Outlook モバイルの Authenticator Lite を有効にする

2025-04-30

Authenticator Lite は、Microsoft Entra ユーザーが Android または iOS デバイスでプッシュ通知または時間ベースのワンタイムパスコード (TOTP) を使用して多要素認証 (MFA) を完了するためのもう 1 つの面です。 Authenticator Lite を使用すると、ユーザーは使い慣れたアプリの利便性から MFA 要件を満たすことができます。 Authenticator Lite は現在、Outlook モバイルで有効になっています。

ユーザーは Outlook Mobile でサインインを承認または拒否する通知を受け取るか、サインイン時に使用する TOTP をコピーできます。

注

通信トランスポートを使用して認証する場合は、次の重要なセキュリティ強化機能を使用します。

この機能の Microsoft が管理する値は、認証方法ポリシーで有効になっています。この機能を有効にしない場合は、状態を既定から無効に移動するか、ユーザーのグループのみにスコープを設定します。
Authenticator Lite は、ユーザーごとの MFA ポリシーのモバイルアプリ検証オプションによる通知の一部として有効になります。この機能を有効にしない場合は、この記事の手順に従って認証方法ポリシーで無効にすることができます。

前提条件

組織では、すべてのユーザーに対して Authenticator (第 2 要素) プッシュ通知を有効にするか、グループを選択する必要があります。先進認証方法ポリシーを使用して Authenticator を有効にすることをお勧めします。認証方法ポリシーは、Microsoft Entra 管理センターまたは Microsoft Graph API を使用して編集できます。 Authenticator Lite は、アクティブな MFA サーバーを持つオンプレミスのユーザーアカウントや組織では使用できません。

ヒント

Authenticator Lite を有効にする場合は、システム優先の MFA も併せて有効にすることをお勧めします。システム優先 MFA が有効になっている場合、ユーザーは SMS や音声通話などの安全性の低いテレフォニー方式を試す前に、Authenticator Lite でサインインしようとします。
組織が Active Directory フェデレーションサービス (AD FS) アダプターまたはネットワークポリシーサーバー (NPS) 拡張機能を使用している場合は、一貫性のあるエクスペリエンスになるように最新バージョンにアップグレードしてください。
Outlook モバイルで共有デバイスモードが有効になっているユーザーは、Authenticator Lite の対象になりません。
ユーザーは、Outlook モバイルの最小バージョンを実行する必要があります。

オペレーティングシステム Outlook のバージョン

アンドロイド 4.2310.1

iOS 4.2312.1

オペレーティングシステム	Outlook のバージョン
アンドロイド	4.2310.1
iOS	4.2312.1

Authenticator Lite を有効にする

既定では、Authenticator Lite は認証方法ポリシーで Microsoft によって管理されます。 6 月 26 日に、この機能の Microsoft が管理する値が disabled から enabledに変更されました。 Authenticator Lite は、ユーザーごとの MFA ポリシーの モバイルアプリ検証オプションによる通知 の一部としても含まれます。

Microsoft Entra 管理センターで Authenticator Lite を無効にする

Microsoft Entra 管理センターで Authenticator Lite を無効にするには、次の手順に従います。

少なくとも認証ポリシー管理者として Microsoft Entra 管理センターにサインインします。
Entra ID>Authentication メソッド>Microsoft Authenticator を参照します。
[ 有効化とターゲット ] タブで、[ 有効にする ] と [ すべてのユーザー ] を選択してすべてのユーザーに対して Authenticator ポリシーを有効にするか、選択グループを追加します。これらのユーザーまたはグループの認証モードを [任意 ] または [プッシュ] に設定 します。

Authenticator が有効になっていないユーザーには、この機能が表示されません。 Outlook がダウンロードされているのと同じデバイスで Authenticator をダウンロードしたユーザーは、Outlook で Authenticator Lite に登録するように求められません。デバイスで個人プロファイルと仕事用プロファイルを使用する Android ユーザーは、Authenticator が Outlook アプリケーションとは異なるプロファイルに存在する場合に登録を求められる場合があります。
コンパニオン アプリケーションの Microsoft Authenticator の [構成] タブで、[状態] を [無効] に変更し、[保存] を選択します。

組織がユーザーごとの MFA ポリシーで認証方法を引き続き管理している場合は、前の手順に加えて、モバイル アプリによる通知 を検証オプションとして無効にする必要があります。この手順は、認証方法ポリシーで Authenticator を有効にした後にのみ実行することをお勧めします。

Authenticator は最新の認証方法ポリシーで管理されている間、ユーザーごとの MFA ポリシーで認証方法の残りの部分を引き続き管理できます。ただし、すべての認証方法の管理を最新の認証方法ポリシーに移行することをお勧めします。ユーザーごとの MFA ポリシーの認証方法を管理する機能は、2025 年 9 月 30 日に廃止されます。

Graph API を使用して Authenticator Lite を有効にする

プロパティ	タイプ	説明
`excludeTarget`	`featureTarget`	この機能から除外される 1 つのエンティティ。 Authenticator Lite から除外できるグループは 1 つだけです。動的グループまたは入れ子になったグループを指定できます。
`includeTarget`	`featureTarget`	この機能に含まれる 1 つのエンティティ。 Authenticator Lite には、動的グループまたは入れ子になったグループを含めることができるグループを 1 つだけ含めることができます。
`State`	`advancedConfigState`	使用可能な値: 有効にすると、選択したグループの機能が明示的に有効になります。無効にすると、選択したグループの機能が明示的に無効になります。既定では、Microsoft Entra ID は、選択したグループに対して機能が有効になっているかどうかを管理できます。

単一のターゲットグループを特定した後、次の API エンドポイントを使用して、CompanionAppsAllowedStateの featureSettings プロパティを変更します。

https://graph.microsoft.com/beta/authenticationMethodsPolicy/authenticationMethodConfigurations/MicrosoftAuthenticator

Graph エクスプローラーでは、Policy.ReadWrite.AuthenticationMethod アクセス許可に同意する必要があります。

要求

//Retrieve your existing policy via a GET. 
//Leverage the Response body to create the Request body section. Then update the Request body similar to the Request body as shown below.
//Change the query to PATCH and run the query.

{
    "@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodConfigurations/$entity",
    "@odata.type": "#microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration",
    "id": "MicrosoftAuthenticator",
    "state": "enabled",
    "isSoftwareOathEnabled": false,
    "excludeTargets": [],
    "featureSettings": {
        "companionAppAllowedState": {
            "state": "enabled",
            "includeTarget": {
                "targetType": "group",
                "id": "s4432809-3bql-5m2l-0p42-8rq4707rq36m"
            },
            "excludeTarget": {
                "targetType": "group",
                "id": "00000000-0000-0000-0000-000000000000"
            }
        }
    },
    "includeTargets@odata.context": "https://graph.microsoft.com/beta/$metadata#authenticationMethodsPolicy/authenticationMethodConfigurations('MicrosoftAuthenticator')/microsoft.graph.microsoftAuthenticatorAuthenticationMethodConfiguration/includeTargets",
    "includeTargets": [
        {
            "targetType": "group",
            "id": "all_users",
            "isRegistrationRequired": false,
            "authenticationMode": "any"
        }
    ]
}

ユーザーの登録

Authenticator Lite が有効になっている場合は、Outlook モバイルから直接アカウントを登録するように求められます。 Authenticator Lite の登録は、マイサインインを使用して使用することはできません。ユーザーは、Outlook モバイル内から Authenticator Lite を有効または無効にすることもできます。ユーザーエクスペリエンスの詳細については、「 Authenticator Lite のサポート」を参照してください。

Authenticator Lite を登録する方法を示すスクリーンショット。

ユーザーが MFA メソッドを登録していない場合は、登録フローを開始するときに Authenticator をダウンロードするように求められます。最もシームレスなエクスペリエンスを実現するには、Authenticator Lite の登録中に一時アクセスパス (TAP) を使用してユーザーをプロビジョニングします。

Authenticator Lite の使用状況を監視する

サインインログには、ユーザー認証を完了するために使用されたアプリが表示されます。最新のサインインを表示するには、ベータ API エンドポイントで次の呼び出しを使用します。

GET auditLogs/signIns

サインインが電話アプリ通知によって行われた場合は、 authenticationAppDeviceDetails の clientApp フィールドから microsoftAuthenticator または Outlook が返されます。

ユーザーが Authenticator Lite を登録している場合、ユーザーの登録された認証方法には、Microsoft Authenticator (Outlook)が含まれます。

Authenticator Lite のプッシュ通知

Authenticator Lite から送信されるプッシュ通知は構成できず、Authenticator 機能の設定に依存しません。 Authenticator Lite では、パスワードレス認証モードはサポートされていません。次の表に、Authenticator Lite エクスペリエンスに含まれる機能の設定を示します。すべての認証には、認証機能の設定に関係なく、番号に一致するプロンプトが含まれており、アプリと場所のコンテキストは含まれません。

Authenticator 機能	Authenticator Lite エクスペリエンス
数値の一致	有効化済み
場所コンテキスト	無効
アプリケーションコンテキスト	無効

Authenticator Lite がプッシュ通知を送信したときにユーザーに表示される内容を次のスクリーンショットに示します。

Outlook モバイルでのプッシュ通知を示すスクリーンショット。

AD FS アダプターと NPS 拡張機能

Authenticator Lite では、認証ごとに数値の一致が実施されます。テナントで AD FS アダプターまたは NPS 拡張機能を使用している場合、ユーザーは Authenticator Lite 通知を完了できない可能性があります。詳細については、「 AD FS アダプターと NPS 拡張機能」を参照してください。

検証通知の詳細については、 Microsoft Authenticator 認証方法に関するページを参照してください。

一般的な質問

次のセクションでは、一般的な質問の一覧を示します。

Authenticator Lite はブローカーアプリとして機能しますか?

いいえ。Authenticator Lite はプッシュ通知と TOTP でのみ使用できます。

Authenticator Lite を SSPR に使用できますか?

いいえ。Authenticator Lite はプッシュ通知と TOTP でのみ使用できます。

Authenticator Lite は Outlook デスクトップアプリで使用できますか?

いいえ。Authenticator Lite は Outlook モバイルでのみ使用できます。

ユーザーはどこで Authenticator Lite に登録できますか?

ユーザーは、モバイル Outlook からのみ Authenticator Lite に登録できます。 Authenticator Lite の登録は、マイサインインから管理されます。

ユーザーは Authenticator と Authenticator Lite を登録できますか?

デバイスに Authenticator を持つユーザーは、その同じデバイスに Authenticator Lite を登録できません。ユーザーが Authenticator Lite の登録を行い、その後 Authenticator をダウンロードした場合は、両方を登録できます。ユーザーが 2 つのデバイスを持っている場合は、一方に Authenticator Lite を登録し、もう一方に Authenticator を登録できます。

既知の問題

次の問題がわかっている。

SSPR 通知

Outlook の TOTP コードは SSPR で動作しますが、プッシュ通知は機能せず、エラーが返されます。

追加された条件付きアクセスの評価がログに表示されている

条件付きアクセスポリシーは、ユーザーが Outlook アプリを開いて Authenticator Lite に登録する資格があるかどうかを判断するたびに評価されます。これらのチェックはログに表示される場合があります。

Microsoft Entra ID の認証方法