Uwierzytelnianie jednorazowego kodu dostępu pocztą e-mail

Funkcja jednorazowego kodu dostępu poczty e-mail to sposób uwierzytelniania użytkowników współpracy B2B, gdy nie mogą być uwierzytelniani za pomocą innych środków, takich jak Microsoft Entra ID, Konto Microsoft (MSA) lub dostawcy tożsamości społecznościowych. Gdy użytkownik-gość B2B próbuje zrealizować zaproszenie lub zalogować się do udostępnionych zasobów, może zażądać tymczasowego kodu dostępu, który jest wysyłany na ich adres e-mail. Następnie wprowadzają ten kod dostępu, aby kontynuować logowanie.

Ważne

• Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Ta funkcja zapewnia bezproblemową metodę uwierzytelniania rezerwowego dla użytkowników-gości. Jeśli nie chcesz używać tej funkcji, możesz ją wyłączyć, w takim przypadku użytkownicy będą monitowani o utworzenie konta Microsoft.

Uwaga

Obecnie nie można stosować zasad siły uwierzytelniania za pośrednictwem dostępu warunkowego do jednorazowych kont kodu dostępu poczty e-mail. Zamiast tego użyj kontroli udzielania dostępu warunkowego "Wymagaj uwierzytelniania wieloskładnikowego". Aby uzyskać więcej informacji, zobacz sekcję Zasady siły uwierzytelniania dla użytkowników zewnętrznych na stronie Uwierzytelnianie i dostęp warunkowy dla identyfikatora zewnętrznego.

Punkty końcowe logowania

Wiadomości e-mail z jednorazowym kodem dostępu użytkownicy-goście mogą teraz logować się do aplikacji wielodostępnych lub aplikacji firmy Microsoft przy użyciu wspólnego punktu końcowego (innymi słowy, ogólnego adresu URL aplikacji, który nie zawiera kontekstu dzierżawy). Podczas procesu logowania użytkownik-gość wybiera opcje logowania, a następnie wybiera pozycję Zaloguj się do organizacji. Następnie użytkownik wpisze nazwę organizacji i kontynuuje logowanie przy użyciu jednorazowego kodu dostępu.

Wiadomości e-mail jednorazowych użytkowników-gości mogą również używać punktów końcowych aplikacji, które zawierają informacje o dzierżawie, na przykład:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

Możesz również nadać wiadomości e-mail jednorazowym użytkownikom-gościom bezpośredni link do aplikacji lub zasobu, dołączając informacje o dzierżawie, na przykład https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Uwaga

Wysyłanie wiadomości e-mail jednorazowych użytkowników-gości może zalogować się do usługi Microsoft Teams bezpośrednio z wspólnego punktu końcowego bez wybierania opcji logowania. Podczas procesu logowania do usługi Microsoft Teams użytkownik-gość może wybrać link, aby wysłać jednorazowy kod dostępu.

Środowisko użytkownika dla jednorazowych użytkowników-gości kodu dostępu

Po włączeniu funkcji jednorazowego kodu dostępu wiadomości e-mail nowo zaproszeni użytkownicy , którzy spełniają określone warunki , będą używać jednorazowego uwierzytelniania kodu dostępu. Użytkownicy-goście, którzy zrealizowali zaproszenie przed włączeniem jednorazowego kodu dostępu w wiadomości e-mail, będą nadal używać tej samej metody uwierzytelniania.

W przypadku uwierzytelniania za pomocą jednorazowego kodu dostępu użytkownik-gość może zrealizować zaproszenie, klikając link bezpośredni lub używając wiadomości e-mail z zaproszeniem. W obu przypadkach w przeglądarce zostanie wyświetlony komunikat wskazujący, że kod zostanie wysłany na adres e-mail użytkownika-gościa. Użytkownik-gość wybiera pozycję Wyślij kod:

Kod dostępu jest wysyłany na adres e-mail użytkownika. Użytkownik pobiera kod dostępu z wiadomości e-mail i wprowadza go w oknie przeglądarki:

Użytkownik-gość jest teraz uwierzytelniony i może zobaczyć udostępniony zasób lub kontynuować logowanie.

Uwaga

Jednorazowe kody dostępu są ważne przez 30 minut. Po upływie 30 minut określony jednorazowy kod dostępu nie jest już prawidłowy, a użytkownik musi zażądać nowego. Sesje użytkowników wygasają po 24 godzinach. Po tym czasie użytkownik-gość otrzymuje nowy kod dostępu podczas uzyskiwania dostępu do zasobu. Wygaśnięcie sesji zapewnia dodatkowe zabezpieczenia, zwłaszcza gdy użytkownik-gość opuszcza firmę lub nie potrzebuje już dostępu.

Kiedy użytkownik-gość otrzymuje jednorazowy kod dostępu?

Gdy użytkownik-gość zrealizował zaproszenie lub użyje łącza do zasobu, który został mu udostępniony, otrzyma jednorazowy kod dostępu, jeśli:

• Nie mają konta Microsoft Entra.
• Nie mają konta Microsoft.
• Dzierżawa zapraszania nie skonfigurowała federacji z usługami społecznościowymi (takimi jak Google) ani innymi dostawcami tożsamości.
• Nie mają żadnej innej metody uwierzytelniania ani żadnych kont opartych na hasłach.
• Jednorazowy kod dostępu poczty e-mail jest włączony.

W momencie zaproszenia nie ma żadnych wskazówek, że użytkownik, którego zapraszasz, będzie używać jednorazowego uwierzytelniania kodu dostępu. Jednak po zalogowaniu się użytkownika-gościa uwierzytelnianie za pomocą jednorazowego kodu dostępu będzie metodą rezerwową, jeśli nie można użyć innych metod uwierzytelniania.

Uwaga

Gdy użytkownik zrealizowa jednorazowy kod dostępu, a później uzyskuje konto MSA, Microsoft Entra lub inne konto federacyjne, będzie nadal uwierzytelniane przy użyciu jednorazowego kodu dostępu. Jeśli chcesz zaktualizować metodę uwierzytelniania użytkownika, możesz zresetować ich stan realizacji.

Przykład

Użytkownik-gość nicole@firstupconsultants.com jest zapraszany do firmy Fabrikam, która nie ma skonfigurowanej federacji Google. Nicole nie ma konta Microsoft. Otrzymają jednorazowy kod dostępu na potrzeby uwierzytelniania.

Włączanie lub wyłączanie jednorazowych kodów dostępu poczty e-mail

Funkcja jednorazowego kodu dostępu wiadomości e-mail jest teraz domyślnie włączona dla wszystkich nowych dzierżaw i dla wszystkich istniejących dzierżaw, w których nie została jawnie wyłączona. Ta funkcja zapewnia bezproblemową metodę uwierzytelniania rezerwowego dla użytkowników-gości. Jeśli nie chcesz używać tej funkcji, możesz ją wyłączyć, w takim przypadku użytkownicy będą monitowani o utworzenie konta Microsoft.

Uwaga

• Ustawienia jednorazowego kodu dostępu poczty e-mail można również skonfigurować przy użyciu typu zasobu emailAuthenticationMethodConfiguration w interfejsie API programu Microsoft Graph.
• Jeśli funkcja jednorazowego kodu dostępu wiadomości e-mail została włączona w dzierżawie i wyłączysz ją, wszyscy użytkownicy-goście, którzy zrealizowali jednorazowy kod dostępu, nie będą mogli się zalogować. Możesz zresetować ich stan realizacji, aby można było zalogować się ponownie przy użyciu innej metody uwierzytelniania.

Aby włączyć lub wyłączyć jednorazowe kody dostępu poczty e-mail

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator zabezpieczeń.

2. Przejdź do sekcji Identity External Identities>All identity providers (Tożsamości zewnętrzne tożsamości>wszyscy dostawcy tożsamości).

3. Na liście Skonfigurowane dostawcy tożsamości wybierz pozycję Wyślij wiadomość e-mail jednorazowego kodu dostępu.

4. W obszarze Jednorazowy kod dostępu wiadomości e-mail dla gości wybierz jedną z następujących pozycji:

   • Tak: przełącznik jest domyślnie ustawiony na Wartość Tak, chyba że funkcja została jawnie wyłączona. Aby włączyć tę funkcję, upewnij się, że wybrano opcję Tak .
   • Nie: Jeśli chcesz wyłączyć funkcję jednorazowego kodu dostępu poczty e-mail, wybierz pozycję Nie.

6. Wybierz pozycję Zapisz.

Często zadawane pytania

Co się stanie z istniejącymi użytkownikami-gośćmi, jeśli włączę jednorazowy kod dostępu do poczty e-mail?

Istniejący użytkownicy-goście nie będą mieć wpływu, jeśli włączysz jednorazowy kod dostępu do poczty e-mail, ponieważ istniejący użytkownicy są już przeszłością punktu realizacji. Włączenie jednorazowego kodu dostępu wiadomości e-mail będzie miało wpływ tylko na przyszłe działania procesu realizacji, w których nowi użytkownicy-goście są realizowani w dzierżawie.

Co to jest środowisko użytkownika, gdy jednorazowy kod dostępu poczty e-mail jest wyłączony?

Jeśli funkcja jednorazowego kodu dostępu poczty e-mail została wyłączona, użytkownik zostanie poproszony o utworzenie konta Microsoft.

Ponadto po wyłączeniu jednorazowego kodu dostępu wiadomości e-mail użytkownicy mogą zobaczyć błąd logowania podczas realizacji linku bezpośredniej aplikacji i nie zostali dodani do katalogu z wyprzedzeniem.

Aby uzyskać więcej informacji na temat różnych ścieżek procesu realizacji, zobacz Realizacja zaproszenia do współpracy B2B.

Czy "Nie ma konta? Utwórz jeden!" opcja samoobsługowego rejestrowania znika?

L.p. Rejestracja samoobsługowa w kontekście identyfikatora zewnętrznego jest mylić z rejestracją samoobsługową dla użytkowników zweryfikowanych pocztą e-mail, ale są to dwie różne funkcje. Funkcja niezarządzana ("wirusowa"), która została przestarzała, jest samoobsługową rejestracją przy użyciu użytkowników zweryfikowanych pocztą e-mail, co spowodowało, że goście utworzyli niezarządzane konto Microsoft Entra. Jednak rejestracja samoobsługowa dla identyfikatora zewnętrznego będzie nadal dostępna, co powoduje, że goście zarejestrują się w organizacji z różnymi dostawcami tożsamości. 

Co firma Microsoft zaleca w przypadku istniejących kont Microsoft (MSA)?

Jeśli obsługujemy możliwość wyłączenia konta Microsoft w ustawieniach dostawców tożsamości (obecnie niedostępnych), zdecydowanie zalecamy wyłączenie konta Microsoft i włączenie jednorazowego kodu dostępu poczty e-mail. Następnie należy zresetować stan realizacji istniejących gości z kontami Microsoft, aby mogli ponownie zrealizować przy użyciu jednorazowego uwierzytelniania kodu dostępu poczty e-mail i użyć jednorazowego kodu dostępu poczty e-mail, aby się zalogować w przyszłości.

Czy dotyczy to zmiany włączania jednorazowego kodu dostępu poczty e-mail, czy obejmuje to integrację programu SharePoint i usługi OneDrive z firmą Microsoft Entra B2B?

Nie, globalne wdrożenie zmiany w celu włączenia jednorazowego kodu dostępu poczty e-mail domyślnie nie obejmuje włączania integracji programów SharePoint i OneDrive z firmą Microsoft Entra B2B. Aby dowiedzieć się, jak włączyć lub wyłączyć integrację programów SharePoint i OneDrive z usługą Microsoft Entra B2B w celu zapewnienia bezpiecznej współpracy, zobacz Integracja programu SharePoint i usługi OneDrive z firmą Microsoft Entra B2B.

Następne kroki

Dowiedz się więcej o dostawcach tożsamości dla identyfikatora zewnętrznego i sposobach resetowania stanu realizacji dla użytkownika-gościa.