Jednorázové ověřování hesla e-mailem

  • Článek

Funkce jednorázového hesla e-mailu představuje způsob, jak ověřovat uživatele spolupráce B2B, když se nedají ověřit jinými prostředky, jako je Microsoft Entra ID, účet Microsoft (MSA) nebo zprostředkovatelé sociálních identit. Když se uživatel typu host B2B pokusí uplatnit vaši pozvánku nebo se přihlásit ke sdíleným prostředkům, může požádat o dočasné heslo, které se odešle na e-mailovou adresu. Pak zadají toto heslo, aby mohli pokračovat v přihlašování.

Diagram znázorňující přehled jednorázového hesla e-mailu

Důležité

  • Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Tato funkce představuje bezproblémovou záložní metodu ověřování pro uživatele-hosty. Pokud tuto funkci nechcete používat, můžete ji zakázat, v takovém případě se uživatelům zobrazí výzva k vytvoření účtu Microsoft.

Poznámka:

V současné době není možné použít zásady síly ověřování prostřednictvím podmíněného přístupu k e-mailovým účtům s jednorázovým heslem. Místo toho použijte řízení udělení podmíněného přístupu Vyžadovat vícefaktorové ověřování. Další informace najdete v části Zásady síly ověřování pro externí uživatele na stránce Ověřování a podmíněný přístup pro externí ID.

Koncové body přihlašování

Jednorázově e-mailem se uživatelé typu host můžou přihlásit k víceklientům nebo aplikacím Microsoftu první strany pomocí společného koncového bodu (jinými slovy obecná adresa URL aplikace, která neobsahuje kontext vašeho tenanta). Během procesu přihlášení uživatel typu host zvolí možnosti přihlášení a pak vybere možnost Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a bude se dál přihlašovat pomocí jednorázového hesla.

Jednorázové heslo e-mailem můžou uživatelé typu host používat také koncové body aplikace, které obsahují informace o vašem tenantovi, například:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Uživatelům jednorázového hesla typu host můžete také poskytnout přímý odkaz na aplikaci nebo prostředek tak, že zahrnete informace o vašem tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Poznámka:

E-mail s jednorázovým heslem uživatelů typu host se může přihlásit k Microsoft Teams přímo z běžného koncového bodu bez výběru možností přihlášení. Během procesu přihlašování do Microsoft Teams může uživatel typu host vybrat odkaz pro odeslání jednorázového hesla.

Uživatelské prostředí pro uživatele typu host s jednorázovým heslem

Když je povolená funkce jednorázového hesla e-mailu, budou nově pozvaní uživatelé , kteří splňují určité podmínky , používat jednorázové ověřování hesla. Uživatelé typu host, kteří uplatnili pozvánku před povolením jednorázového hesla e-mailu, budou nadále používat stejnou metodu ověřování.

S jednorázovým ověřováním hesla může uživatel typu host uplatnit pozvánku kliknutím na přímý odkaz nebo pomocí e-mailu s pozvánkou. V obou případech zpráva v prohlížeči indikuje, že se na e-mailovou adresu uživatele typu host odešle kód. Uživatel typu host vybere odeslat kód:

Snímek obrazovky s tlačítkem Odeslat kód

Heslo se odešle na e-mailovou adresu uživatele. Uživatel načte heslo z e-mailu a zadá ho do okna prohlížeče:

Snímek obrazovky zobrazující znakovou stránku Enter

Uživatel typu host je teď ověřený a může zobrazit sdílený prostředek nebo pokračovat v přihlašování.

Poznámka:

Jednorázové heslo je platné po dobu 30 minut. Po 30 minutách už toto konkrétní jednorázové heslo není platné a uživatel si musí vyžádat nový. Platnost uživatelských relací vyprší po 24 hodinách. Po uplynutí této doby uživatel typu host obdrží nové heslo, když získá přístup k prostředku. Vypršení platnosti relace poskytuje vyšší zabezpečení, zejména když uživatel typu host opustí společnost nebo už nepotřebuje přístup.

Kdy uživatel-host získá jednorázové heslo?

Když uživatel-host uplatní pozvánku nebo použije odkaz na prostředek, který s ním někdo sdílí, obdrží jednorázové heslo v případě, že:

  • Nemá účet ve službě Microsoft Entra.
  • Nemá účet Microsoft.
  • Pozvaný tenant nenastavil federaci se sociálními sítěmi (jako Je Google) nebo jinými zprostředkovateli identity.
  • Nemá k dispozici žádnou jinou metodu ověřování ani žádné účty s heslem.
  • Jednorázové heslo zaslané e-mailem je povolené.

V době pozvánky není žádné označení, že uživatel, kterého zvete, použije jednorázové ověřování pomocí hesla. Když se ale uživatel typu host přihlásí, jednorázové ověřování hesla bude záložní metodou, pokud se nedají použít žádné jiné metody ověřování.

Poznámka:

Když uživatel uplatní jednorázové heslo a později získá účet MSA, Microsoft Entra nebo jiný federovaný účet, bude se dál ověřovat pomocí jednorázového hesla. Pokud chcete aktualizovat metodu ověřování uživatele, můžete resetovat stav uplatnění.

Příklad

Uživatel nicole@firstupconsultants.com typu host je pozván do společnosti Fabrikam, který nemá nastavenou federaci Google. Nicole nemá účet Microsoft. Obdrží jednorázové heslo pro ověřování.

Povolení nebo zakázání jednorázových hesel e-mailů

Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ho explicitně nevypínali. Tato funkce představuje bezproblémovou záložní metodu ověřování pro uživatele-hosty. Pokud tuto funkci nechcete používat, můžete ji zakázat, v takovém případě se uživatelům zobrazí výzva k vytvoření účtu Microsoft.

Poznámka:

  • Nastavení jednorázového hesla e-mailu je také možné nakonfigurovat pomocí typu prostředku emailAuthenticationMethodConfiguration v rozhraní Microsoft Graph API.
  • Pokud je funkce jednorázového hesla e-mailu ve vašem tenantovi povolená a vypnete ji, nebudou se moct přihlásit všichni uživatelé typu host, kteří uplatnili jednorázové heslo. Stav uplatnění můžete resetovat, aby se mohli znovu přihlásit pomocí jiné metody ověřování.

Povolení nebo zakázání jednorázových hesel e-mailu

Tip

Postup v tomto článku se může mírně lišit v závislosti na portálu, od který začínáte.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň bezpečnostní Správa istrator.

  2. Přejděte k >externím identitám>Identity Všechny zprostředkovatele identity.

  3. V seznamu Nakonfigurovaní zprostředkovatelé identity vyberte Jednorázové heslo e-mail.

  4. V části Jednorázový přístupový kód e-mailu pro hosty vyberte jednu z těchto možností:

    • Ano: Přepínač je ve výchozím nastavení nastavený na Ano , pokud není funkce explicitně vypnutá. Pokud chcete tuto funkci povolit, ujistěte se, že je vybraná možnost Ano .
    • Ne: Pokud chcete funkci jednorázového hesla e-mailu zakázat, vyberte Ne.

Snímky obrazovky s přepínačem jednorázového hesla e-mailem

  1. Zvolte Uložit.

Nejčastější dotazy

Co se stane se stávajícími uživateli typu host, když povolím jednorázové heslo e-mailu?

Pokud povolíte jednorázové heslo e-mailu, stávající uživatelé typu host už nebudou mít vliv, protože stávající uživatelé už jsou za bodem uplatnění. Povolení jednorázového hesla e-mailu ovlivní jenom budoucí aktivity procesu uplatnění, kdy se do tenanta uplatní noví uživatelé typu host.

Co je uživatelské prostředí, když je jednorázové heslo e-mailu zakázané?

Pokud jste funkci jednorázového hesla e-mailu zakázali, zobrazí se uživateli výzva k vytvoření účtu Microsoft.

Když je jednorázový přístupový kód e-mailu zakázaný, můžou se uživatelům při uplatnění přímého odkazu na aplikaci zobrazit chyba přihlášení a nepřidali se do adresáře předem.

Další informace o různých způsobech uplatnění postupu uplatnění najdete v tématu Uplatnění pozvánky na spolupráci B2B.

Bude "Žádný účet? Vytvořte ho!" možnost samoobslužné registrace pryč?

Ne. Samoobslužná registrace je v kontextu externího ID snadno zaměňována s samoobslužnou registrací pro uživatele ověřené e-mailem, ale jsou to dvě různé funkce. Nespravovaná ("virální") funkce, která je zastaralá, je samoobslužná registrace u uživatelů ověřených e-mailem, což způsobilo, že hosté vytvořili nespravovaný účet Microsoft Entra. Samoobslužná registrace k externímu ID ale bude i nadále dostupná, což vede k tomu, že se vaši hosté zaregistrují do vaší organizace s různými poskytovateli identity. 

Co microsoft doporučuje s existujícími účty Microsoft (MSA)?

Když podporujeme možnost zakázat účet Microsoft v nastavení zprostředkovatelů identity (není dnes k dispozici), důrazně doporučujeme zakázat účet Microsoft a povolit jednorázové heslo e-mailu. Potom byste měli resetovat stav uplatnění stávajících hostů s účty Microsoft, aby mohli znovu uplatnit pomocí jednorázového ověřování hesla e-mailu a používat k přihlášení jednorázový e-mail.

Pokud jde o změnu povolení jednorázového hesla e-mailu, zahrnuje to ve výchozím nastavení integraci SharePointu a OneDrivu s Microsoft Entra B2B?

Ne, globální zavedení změny pro povolení jednorázového hesla e-mailu ve výchozím nastavení nezahrnuje povolení integrace SharePointu a OneDrivu s Microsoft Entra B2B ve výchozím nastavení. Informace o povolení nebo zakázání integrace SharePointu a OneDrivu s Microsoft Entra B2B pro zabezpečenou spolupráci najdete v tématu Integrace SharePointu a OneDrivu s Microsoft Entra B2B.

Další kroky

Přečtěte si o zprostředkovatelech identity pro externí ID a o tom, jak resetovat stav uplatnění pro uživatele typu host.