Autenticação de senha de uso único por email

O recurso de senha de uso único por email é uma maneira de autenticar usuários de colaboração B2B quando eles não podem ser autenticados por outros meios, como o Azure AD, a MSA (conta Microsoft) ou provedores de identidade social. Quando um usuário convidado B2B tenta resgatar seu convite ou entrar em seus recursos compartilhados, ele pode solicitar uma senha temporária, que é enviada para seu endereço de email. Em seguida, ele digita essa senha para continuar o processo de entrada.

Você pode habilitar esse recurso a qualquer momento no portal do Azure configurando o provedor de identidade de senha de email de uso único nas configurações de Identidades Externas do seu locatário. Você pode optar por habilitar o recurso, desabilitá-lo ou aguardar a habilitação automática em outubro de 2021.

Diagrama de visão geral de senha de uso único por email

Importante

  • A partir de outubro de 2021, o recurso de senha de uso único por email será ativado para todos os locatários atuais e habilitado por padrão para os novos locatários. Se não quiser permitir que esse recurso seja ativado automaticamente, você poderá desabilitá-lo. Confira Desabilitar senha de uso único por email, abaixo.
  • As configurações de senha de uso único por email foram movidas no portal do Azure de Configurações de colaboração externa para Todos os provedores de identidade.

Observação

Os usuários de senha descartável devem entrar usando um link que inclui o contexto do locatário (por exemplo, https://myapps.microsoft.com/?tenantid=<tenant id>, https://portal.azure.com/<tenant id> ou, no caso de um domínio verificado, https://myapps.microsoft.com/<verified domain>.onmicrosoft.com). Links diretos para aplicativos e recursos também funcionam desde que incluam o contexto do locatário. No momento, os usuários convidados não conseguem entrar usando pontos de extremidade sem contexto do locatário. Por exemplo, usar https://myapps.microsoft.com ou https://portal.azure.com resultará em um erro.

Experiência do usuário para usuários convidados com senha avulsa

Quando o recurso de senha de uso único por email estiver habilitado, os usuários convidados que atenderem a determinadas condições usarão a autenticação por senha de uso único. Os usuários convidados que resgataram um convite antes da habilitação da senha de uso único por email continuarão a usar o mesmo método de autenticação.

Com a autenticação por senha avulsa, o usuário convidado pode resgatar seu convite clicando em um link direto ou usando o email de convite. Em ambos os casos, uma mensagem no navegador indica que um código será enviado ao endereço de email do usuário convidado. O usuário convidado seleciona Enviar código:

Captura de tela mostrando o botão Enviar código

Uma senha é enviada ao endereço de email do usuário. O usuário recupera a senha de email e insere-a na janela do navegador:

Captura de tela mostrando a página Inserir código

O usuário convidado está agora autenticado e pode ver o recurso compartilhado ou continuar o processo de entrada.

Observação

Senhas de uso único são válidas por 30 minutos. Após 30 minutos, essa senha avulsa específica não é mais válida e o usuário precisa solicitar uma nova. Sessões de usuário expiram após 24 horas. Após esse tempo, o usuário convidado recebe uma nova senha quando acessa o recurso. A expiração de sessão fornece maior segurança, especialmente quando um usuário convidado deixa a empresa ou não precisa mais de acesso.

Quando um usuário convidado obtém uma senha avulsa?

Quando um usuário convidado resgata um convite ou usa um link para um recurso que foi compartilhado consigo, ele recebe uma senha avulsa se:

  • Ele não tem uma conta do Azure AD
  • Ele não tem uma conta Microsoft
  • O locatário que está convidando não configurou a federação com o provedor de identidade social (como o Google) ou outros provedores de identidade.

No momento do convite, não há nenhuma indicação de que o usuário que você está convidando usará a autenticação de senha avulsa. Mas quando o usuário convidado entrar, a autenticação de senha avulsa será o método de fallback se nenhum outro método de autenticação puder ser usado.

Observação

Quando um usuário resgatar uma senha avulsa e, posteriormente, obtém uma MSA, conta do Azure AD ou outra conta federada, ele continuará a ser autenticado usando uma senha avulsa. Se quiser atualizar o método de autenticação do usuário, você poderá redefinir seu status de resgate.

Exemplo

O usuário convidado teri@gmail.com é convidado para a Fabrikam, que não tem a federação do Google configurada. Teri não tem uma conta Microsoft. Receberemos uma senha avulsa para autenticação.

Habilitar a senha de uso único por email

  1. Entre no portal do Azure como um administrador global do Azure AD.

  2. No painel de navegação, selecione Azure Active Directory.

  3. Confira Identidades Externas > Todos os provedores de identidade.

  4. Selecione Senha de uso único por email para abrir o painel de configuração.

  5. Em Senha de uso único por email para convidados, selecione uma das seguintes opções:

    • Habilitar automaticamente a senha de um único por email para convidados a partir de outubro de 2021 Se você não quiser habilitar o recurso imediatamente e quiser aguardar a data de habilitação automática de outubro de 2021.
    • Habilitar o envio de senha de uso único por email para convidados imediatamente para habilitar o recurso agora.
    • Sim, para habilitar o recurso agora, se você vir uma opção Sim/Não (essa opção aparecerá se o recurso tiver sido desabilitado anteriormente).

    Alternância de senha de uso único por email habilitada

  6. Selecione Save.

<a name="disable-email-one-time-passcode">Desabilitar a senha de uso único por email

A partir de outubro de 2021, o recurso de senha de uso único por email será ativado para todos os locatários atuais e habilitado por padrão para os novos locatários. Neste período, a Microsoft não dará mais suporte para o resgate de convites criando contas e locatários do Azure AD não gerenciados ("virais" ou "just-in-time") para cenários de colaboração B2B. Estamos habilitando o recurso de senha de uso único por email por ser um método de autenticação de reserva contínuo para os usuários convidados. No entanto, você tem a opção de desabilitar o recurso caso não deseje usá-lo.

Observação

Se o recurso de senha de uso único por email tiver sido habilitado em seu locatário e você desabilitá-lo, todos os usuários convidados que tiverem resgatado uma senha de uso único não poderão entrar. Você pode redefinir o status de resgate deles para que eles possam entrar novamente usando outro método de autenticação.

Para desabilitar o recurso de senha de uso único por email

  1. Entre no portal do Azure como um administrador global do Azure AD.

  2. No painel de navegação, selecione Azure Active Directory.

  3. Confira Identidades Externas > Todos os provedores de identidade.

  4. Selecione Senha de uso único por email e, em seguida, em Senha de uso único por email para convidados, selecione Desabilitar senha de uso único por email para convidados (ou Não se o recurso já tiver sido habilitado, desabilitado ou aceito durante a versão prévia).

    Alternância de senha de uso único por email desabilitada

    Observação

    As configurações de senha de uso único por email foram movidas no portal do Azure de Configurações de colaboração externa para Todos os provedores de identidade. Caso você veja uma alternância em vez das opções de senha de uso único por email, isso significa que você habilitou, desabilitou ou aceitou anteriormente a versão prévia do recurso. Selecione Não para desabilitar o recurso.

  5. Clique em Salvar.

Observação para clientes de versão prévia pública

Se você tiver optado anteriormente pela versão prévia pública da senha de uso único por email, a data de outubro de 2021 para a habilitação automática desse recurso não se aplicará a você, de modo que seus processos comerciais relacionados não serão afetados. Além disso, no portal do Azure, nas propriedades senha de uso único por email para convidados, você não verá a opção de Habilitar automaticamente a senha de uso único por email para convidados a partir de outubro de 2021. Em vez disso, você verá a seguinte opção de alternância Sim ou não:

Aceitar senha de uso único por email

No entanto, se você preferir recusar o recurso e permitir que ele seja habilitado automaticamente em outubro de 2021, você poderá reverter para as configurações padrão usando o tipo de recurso para configuração do método de autenticação por email da API do Microsoft Graph. Depois de reverter para as configurações padrão, as seguintes opções estarão disponíveis em Senha de uso único por email para convidados:

Habilitar o recurso de senha de uso único por email aceito

  • Habilitar automaticamente a senha de uso único por email para convidados a partir de outubro de 2021. (Padrão) Se o recurso de senha de uso único por email ainda não estiver habilitado para o seu locatário, ele será automaticamente ativado em outubro de 2021. Nenhuma ação adicional será necessária se você quiser habilitar o recurso nesse momento. Se você já tiver habilitado ou desabilitado o recurso, essa opção não ficará disponível.

  • Habilitar a senha de uso único por email para convidados imediatamente. Ativa o recurso de senha de uso único de email para seu locatário.

  • Desabilitar a senha de uso único por email para convidados. Desativa o recurso de senha de uso único por email para o seu locatário e impede que o recurso seja ativado em outubro de 2021.

Observação para os clientes Azure do governo dos EUA

O recurso de senha de uso único por email é desabilitado por padrão na nuvem do Azure para o governo dos EUA. Seus parceiros não poderão entrar se esse recurso não estiver habilitado. Ao contrário da nuvem pública do Azure, a nuvem do governo dos EUA do Azure não permite resgate de convites com contas de autoatendimento do Azure Active Directory.

Recurso de senha de uso único por email desabilitado

Para habilitar o recurso de senha de uso único por email na nuvem do Azure para o governo dos EUA:

  1. Entre no portal do Azure como um administrador global do Azure AD.

  2. No painel de navegação, selecione Azure Active Directory.

  3. Escolha Relações organizacionais > Todos os provedores de identidade.

    Observação

    • Se você não vir Relações Organizacionais, procure "Identidades Externas" na barra de pesquisa da parte superior.
  4. Selecione senha de uso único por email e escolha Sim.

  5. Clique em Salvar.

Para obter mais informações sobre as limitações atuais, confira nuvens do Azure para o governo dos EUA.