere das PowerShell Modul Microsoft.Graph.Authentication und verbinde dich über Connect-MgGraph und dem Scope Policy.ReadWrite.AuthenticationMethod zu deinem Tenant.
Install-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Authentication
Connect-MgGraph -Scopes Policy.ReadWrite.AuthenticationMethod
- Frage die aktuelle Konfiguration für Microsoft Authenticator Method ab. Das Setting companionAppAllowedState ist im Moment Disabled.
$Url = "https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator"
$Result = Invoke-MgGraphRequest -Method get -Uri $Url -ContentType "application/json"
$Result.featureSettings.companionAppAllowedState | ConvertTo-Json
Danach kannst du das Settings aktivieren, mit deiner Gruppe ergänzen und die Konfiguration über PATCH in deinem Tenant setzen.
$Result.featureSettings.companionAppAllowedState.state = "enabled"
$Result.featureSettings.companionAppAllowedState.includeTarget.id = "95617db2-5e57-4ac8-b8d9-6723e9c98e81"
Invoke-MgGraphRequest -Method PATCH -Uri $Url -Body $Result
Aktivierung von Authenticator Lite in Outlook Mobile App
Generell sollten Mitarbeitende die Anleitung über Authenticator in Outlook Mobile beachten.
Authenticator Lite findest du in den Einstellungen der Outlook App unter deinem E-Mail Konto im Abschnitt Authenticator. Das Konto muss für die Authentifizierung über die Authenticator App freigeschalten sein. Authenticator Lite kannst du in der Outlook Mobile App nur aktivieren, wenn die normale Authenticator App nicht auf deinem Smartphone installiert ist. Erkennt Outlook die Installation der Authenticator App informiert es die Aktivierung von Authenticator Lite sei nicht möglich.
Hast du die Authenticator App bereits auf einem anderen Smartphone im Einsatz erkennt es Authenticator Lite. Authenticator Lite sendet einen MFA-Request zur Bestätigung. Wird es bestätigt aktiviert sich Authenticator Lite in der Outlook App (auf dem Smartphone ohne installierter Authenticator App).
Ist die Authenticator App bisher nicht eingerichtet leitet Outlook durch die Aktivierung und startet den Onboarding Prozess. Dafür ist es wichtig zu kennen, das Konto muss eines von den zwei Anforderungen erfüllen, ansonsten fordert Outlook die Installation der normalen Authenticator App.
- Das Konto hat zumindest eine alternative Authentifizierungsmethode eingerichtet (zum Beispiel SMS oder E-Mail) ODER
- Das Konto hat von einem Administrator einen Temporary Access Pass (TAP) für die Anmeldung erhalten.
In meinem Beispiel ist es ein neues Konto. Ich erstellte einen TAP.
Das neue Konto aktiviert in der Outlook App Authenticator Lite, wird nach dem TAP gefragt und Outlook aktiviert Authenticator Lite. Das ganze Onboarding dauert weniger als eine Minute.
Ein Test zeigt Outlook erhält nun die Anfrage für MFA Number Matching.
In den Sicherheitsinformationen des Kontos wird die Methode als Authenticator in Outlook aufgeführt.
Danke für den Hilfsartikel, super erklärt!
Ich stehe jetzt nur vor der Herausforderung, dass auf einem Android-Gerät, der normale Authenticator während des Setups bereits mit installiert wird und ich Ihn nicht deinstallieren kann (Device Admin App, Fehler beim Deinstallieren). Wie kann ich nun bei diesem Gerät den Authenticator Lite nutzen? Eine Idee?
Hallo Fabian, merci für das Feedback.
Hm, bereits mitinstalliert? Von deiner Organisation? Über Intune ist es praktisch möglich zu definieren eine App muss auf dem Gerät installiert sein. Hat deine Organisation eventuell die Konfiguration so gesetzt?
Eventuell ist es eine Konfiguration aus der Vergangenheit, als es Authenticator Lite noch nicht gab und jetzt ist die Konfiguration für die normale Authenticator App weiterhin so aktiv.