電子メール ワンタイム パスコード認証

電子メール ワンタイム パスコード機能は、Azure AD、Microsoft アカウント (MSA)、ソーシャル ID プロバイダーなどの他の方法で認証できない場合に、B2B コラボレーション ユーザーを認証する方法です。 B2B ゲスト ユーザーは、招待を引き換えたり、共有リソースにサインインしたりしようとするときに、一時パスコードを要求できます。このパスコードは、ユーザーのメール アドレスに送信されます。 その後、このパスコードを入力してサインインを続けます。

この機能は、Azure portal でいつでも有効にできます。その場合は、テナントの External Identities の設定で電子メール ワンタイム パスコード ID プロバイダーを構成します。 この機能は、有効または無効にするか、自動有効化を待つことができます。

Email one-time passcode overview diagram

重要

  • 既存のすべてのテナントでは、電子メール ワンタイム パスコード機能が有効になり、新しいテナントではこれが既定で有効になる変更のロールアウトを開始しました。 電子メール ワンタイム パスコード機能を有効にするのは、これによりゲスト ユーザーにシームレスなフォールバック認証方法が提供されるからです。 ただし、この機能を自動的に有効にしたくない場合は、無効にすることができます。 Microsoft は、B2B コラボレーションの招待の引き換え中に、管理されていない (「バイラル」) 新しい Azure AD アカウントとテナントを作成するのを近々に停止します。
  • 電子メール ワンタイム パスコード設定は、Azure portal で、 [外部コラボレーションの設定] から [すべての ID プロバイダー] に移動されました。

Note

ワンタイム パスコードのユーザーは、テナントのコンテキストを含むリンクを使用してサインインする必要があります (たとえば、https://myapps.microsoft.com/?tenantid=<tenant id>https://portal.azure.com/<tenant id>、または検証済みのドメインの場合は https://myapps.microsoft.com/<verified domain>.onmicrosoft.com)。 アプリケーションとリソースへの直接リンクも、テナント コンテキストが含まれている限り機能します。 ゲスト ユーザーは現在、テナント コンテキストが含まれていないエンドポイントを使用してサインインできません。 たとえば、https://myapps.microsoft.comhttps://portal.azure.com を使用すると、エラーが発生します。

ワンタイム パスコードのゲスト ユーザーに対するユーザー エクスペリエンス

電子メール ワンタイム パスコード機能が有効になっている場合、一定の条件を満たす新しく招待されたユーザーはワンタイム パスコード認証を使用します。 電子メール ワンタイム パスコードが有効になる前に招待に応じたゲスト ユーザーは、引き続き同じ認証方法を使用します。

ワンタイム パスコード認証では、ゲスト ユーザーは、直接リンクをクリックするか、招待メールを使用して、招待に応じることができます。 どちらの場合も、ブラウザーのメッセージで、ゲスト ユーザーのメール アドレスにコードが送信されることが示されます。 ゲスト ユーザーは、 [コードの送信] を選択します。

Screenshot showing the Send code button

パスコードがユーザーのメール アドレスに送信されます。 ユーザーは、メールからパスコードを取得し、ブラウザー ウィンドウに入力します。

Screenshot showing the Enter code page

ゲスト ユーザーは認証されて、共有リソースを表示したり、サインインを続行したりできるようになります。

注意

ワンタイム パスコードの有効期間は 30 分です。 30 分が経過すると、その特定のワンタイム パスコードは無効になり、ユーザーは新しいパスコードを要求する必要があります。 ユーザー セッションは 24 時間後に期限が切れます。 それを過ぎると、ゲスト ユーザーはリソースにアクセスするときに新しいパスコードを受け取ります。 セッションの有効期限により、ゲスト ユーザーが自分の会社を退職したりアクセスを必要としなくなったときに特に、セキュリティが強化されます。

ゲスト ユーザーがワンタイム パスコードを入手するとき

次の場合、ゲスト ユーザーは、招待に応じたとき、または共有されているリソースへのリンクを使用したときに、ワンタイム パスコードを受け取ります。

  • Azure AD アカウントを持っていない
  • Microsoft アカウントを持っていない
  • 招待元のテナントで、ソーシャル プロバイダー (Google など) や他の ID プロバイダーとのフェデレーションを設定していなかった。

招待するとき、招待されるユーザーにワンタイム パスコード認証が使用されることは示されません。 ただし、ゲスト ユーザーがサインインするとき、他の認証方法を使用できない場合は、ワンタイム パスコード認証がフォールバック メソッドになります。

注意

ユーザーがワンタイム パスコードを使用した後、MSA、Azure AD アカウント、または他のフェデレーション アカウントを取得した場合、引き続きワンタイム パスコードによる認証が使用されます。 ユーザーの認証方法を更新する場合は、ユーザーの利用状態をリセットすることができます。

ゲスト ユーザー teri@gmail.com は、Google フェデレーションが設定されていない Fabrikam に招待されます。 Teri は Microsoft アカウントを持っていません。 認証用のワンタイム パスコードを受け取ります。

電子メールのワンタイム パスコードを有効にする

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [外部 ID]>[すべての ID プロバイダー] を選択します。

  4. [電子メール ワンタイム パスコート] を選択して、構成ペインを開きます。

  5. [ゲストの電子メール ワンタイム パスコード] で、次のいずれかを選択します。

    • [2021 年 10 月以降にゲストの電子メール ワンタイム パスコードを自動的に有効にする] この機能をすぐに有効にせず、自動有効化日を待つ場合。
    • [ゲストの電子メール ワンタイム パスコードを今すぐ有効にする] この機能をすぐに有効にする場合。
    • [はい]/[いいえ] トグルが表示されている場合は、 [はい] を選択して機能をすぐに有効にします (この機能が以前に無効にされた場合に、このトグルが表示されます)。

    Email one-time passcode toggle enabled

  6. [保存] を選択します。

注意

電子メール ワンタイム パスコードの設定は、Microsoft Graph API で emailAuthenticationMethodConfiguration リソースの種類を使用して構成することもできます。

電子メール ワンタイム パスコードを無効にする

既存のすべてのテナントでは、電子メール ワンタイム パスコード機能が有効になり、新しいテナントではこれが既定で有効になる変更のロールアウトを開始しました。 電子メール ワンタイム パスコード機能を有効にするのは、これによりゲスト ユーザーにシームレスなフォールバック認証方法が提供されるからです。 ただし、この機能を自動的に有効にしたくない場合は、無効にすることができます。 Microsoft は、B2B コラボレーションの招待の引き換え中に、管理されていない (「バイラル」) 新しい Azure AD アカウントとテナントを作成するのを近々に停止します。

注意

お使いのテナントで電子メール ワンタイム パスコード機能が有効になっているときに、それを無効にした場合、ワンタイム パスコードを利用していたゲスト ユーザーは全員サインインできなくなります。 別の認証方法を使用してもう一度サインインできるように、利用状態をリセットすることができます。

電子メール ワンタイム パスコードを無効にするには

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [外部 ID]>[すべての ID プロバイダー] を選択します。

  4. [電子メール ワンタイム パスコード] を選択し、 [ゲストの電子メール ワンタイム パスコード] で、 [ゲストの電子メール ワンタイム パスコードを無効にする] を選択します (この機能が以前に有効または無効にされたか、プレビュー中にオプトインされた場合は [いいえ] を選択します)。

    Email one-time passcode toggle disabled

    注意

    電子メール ワンタイム パスコード設定は、Azure portal で、 [外部コラボレーションの設定] から [すべての ID プロバイダー] に移動されました。 電子メール ワンタイム パスコード オプションではなくトグルが表示されている場合は、以前にこの機能のプレビューを有効、無効、またはオプトインしたことを意味します。 [いいえ] を選択すると、この機能が無効になります。

  5. [保存] を選択します。

パブリック プレビューの顧客向けのメモ

以前にメールのワンタイム パスコードのパブリック プレビューにオプトインしたことがある場合は、自動有効化が適用されないため、関連するビジネス プロセスは影響を受けません。 また、Azure portal の [ゲストの電子メール ワンタイム パスコード] プロパティの下に、 [2021 年 10 月以降、ゲストの電子メール ワンタイム パスコードを自動的に有効にする] オプションが表示されません。 代わりに、次の [はい] または [いいえ] のトグルが表示されます。

Email one-time passcode opted in

ただし、この機能からオプトアウトし、それが自動的に有効になることを希望する場合は、Microsoft Graph API の email authentication method configuration リソースの種類を使用して、既定の設定に戻すことができます。 既定の設定に戻すと、 [ゲストの電子メール ワンタイム パスコード] の下で次のオプションが使用可能になります。

Enable Email one-time passcode opted in

  • [2021 年 10 月以降、ゲストの電子メール ワンタイム パスコードを自動的に有効にする。] (既定値) お使いのテナントでメールのワンタイム パスコード機能がまだ有効になっていない場合、自動的に有効になります。 その時点でこの機能が有効になることを希望する場合、これ以上の操作は必要ありません。 この機能を既に有効または無効にしている場合、このオプションは使用できません。

  • [ゲストの電子メール ワンタイム パスコードを今すぐ有効にする] 。 お使いのテナントに対して電子メール ワンタイム パスコード機能を有効にします。

  • [ゲストの電子メール ワンタイム パスコードを無効にする] 。 お使いのテナントに対してメールのワンタイム パスコード機能を無効にし、自動有効化の期日にこの機能が有効にならないようにします。

Azure US Government のお客様のための注意事項

Azure US Government クラウドでは、電子メール ワンタイムパスコード機能は既定で無効になっています。 パートナーは、この機能が有効になっていない限りサインインできません。 Azure パブリック クラウドとは異なり、Azure US Government クラウドでは、セルフサービス Azure Active Directory アカウントを使用して招待に応じることはサポートされていません。

Email one-time passcode disabled

Azure US Government クラウドで電子メール ワンタイム パスコード機能を有効にするには:

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [組織の関係]>[すべての ID プロバイダー] を選択します。

    Note

    • [組織の関係] が表示されない場合は、上部の検索バーで "外部 ID" を検索します。
  4. [電子メール ワンタイム パスコード] を選択してから、 [はい] を選択します。

  5. [保存] を選択します。

現在の制限の詳細については、「政府機関向けクラウドと各国のクラウドにおける Azure AD B2B」を参照してください。

よく寄せられる質問

電子メール ワンタイム パスコードの設定で [2021 年 10 月以降、ゲストのメール ワンタイム パスコードが自動的に有効になります] がまだ選択されているのはなぜですか?

電子メール ワンタイム パスコードを有効にする変更をグローバルに展開し始めました。 それまでは、電子メール ワンタイム パスコードの設定で [2021 年 10 月以降、ゲストのメール ワンタイム パスコードが自動的に有効になります] が選択されて表示される場合があります。

電子メールでワンタイムパスコードを有効にした場合、既存のゲストユーザーはどうなりますか。

既存のゲストユーザーは、すでに引き換え時期を過ぎているため、メールのワンタイム パスコードを有効にしても影響を受けません。 電子メールのワンタイムパスコードを有効にすると、新しいゲストユーザーがテナントに引き換える将来の引き換えアクティビティにのみ影響します。

グローバル ロールアウト中のゲストのユーザー エクスペリエンスはどのようなものですか?

ユーザー エクスペリエンスは、現在のメールのワンタイム パスコード設定、ユーザーが既にアンマネージド アカウントを持っているかどうか、ユーザーの引き換えステータスをリセットしたかどうかによって異なります。 次の表では、これらのシナリオについて説明します。

ユーザー シナリオ ロールアウトの前にメールのワンタイム パスコードが有効になっている場合 ロールアウトの前にメールのワンタイム パスコードが無効になっている場合
ユーザーが (テナントでの引き換えからのものではない) 既存のアンマネージド Azure AD アカウントを持ってる場合 ロールアウトの前後では、ユーザーはメールのワンタイム パスコードを使用して招待を引き換えます。 ロールアウトの前後では、ユーザーは、引き続きアンマネージド アカウントでサインインします。1
ユーザーが、アンマネージド Azure AD アカウントを使用して、テナントへの招待を既に引き換えている場合 ロールアウトの前後では、ユーザーは、アンマネージド アカウントを使い続けます。 または、メールのワンタイム パスコードを使用して新しい招待を引き換えることができるように、利用状況をリセットすることができます。 ロールアウトの前後で、利用状態をリセットして招待し直す場合でも、ユーザーはアンマネージド アカウントを使用し続けます。1
アンマネージド Azure AD アカウントを持たないユーザー ロールアウトの前後では、ユーザーはメールのワンタイム パスコードを使用して招待を引き換えます。 ロールアウトの前後では、ユーザーはアンマネージド アカウントを使用して招待を引き換えます。2

1 別のリリースで、Microsoft アカウントによる引き換えを強制する変更がロールアウトされます。 アンマネージド Azure AD アカウントと MSA の両方をユーザーが管理する必要がないようにするために、メールのワンタイム パスコードを有効にすることを強くお勧めします。

2 ユーザーがダイレクト アプリケーション リンクを使用していて、事前にディレクトリに追加されていない場合、サインインエラーが発生する可能性があります。 別のリリースで、Microsoft アカウントによる引き換えとその後のサインインを強制する変更がロールアウトされます。

さまざまな利用開始プロセスの詳細については、B2B コラボレーションの招待の利用に関するページを参照してください。

これは "アカウントがありませんか? 作成してください。” というセルフサービス サインアップのオプションが表示されなくなることを意味しますか?

External Identities のコンテキストでのセルフサービス サインアップは、メール検証済みユーザーのセルフサービス サインアップと混同しやすいですが、これらは 2 つの異なる機能です。 なくなる機能は、電子メール検証済みユーザーのセルフサービス サインアップです。これにより、ゲストはアンマネージド Azure AD アカウントを作成します。 ただし、External Identities のセルフサービス サインアップは引き続き利用可能であり、ゲストはさまざまな ID プロバイダーを使用して組織にサインアップすることになります。 

Microsoft では、既存の Microsoft アカウント (MSA) をどのようにすることを勧めていますか?

ID プロバイダーの設定で Microsoft アカウントを無効にできるようになったら (現時点では利用できません)、Microsoft アカウントを無効にして電子メール ワンタイム パスコードを有効にすることを強くお勧めします。 次に、Microsoft アカウントを使用している既存のゲストの利用状態をリセットします。これにより、ゲストはメールのワンタイム パスコード認証の使用に再度切り替え、今後はメールのワンタイム パスコードを使用してサインインできるようになります。

SharePoint および OneDrive と Azure AD B2B との統合は、この変更に含まれますか?

いいえ。既定でメールのワンタイム パスコードを有効にする変更のグローバル ロールアウトに、SharePoint および OneDrive の Azure AD B2B との統合の有効化は含まれません。 SharePoint と OneDrive でのコラボレーションに B2B 機能が使用されるように統合を有効にする方法、またはこの統合を無効にする方法については、「SharePoint および OneDrive と Azure AD B2B との統合」を参照してください。