E-postautentisering med ett lösenord

  • Artikel
  • 10 minuter för att läsa

Funktionen för ett lösenord för e-post är ett sätt att autentisera B2B-samarbetsanvändare när de inte kan autentiseras på annat sätt, till exempel Azure AD, Microsoft-konto (MSA) eller sociala identitetsproviders. När en B2B-gästanvändare försöker lösa in din inbjudan eller logga in på dina delade resurser kan de begära ett tillfälligt lösenord som skickas till deras e-postadress. Sedan anger de det här lösenordet för att fortsätta logga in.

Du kan aktivera den här funktionen när som helst i Azure Portal genom att konfigurera identitetsprovidern E-post för lösenord en gång under klientorganisationens External Identities inställningar. Du kan välja att aktivera funktionen, inaktivera den eller vänta på automatisk aktivera från och med 1 november 2021.

Översiktsdiagram över lösenord för e-post

Viktigt

  • Från och med den 1 november 2021 börjar vi lansera en ändring för att aktivera funktionen för e-postkod en gång för alla befintliga klienter och aktivera den som standard för nya klienter. Som en del av den här ändringen slutar Microsoft att skapa nya, ohanterade ("virala") Azure AD-konton och -klienter under inlösningen av B2B-samarbetsinbjudan. För att minimera störningar under helgdagar och distributionslås kommer de flesta klienter att se ändringar som distribueras i januari 2022. Vi aktiverar funktionen för e-postlösenord vid ett tillfälle eftersom den ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Men om du inte vill tillåta att den här funktionen aktiveras automatiskt kan du inaktivera den.
  • Inställningarna för ett lösenord för e-post har flyttats i Azure Portal inställningar för externt samarbete till Alla identitetsproviders.

Anteckning

Användare av ett lösenord för en gång måste logga in med en länk som innehåller klientkontexten (till exempel eller , eller i fallet med en https://myapps.microsoft.com/?tenantid=<tenant id> https://portal.azure.com/<tenant id> verifierad domän, https://myapps.microsoft.com/<verified domain>.onmicrosoft.com ). Direktlänkar till program och resurser fungerar också så länge de omfattar klientkontexten. Gästanvändare kan för närvarande inte logga in med slutpunkter som inte har någon klientkontext. Om du till exempel https://myapps.microsoft.com använder , resulterar det i ett https://portal.azure.com fel.

Användarupplevelse för gästanvändare med ett lösenord

När funktionen för lösenord för e-post har aktiverats använder nyligen inbjudna användare som uppfyller vissa villkor autentisering med ett lösenord. Gästanvändare som löste in en inbjudan innan e-postlösenordet aktiverades fortsätter att använda samma autentiseringsmetod.

Med autentisering med ett lösenord kan gästanvändaren lösa in din inbjudan genom att klicka på en direktlänk eller genom att använda e-postinbjudan. I båda fallen anger ett meddelande i webbläsaren att en kod kommer att skickas till gästanvändarens e-postadress. Gästanvändaren väljer Skicka kod:

Skärmbild som visar knappen Skicka kod

Ett lösenord skickas till användarens e-postadress. Användaren hämtar lösenordet från e-postmeddelandet och anger det i webbläsarfönstret:

Skärmbild som visar sidan Ange kod

Gästanvändaren autentiseras nu och kan se den delade resursen eller fortsätta att logga in.

Anteckning

Lösenordet för en gång är giltigt i 30 minuter. Efter 30 minuter är det specifika lösenordet inte längre giltigt och användaren måste begära ett nytt lösenord. Användarsessioner upphör att gälla efter 24 timmar. Efter det får gästanvändaren ett nytt lösenord när de får åtkomst till resursen. Sessionsförfallotid ger ökad säkerhet, särskilt när en gästanvändare lämnar företaget eller inte längre behöver åtkomst.

När får en gästanvändare ett enda lösenord?

När en gästanvändare löser in en inbjudan eller använder en länk till en resurs som har delats med dem får de ett lösenord en gång om:

  • De har inget Azure AD-konto
  • De har ingen Microsoft-konto
  • Den inbjudande klientorganisationen konfigurerade inte federation med sociala medier (t.ex. Google)eller andra identitetsleverantörer.

Vid tidpunkten för inbjudan finns det ingen indikation på att användaren som du bjuder in använder autentisering med ett lösenord. Men när gästanvändaren loggar in är autentisering med ett lösenord reservmetoden om inga andra autentiseringsmetoder kan användas.

Anteckning

När en användare löser in ett lösenord en gång och senare får ett MSA-, Azure AD-konto eller ett annat federerat konto fortsätter de att autentiseras med ett enda lösenord. Om du vill uppdatera användarens autentiseringsmetod kan du återställa inlösningsstatusen.

Exempel

teri@gmail.comGästanvändaren bjuds in till Fabrikam, som inte har Google-federation konfigurerad. Teri har ingen Microsoft-konto. De får ett enda lösenord för autentisering.

Aktivera lösenord för e-post en gång

  1. Logga in på Azure Portal azure AD global administratör.

  2. I navigeringsfönstret väljer du Azure Active Directory.

  3. Välj External Identities Alla > identitetsproviders.

  4. Välj E-posta ett lösenord för att öppna konfigurationsfönstret.

  5. Under E-posta ett lösenord för gäster väljer du något av följande:

    • Aktivera e-post ett lösenord för <date> gäster som startar automatiskt om du inte vill aktivera funktionen omedelbart och vill vänta på datumet för automatisk aktivera den 1 november 2021.
    • Aktivera lösenord för e-post en gång för gäster som gäller nu för att aktivera funktionen nu.
    • Ja för att aktivera funktionen nu om du ser en Ja/Nej-växlingsknapp (den här växlingsknappen visas om funktionen tidigare har inaktiverats).

    Växlingsknapp för e-post för lösenord har aktiverats

  6. Välj Spara.

<a name="disable-email-one-time-passcode">Inaktivera lösenord för e-post en gång

Från och med den 1 november 2021 börjar vi lansera en ändring för att aktivera funktionen för e-postkoder för alla befintliga klienter och aktivera den som standard för nya klienter. Då kommer Microsoft inte längre att stödja inlösning av inbjudningar genom att skapa ohanterade ("virala" eller "just-in-time") Azure AD-konton och -klienter för B2B-samarbetsscenarier. Vi aktiverar funktionen för e-postlösenord vid ett tillfälle eftersom den ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Du kan dock välja att inaktivera den här funktionen om du väljer att inte använda den.

Anteckning

Om funktionen för ett lösenord för e-post har aktiverats i din klientorganisation och du inaktiverar den, kommer gästanvändare som har löst in ett lösenord inte att kunna logga in. Du kan återställa deras inlösningsstatus så att de kan logga in igen med en annan autentiseringsmetod.

Så här inaktiverar du funktionen för lösenord för e-post en gång

  1. Logga in på Azure Portal azure AD global administratör.

  2. I navigeringsfönstret väljer du Azure Active Directory.

  3. Välj External Identities Alla > identitetsproviders.

  4. Välj E-posta ett lösenord för en gång och välj sedan Inaktivera e-post för gäster under E-post för gäster (eller Nej om funktionen tidigare har aktiverats, inaktiverats eller om den har inaktiverats under förhandsversionen).

    Växlingsknapp för e-post för lösenord har inaktiverats

    Anteckning

    Inställningarna för ett lösenord för e-post har flyttats i Azure Portal inställningar för externt samarbete till Alla identitetsproviders. Om du ser en växlingsknapp i stället för alternativen för lösenord för e-post en gång innebär det att du tidigare har aktiverat, inaktiverat eller valt att använda förhandsversionen av funktionen. Välj Nej för att inaktivera funktionen.

  5. Välj Spara.

Obs! För kunder med offentlig förhandsversion

Om du tidigare har valt att använda den offentliga förhandsversionen av e-postmeddelandet gäller inte datumet 1 november 2021 för automatisk funktionsaktivering för dig, så dina relaterade affärsprocesser påverkas inte. I Azure Portal visas inte alternativet Att automatiskt aktivera e-postkort för gäster som startar under egenskaperna Email one-time passcode for guests (E-post <date> för gäster). I stället visas följande ja- eller nej-växlingsknapp:

Avanmält lösenord via e-post

Men om du föredrar att avanmäla dig från funktionen och tillåta att den aktiveras automatiskt från och med den 1 november 2021 kan du återgå till standardinställningarna med hjälp av resurstypen konfigurationsresurs för e-postautentiseringsmetoden Microsoft Graph API. När du har återställt till standardinställningarna är följande alternativ tillgängliga under E-post för gäster vid ett tillfälle:

Aktivera ett lösenord för e-post som har avanmälts

  • Aktivera e-post-lösenord en gång <date> automatiskt för gäster som startar. (Standard) Om funktionen för ett lösenord för e-post inte redan är aktiverad för din klient, aktiveras den automatiskt från och med den 1 november 2021. Ingen ytterligare åtgärd krävs om du vill att funktionen ska aktiveras vid den tidpunkten. Om du redan har aktiverat eller inaktiverat funktionen är det här alternativet inte tillgängligt.

  • Aktivera lösenord för e-post en gång för gäster som gäller nu. Aktiverar lösenordsfunktionen för e-post en gång för din klientorganisation.

  • Inaktivera e-post med ett lösenord för gäster. Inaktiverar funktionen för lösenord för e-post en gång för din klientorganisation och förhindrar att funktionen startar den 1 november 2021.

Meddelande för Azure US Government-kunder

Funktionen för ett lösenord för e-post är inaktiverad som standard i Azure US Government-molnet. Dina partner kan inte logga in om inte den här funktionen är aktiverad. Till skillnad från det offentliga Azure-molnet stöder inte Azure US Government-molnet inlösning av inbjudningar med självbetjäning Azure Active Directory konton.

Lösenord för e-post är inaktiverat

Så här aktiverar du funktionen för lösenord för e-post en gång i Azure US Government-molnet:

  1. Logga in på Azure Portal azure AD global administratör.

  2. I navigeringsfönstret väljer du Azure Active Directory.

  3. Välj Organisationsrelationer   >  Alla identitetsproviders.

    Anteckning

    • Om du inte ser Organisationsrelationer söker du efter "External Identities" i sökfältet längst upp.

  4. Välj E-post för lösenord en gång och välj sedan Ja.

  5. Välj Spara.

Mer information om aktuella begränsningar finns i Azure US Government-moln.

Vanliga frågor och svar

Varför ser jag fortfarande "Aktivera e-post med ett lösenord för en gång automatiskt för gäster från och med oktober 2021" markerat i mina inställningar för ett lösenord för e-post?

På grund av våra distributionsscheman kommer vi att börja lansera ändringen för att aktivera e-post för ett lösenord som standard globalt den 1 november 2021. Tills dess kanske du fortfarande ser "Aktivera e-post för en gång-lösenord automatiskt för gäster från och med oktober 2021" markerat i dina inställningar för e-postkoder en gång.

Vad händer med mina befintliga gästanvändare om jag aktiverar ett lösenord för e-post en gång?

Dina befintliga gästanvändare påverkas inte om du aktiverar e-postlösenord vid ett tillfälle, eftersom dina befintliga användare redan har gått förbi inlösningspunkten. Aktivering av e-postlösenord för en gång påverkar endast framtida inlösningsaktiviteter där nya gästanvändare löser in till klientorganisationen.

Hur ser användarupplevelsen ut för gäster under den globala utrullningen?

Under den globala utrullningen beror användarupplevelsen för gäster på din e-postkonfiguration för ett lösenord och gästens scenario.

Innan ändringen distribueras till din region ser gäster följande beteende.

  • Med ett lösenord för e-post aktiverat:

    • Om en gäst har ett befintligt ohanterat Azure AD-konto fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst tidigare har löst in en inbjudan till din klientorganisation med hjälp av ett ohanterat Azure AD-konto och du återställer deras inlösningsstatus och återbjuder dem, fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst inte har ett befintligt ohanterat Azure AD-konto löser de in med autentisering med e-postlösenord.

  • När e-post-lösenordet för en gång är inaktiverat:

    • Om en gäst har ett befintligt ohanterat Azure AD-konto fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst tidigare har löst in en inbjudan till din klientorganisation med hjälp av ett ohanterat Azure AD-konto och du återställer deras inlösningsstatus och återbjuder dem, fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst inte har ett befintligt ohanterat Azure AD-konto löser de in med ett ohanterat Azure AD-konto, men de kan få ett inloggningsfel om de inte läggs till i Azure Portal i förväg om de löser in via en direkt programlänk.

När ändringen har distribuerats till din region ser gäster följande beteende.

  • Med ett lösenord för e-post aktiverat:

    • Om en gäst har ett befintligt ohanterat Azure AD-konto fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst tidigare har löst in en inbjudan till din klientorganisation med hjälp av ett ohanterat Azure AD-konto och du återställer deras inlösningsstatus och återbjuder dem, använder de e-postlösenordet för att lösa in och logga in i framtiden.
    • Om en gäst inte har ett ohanterat Azure AD-konto använder de ett e-postlösenord för att lösa in och logga in i framtiden.

  • När e-post-lösenordet för en gång är inaktiverat:

    • Om en gäst har ett befintligt ohanterat Azure AD-konto fortsätter de att logga in med sitt ohanterade Azure AD-konto.
    • Om en gäst tidigare har löst in en inbjudan till din klientorganisation med ett ohanterat Azure AD-konto och du återställer deras inlösningsstatus och återbjuder dem, använder de en Microsoft-konto för att lösa in och logga in i framtiden.
    • Om en gäst inte har ett ohanterat Azure AD-konto använder de en Microsoft-konto för att lösa in och logga in i framtiden.

Mer information om de olika inlösningsvägarna finns i Inlösning av B2B-samarbetsinbjudan.

Betyder detta "Inget konto? Ska du skapa ett!" alternativ för självbetjäning?

Det är enkelt att registrera sig själv när det gäller External Identities förväxlas med självbetjäning för e-postverifierade användare, men de är två olika funktioner. Funktionen som försvinner är registrering via självbetjäning med e-postverifierade användare, vilket resulterar i att dina gäster skapar ett ohanterat Azure AD-konto. Registrering via självbetjäning för External Identities kommer dock att fortsätta vara tillgänglig, vilket resulterar i att dina gäster registrerar sig för din organisation med en mängd olika identitetsproviders.

Vad rekommenderar Microsoft att vi gör med befintliga Microsoft-konton (MSA)?

När vi stöder möjligheten att inaktivera Microsoft-konto i inställningarna för identitetsproviders (inte tillgängligt idag) rekommenderar vi starkt att du inaktiverar Microsoft-kontot och aktiverar e-post för ett lösenord. Sedan bör du återställa inlösningsstatusen för befintliga gäster med Microsoft-konton så att de kan lösa in igen med autentisering med e-postlösenord och använda e-postlösenord för att logga in i framtiden.

Omfattar den här ändringen SharePoint och OneDrive integrering med Azure AD B2B?

Nej, den globala utrullningen av ändringen för att aktivera e-post med ett lösenord som standard som börjar den 1 november 2021 omfattar inte SharePoint- och OneDrive-integrering med Azure AD B2B. Information om hur du aktiverar integrering så att samarbete på SharePoint och OneDrive använder B2B-funktioner eller inaktiverar den här integreringen finns i SharePoint- och OneDrive-integrering med Azure AD B2B.