Authentification par envoi d’un code secret à usage unique par e-mailEmail one-time passcode authentication

Cet article explique comment activer l’authentification par envoi d’un code secret à usage unique par e-mail pour les utilisateurs invités B2B.This article describes how to enable email one-time passcode authentication for B2B guest users. La fonctionnalité d’envoi d’un code secret à usage unique par e-mail permet d’authentifier les utilisateurs invités B2B lorsqu’il n’est pas possible de les authentifier par d’autres moyens, comme Azure AD, un compte Microsoft (MSA) ou la fédération Google.The email one-time passcode feature authenticates B2B guest users when they can't be authenticated through other means like Azure AD, a Microsoft account (MSA), or Google federation. Avec l’authentification par code secret à usage unique, il est inutile de créer un compte Microsoft.With one-time passcode authentication, there's no need to create a Microsoft account. Lorsque l’utilisateur invité accepte une invitation ou accède à une ressource partagée, il peut demander un code temporaire, qui est envoyé à son adresse e-mail.When the guest user redeems an invitation or accesses a shared resource, they can request a temporary code, which is sent to their email address. Puis, il entre ce code pour se connecter.Then they enter this code to continue signing in.

Diagramme de présentation de l’envoi d’un code secret à usage unique par e-mail

Important

À compter d’octobre 2021, la fonctionnalité d’envoi d’un code secret à usage unique par e-mail sera activée pour tous les locataires existants et sera activée par défaut pour les nouveaux locataires.Starting October 2021, the email one-time passcode feature will be turned on for all existing tenants and enabled by default for new tenants. Si vous ne souhaitez pas autoriser cette fonctionnalité à s’activer automatiquement, vous pouvez la désactiver.If you don't want to allow this feature to turn on automatically, you can disable it. Consultez Désactivation de l’envoi d’un code à usage unique par e-mail ci-dessous.See Disable email one-time passcode below.

Notes

Les utilisateurs d'un code secret à usage unique doivent se connecter à l'aide d'un lien incluant le contexte du locataire (par exemple, https://myapps.microsoft.com/?tenantid=<tenant id> ou https://portal.azure.com/<tenant id>, ou dans le cas d'un domaine vérifié, https://myapps.microsoft.com/<verified domain>.onmicrosoft.com).One-time passcode users must sign in using a link that includes the tenant context (for example, https://myapps.microsoft.com/?tenantid=<tenant id> or https://portal.azure.com/<tenant id>, or in the case of a verified domain, https://myapps.microsoft.com/<verified domain>.onmicrosoft.com). Liens directs aux applications et ressources fonctionnent également tant qu’ils incluent le contexte client.Direct links to applications and resources also work as long as they include the tenant context. Les utilisateurs invités ne peuvent actuellement pas se connecter à l’aide de points de terminaison qui n’ont aucun contexte locataire.Guest users are currently unable to sign in using endpoints that have no tenant context. Par exemple, https://myapps.microsoft.com et https://portal.azure.com provoquent une erreur.For example, using https://myapps.microsoft.com, https://portal.azure.com will result in an error.

Expérience utilisateur pour les utilisateurs invités avec code secret à usage uniqueUser experience for one-time passcode guest users

Lorsque la fonctionnalité d’envoi d’un code secret à usage unique par e-mail est activée, les utilisateurs invités qui remplissent certaines conditions utilisent l’authentification par code secret à usage unique.When the email one-time passcode feature is enabled, newly invited users who meet certain conditions will use one-time passcode authentication. Les utilisateurs invités qui ont accepté une invitation avant que cette fonctionnalité ne soit activée continueront de passer par la même méthode d’authentification qu’avant.Guest users who redeemed an invitation before email one-time passcode was enabled will continue to use their same authentication method.

Avec l’authentification par code secret à usage unique, l’utilisateur invité peut accepter votre invitation en cliquant sur un lien direct ou à l’aide de l’e-mail d’invitation.With one-time passcode authentication, the guest user can redeem your invitation by clicking a direct link or by using the invitation email. Dans les deux cas, un message dans le navigateur indique qu’un code sera envoyé à l’adresse e-mail de l’utilisateur invité.In either case, a message in the browser indicates that a code will be sent to the guest user's email address. L’utilisateur invité sélectionne Envoyer le code :The guest user selects Send code:

Capture d’écran montrant le bouton Envoyer le code

Un code secret est envoyé à l’adresse e-mail de l’utilisateur.A passcode is sent to the user’s email address. L’utilisateur récupère le code secret à partir de l’e-mail et le saisit dans la fenêtre du navigateur :The user retrieves the passcode from the email and enters it in the browser window:

Capture d’écran montrant le bouton Entrer le code

L’utilisateur invité est maintenant authentifié, et il peut voir la ressource partagée ou continuer à se connecter.The guest user is now authenticated, and they can see the shared resource or continue signing in.

Notes

Les codes secrets à usage unique sont valides pendant 30 minutes.One-time passcodes are valid for 30 minutes. Après 30 minutes, ce code secret à usage unique spécifique n’est plus valide, et l’utilisateur doit en demander un nouveau.After 30 minutes, that specific one-time passcode is no longer valid, and the user must request a new one. Les sessions utilisateur expirent après 24 heures.User sessions expire after 24 hours. Passée cette durée, l’utilisateur invité reçoit un nouveau code secret quand ils accèdent à la ressource.After that time, the guest user receives a new passcode when they access the resource. L’expiration de la session garantit plus de sécurité, particulièrement quand un utilisateur invité quitte l’entreprise ou n’a plus besoin d’accéder à la ressource.Session expiration provides added security, especially when a guest user leaves their company or no longer needs access.

Quand un utilisateur invité obtient-il un code secret à usage unique ?When does a guest user get a one-time passcode?

Quand un utilisateur invité accepte une invitation ou utilise un lien vers une ressource qui a été partagée avec lui, il va recevoir un code secret à usage unique dans les cas suivants :When a guest user redeems an invitation or uses a link to a resource that has been shared with them, they’ll receive a one-time passcode if:

  • Il n’a pas de compte Azure ADThey do not have an Azure AD account
  • Il n’a pas de compte MicrosoftThey do not have a Microsoft account
  • Le locataire à l’origine de l’invitation n’a pas configuré la fédération Google pour les utilisateurs @gmail.com et @googlemail.comThe inviting tenant did not set up Google federation for @gmail.com and @googlemail.com users

Au moment de l’invitation, rien n’indique que l’utilisateur que vous invitez devra utiliser l’authentification par code secret à usage unique.At the time of invitation, there's no indication that the user you're inviting will use one-time passcode authentication. Mais lorsque l’utilisateur invité se connecte, l’authentification par code secret à usage unique est la méthode de secours si aucune autre méthode d’authentification ne peut être utilisée.But when the guest user signs in, one-time passcode authentication will be the fallback method if no other authentication methods can be used.

Pour voir si un utilisateur invité s’authentifie à l’aide de codes secrets à usage unique, regardez la propriété Source dans les détails de l’utilisateur.You can see whether a guest user authenticates using one-time passcodes by viewing the Source property in the user's details. Sur le Portail Azure, accédez à Azure Active Directory > Utilisateurs, puis sélectionnez l’utilisateur pour ouvrir la page des détails.In the Azure portal, go to Azure Active Directory > Users, and then select the user to open the details page.

Capture d’écran montrant un utilisateur de code secret à usage unique avec la valeur Source définie sur Code secret à usage unique

Notes

Lorsqu’un utilisateur accepte un code secret à usage unique, puis obtient un compte Azure AD, MSA, ou un autre compte fédéré, il continue d’être authentifié à l’aide d’un code secret à usage unique.When a user redeems a one-time passcode and later obtains an MSA, Azure AD account, or other federated account, they'll continue to be authenticated using a one-time passcode. Si vous souhaitez mettre à jour leur méthode d’authentification, vous pouvez supprimer le compte d’utilisateur invité et les inviter à nouveau.If you want to update their authentication method, you can delete their guest user account and reinvite them.

ExempleExample

L’utilisateur invité teri@gmail.com est invité sur Fabrikam, qui n’a pas de fédération Google configurée.Guest user teri@gmail.com is invited to Fabrikam, which does not have Google federation set up. Teri ne possède pas de compte Microsoft.Teri does not have a Microsoft account. Il va recevoir un code secret à usage unique pour s’authentifier.They'll receive a one-time passcode for authentication.

Désactivation de l’envoi d’un code à usage unique par e-mailDisable email one-time passcode

À compter d’octobre 2021, la fonctionnalité d’envoi d’un code secret à usage unique par e-mail sera activée pour tous les locataires existants et sera activée par défaut pour les nouveaux locataires.Starting October 2021, the email one-time passcode feature will be turned on for all existing tenants and enabled by default for new tenants. Microsoft ne prendra alors plus en charge l’utilisation d’invitations effectuée en créant des locataires et des comptes Azure AD non gérés (« viraux » ou « juste-à-temps ») pour les scénarios B2B Collaboration.At that time, Microsoft will no longer support the redemption of invitations by creating unmanaged ("viral" or "just-in-time") Azure AD accounts and tenants for B2B collaboration scenarios. Il s’agit en effet d’une méthode d’authentification de secours transparente pour les utilisateurs invités.We're enabling the email one-time passcode feature because it provides a seamless fallback authentication method for your guest users. Vous aurez toutefois la possibilité de désactiver cette fonctionnalité si vous choisissez de ne pas l’utiliser.However, you have the option of disabling this feature if you choose not to use it.

Notes

Si la fonctionnalité d’envoi d’un code secret à usage unique par e-mail a été activée dans votre locataire et que vous la désactivez, les utilisateurs invités qui ont demandé un code secret à usage unique ne seront pas en mesure de se connecter.If the email one-time passcode feature has been enabled in your tenant and you turn it off, any guest users who have redeemed a one-time passcode will not be able to sign in. Vous pouvez supprimer ces utilisateurs et les réinviter pour leur permettre de se connecter avec une autre méthode d’authentification.You can delete the guest user and reinvite them so they can sign in again using another authentication method.

Procédure de désactivation de la fonctionnalité d’envoi d’un code à usage unique par e-mailTo disable the email one-time passcode feature

  1. Connectez-vous au portail Azure en tant qu’administrateur général Azure AD.Sign in to the Azure portal as an Azure AD global administrator.

  2. Dans le volet de navigation, sélectionnez Azure Active Directory.In the navigation pane, select Azure Active Directory.

  3. Sélectionnez Identités externes > Paramètres de collaboration externe.Select External Identities > External collaboration settings.

  4. Sous Envoi d’un code secret à usage unique par e-mail pour les invités, sélectionnez Désactiver l’envoi d’un code secret à usage unique par e-mail pour les invités.Under Email one-time passcode for guests, select Disable email one-time passcode for guests.

    Notes

    Si vous voyez le bouton bascule suivant au lieu des options d’envoi d’un code secret à usage unique par e-mail, cela signifie que vous avez précédemment activé, désactivé ou choisi la préversion de la fonctionnalité.If you see the following toggle instead of the email one-time passcode options, this means you've previously enabled, disabled, or opted into the preview of the feature. Sélectionnez Non pour désactiver la fonctionnalité.Select No to disable the feature.

    Choix de la fonctionnalité Envoi d’un code à usage unique par e-mail

  5. Sélectionnez Enregistrer.Select Save.

Remarque pour les clients de la préversion publiqueNote for public preview customers

Si vous avez déjà choisi la préversion publique de la fonctionnalité d’envoi d’un code secret à usage unique par e-mail, la date d’activation automatique de la fonctionnalité (octobre 2021) ne s’applique pas à vous. De ce fait, vos processus d’entreprise associés ne seront pas affectés.If you've previously opted in to the email one-time passcode public preview, the October 2021 date for automatic feature enablement doesn't apply to you, so your related business processes won't be affected. Vous ne verrez pas non plus l’option Activer automatiquement l’envoi d’un code secret à usage unique par e-mail pour les invités en octobre 2021 sous les propriétés Envoi d’un code secret à usage unique par e-mail pour les invités sur le portail Azure.Additionally, in the Azure portal, under the Email one-time passcode for guests properties, you won't see the option to Automatically enable email one-time passcode for guests in October 2021. Seul le bouton bascule Oui ou Non apparaîtra :Instead, you'll see the following Yes or No toggle:

Choix de la fonctionnalité Envoi d’un code à usage unique par e-mail

Toutefois, si vous préférez désactiver la fonctionnalité et autoriser son activation automatique en octobre 2021, vous pouvez revenir aux paramètres par défaut à l’aide du type de ressource de configuration de la méthode d’authentification par e-mail de l’API Microsoft Graph.However, if you'd prefer to opt out of the feature and allow it to be automatically enabled in October 2021, you can revert to the default settings by using the Microsoft Graph API email authentication method configuration resource type. Les options suivantes seront alors disponibles sous Envoi d’un code secret à usage unique par e-mail pour les invités :After you revert to the default settings, the following options will be available under Email one-time passcode for guests:

  • Activer automatiquement l’envoi d’un code secret à usage unique par e-mail pour les invités en octobre 2021Automatically enable email one-time passcode for guests in October 2021. (Par défaut) : si la fonctionnalité d’envoi d’un code secret à usage unique par e-mail n’est pas encore activée pour votre locataire, elle le sera automatiquement en octobre 2021.(Default) If the email one-time passcode feature is not already enabled for your tenant, it will be automatically turned on in October 2021. Aucune action supplémentaire n’est nécessaire si vous souhaitez que la fonctionnalité soit activée à ce moment-là.No further action is necessary if you want the feature enabled at that time. Si vous avez déjà activé ou désactivé la fonctionnalité, cette option n’est pas disponible.If you've already enabled or disabled the feature, this option will be unavailable.

  • Activer dès maintenant l’envoi d’un code à usage unique par e-mail pour les invités :Enable email one-time passcode for guests effective now. cette option permet d’activer la fonctionnalité d’envoi d’un code secret à usage unique par e-mail pour votre locataire.Turns on the email one-time passcode feature for your tenant.

  • Désactiver l’envoi d’un code à usage unique par e-mail pour les invités :Disable email one-time passcode for guests. cette option permet de désactiver la fonctionnalité d’envoi d’un code secret à usage unique par e-mail pour votre locataire et d’empêcher qu’elle ne s’active en octobre 2021.Turns off the email one-time passcode feature for your tenant, and prevents the feature from turning on in October 2021.