Аутентификация с использованием одноразового секретного кода из сообщения

Функция одноразового секретного кода по электронной почте — это способ проверки подлинности пользователей службы совместной работы B2B, который используется, когда они не могут пройти проверку подлинности с помощью других средств, например Azure AD, учетная запись Майкрософт (MSA) или поставщики удостоверений социальных сетей. Когда гостевой пользователь B2B пытается активировать ваше приглашение или войти в общие ресурсы, он может запросить временный секретный код, который отправляется на его адрес электронной почты. Этот код нужно ввести, чтобы войти в систему.

Эту функцию можно в любое время включить на портале Azure, настроив поставщик удостоверений для отправки разового секретного кода по электронной почте в настройках внешних удостоверений вашего арендатора. Вы можете включить эту функцию, отключить ее или дождаться автоматического включения.

Email one-time passcode overview diagram

Важно!

  • Мы начали развертывать для всех существующих арендаторов изменения, позволяющие включить возможность использования одноразового секретного кода, отправляемого по электронной почте, и включили эту возможность по умолчанию для новых арендаторов. Мы создаем функцию одноразового секретного кода по электронной почте, так как она обеспечивает простой резервный метод проверки подлинности для гостевых пользователей. Но если вы не хотите, чтобы функция включилась автоматически, ее можно отключить. Скоро мы прекратим создавать новые неуправляемые ("вирусные") учетные записи и арендаторов Azure AD во время активации приглашения службы совместной работы B2B.
  • Параметры одноразового секретного кода пользователя были перемещены на портале Azure из раздела Внешние параметры совместной работы в раздел Все поставщики удостоверений.

Примечание

Если пользователь применяет для входа одноразовый секретный код, ему необходимо войти по ссылке, содержащей контекст клиента (например, https://myapps.microsoft.com/?tenantid=<tenant id> или https://portal.azure.com/<tenant id>, а в случае проверенного домена — https://myapps.microsoft.com/<verified domain>.onmicrosoft.com). Прямые ссылки на приложения и ресурсы также работают, если они содержат контекст клиента. В настоящее время пользователи не могут войти в систему, используя конечные точки, которые не имеют контекста клиента. Например, использование https://myapps.microsoft.com илиhttps://portal.azure.com приведет к ошибке.

Применение одноразового секретного кода гостевыми пользователями

Если включена функция одноразового секретного кода по электронной почте, то вновь приглашенные пользователи , которые отвечают определенным условиям, будут использовать проверку подлинности с использованием одноразового секретного кода. Гостевые пользователи, которые активировали свои приглашения ранее, будут продолжать использовать свой обычный метод проверки подлинности.

При использовании проверки подлинности на основе одноразового секретного кода гостевой пользователь может активировать ваше приглашение, перейдя по прямой ссылке или используя письмо с приглашением. В обоих случаях в браузере отобразится сообщение о том, что секретный код будет отправлен на адрес электронной почты гостевого пользователя. Гостевому пользователю необходимо щелкнуть Отправить код:

Screenshot showing the Send code button

Секретный код отправляется на адрес электронной почты пользователя. Пользователь получает секретный код в письме и вводит его в окне браузера:

Screenshot showing the Enter code page

После проверки подлинности гостевой пользователь может просмотреть общий ресурс или продолжить вход.

Примечание

Одноразовый секретный код действителен в течение 30 минут. По истечении 30 минут этот одноразовый секретный код станет недействительным, и пользователю придется запросить новый. Сеансы пользователя завершаются через 24 часа. По прошествии этого времени для доступа к ресурсу гостевому пользователю необходимо получить новый секретный код. Срок действия сеанса позволяет повысить уровень безопасности, особенно если гостевой пользователь увольняется из компании или ему больше не нужен доступ к ресурсам.

Когда гостевой пользователь получает одноразовый секретный код?

Когда гостевой пользователь активирует приглашение или использует ссылку на ресурс, к которому был предоставлен общий доступ, он получит одноразовый секретный код, если:

  • у него нет учетной записи в Azure AD;
  • у него нет учетной записи Майкрософт;
  • арендатор, отправивший приглашение, не настроил федерацию с социальной сетью (например, Google) или другими поставщиками удостоверений.

Во время отправки приглашения нельзя определить, что приглашаемый пользователь будет применять проверку подлинности на основе одноразового секретного кода. Но если невозможно использовать другие методы проверки подлинности, когда гостевой пользователь входит в систему, в качестве резервного метода применяется проверка подлинности на основе одноразового секретного кода.

Примечание

Если пользователь активирует одноразовый секретный код, а затем вводит данные MSA, учетной записи Azure AD или другой федеративной учетной записи, он по-прежнему считается пользователем с проверкой подлинности на основе одноразового секретного кода. Если вы хотите обновить метод проверки подлинности пользователя, можно сбросить состояние активации.

Пример

Гостевой пользователь teri@gmail.com приглашен в компанию Fabrikam, которая не поддерживает настройку федерации Google. У Билла нет учетной записи Майкрософт. Он получит одноразовый секретный код для проверки подлинности.

Включите одноразовый секретный код, отправляемый по электронной почте.

  1. Войдите на портал Azure с правами глобального администратора Azure AD.

  2. В области навигации выберите Azure Active Directory.

  3. Выберите Внешние удостоверения>Все поставщики удостоверений.

  4. Выберите Отправить одноразовый секретный код по электронной почте, чтобы открыть область конфигурации.

  5. В разделе Отправлять одноразовый секретный код гостям по электронной почте выберите один из следующих вариантов:

    • Автоматически отправлять одноразовый секретный код гостям по электронной почте, начиная с октября 2021 г., если вы не хотите сразу включать эту функцию и предпочитаете подождать, пока она не будет включена автоматически.
    • Включить отправку одноразового секретного кода гостям по электронной почте с текущего момента, чтобы включить эту функцию прямо сейчас.
    • Да, чтобы включить эту функцию прямо сейчас, если вы видите переключатель "Да/Нет" (этот переключатель отображается, если функция была ранее отключена).

    Email one-time passcode toggle enabled

  6. Щелкните Сохранить.

Примечание

Параметры одноразового секретного кода электронной почты также можно настроить с помощью типа ресурса emailAuthenticationMethodConfiguration в API Microsoft Graph.

Отключение одноразовых секретных кодов, отправляемых по электронной почте

Мы начали развертывать для всех существующих арендаторов изменения, позволяющие включить возможность использования одноразового секретного кода, который отправляется по электронной почте, и включили эту возможность по умолчанию для новых арендаторов. Мы создаем функцию одноразового секретного кода по электронной почте, так как она обеспечивает простой резервный метод проверки подлинности для гостевых пользователей. Но если вы не хотите, чтобы функция включилась автоматически, ее можно отключить. Скоро мы прекратим создавать новые неуправляемые ("вирусные") учетные записи и арендаторов Azure AD во время активации приглашения службы совместной работы B2B.

Примечание

Если функция секретного кода одноразового пароля включена в клиенте и вы ее отключаете, все гостевые пользователи, которые активировали одноразовый секретный код, не смогут войти в систему. Вам нужно сбросить состояние активации, чтобы они могли снова войти в систему с помощью другого метода проверки подлинности.

Отключение функции одноразового секретного кода по электронной почте

  1. Войдите на портал Azure с правами глобального администратора Azure AD.

  2. В области навигации выберите Azure Active Directory.

  3. Выберите Внешние удостоверения>Все поставщики удостоверений.

  4. Выберите Отправлять одноразовый секретный код по электронной почте, а затем в разделе Отправлять одноразовый секретный код гостям по электронной почте выберите Отключить отправку одноразового секретного кода гостям по электронной почте (или Нет, если функция была ранее включена, отключена или исключена при предварительном просмотре).

    Email one-time passcode toggle disabled

    Примечание

    Параметры одноразового секретного кода пользователя были перемещены на портале Azure из раздела Внешние параметры совместной работы в раздел Все поставщики удостоверений. Если вместо параметров секретного кода одного раза отображается переключатель, это означает, что вы ранее включили, отключили или выбрали предварительную версию функции. Выберите Нет, чтобы отключить эту функцию.

  5. Нажмите кнопку Сохранить.

Примечание для пользователей общедоступной предварительной версии

Если вы ранее включили общедоступную предварительную версию отправки одноразовых секретных кодов по электронной почте, автоматическое включение этой функции на вас никак не повлияет, и ваши бизнес-процессы затронуты не будут. Кроме того, на портале Azure в свойствах Отправлять одноразовые секретные коды по электронной почте для гостей вы не увидите опцию Автоматически включать отправку одноразовых секретных кодов для гостей, начиная с 2021 октября. Вместо этого вы увидите следующий переключатель Да-Нет.

Email one-time passcode opted in

Однако если вы предпочитаете отказаться от предварительной версии этой функции и разрешить ее автоматическое включение, можно вернуться к параметрам по умолчанию, указав тип ресурса конфигурации метода проверки подлинности по электронной почте в API Microsoft Graph. После возврата к значениям по умолчанию будут доступны следующие параметры в разделе Одноразовый пароль по электронной почте для гостей.

Enable Email one-time passcode opted in

  • Автоматически включить одноразовые секретные коды, отправляемые по электронной почте гостевым пользователям, начиная с октября 2021 г. (По умолчанию) Если возможность отправки одноразового пароля по электронной почте для вашего арендатора еще не включена, она будет включена автоматически. Если нужно включить функцию в это время, никаких дополнительных действий не требуется. Если функция уже включена или отключена, этот параметр будет недоступен.

  • Enable email one-time passcode for guests effective now (Включить отправку одноразового секретного кода гостям по электронной почте с текущего момента). Включает функцию одноразового секретного кода по электронной почте для вашего клиента.

  • Disable email one-time passcode for guests (Отключить отправку одноразового секретного кода гостям по электронной почте). Отключает возможность отправки одноразового секретного кода по электронной почте для арендатора и предотвращает ее включение на дату автоматического включения.

Примечание для государственных организаций-клиентов Azure США

Функция одноразового секретного кода по электронной почте отключена по умолчанию в облаке Azure для государственных организаций США. Ваши партнеры не смогут войти в систему, если эта функция не включена. В отличие от общедоступного облака Azure, Облако Azure для государственных организаций США не поддерживает возможность использования приглашений в учетных записях самообслуживания Azure Active Directory.

Email one-time passcode disabled

Чтобы включить функцию отправки одноразовых секретных кодов по электронной почты в облаке Azure для государственных организаций США, выполните следующее.

  1. Войдите на портал Azure с правами глобального администратора Azure AD.

  2. В области навигации выберите Azure Active Directory.

  3. Выберите Организационные связи>все поставщики удостоверений.

    Примечание

    • Если вы не видите области Организационные отношения, выполните поиск по запросу "Внешние удостоверения" в строке поиска вверху.
  4. Выберите Одноразовый секретный код по электронной почте, а затем нажмите Да.

  5. Нажмите кнопку Сохранить.

Дополнительные сведения о текущих ограничениях см. в статье Azure AD B2B в облаках для государственных организаций и национальных облаках.

Часто задаваемые вопросы

Почему по-прежнему отображается параметр "Автоматически включить одноразовые секретные коды, отправляемые по электронной почте гостевым пользователям, начиная с октября 2021 г.", выбранный в параметрах отправки одноразовых секретных кодов по электронной почте?

Мы начали глобально развертывать изменения, настраивающие одноразовый пароль для электронной почты. До этого времени параметр "Автоматически включить одноразовые секретные коды, отправляемые по электронной почте гостевым пользователям, начиная с октября 2021 г." будет по-прежнему отображаться как выбранный в параметрах отправки одноразовых секретных кодов по электронной почте.

Что произойдет с имеющимися гостевыми пользователями, если включить отправку одноразового секретного кода по электронной почте?

Имеющиеся гостевые пользователи не будут затронуты, если включить отправку одноразового секретного кода по электронной почте, так как они уже прошли точку активации. Включение отправки одноразового секретного кода по электронной почте повлияет только на будущие операции активации, когда новые гостевые пользователи будут активироваться в арендаторе.

Каким будет взаимодействие для гостей во время глобального развертывания?

Действия пользователя зависят от ваших текущих параметров однократного секретного кода, от того, имеет ли пользователь неуправляемую учетную запись, и выполняете ли вы сброс состояния активации пользователя. Эти сценарии описаны в приведенной ниже таблице.

Пользовательский сценарий С включенным параметром «Отправить одноразовый секретный код по электронной почте» перед развертыванием С выключенным параметром «Отправить одноразовый секретный код по электронной почте» перед развертыванием
У пользователя есть существующая неуправляемая учетная запись Azure AD (не в результате активации в арендаторе) Как до развертывания, так и после него, пользователь активирует приглашения с помощью одноразового секретного кода, отправляемого по электронной почте. Как до развертывания, так и после него, пользователь продолжает выполнять вход с помощью своей неуправляемой учетной записи.1
Пользователь ранее активировал приглашение для вашего арендатора, используя неуправляемую учетную запись Azure AD Как до развертывания, так и после него, пользователь продолжает использовать свою неуправляемую учетную запись. Или вы можете сбросить его состояние активации, чтобы он мог активировать новое приглашение с помощью функции отправки одноразового секретного кода по электронной почте. Как до развертывания, так и после него, пользователь продолжает использовать свою неуправляемую учетную запись, даже если вы сбросите его состояние активации и отправите ему повторное приглашение.1
Пользователь без неуправляемой учетной записи Azure AD Как до развертывания, так и после него, пользователь активирует приглашения с помощью одноразового секретного кода, отправляемого по электронной почте. Как до развертывания, так и после него, пользователь активирует приглашения с помощью неуправляемой учетной записи.2

1 В отдельном выпуске мы внесем изменение, которое обеспечит принудительную активацию с помощью учетной записи Майкрософт. Чтобы пользователям было не нужно управлять как неуправляемой учетной записью Azure AD, так и методом MSA, мы настоятельно рекомендуем вам включить возможность отправки одноразового секретного кода по электронной почте.

2 Пользователь может столкнуться с ошибкой входа при активации прямой ссылки на приложение и невозможности добавления заранее в ваш каталог. В отдельном выпуске мы внесем изменения, которое обеспечит принудительную активацию и последующие операции входа с помощью учетной записи Майкрософт.

Дополнительные сведения о процессе активации приглашений см. в статье Активация приглашения совместной работы B2B.

Означает ли это, что параметра "Нет учетной записи? Создайте ее!" для самостоятельной регистрации больше не будет?

Самостоятельную регистрацию в контексте внешних удостоверений легко спутать с самостоятельной регистрацией проверенных по электронной почте пользователей, но они являются двумя разными возможностями. Исчезнет возможность самостоятельной регистрации с помощью проверенных по электронной почте пользователей, в результате чего ваши гости создадут неуправляемую учетную запись Azure AD. Однако самостоятельная регистрация Внешних удостоверений будет по-прежнему доступна, что приведет к регистрации гостей в вашей организации с различными поставщиками удостоверений. 

Что корпорация Майкрософт рекомендует делать с доступными учетными записями Майкрософт (MSA)?

Когда будет поддерживаться возможность отключения учетной записи Майкрософт в параметрах поставщиков удостоверений (сейчас недоступна), настоятельно рекомендуется отключить учетную запись Майкрософт и включить отправку одноразового секретного кода по электронной почте. Затем следует сбросить состояние активации доступных гостей с учетными записями Майкрософт, чтобы они могли повторно активироваться с помощью аутентификации с использованием отправки секретного кода по электронной почте, и использовать его для входа.

Включает ли это изменение интеграцию SharePoint и OneDrive с помощью Azure AD B2B?

Нет, глобальное развертывание изменения для включения отправки одноразового секретного кода по электронной почте по умолчанию не включает интеграцию SharePoint и OneDrive с помощью Azure AD B2B. Сведения о включении интеграции для того, чтобы для совместной работы в SharePoint и OneDrive использовались возможности B2B, или ее отключении в см. статье Интеграция SharePoint и OneDrive с Azure AD B2B.