E-mail s ověřováním pomocí jednoho hesla

  • Článek
  • 10 min ke čtení

Funkce e-mailového hesla je způsob, jak ověřovat uživatele spolupráce B2B, když je nejdou ověřit jinými způsoby, jako je Azure AD, účet Microsoft (MSA) nebo zprostředkovatelé sociálních identit. Když se uživatel B2B guest pokusí uplatnit vaši pozvánku nebo se přihlásit ke sdíleným prostředkům, může požádat o dočasné heslo, které se pošle na jeho e-mailovou adresu. Potom tento přístupový kód zadá, aby se mohli dál přihlašovat.

Tuto funkci můžete kdykoli povolit v Azure Portal konfigurací zprostředkovatele identity pro e-mail s časovým přístupovým kódem v nastavení Externí identity vašeho tenanta. Tuto funkci můžete povolit, zakázat nebo počkat na automatické povolení od 1. listopadu 2021.

Diagram přehledu pro jedno časové heslo e-mailem

Důležité

  • Od 1. listopadu 2021 začneme zavánět změnu, aby se pro všechny stávající tenanty zaplala funkce pro jedno časové heslo e-mailu, a ve výchozím nastavení ji povolíme pro nové tenanty. V rámci této změny Microsoft během uplatnění pozvánky ke spolupráci B2B přestane vytvářet nové nespravované (virální) účty a tenanty Azure AD. Aby se minimalizovaly výpadky během svátků a uzamykání nasazení, uvidí většina tenantů změny, které byly provedeny v lednu 2022. Funkci e-mailu s časovým přístupovým kódem povolíme, protože poskytuje bezproblémovou metodu základního ověřování pro uživatele guest. Pokud ale nechcete, aby se tato funkce zapnula automaticky, můžete ji zakázat.
  • Nastavení e-mailu s jedním přístupovým kódem se přesunulo v Azure Portal z nastavení Externí spolupráce na Všichni zprostředkovatelé identity.

Poznámka

Uživatelé s časovým přístupovým kódem se musí přihlásit pomocí odkazu, který obsahuje kontext tenanta (například nebo , nebo v případě https://myapps.microsoft.com/?tenantid=<tenant id> https://portal.azure.com/<tenant id> ověřené domény https://myapps.microsoft.com/<verified domain>.onmicrosoft.com ). Přímé odkazy na aplikace a prostředky fungují také tak dlouho, dokud obsahují kontext tenanta. Uživatelé hosta se momentálně nemohou přihlásit pomocí koncových bodů, které nemají žádný kontext tenanta. Pokud například používáte https://myapps.microsoft.com , https://portal.azure.com dojde k chybě.

Uživatelské prostředí pro uživatele hosta s jedním přístupovým kódem

Když je funkce e-mailu s jedním přístupovým kódem povolená, nově pozvaní uživatelé, kteří splňují určité podmínky, budou používat ověřování pomocí jednoho hesla. Uživatelé hosta, kteří uplatní pozvánku před povolením jednoho hesla e-mailem, budou dál používat stejnou metodu ověřování.

Při ověřování pomocí jednoho hesla může uživatel hosta uplatnit vaši pozvánku kliknutím na přímý odkaz nebo pomocí e-mailu s pozvánkou. V obou případech zpráva v prohlížeči indikuje, že se na e-mailovou adresu uživatele guest pošle kód. Uživatel hosta vybere Odeslat kód:

Snímek obrazovky s tlačítkem Odeslat kód

Heslo se pošle na e-mailovou adresu uživatele. Uživatel načte heslo z e-mailu a zadá ho do okna prohlížeče:

Snímek obrazovky se stránkou Pro zadání kódu

Uživatel typu host je teď ověřený a může zobrazit sdílený prostředek nebo pokračovat v přihlašování.

Poznámka

Jedno časové heslo je platné po dobu 30 minut. Po 30 minutách už toto konkrétní jedno heslo není platné a uživatel si musí vyžádat nové. Platnost uživatelských relací vyprší po 24 hodinách. Po uplynutí této doby uživatel typu host obdrží při přístupu k prostředku nové heslo. Vypršení platnosti relace poskytuje lepší zabezpečení, zejména v případě, že uživatel hosta opustí svou společnost nebo už nepotřebuje přístup.

Kdy uživatel hosta dostane jedno heslo?

Když uživatel typu host uplatní pozvánku nebo použije odkaz na prostředek, který s ním někdo sdílí, obdrží jedno heslo, pokud:

  • Nemají účet Azure AD.
  • Nemají účet Microsoft
  • Zvoucí tenant nenastavil federaci se sociální sítí (například Google)ani jinými zprostředkovateli identity.

V době pozvánky nic neznačí, že uživatel, který pozvete, bude používat ověřování pomocí jednoho hesla. Když se ale uživatel hosta přihlásí, bude záložní metodou ověřování pomocí jednoho hesla, pokud není možné použít žádné jiné metody ověřování.

Poznámka

Když uživatel uplatní jedno heslo a později získá účet MSA, Azure AD nebo jiný federovaný účet, bude dál ověřen pomocí jednoho hesla. Pokud chcete aktualizovat metodu ověřování uživatele, můžete jeho stav uplatnění resetovat.

Příklad

Uživatel teri@gmail.com hosta je pozvaný do společnosti Fabrikam, která nemá nastavenou federaci Google. Teri nemá účet Microsoft. Obdrží pro ověření jedno heslo.

Povolení jednoho hesla e-mailem

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni > zprostředkovatelé identity.

  4. Výběrem možnosti Poslat e-mail s časovým kódem otevřete podokno konfigurace.

  5. V části Poslat e-mail s časovým kódem pro hosty vyberte jednu z následujících možností:

    • Automatické povolení hesla k e-mailu <date> pro hosty, kteří začínají Pokud nechcete funkci povolit okamžitě a chcete počkat na datum automatického povolení 1. listopadu 2021.
    • Povolte pro hosty v tuto chvíli pro hosty možnost povolit jedno heslo k e-mailu, aby se teď tato funkce povoluje.
    • Ano, pokud teď tuto funkci povolíte, pokud se zobrazí přepínač Ano/Ne (tento přepínač se zobrazí, pokud byla funkce dříve zakázaná).

    Povolení přepínače pro jedno heslo e-mailem

  6. Vyberte Uložit.

Zakázání jednoho hesla e-mailem

Od 1. listopadu 2021 začneme zavánět změnu, aby se pro všechny stávající tenanty zaplala funkce pro jedno časové heslo e-mailu, a ve výchozím nastavení ji povolíme pro nové tenanty. Microsoft už pak nebude podporovat uplatnění pozvánek tím, že vytvoří nespravované (virální nebo "za běhu") účty a tenanty Azure AD pro scénáře spolupráce B2B. Funkci e-mailu s časovým přístupovým kódem povolíme, protože poskytuje bezproblémovou metodu základního ověřování pro uživatele guest. Pokud se ale rozhodnete tuto funkci nepou ít, můžete ji zakázat.

Poznámka

Pokud je ve vašem tenantovi povolená funkce pro jednotné heslo e-mailu a vy ji vypnete, nebudou se moct přihlásit všichni uživatelé guest, kteří uplatnit jedno heslo. Stav jejich uplatnění můžete resetovat, aby se mohli znovu přihlásit pomocí jiné metody ověřování.

Zakázání funkce e-mailu s jedním přístupovým kódem

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni > zprostředkovatelé identity.

  4. Vyberte Poslat e-mail s jedním přístupovým kódem a potom v části Poslat hosty e-mailem na e-mail s časovým kódem vyberte Zakázat pro hosty jedno heslo k e-mailu (nebo Ne, pokud byla tato funkce dřív povolená, zakázaná nebo výslovně povolená ve verzi Preview).

    Přepínač pro heslo pro jednou e-mail je zakázaný

    Poznámka

    Nastavení e-mailu s jedním přístupovým kódem se přesunulo v Azure Portal z nastavení Externí spolupráce na Všichni zprostředkovatelé identity. Pokud se místo možností pro heslo k e-mailu zobrazí přepínač, znamená to, že jste funkci dříve povolili, zakázali nebo jste se k ní povolili ve verzi Preview. Pokud chcete funkci zakázat, vyberte Ne.

  5. Vyberte Uložit.

Poznámka pro zákazníky verze Public Preview

Pokud jste se už dříve rozhodli pro e-mail s časovým přístupovým kódem ve verzi Public Preview, datum 1. listopadu 2021 pro automatické povolení funkcí se na vás nevztahuje, takže na vaše související obchodní procesy to nebude mít vliv. Kromě toho se v Azure Portal v části E-mailové heslo pro hosty ve vlastnostech zobrazí možnost Automaticky povolit <date> e-mailové heslo pro hosty od . Místo toho uvidíte následující přepínač Ano nebo Ne:

Odeslání e-mailu s výslovně souhlasem s přístupovým kódem

Pokud ale chcete tuto funkci odhlásit a povolit ji automaticky od 1. listopadu 2021, můžete se vrátit k výchozímu nastavení pomocí typu prostředku konfigurace metody ověřování e-mailu rozhraní Microsoft Graph API. Po návratu k výchozímu nastavení budou v části E-mail s časovým kódem pro hosty k dispozici následující možnosti:

Povolení přihlášení k jednomu e-mailovému kódu

  • Automaticky povolte e-mail s <date> časovým přístupovým kódem pro hosty, kteří začínají. (Výchozí) Pokud pro vašeho tenanta ještě není povolená funkce pro jedno heslo e-mailu, od 1. listopadu 2021 se automaticky zapne. Pokud chcete tuto funkci v tuto chvíli povolit, není nutná žádná další akce. Pokud jste funkci už povolili nebo zakázali, tato možnost nebude dostupná.

  • Povolte e-mail s časovým přístupovým kódem pro hosty. Zapne funkci e-mailu s jedním přístupovým kódem pro vašeho tenanta.

  • Zakažte e-mail s časovým kódem pro hosty. Vypne funkci e-mailu pro jedno heslo pro vašeho tenanta a zabrání zapnutí funkce od 1. listopadu 2021.

Poznámka pro zákazníky Azure US Government

Funkce pro jedno heslo e-mailu je v cloudu Azure US Government ve výchozím nastavení zakázaná. Vaši partneři se nebudou moci přihlásit, pokud tato funkce není povolená. Na rozdíl od veřejného cloudu Azure cloud Azure US Government nepodporuje uplatnění pozvánek pomocí samoobslužných Azure Active Directory účtů.

E-mail s časovým omezením hesla je zakázaný

Povolení funkce e-mailu s jedním přístupovým kódem v cloudu Azure US Government:

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Organizační vztahy Všichni   >  zprostředkovatelé identity.

    Poznámka

    • Pokud nevidíte Organizační relace, vyhledejte na panelu hledání v horní části "Externí identity".

  4. Vyberte E-mail s jedním přístupovým kódem a pak vyberte Ano.

  5. Vyberte Uložit.

Další informace o aktuálních omezeních najdete v tématu Cloudy Azure US Government.

Nejčastější dotazy

Proč se v nastavení svého e-mailového hesla stále stále zobrazí vybraná možnost Automaticky povolit pro hosty jedno časové heslo od října 2021?

Vzhledem k plánům nasazení začneme zavánět změnu, která ve výchozím nastavení globálně povolí e-mail s časovým kódem, a to 1. listopadu 2021. Do té doby se stále může v nastavení vašeho e-mailového hesla zobrazit možnost Automaticky povolit jedno heslo pro hosty od října 2021.

Co se stane s mými stávajícími uživateli guest, když povolím jedno heslo e-mailem?

Na stávající uživatele guest to nebude mít vliv, pokud povolíte e-mail s časovým kódem, protože stávající uživatelé už jsou po uplatnění. Povolení e-mailového hesla bude mít vliv pouze na budoucí uplatnění aktivit tam, kde se noví uživatelé guest uplatní v tenantovi.

Jaké je uživatelské prostředí pro hosty během globálního provozu?

Během globálního nasazení závisí uživatelské prostředí pro hosty na konfiguraci vašeho e-mailového hesla a scénáři hosta.

Před zahájením změny ve vaší oblasti uvidí hosté následující chování.

  • S povoleným časovým kódem pro e-mail:

    • Pokud host má existující nespravovaný účet Azure AD, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host dříve uplatnul pozvánku k vašemu tenantovi pomocí nespravovaného účtu Azure AD a vy resetujete jeho stav uplatnění a obnovíte ho, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host nemá stávající nespravovaný účet Azure AD, uplatní se pomocí ověřování pomocí e-mailu s časovým přístupovým kódem.

  • Když je zakázané jedno heslo pro e-mail:

    • Pokud host má existující nespravovaný účet Azure AD, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host dříve uplatnul pozvánku k vašemu tenantovi pomocí nespravovaného účtu Azure AD a vy resetujete jeho stav uplatnění a obnovíte ho, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host nemá stávající nespravovaný účet Azure AD, uplatní se pomocí nespravovaného účtu Azure AD, ale pokud ho nepřidáte do služby Azure Portal předem, může se mu zobrazit chyba přihlášení, pokud nejsou přidány do služby Azure Portal předem, pokud uplatní přímý odkaz na aplikaci.

Po naslaní změny do vaší oblasti se pro hosty zobrazí následující chování.

  • S povoleným časovým kódem pro e-mail:

    • Pokud host má existující nespravovaný účet Azure AD, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host dříve uplatnoval pozvánku k vašemu tenantovi pomocí nespravovaného účtu Azure AD a vy resetujte jeho stav uplatnění a znovu ho uplatníte, použije k uplatnění a přihlášení do budoucna e-mail s časovým kódem.
    • Pokud host nemá nespravovaný účet Azure AD, bude k uplatnění a přihlášení používat pro další použití e-mailový kód.

  • Když je zakázané jedno heslo pro e-mail:

    • Pokud host má existující nespravovaný účet Azure AD, bude se dál přihlašovat pomocí svého nespravovaného účtu Azure AD.
    • Pokud host dříve uplatnul pozvánku k vašemu tenantovi pomocí nespravovaného účtu Azure AD a vy resetujte jeho stav uplatnění a znovu ho uplatníte, použije účet Microsoft k uplatnění a přihlášení.
    • Pokud host nemá nespravovaný účet Azure AD, použije účet účet Microsoft k uplatnění a přihlášení.

Další informace o různých způsoby uplatnění pozvánky najdete v tématu o uplatnění pozvánky ke spolupráci B2B.

Znamená to,že účet neexistuje? Vytvořit jednu možnost!" možnost samoobslužné registrace zmizí?

Samoobslužnou registrace je snadné v kontextu externích identit zaměňovat se samoobslužnou službou pro uživatele ověřené e-mailem, ale jedná se o dvě různé funkce. Funkce, která zmizí, je samoobslužná registrace s uživateli ověřenými e-mailem,což vede k tomu, že vaši hosté vytvoří nespravovaný účet Azure AD. Samoobslužná registrace k externím identitám však bude i nadále dostupná, což vede k tomu, že se hosté zaregistrují do vaší organizace pomocí různých zprostředkovatelů identity.

Co Microsoft doporučuje dělat s existujícími účty Microsoft (MSA)?

Pokud podporujeme možnost zakázat účet Microsoft v nastavení Zprostředkovatelé identity (dnes není k dispozici), důrazně doporučujeme zakázat účet Microsoft a povolit pro e-mail jedno heslo. Pak byste měli resetovat stav uplatnění stávajících hostů pomocí účtů Microsoft, aby se mohli znovu uplatnit pomocí ověřování pomocí e-mailu s časovým přístupovým kódem a pro další přihlášení použít e-mail s časovým kódem.

Zahrnuje tato změna SharePoint a OneDrive s Azure AD B2B?

Ne, globální nasazení změny umožňující ve výchozím nastavení pro e-mailové jedno heslo, která začíná 1. listopadu 2021, nezahrnuje integraci SharePoint a OneDrive s Azure AD B2B. Informace o tom, jak povolit integraci tak, aby spolupráce na SharePoint a OneDrive využívá funkce B2B, nebo jak tuto integraci zakázat, najdete v tématu SharePoint a OneDrive Integrace s Azure AD B2B.