E-mail s ověřováním pomocí jednoho hesla

Funkce e-mailového jednoho hesla je způsob, jak ověřovat uživatele spolupráce B2B, když je nejdou ověřit jiným způsobem, jako je Azure AD, účet Microsoft (MSA) nebo zprostředkovatelé sociálních identit. Když se uživatel B2B guest pokusí uplatnit vaši pozvánku nebo se přihlásit ke sdíleným prostředkům, může požádat o dočasné heslo, které se pošle na jeho e-mailovou adresu. Potom tento přístupový kód zadá, aby se mohli dál přihlašovat.

Tuto funkci můžete kdykoli povolit v Azure Portal konfigurací zprostředkovatele identity pro e-mail s časovým přístupovým kódem v nastavení Externí identity vašeho tenanta. Tuto funkci můžete povolit, zakázat nebo počkat na automatické povolení v říjnu 2021.

Diagram přehledu pro jedno časové heslo e-mailem

Důležité

  • Od října 2021 bude funkce pro jedno heslo e-mailu zapnutá pro všechny stávající tenanty a ve výchozím nastavení bude povolená pro nové tenanty. Pokud nechcete, aby se tato funkce zapnula automaticky, můžete ji zakázat. Další informace najdete níže v části Zakázání jednoho hesla k e-mailu.
  • Nastavení e-mailu s jedním přístupovým kódem se přesunulo v Azure Portal z nastavení Externí spolupráce na Všichni zprostředkovatelé identity.

Poznámka

Uživatelé s časovým přístupovým kódem se musí přihlásit pomocí odkazu, který obsahuje kontext tenanta (například nebo , nebo v případě https://myapps.microsoft.com/?tenantid=<tenant id> https://portal.azure.com/<tenant id> ověřené domény https://myapps.microsoft.com/<verified domain>.onmicrosoft.com ). Přímé odkazy na aplikace a prostředky fungují také tak dlouho, dokud obsahují kontext tenanta. Uživatelé hosta se momentálně nemohou přihlásit pomocí koncových bodů, které nemají žádný kontext tenanta. Pokud například používáte https://myapps.microsoft.com , https://portal.azure.com dojde k chybě.

Uživatelské prostředí pro uživatele hosta s jedním přístupovým kódem

Když je funkce e-mailu s jedním přístupovým kódem povolená, nově pozvaní uživatelé, kteří splňují určité podmínky, budou používat ověřování pomocí jednoho hesla. Uživatelé hosta, kteří uplatní pozvánku před povolením jednoho hesla e-mailem, budou dál používat stejnou metodu ověřování.

Při ověřování pomocí jednoho hesla může uživatel hosta uplatnit vaši pozvánku kliknutím na přímý odkaz nebo pomocí e-mailu s pozvánkou. V obou případech zpráva v prohlížeči indikuje, že se na e-mailovou adresu uživatele guest pošle kód. Uživatel hosta vybere Odeslat kód:

Snímek obrazovky s tlačítkem Odeslat kód

Heslo se pošle na e-mailovou adresu uživatele. Uživatel načte heslo z e-mailu a zadá ho do okna prohlížeče:

Snímek obrazovky se stránkou Pro zadání kódu

Uživatel typu host je teď ověřený a může zobrazit sdílený prostředek nebo pokračovat v přihlašování.

Poznámka

Jedno časové heslo je platné po dobu 30 minut. Po 30 minutách už toto konkrétní jedno heslo není platné a uživatel si musí vyžádat nové. Platnost uživatelských relací vyprší po 24 hodinách. Po uplynutí této doby uživatel typu host obdrží při přístupu k prostředku nové heslo. Vypršení platnosti relace poskytuje lepší zabezpečení, zejména v případě, že uživatel hosta opustí svou společnost nebo už nepotřebuje přístup.

Kdy uživatel hosta dostane jedno heslo?

Když uživatel typu host uplatní pozvánku nebo použije odkaz na prostředek, který s ním někdo sdílí, obdrží jedno heslo, pokud:

  • Nemají účet Azure AD.
  • Nemají účet Microsoft
  • Zvoucí tenant nenastavil federaci se sociální sítí (například Google)ani jinými zprostředkovateli identity.

V době pozvánky nic neznačí, že uživatel, který pozvete, bude používat ověřování pomocí jednoho hesla. Když se ale uživatel hosta přihlásí, bude záložní metodou ověřování pomocí jednoho hesla, pokud není možné použít žádné jiné metody ověřování.

Poznámka

Když uživatel uplatní jedno heslo a později získá účet MSA, Azure AD nebo jiný federovaný účet, bude dál ověřen pomocí jednoho hesla. Pokud chcete aktualizovat metodu ověřování uživatele, můžete jeho stav uplatnění resetovat.

Příklad

Uživatel teri@gmail.com hosta je pozvaný do společnosti Fabrikam, která nemá nastavenou federaci Google. Teri nemá účet Microsoft. Obdrží pro ověření jedno heslo.

Povolení jednoho hesla e-mailem

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni > zprostředkovatelé identity.

  4. Výběrem možnosti Poslat e-mail s časovým kódem otevřete podokno konfigurace.

  5. V části Poslat e-mail s časovým kódem pro hosty vyberte jednu z následujících možností:

    • Pokud nechcete funkci povolit okamžitě a chcete počkat na datum automatického povolení z října 2021, povolte pro hosty od října 2021 automatické heslo k e-mailu.
    • Povolte pro hosty v tuto chvíli pro hosty možnost povolit jedno heslo k e-mailu, aby se teď tato funkce povoluje.
    • Ano, pokud teď tuto funkci povolíte, pokud se zobrazí přepínač Ano/Ne (tento přepínač se zobrazí, pokud byla tato funkce dříve zakázaná).

    Povolení přepínače pro jedno heslo e-mailem

  6. Vyberte Uložit.

<a name="disable-email-one-time-passcode">Zakázání jednoho hesla e-mailem

Od října 2021 bude funkce pro jedno heslo e-mailu zapnutá pro všechny stávající tenanty a ve výchozím nastavení bude povolená pro nové tenanty. Microsoft už pak nebude podporovat uplatnění pozvánek tím, že vytvoří nespravované (virální nebo "za běhu") účty a tenanty Azure AD pro scénáře spolupráce B2B. Funkci e-mailu s časovým přístupovým kódem povolíme, protože poskytuje bezproblémovou metodu základního ověřování pro uživatele guest. Pokud se ale rozhodnete tuto funkci nepou ít, můžete ji zakázat.

Poznámka

Pokud je ve vašem tenantovi povolená funkce pro jednotné heslo e-mailu a vy ji vypnete, nebudou se moct přihlásit všichni uživatelé guest, kteří uplatnit jedno heslo. Stav jejich uplatnění můžete resetovat, aby se mohli znovu přihlásit pomocí jiné metody ověřování.

Zakázání funkce e-mailu s jedním přístupovým kódem

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni > zprostředkovatelé identity.

  4. Vyberte Poslat e-mail s jedním přístupovým kódem a potom v části Poslat hosty e-mail s časovým kódem na e-mail vyberte Zakázat e-mailové heslo pro hosty (nebo Ne, pokud byla tato funkce dříve povolená, zakázaná nebo výslovně povolená během období Preview).

    Přepínač pro heslo pro jednou e-mail je zakázaný

    Poznámka

    Nastavení e-mailu s jedním přístupovým kódem se přesunulo v Azure Portal z nastavení Externí spolupráce na Všichni zprostředkovatelé identity. Pokud se místo možností pro heslo k e-mailu zobrazí přepínač, znamená to, že jste funkci dříve povolili, zakázali nebo jste se k ní povolili ve verzi Preview. Pokud chcete funkci zakázat, vyberte Ne.

  5. Vyberte Uložit.

Poznámka pro zákazníky verze Public Preview

Pokud jste se už dříve rozhodli pro e-mail s časovým přístupovým kódem ve verzi Public Preview, datum povolení automatických funkcí z října 2021 se na vás nevztahuje, takže na vaše související obchodní procesy to nebude mít vliv. Kromě toho se v Azure Portal v části E-mailové heslo pro hosty ve vlastnostech zobrazí možnost Automaticky povolit e-mailové heslo pro hosty od října 2021. Místo toho uvidíte následující přepínač Ano nebo Ne:

Odeslání e-mailu s výslovně souhlasem s přístupovým kódem

Pokud ale chcete tuto funkci odhlásit a povolit ji automaticky povolit v říjnu 2021, můžete se vrátit k výchozímu nastavení pomocí typu prostředku konfigurace metody ověřování e-mailu rozhraní Microsoft Graph API. Po návratu k výchozímu nastavení budou v části E-mail s časovým kódem pro hosty k dispozici následující možnosti:

Povolení přihlášení k jednomu e-mailovému kódu

  • Od října 2021 automaticky povolte e-mailové heslo pro hosty. (Výchozí) Pokud pro vašeho tenanta ještě není povolená funkce pro jedno heslo e-mailu, od října 2021 se automaticky zapne. Pokud chcete, aby byla funkce v tu chvíli povolená, není potřeba žádná další akce. Pokud jste funkci už povolili nebo zakázali, tato možnost nebude dostupná.

  • Povolte e-mail s časovým přístupovým kódem pro hosty. Zapne funkci e-mailu s jedním přístupovým kódem pro vašeho tenanta.

  • Zakažte e-mail s časovým kódem pro hosty. Vypne funkci e-mailu s časovým kódem pro vašeho tenanta a zabrání zapnutí této funkce v říjnu 2021.

Poznámka pro zákazníky Azure US Government

Funkce pro jedno heslo e-mailu je v cloudu Azure US Government ve výchozím nastavení zakázaná. Vaši partneři se nebudou moci přihlásit, pokud tato funkce není povolená. Na rozdíl od veřejného cloudu Azure cloud Azure US Government nepodporuje uplatnění pozvánek pomocí samoobslužných Azure Active Directory účtů.

E-mail s časovým omezením hesla je zakázaný

Povolení funkce e-mailu s jedním přístupovým kódem v cloudu Azure US Government:

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Organizační vztahy Všichni   >  zprostředkovatelé identity.

    Poznámka

    • Pokud se organizační relace nezohlední, vyhledejte na panelu hledání v horní části "Externí identity".
  4. Vyberte možnost e-mailového hesla s jedním časem a pak vyberte Ano.

  5. Vyberte Uložit.

Další informace o současných omezeních najdete v tématu cloudy pro státní správu Azure USA.