Authentifizierung mit Einmalkennung per E-Mail

Das Feature „Einmalkennung per E-Mail“ ist eine Möglichkeit zum Authentifizieren von Benutzern für die B2B-Zusammenarbeit, wenn sie nicht auf andere Weise – z. B. Azure AD, Microsoft-Konto (MSA) oder soziales Netzwerk als Identitätsanbieter – authentifiziert werden können. Wenn ein B2B-Gastbenutzer versucht, Ihre Einladung einzulösen oder sich bei Ihren freigegebenen Ressourcen anzumelden, kann er eine temporäre Kennung anfordern, die an seine E-Mail-Adresse gesendet wird. Dann gibt er diesen so genannten „Passcode“ ein, um den Anmeldevorgang fortzusetzen.

Sie können dieses Feature im Azure-Portal jederzeit aktivieren, indem Sie den Identitätsanbieter für die Einmalkennung per E-Mail unter den Einstellungen für „External Identities“ Ihres Mandanten konfigurieren. Sie können das Feature wahlweise aktivieren, deaktivieren oder auf seine automatische Aktivierung im Oktober 2021 warten.

Einmalkennung per E-Mail, Übersichtsdiagramm

Wichtig

  • Ab Oktober 2021 wird die Funktion „Einmalkennung per E-Mail“ für alle vorhandenen Mandanten und standardmäßig bei neuen Mandanten aktiviert. Wenn Sie nicht möchten, dass diese Funktion automatisch aktiviert wird, können Sie sie deaktivieren. Lesen Sie dazu Deaktivieren der Einmalkennung per E-Mail weiter unten.
  • Die Einstellungen für die Einmalkennung per E-Mail wurden im Azure-Portal aus den Einstellungen für externe Zusammenarbeit in Alle Identitätsanbieter verschoben.

Hinweis

Benutzer mit Einmalkennung müssen sich über einen Link anmelden, der den Mandantenkontext enthält (z.B. https://myapps.microsoft.com/?tenantid=<tenant id> oder https://portal.azure.com/<tenant id> bzw. https://myapps.microsoft.com/<verified domain>.onmicrosoft.com bei einer überprüften Domäne). Direkte Links zu Anwendungen und Ressourcen funktionieren ebenfalls, sofern sie den Mandantenkontext enthalten. Gastbenutzer können sich derzeit nicht über Endpunkte, die keinen Mandantenkontext aufweisen, anmelden. Bei der Verwendung von https://myapps.microsoft.com tritt bei https://portal.azure.com ein Fehler auf.

Benutzeroberfläche für Gastbenutzer mit Einmalkennung

Wenn die Funktion „Einmalkennung per E-Mail“ aktiviert ist, wird für neu eingeladene Benutzer, die bestimmte Bedingungen erfüllen, die Authentifizierung per Einmalkennung verwendet. Gastbenutzer, die ihre Einladung schon vor dem Aktivieren der Einmalkennung per E-Mail eingelöst haben, werden weiterhin mit der bisherigen Methode authentifiziert.

Bei der Authentifizierung mit Einmalkennung kann der Gastbenutzer seine Einladung über einen direkten Link oder mithilfe der Einladungs-E-Mail einlösen. In beiden Fällen gibt eine Nachricht im Browser an, dass ein Code an die E-Mail-Adresse des Gastbenutzers gesendet wird. Der Gastbenutzer klickt auf Code senden:

Screenshot mit der Schaltfläche „Code senden“

Eine Kennung wird an die E-Mail-Adresse des Benutzers gesendet. Der Benutzer ruft die Kennung aus der E-Mail ab und gibt sie im Browserfenster ein:

Screenshot mit der Schaltfläche „Code eingeben“

Der Gastbenutzer wird jetzt authentifiziert und kann entweder die freigegebene Ressource anzeigen oder seinen Anmeldevorgang fortsetzen.

Hinweis

Einmalkennungen sind 30 Minuten gültig. Nach 30 Minuten ist die jeweilige Einmalkennung nicht mehr gültig, und der Benutzer muss eine neue Kennung anfordern. Benutzersitzungen laufen nach 24 Stunden ab. Danach erhält der Gastbenutzer eine neue Kennung, wenn er auf die Ressource zugreift. Der Ablauf der Sitzung sorgt für zusätzliche Sicherheit, besonders wenn ein Gastbenutzer das Unternehmen verlässt oder den Zugriff nicht mehr benötigt.

Wann erhält ein Gastbenutzer eine Einmalkennung?

Wenn ein Gastbenutzer eine Einladung einlöst oder einen Link zu einer Ressource verwendet, die für ihn freigegeben wurde, erhält er unter folgenden Bedingungen eine Einmalkennung:

  • Er hat kein Azure AD-Konto
  • Er hat kein Microsoft-Konto
  • Der einladende Mandant hat keinen Verbund mit sozialen Netzwerken (wie Google) oder anderen Identitätsanbietern eingerichtet.

Zum Zeitpunkt der Einladung gibt es keinen Hinweis darauf, dass der eingeladene Benutzer die Authentifizierung mit Einmalkennung verwendet. Wenn sich der Gastbenutzer jedoch anmeldet, wird die Authentifizierung mit Einmalkennung als alternative Methode verwendet, wenn keine anderen Authentifizierungsmethoden eingesetzt werden können.

Hinweis

Wenn ein Benutzer eine Einmalkennung einlöst und später ein MSA, ein Azure AD-Konto oder ein anderes Verbundkonto erhält, wird er weiterhin mit einer Einmalkennung authentifiziert. Wenn Sie die Authentifizierungsmethode des Benutzers aktualisieren möchten, können Sie den Einlösungsstatus zurücksetzen.

Beispiel

Gastbenutzer teri@gmail.com wird von Fabrikam eingeladen. Das Unternehmen hat keinen Verbund mit Google eingerichtet. Teri hat kein Microsoft-Konto. Er erhält für die Authentifizierung eine Einmalkennung.

Aktivieren der Einmalkennung per E-Mail

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Externe Identitäten > Alle Identitätsanbieter aus.

  4. Wählen Sie Einmalkennung per E-Mail aus, um den Konfigurationsbereich zu öffnen.

  5. Wählen Sie unter Einmalkennung per E-Mail für Gastbenutzer eine der folgenden Möglichkeiten aus:

    • Automatically enable email one-time passcode for guests starting October 2021 (Einmalkennung per E-Mail für Gastbenutzer ab Oktober 2021 automatisch aktivieren), wenn Sie das Feature nicht sofort aktivieren und auf das automatische Aktivierungsdatum im Oktober 2021 warten möchten.
    • Enable email one-time passcode for guests effective now (Einmalkennung per E-Mail für Gastbenutzer mit sofortiger Gültigkeit aktivieren), um das Feature jetzt zu aktivieren.
    • Ja, um das Feature jetzt zu aktivieren, wenn die Umschaltfläche „Ja/Nein“ angezeigt wird (diese Umschaltfläche wird angezeigt, wenn das Feature zuvor deaktiviert wurde).

    Deaktivierte Umschaltfläche für „Einmalkennung per E-Mail“

  6. Wählen Sie Speichern aus.

Deaktivieren der Einmalkennung per E-Mail

Ab Oktober 2021 wird die Funktion „Einmalkennung per E-Mail“ für alle vorhandenen Mandanten und standardmäßig bei neuen Mandanten aktiviert. Ab diesem Zeitpunkt wird das Einlösen von Einladungen durch die Erstellung nicht verwalteter Azure AD-Konten und -Mandanten („viral“ oder „Just-In-Time“) für B2B-Zusammenarbeitsszenarien von Microsoft nicht mehr unterstützt. Wir aktivieren die Funktion „Einmalkennung per E-Mail“, da sie eine nahtlose alternative Authentifizierungsmethode für Ihre Gastbenutzer bietet. Sie können diese Funktion jedoch deaktivieren, wenn Sie sie nicht verwenden möchten.

Hinweis

Wenn Sie die in Ihrem Mandanten aktivierte Funktion „Einmalkennung per E-Mail“ deaktivieren, können sich alle Gastbenutzer, die eine Einmalkennung eingelöst haben, nicht anmelden. Sie können deren Einlösungsstatus zurücksetzen, damit sie sich mit einer anderen Authentifizierungsmethode erneut anmelden können.

So deaktivieren Sie die Funktion „Einmalkennung per E-Mail“

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Externe Identitäten > Alle Identitätsanbieter aus.

  4. Wählen Sie Einmalkennung per E-Mail und dann unter Einmalkennung per E-Mail für Gastbenutzer die Option Einmalkennung per E-Mail für Gastbenutzer deaktivieren aus (oder wählen Sie Nein aus, wenn dieses Feature zuvor aktiviert, deaktiviert oder während der Vorschau aktiviert wurde).

    Deaktivierte Umschaltfläche für Einmalkennung per E-Mail

    Hinweis

    Die Einstellungen für die Einmalkennung per E-Mail wurden im Azure-Portal aus den Einstellungen für externe Zusammenarbeit in Alle Identitätsanbieter verschoben. Sollte anstelle der Optionen für die Einmalkennung per E-Mail eine Umschaltfläche angezeigt werden, bedeutet das, dass Sie die Funktion zuvor aktiviert oder deaktiviert bzw. die Vorschauversion genutzt haben. Wählen Sie Nein aus, um die Funktion zu deaktivieren.

  5. Wählen Sie Speichern aus.

Hinweis für Kunden der öffentlichen Vorschauversion

Wenn Sie die öffentliche Vorschauversion der Funktion „Einmalkennung per E-Mail“ genutzt haben, gilt die automatische Funktionsaktivierung im Oktober 2021 nicht für Sie, sodass Ihre zugehörigen Geschäftsprozesse nicht beeinträchtigt werden. Außerdem wird im Azure-Portal in den Eigenschaften der Funktion Einmalkennung per E-Mail für Gastbenutzer nicht die Option Einmalkennung per E-Mail für Gäste ab Oktober 2021 automatisch aktivieren angezeigt. Stattdessen wird die folgende Umschaltfläche (Ja/Nein) angezeigt:

Nutzung der Einmalkennung per E-Mail

Wenn Sie die Vorschauversion nicht mehr nutzen und das automatische Aktivieren der Funktion im Oktober 2021 zulassen möchten, können Sie die Standardeinstellungen wiederherstellen. Verwenden Sie dazu in der Microsoft Graph-API den Ressourcentyp „emailAuthenticationMethodConfiguration“. Nachdem Sie die Standardeinstellungen wiederhergestellt haben, stehen unter Einmalkennung per E-Mail für Gastbenutzer die folgenden Optionen zur Verfügung:

Aktivieren der Einmalkennung per E-Mail für Nutzer der Vorschauversion

  • Einmalkennung per E-Mail für Gäste ab Oktober 2021 automatisch aktivieren (Standardeinstellung): Wenn die Funktion „Einmalkennung per E-Mail“ für Ihren Mandanten noch nicht aktiviert ist, wird sie ab Oktober 2021 automatisch aktiviert. Wenn die Funktion zu diesem Zeitpunkt aktiviert werden soll, ist keine weitere Aktion erforderlich. Wenn Sie die Funktion bereits aktiviert oder deaktiviert haben, ist diese Option nicht verfügbar.

  • Einmalkennung per E-Mail für Gastbenutzer sofort aktivieren. Aktiviert die Funktion „Einmalkennung per E-Mail“ für Ihren Mandanten.

  • Einmalkennung per E-Mail für Gastbenutzer deaktivieren. Deaktiviert die Funktion „Einmalkennung per E-Mail“ für Ihren Mandanten und verhindert, dass die Funktion im Oktober 2021 aktiviert wird.

Hinweis für Azure US Government-Kunden

Das Feature „Einmalkennung per E-Mail“ ist in der Azure US Government-Cloud standardmäßig deaktiviert. Ihre Partner können sich erst anmelden, wenn dieses Feature aktiviert ist. Im Gegensatz zur öffentlichen Azure-Cloud unterstützt die Azure US Government-Cloud nicht das Einlösen von Einladungen über Azure Active Directory-Self-Service-Konten.

Einmalkennung per E-Mail deaktiviert

So aktivieren Sie das Feature „Einmalkennung per E-Mail“ in der Azure US Government-Cloud:

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Organisationsbeziehungen > Alle Identitätsanbieter aus.

    Hinweis

    • Sollte die Option Organisationsbeziehungen nicht angezeigt werden, suchen Sie über die Suchleiste im oberen Bereich nach „External Identities“.
  4. Wählen Sie Einmalkennung per E-Mail und anschließend Ja aus.

  5. Wählen Sie Speichern aus.

Weitere Informationen zu aktuellen Einschränkungen finden Sie unter Microsoft Azure Cloud for US Government (Azure-Cloud für US-Behörden).