電子メール ワンタイム パスコード認証

この記事では、B2B ゲスト ユーザーの電子メール ワンタイム パスコード認証を有効にする方法について説明します。 電子メール ワンタイム パスコード機能では、B2B ゲスト ユーザーが Azure AD、Microsoft アカウント (MSA)、Google フェデレーションなどの他の手段を使用して認証できないときに、ユーザーの認証が行われます。 ワンタイム パスコード認証では、Microsoft アカウントを作成する必要はありません。 ゲスト ユーザーは、招待に応じるか、共有リソースにアクセスするときに、自分のメール アドレスに送信される一時的なコードを要求することができます。 その後は、このコードを入力してサインインを続けます。

電子メール ワンタイム パスコードの概要図

重要

  • 2021 年 10 月以降、電子メール ワンタイム パスコード機能は、既存のすべてのテナントで有効になり、新しいテナントでは既定で有効になります。 この機能が自動的に有効にならないようにしたい場合は、これを無効にできます。 以下の「電子メール ワンタイム パスコードを無効にする」をご覧ください。
  • 電子メール ワンタイム パスコード設定は、Azure portal で、 [外部コラボレーションの設定] から [すべての ID プロバイダー] に移動されました。

注意

ワンタイム パスコードのユーザーは、テナントのコンテキストを含むリンクを使用してサインインする必要があります (たとえば、https://myapps.microsoft.com/?tenantid=<tenant id>https://portal.azure.com/<tenant id>、または検証済みのドメインの場合は https://myapps.microsoft.com/<verified domain>.onmicrosoft.com)。 アプリケーションとリソースへの直接リンクも、テナント コンテキストが含まれている限り機能します。 ゲスト ユーザーは現在、テナント コンテキストが含まれていないエンドポイントを使用してサインインできません。 たとえば、https://myapps.microsoft.comhttps://portal.azure.com を使用すると、エラーが発生します。

ワンタイム パスコードのゲスト ユーザーに対するユーザー エクスペリエンス

電子メール ワンタイム パスコード機能が有効になっている場合、一定の条件を満たす新しく招待されたユーザーはワンタイム パスコード認証を使用します。 電子メール ワンタイム パスコードが有効になる前に招待に応じたゲスト ユーザーは、引き続き同じ認証方法を使用します。

ワンタイム パスコード認証では、ゲスト ユーザーは、直接リンクをクリックするか、招待メールを使用して、招待に応じることができます。 どちらの場合も、ブラウザーのメッセージで、ゲスト ユーザーのメール アドレスにコードが送信されることが示されます。 ゲスト ユーザーは、 [コードの送信] を選択します。

[コードの送信] ボタンを示すスクリーンショット

パスコードがユーザーのメール アドレスに送信されます。 ユーザーは、メールからパスコードを取得し、ブラウザー ウィンドウに入力します。

[コードの入力] ページを示すスクリーンショット

ゲスト ユーザーは認証されて、共有リソースを表示したり、サインインを続行したりできるようになります。

注意

ワンタイム パスコードの有効期間は 30 分です。 30 分が経過すると、その特定のワンタイム パスコードは無効になり、ユーザーは新しいパスコードを要求する必要があります。 ユーザー セッションは 24 時間後に期限が切れます。 それを過ぎると、ゲスト ユーザーはリソースにアクセスするときに新しいパスコードを受け取ります。 セッションの有効期限により、ゲスト ユーザーが自分の会社を退職したりアクセスを必要としなくなったときに特に、セキュリティが強化されます。

ゲスト ユーザーがワンタイム パスコードを入手するとき

次の場合、ゲスト ユーザーは、招待に応じたとき、または共有されているリソースへのリンクを使用したときに、ワンタイム パスコードを受け取ります。

  • Azure AD アカウントを持っていない
  • Microsoft アカウントを持っていない
  • 招待側テナントが @gmail.com および @googlemail.com ユーザーに Google フェデレーションを設定していない

招待するとき、招待されるユーザーにワンタイム パスコード認証が使用されることは示されません。 ただし、ゲスト ユーザーがサインインするとき、他の認証方法を使用できない場合は、ワンタイム パスコード認証がフォールバック メソッドになります。

ゲスト ユーザーがワンタイム パスコードを使用して認証されているかどうかを調べるには、ユーザーの詳細で [ソース] プロパティを確認します。 Azure portal で、 [Azure Active Directory] > [ユーザー] の順に移動してから、ユーザーを選択して詳細ページを開きます。

[Source](ソース) の値が OTP のワンタイム パスワード ユーザーを示すスクリーンショット

注意

ユーザーがワンタイム パスコードを使用した後、MSA、Azure AD アカウント、または他のフェデレーション アカウントを取得した場合、引き続きワンタイム パスコードによる認証が使用されます。 ユーザーの認証方法を更新する場合は、ユーザーの利用状態をリセットすることができます。

ゲスト ユーザー teri@gmail.com は、Google フェデレーションが設定されていない Fabrikam に招待されます。 Teri は Microsoft アカウントを持っていません。 認証用のワンタイム パスコードを受け取ります。

電子メール ワンタイム パスコードを無効にする

2021 年 10 月以降、電子メール ワンタイム パスコード機能は、既存のすべてのテナントで有効になり、新しいテナントでは既定で有効になります。 その時点で、Microsoft では、B2B コラボレーション シナリオ向けのアンマネージド ("バイラル" または "Just-In-Time") Azure AD アカウントおよびテナントを作成することによる招待の利用をサポートしなくなります。 電子メール ワンタイム パスコード機能を有効にするのは、これによりゲスト ユーザーにシームレスなフォールバック認証方法が提供されるからです。 ただし、使用しないことを選択した場合は、この機能を無効にすることもできます。

注意

お使いのテナントで電子メール ワンタイム パスコード機能が有効になっているときに、それを無効にした場合、ワンタイム パスコードを利用していたゲスト ユーザーは全員サインインできなくなります。 別の認証方法を使用してもう一度サインインできるように、利用状態をリセットすることができます。

電子メール ワンタイム パスコードを無効にするには

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [外部 ID] > [すべての ID プロバイダー] を選択します。

  4. [電子メール ワンタイム パスコード] を選択してから、 [ゲストの電子メール ワンタイム パスコードを無効にする] を選択します。

    注意

    電子メール ワンタイム パスコード設定は、Azure portal で、 [外部コラボレーションの設定] から [すべての ID プロバイダー] に移動されました。 電子メール ワンタイム パスコード オプションではなくトグルが表示されている場合は、以前にこの機能のプレビューを有効、無効、またはオプトインしたことを意味します。 [いいえ] を選択すると、この機能が無効になります。

    無効になっている電子メール ワンタイム パスコードのトグル

  5. [保存] を選択します。

パブリック プレビューの顧客向けのメモ

以前に電子メール ワンタイム パスコードのパブリック プレビューにオプトインしたことがある場合は、2021 年 10 月という機能の自動有効化の期日が適用されないため、関連するビジネス プロセスは影響を受けません。 また、Azure portal の [ゲストの電子メール ワンタイム パスコード] プロパティの下に、 [2021 年 10 月以降、ゲストの電子メール ワンタイム パスコードを自動的に有効にする] オプションが表示されません。 代わりに、次の [はい] または [いいえ] のトグルが表示されます。

オプトインされている電子メール ワンタイム パスコード

ただし、この機能からオプトアウト し、2021 年 10 月にそれが自動的に有効になることを希望する場合は、Microsoft Graph API の email authentication method configuration リソースの種類を使用して、既定の設定に戻すことができます。 既定の設定に戻すと、 [ゲストの電子メール ワンタイム パスコード] の下で次のオプションが使用可能になります。

オプトインされた電子メール ワンタイム パスコードを有効にする

  • [2021 年 10 月以降、ゲストの電子メール ワンタイム パスコードを自動的に有効にする。] (既定値) お使いのテナントで電子メール ワンタイム パスコード機能がまだ有効になっていない場合、2021 年 10 月以降、自動的に有効になります。 その時点でこの機能が有効になることを希望する場合、これ以上の操作は必要ありません。 この機能を既に有効または無効にしている場合、このオプションは使用できません。

  • [ゲストの電子メール ワンタイム パスコードを今すぐ有効にする] 。 お使いのテナントに対して電子メール ワンタイム パスコード機能を有効にします。

  • [ゲストの電子メール ワンタイム パスコードを無効にする] 。 お使いのテナントに対して電子メール ワンタイム パスコード機能を無効にし、2021 年 10 月にこの機能が有効にならないようにします。

Azure US Government のお客様のための注意事項

Azure US Government クラウドでは、電子メール ワンタイムパスコード機能は既定で無効になっています。 パートナーは、この機能が有効になっていない限りサインインできません。 Azure パブリック クラウドとは異なり、Azure US Government クラウドでは、セルフサービス Azure Active Directory アカウントを使用して招待に応じることはサポートされていません。

無効になっている電子メール ワンタイム パスコード

Azure US Government クラウドで電子メール ワンタイム パスコード機能を有効にするには:

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [組織の関係]  > [すべての ID プロバイダー] を選択します。

    注意

    • [組織の関係] が表示されない場合は、上部の検索バーで "外部 ID" を検索します。
  4. [電子メール ワンタイム パスコード] を選択してから、 [はい] を選択します。

  5. [保存] を選択します。

現在の制限事項の詳細については、「Azure US Government クラウド」を参照してください。