Authentifizierung mit Einmalkennung per E-Mail (Vorschauversion)Email one-time passcode authentication (preview)

Hinweis

Die Einmalkennung (One-time passcode, OTP) per E-Mail ist eine öffentliche Previewfunktion für Azure Active Directory.Email one-time passcode is a public preview feature of Azure Active Directory. Weitere Informationen zu Vorschauversionen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.For more information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

In diesem Artikel wird das Aktivieren der Authentifizierung mit Einmalkennung per E-Mail für B2B-Gastbenutzer beschrieben.This article describes how to enable Email one-time passcode authentication for B2B guest users. Mit dem Feature „Einmalkennung per E-Mail“ werden B2B-Gastbenutzer authentifiziert, wenn sie über andere Wege (z. B. über Azure AD, ein Microsoft-Konto (MSA) oder den Verbund mit Google) nicht authentifiziert werden können.The Email one-time passcode feature authenticates B2B guest users when they can't be authenticated through other means like Azure AD, a Microsoft account (MSA), or Google federation. Bei der Authentifizierung mit Einmalkennung ist es nicht erforderlich, ein Microsoft-Konto zu erstellen.With one-time passcode authentication, there's no need to create a Microsoft account. Wenn der Gastbenutzer eine Einladung einlöst oder auf eine freigegebene Ressource zugreift, kann er einen temporären Code anfordern, der an seine E-Mail-Adresse gesendet wird.When the guest user redeems an invitation or accesses a shared resource, they can request a temporary code, which is sent to their email address. Anschließend gibt er diesen Code ein, um den Anmeldevorgang fortzusetzen.Then they enter this code to continue signing in.

Dieses Feature ist derzeit als Vorschauversion verfügbar (siehe Abonnieren der Vorschauversion weiter unten).This feature is currently available for preview (see Opting in to the preview below). Im Anschluss an die Vorschauversion wird dieses Feature standardmäßig für alle Mandanten aktiviert.After preview, this feature will be turned on by default for all tenants.

Hinweis

Benutzer mit Einmalkennung müssen sich über einen Link anmelden, der den Mandantenkontext enthält (z.B. https://myapps.microsoft.com/?tenantid=<tenant id> oder https://portal.azure.com/<tenant id> bzw. https://myapps.microsoft.com/<verified domain>.onmicrosoft.com bei einer überprüften Domäne).One-time passcode users must sign in using a link that includes the tenant context (for example, https://myapps.microsoft.com/?tenantid=<tenant id> or https://portal.azure.com/<tenant id>, or in the case of a verified domain, https://myapps.microsoft.com/<verified domain>.onmicrosoft.com). Direkte Links zu Anwendungen und Ressourcen funktionieren ebenfalls, sofern sie den Mandantenkontext enthalten.Direct links to applications and resources also work as long as they include the tenant context. Gastbenutzer können sich derzeit nicht über Endpunkte, die keinen Mandantenkontext aufweisen, anmelden.Guest users are currently unable to sign in using endpoints that have no tenant context. Die Verwendung beispielsweise von https://myapps.microsoft.com, https://portal.azure.com oder dem gemeinsamen Team-Endpunkt führt zu einem Fehler.For example, using https://myapps.microsoft.com, https://portal.azure.com, or the Teams common endpoint will result in an error.

Benutzeroberfläche für Gastbenutzer mit EinmalkennungUser experience for one-time passcode guest users

Bei der Authentifizierung mit Einmalkennung kann der Gastbenutzer seine Einladung über einen direkten Link oder mithilfe der Einladungs-E-Mail einlösen.With one-time passcode authentication, the guest user can redeem your invitation by clicking a direct link or by using the invitation email. In beiden Fällen gibt eine Nachricht im Browser an, dass ein Code an die E-Mail-Adresse des Gastbenutzers gesendet wird.In either case, a message in the browser indicates that a code will be sent to the guest user's email address. Der Gastbenutzer klickt auf Code senden:The guest user selects Send code:

Screenshot mit der Schaltfläche „Code senden“

Eine Kennung wird an die E-Mail-Adresse des Benutzers gesendet.A passcode is sent to the user’s email address. Der Benutzer ruft die Kennung aus der E-Mail ab und gibt sie im Browserfenster ein:The user retrieves the passcode from the email and enters it in the browser window:

Screenshot mit der Schaltfläche „Code eingeben“

Der Gastbenutzer wird jetzt authentifiziert und kann entweder die freigegebene Ressource anzeigen oder seinen Anmeldevorgang fortsetzen.The guest user is now authenticated, and they can see the shared resource or continue signing in.

Hinweis

Einmalkennungen sind 30 Minuten gültig.One-time passcodes are valid for 30 minutes. Nach 30 Minuten ist die jeweilige Einmalkennung nicht mehr gültig, und der Benutzer muss eine neue Kennung anfordern.After 30 minutes, that specific one-time passcode is no longer valid, and the user must request a new one. Benutzersitzungen laufen nach 24 Stunden ab.User sessions expire after 24 hours. Danach erhält der Gastbenutzer eine neue Kennung, wenn er auf die Ressource zugreift.After that time, the guest user receives a new passcode when they access the resource. Der Ablauf der Sitzung sorgt für zusätzliche Sicherheit, besonders wenn ein Gastbenutzer das Unternehmen verlässt oder den Zugriff nicht mehr benötigt.Session expiration provides added security, especially when a guest user leaves their company or no longer needs access.

Wann erhält ein Gastbenutzer eine Einmalkennung?When does a guest user get a one-time passcode?

Wenn ein Gastbenutzer eine Einladung einlöst oder einen Link zu einer Ressource verwendet, die für ihn freigegeben wurde, erhält er unter folgenden Bedingungen eine Einmalkennung:When a guest user redeems an invitation or uses a link to a resource that has been shared with them, they’ll receive a one-time passcode if:

  • Er hat kein Azure AD-KontoThey do not have an Azure AD account
  • Er hat kein Microsoft-KontoThey do not have a Microsoft account
  • Der einladende Mandant hat keinen Verbund mit Google für @gmail.com- und @googlemail.com- Benutzer eingerichtetThe inviting tenant did not set up Google federation for @gmail.com and @googlemail.com users

Zum Zeitpunkt der Einladung gibt es keinen Hinweis darauf, dass der eingeladene Benutzer die Authentifizierung mit Einmalkennung verwendet.At the time of invitation, there's no indication that the user you're inviting will use one-time passcode authentication. Wenn sich der Gastbenutzer jedoch anmeldet, wird die Authentifizierung mit Einmalkennung als alternative Methode verwendet, wenn keine anderen Authentifizierungsmethoden eingesetzt werden können.But when the guest user signs in, one-time passcode authentication will be the fallback method if no other authentication methods can be used.

Sie können im Azure-Portal die Gastbenutzer anzeigen, die sich mit Einmalkennungen authentifizieren, indem Sie zu Azure Active Directory > Benutzer wechseln.You can view guest users who authenticate with one-time passcodes in the Azure portal by going to Azure Active Directory > Users.

Screenshot mit einem Benutzer mit Einmalkennung mit dem Quellwert „OTP“

Hinweis

Wenn ein Benutzer eine Einmalkennung einlöst und später ein MSA, ein Azure AD-Konto oder ein anderes Verbundkonto erhält, wird er weiterhin mit einer Einmalkennung authentifiziert.When a user redeems a one-time passcode and later obtains an MSA, Azure AD account, or other federated account, they'll continue to be authenticated using a one-time passcode. Wenn Sie seine Authentifizierungsmethode aktualisieren möchten, können Sie sein Gastbenutzerkonto löschen und ihn erneut einladen.If you want to update their authentication method, you can delete their guest user account and reinvite them.

BeispielExample

Gastbenutzer alexdoe@gmail.com wird von Fabrikam eingeladen. Das Unternehmen hat keinen Verbund mit Google eingerichtet.Guest user alexdoe@gmail.com is invited to Fabrikam, which does not have Google federation set up. Alex hat kein Microsoft-Konto.Alex does not have a Microsoft account. Er erhält für die Authentifizierung eine Einmalkennung.They'll receive a one-time passcode for authentication.

Abonnieren der VorschauversionOpting in to the preview

Es dauert möglicherweise einige Minuten, bis die Abonnierungsaktion wirksam wird.It might take a few minutes for the opt-in action to take effect. Danach wird nur für neu eingeladene Benutzer, welche die oben genannten Bedingungen erfüllen, die Authentifizierung mit Einmalkennung verwendet.After that, only newly invited users who meet the conditions above will use one-time passcode authentication. Gastbenutzer, die ihre Einladung bereits eingelöst haben, werden weiterhin mit der bisherigen Methode authentifiziert.Guest users who previously redeemed an invitation will continue to use their same authentication method.

So abonnieren Sie mithilfe des Azure AD-PortalsTo opt in using the Azure AD portal

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.Sign in to the Azure portal as an Azure AD global administrator.
  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.In the navigation pane, select Azure Active Directory.
  3. Wählen Sie Externe Identitäten > Einstellungen für externe Zusammenarbeit aus.Select External Identities > External collaboration settings.
  4. Wählen Sie unter Einmalkennung per E-Mail für Gastbenutzer aktivieren (Vorschauversion) die Option Ja aus.Under Enable Email One-Time Passcode for guests (Preview), select Yes.

So abonnieren Sie mithilfe von PowerShellTo opt in using PowerShell

Zuerst müssen Sie die aktuelle Version von Azure AD PowerShell für das Graph-Modul (AzureADPreview) installieren.First, you'll need to install the latest version of the Azure AD PowerShell for Graph module (AzureADPreview). Anschließend ermitteln Sie, ob bereits B2B-Richtlinien vorhanden sind, und führen die entsprechenden Befehle aus.Then you'll determine whether B2B policies already exist and run the appropriate commands.

Voraussetzung: Installieren des aktuellen AzureADPreview-ModulsPrerequisite: Install the latest AzureADPreview module

Überprüfen Sie zunächst, welche Module Sie installiert haben.First, check which modules you have installed. Öffnen Sie dafür Windows PowerShell als Benutzer mit erhöhten Rechten („Als Administrator ausführen“), und führen Sie den folgenden Befehl aus:Open Windows PowerShell as an elevated user (Run as administrator), and run the following command:

Get-Module -ListAvailable AzureAD*

Wenn das AzureADPreview-Modul keine Meldung anzeigt, dass eine neuere Version verfügbar ist, können Sie loslegen.If the AzureADPreview module displays with no message indicating there’s a later version, you’re set. Andernfalls müssen Sie je nach Ausgabe einen der folgenden Schritte ausführen:Otherwise, based on the output, do one of the following:

  • Wenn keine Ergebnisse zurückgegeben werden, führen Sie den folgenden Befehl aus, um das AzureADPreview-Modul zu installieren:If no results are returned, run the following command to install the AzureADPreview module:

    Install-Module AzureADPreview
    
  • Wenn nur das AzureADPreview-Modul in den Ergebnissen angezeigt wird, führen Sie die folgenden Befehle aus, um das AzureADPreview-Modul zu installieren:If only the AzureAD module shows up in the results, run the following commands to install the AzureADPreview module:

    Uninstall-Module AzureAD 
    Install-Module AzureADPreview 
    
  • Wenn nur das AzureADPreview-Modul in den Ergebnissen angezeigt wird, eine Meldung Sie jedoch darauf hinweist, dass eine neuere Version verfügbar ist, führen Sie die folgenden Befehle aus, um das Modul zu aktualisieren:If only the AzureADPreview module shows up in the results, but you receive a message that indicates there's a later version, run the following commands to update the module:

    Uninstall-Module AzureADPreview 
    Install-Module AzureADPreview 
    

Möglicherweise erscheint ein Hinweis, dass Sie das Modul aus einem nicht vertrauenswürdigen Repository installieren.You might receive a prompt that you're installing the module from an untrusted repository. Das passiert, wenn Sie das PSGallery-Repository nicht zuvor als vertrauenswürdiges Repository festgelegt haben.This occurs if you haven't previously set the PSGallery repository as a trusted repository. Drücken Sie Y, um das Modul zu installieren.Press Y to install the module.

Suchen nach vorhandenen Richtlinien und AbonnierenCheck for existing policies and opt in

Überprüfen Sie als Nächstes, ob derzeit eine Richtlinie „B2BManagementPolicy“ vorhanden ist. Führen Sie dazu die folgende Abfrage aus:Next, check to see if a B2BManagementPolicy currently exists by running the following:

$currentpolicy =  Get-AzureADPolicy | ?{$_.Type -eq 'B2BManagementPolicy' -and $_.IsOrganizationDefault -eq $true} | select -First 1
$currentpolicy -ne $null
  • Wenn die Ausgabe „False“ lautet, ist die Richtlinie derzeit nicht vorhanden.If the output is False, the policy doesn't currently exist. Führen Sie den folgenden Befehl aus, um eine neue Richtlinie „B2BManagementPolicy“ zu erstellen und die Vorschauversion zu abonnieren:Create a new B2BManagementPolicy and opt in to the preview by running the following:

    $policyValue=@("{`"B2BManagementPolicy`":{`"PreviewPolicy`":{`"Features`":[`"OneTimePasscode`"]}}}")
    New-AzureADPolicy -Definition $policyValue -DisplayName B2BManagementPolicy -Type B2BManagementPolicy -IsOrganizationDefault $true
    
  • Wenn die Ausgabe „True“ lautet, ist die Richtlinie „B2BManagementPolicy“ derzeit vorhanden.If the output is True, the B2BManagementPolicy policy currently exists. Führen Sie den folgenden Befehl aus, um die Richtlinie zu aktualisieren und die Vorschauversion zu abonnieren:To update the policy and opt in to the preview, run the following:

    $policy = $currentpolicy.Definition | ConvertFrom-Json
    $features=[PSCustomObject]@{'Features'=@('OneTimePasscode')}; $policy.B2BManagementPolicy | Add-Member 'PreviewPolicy' $features -Force; $policy.B2BManagementPolicy
    $updatedPolicy = $policy | ConvertTo-Json -Depth 3
    Set-AzureADPolicy -Definition $updatedPolicy -Id $currentpolicy.Id
    

Kündigen des Abonnements der VorschauversionOpting out of the preview after opting in

Es dauert möglicherweise einige Minuten, bis die Kündigungsaktion für das Abonnement wirksam wird.It may take a few minutes for the opt-out action to take effect. Wenn Sie die Vorschauversion deaktivieren, können sich alle Gastbenutzer, die eine Einmalkennung eingelöst haben, nicht mehr anmelden.If you turn off the preview, any guest users who have redeemed a one-time passcode will not be able to sign in. Sie können die Gastbenutzer löschen und neu einladen, damit sich die Gastbenutzer mit einer anderen Authentifizierungsmethode anmelden können.You can delete the guest user and reinvite the user to enable them to sign in again using another authentication method.

So deaktivieren Sie die Vorschauversion mithilfe des Azure AD-PortalsTo turn off the preview using the Azure AD portal

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.Sign in to the Azure portal as an Azure AD global administrator.
  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.In the navigation pane, select Azure Active Directory.
  3. Wählen Sie Externe Identitäten > Einstellungen für externe Zusammenarbeit aus.Select External Identities > External collaboration settings.
  4. Wählen Sie unter Einmalkennung per E-Mail für Gastbenutzer aktivieren (Vorschauversion) die Option Nein aus.Under Enable Email One-Time Passcode for guests (Preview), select No.

So deaktivieren Sie die Vorschauversion mithilfe von PowerShellTo turn off the preview using PowerShell

Installieren Sie das aktuelle AzureADPreview-Modul, falls dies noch nicht geschehen ist (siehe Voraussetzungen: Installieren des aktuellen AzureADPreview-Moduls weiter oben).Install the latest AzureADPreview module if you don’t have it already (see Prerequisite: Install the latest AzureADPreview module above). Überprüfen Sie dann, ob derzeit die Richtlinie der Vorschauversion für die Authentifizierung mit Einmalkennung vorhanden ist, indem Sie die folgende Abfrage ausführen:Then, verify that the one-time passcode preview policy currently exists by running the following:

$currentpolicy = Get-AzureADPolicy | ?{$_.Type -eq 'B2BManagementPolicy' -and $_.IsOrganizationDefault -eq $true} | select -First 1
($currentPolicy -ne $null) -and ($currentPolicy.Definition -like "*OneTimePasscode*")

Wenn die Ausgabe „True“ lautet, kündigen Sie das Abonnement für die Vorschauversion, indem Sie den folgenden Befehl ausführen:If the output is True, opt out of the preview by running the following:

$policy = $currentpolicy.Definition | ConvertFrom-Json
$policy.B2BManagementPolicy.PreviewPolicy.Features = $policy.B2BManagementPolicy.PreviewPolicy.Features.Where({$_ -ne "OneTimePasscode"})
$updatedPolicy = $policy | ConvertTo-Json -Depth 3
Set-AzureADPolicy -Definition $updatedPolicy -Id $currentpolicy.Id