Email ověřování pomocí jednorázového hesla

Funkce jednorázového hesla e-mailu představuje způsob, jak ověřit uživatele spolupráce B2B, když je není možné ověřit jiným způsobem, jako je Azure AD, účet Microsoft (MSA) nebo poskytovatelé sociálních identit. Když se uživatel typu host B2B pokusí uplatnit vaši pozvánku nebo se přihlásit k vašim sdíleným prostředkům, může požádat o dočasné heslo, které se odešle na jeho e-mailovou adresu. Potom zadají toto heslo, aby mohli pokračovat v přihlášení.

Diagram znázorňující přehled Email jednorázového hesla

Důležité

  • Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Tato funkce poskytuje bezproblémovou metodu náhradního ověřování pro uživatele typu host. Pokud tuto funkci nechcete používat, můžete ji zakázat. V takovém případě se uživatelům zobrazí výzva k vytvoření účtu Microsoft.

Koncové body přihlašování

Email uživatelé typu host s jednorázovým přístupovým kódem se teď můžou přihlásit k víceklientům nebo Microsoft aplikacím první strany pomocí společného koncového bodu (jinými slovy obecné adresy URL aplikace, která neobsahuje kontext vašeho tenanta). Během procesu přihlašování uživatel typu host zvolí Možnosti přihlášení a pak vybere Přihlásit se k organizaci. Uživatel pak zadá název vaší organizace a bude pokračovat v přihlašování pomocí jednorázového hesla.

Email uživatelé typu host s jednorázovým heslem můžou také používat koncové body aplikace, které obsahují informace o vašem tenantovi, například:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Uživatelům typu host s jednorázovým heslem můžete také poskytnout přímý odkaz na aplikaci nebo prostředek zahrnutím informací o tenantovi, například https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Uživatelské prostředí pro uživatele typu host s jednorázovým přístupovým kódem

Když je povolená funkce jednorázového hesla pro e-mail, budou nově pozvaní uživatelé , kteří splňují určité podmínky , používat ověřování jednorázovým heslem. Uživatelé typu host, kteří uplatnili pozvánku před povolením jednorázového hesla e-mailu, budou dál používat stejnou metodu ověřování.

S jednorázovým ověřením pomocí hesla může uživatel typu host uplatnit vaši pozvánku kliknutím na přímý odkaz nebo pomocí e-mailu s pozvánkou. V obou případech zpráva v prohlížeči indikuje, že se na e-mailovou adresu uživatele typu host odešle kód. Uživatel typu host vybere Odeslat kód:

Snímek obrazovky s tlačítkem Odeslat kód

Heslo se odešle na e-mailovou adresu uživatele. Uživatel načte heslo z e-mailu a zadá ho v okně prohlížeče:

Snímek obrazovky se stránkou Zadat kód

Uživatel typu host je teď ověřený a může zobrazit sdílený prostředek nebo pokračovat v přihlašování.

Poznámka

Jednorázová hesla jsou platná po dobu 30 minut. Po 30 minutách už toto konkrétní jednorázové heslo není platné a uživatel musí požádat o nové heslo. Platnost uživatelských relací vyprší po 24 hodinách. Po uplynutí této doby obdrží uživatel typu host při přístupu k prostředku nové heslo. Vypršení platnosti relace poskytuje větší zabezpečení, zejména v případě, že uživatel typu host opustí společnost nebo už nepotřebuje přístup.

Kdy uživatel typu host získá jednorázové heslo?

Když uživatel typu host uplatní pozvánku nebo použije odkaz na prostředek, který s ním někdo sdílí, obdrží jednorázové heslo v těchto případech:

  • Nemají účet Azure AD.
  • Nemají účet Microsoft.
  • Zvoucí tenant nenastavil federaci se sociálními sítěmi (jako je Google) ani s jinými zprostředkovateli identity.
  • Nemají žádnou jinou metodu ověřování ani účty založené na heslech.
  • Email je povolené jednorázové heslo.

V okamžiku pozvánky neexistuje žádný údaj o tom, že uživatel, kterého zvete, bude používat ověřování jednorázovým heslem. Když se ale uživatel typu host přihlásí, bude ověřování jednorázovým heslem náhradní metodou, pokud nebude možné použít žádné jiné metody ověřování.

Poznámka

Když uživatel uplatní jednorázové heslo a později získá účet MSA, Azure AD účet nebo jiný federovaný účet, bude se dál ověřovat pomocí jednorázového hesla. Pokud chcete aktualizovat metodu ověřování uživatele, můžete resetovat jeho stav uplatnění.

Příklad

Uživatel teri@gmail.com typu host je pozvaný do společnosti Fabrikam, která nemá nastavenou federaci Google. Teri nemá účet Microsoft. Obdrží jednorázové heslo pro ověření.

Povolení nebo zakázání jednorázových hesel pro e-maily

Funkce jednorázového hesla e-mailu je teď ve výchozím nastavení zapnutá pro všechny nové tenanty a pro všechny stávající tenanty, u kterých jste ji explicitně nevypínali. Tato funkce poskytuje bezproblémovou metodu náhradního ověřování pro uživatele typu host. Pokud tuto funkci nechcete používat, můžete ji zakázat. V takovém případě se uživatelům zobrazí výzva k vytvoření účtu Microsoft.

Poznámka

  • Email jednorázové nastavení hesla je možné nakonfigurovat také pomocí typu prostředku emailAuthenticationMethodConfiguration v Microsoft Graph API.
  • Pokud je ve vašem tenantovi povolená funkce jednorázového hesla pro e-mail a vy ji vypnete, uživatelé typu host, kteří uplatnili jednorázové heslo, se nebudou moct přihlásit. Můžete resetovat stav uplatnění, aby se mohl znovu přihlásit pomocí jiné metody ověřování.

Povolení nebo zakázání jednorázových hesel pro e-maily

  1. Přihlaste se k Azure Portal jako globální správce Azure AD.

  2. V navigačním podokně vyberte Azure Active Directory.

  3. Vyberte Externí identity Všichni>zprostředkovatelé identity.

  4. Vyberte Email jednorázové heslo.

  5. V části Email jednorázové heslo pro hosty vyberte jednu z těchto možností:

    • Ano: Přepínač je ve výchozím nastavení nastavený na Ano , pokud není tato funkce explicitně vypnutá. Pokud chcete tuto funkci povolit, ujistěte se, že je vybraná možnost Ano .
    • Ne: Pokud chcete funkci jednorázového hesla e-mailu zakázat, vyberte Ne.

    Snímky obrazovky znázorňující přepínač Email jednorázového hesla

  6. Vyberte Uložit.

Nejčastější dotazy

Co se stane se stávajícími uživateli typu host, když povolím jednorázové heslo e-mailu?

Pokud povolíte jednorázové heslo e-mailu, nebude to mít vliv na stávající uživatele typu host, protože stávající uživatelé už jsou za bodem uplatnění. Povolení jednorázového hesla e-mailu ovlivní jenom budoucí aktivity uplatnění, kdy noví uživatelé typu host uplatní uplatnění v tenantovi.

Jaké je uživatelské prostředí, když je jednorázové heslo e-mailu zakázané?

Pokud jste zakázali funkci jednorázového hesla pro e-mail, zobrazí se uživateli výzva k vytvoření účtu Microsoft.

Navíc platí, že když je jednorázové heslo e-mailu zakázané, může se uživatelům zobrazit chyba přihlášení, když uplatní přímý odkaz na aplikaci a nebyli předem přidáni do vašeho adresáře.

Další informace o různých způsobech uplatnění najdete v tématu Uplatnění pozvánky ke spolupráci B2B.

Zobrazí se zpráva "Žádný účet? Vytvořte si ho!" možnost samoobslužné registrace zmizí?

No. Samoobslužná registrace je snadná v kontextu externích identit, které jsou zaměňovány se samoobslužnou registrací uživatelů ověřených e-mailem, ale jsou to dvě různé funkce. Nespravovaná (virální) funkce, která je zastaralá, je samoobslužná registrace s uživateli ověřenými e-mailem, což vedlo k vytvoření nespravovaného účtu Azure AD. Samoobslužná registrace externích identit ale bude i nadále dostupná, což vede k tomu, že se hosté zaregistrují do vaší organizace pomocí různých zprostředkovatelů identity. 

Co Microsoft doporučujeme dělat se stávajícími účty Microsoft (MSA)?

Pokud podporujeme možnost zakázat účet Microsoft v nastavení zprostředkovatele identity (není k dispozici dnes), důrazně doporučujeme zakázat účet Microsoft a povolit jednorázové heslo pro e-mail. Pak byste měli resetovat stav uplatnění u stávajících hostů s účty Microsoft, aby mohli znovu uplatnit pomocí jednorázového ověřování pomocí e-mailu s přístupovým kódem a k přihlášení používat jednorázové heslo e-mailu.

Pokud jde o změnu, která ve výchozím nastavení povoluje e-mailové jednorázové heslo, zahrnuje to integraci SharePointu a OneDrivu s Azure AD B2B?

Ne, globální zavedení změny, která ve výchozím nastavení povolí e-mailové jednorázové heslo, nezahrnuje ve výchozím nastavení povolení integrace SharePointu a OneDrivu s Azure AD B2B. Informace o tom, jak povolit integraci, aby spolupráce na SharePointu a OneDrivu používala funkce B2B, nebo jak tuto integraci zakázat, najdete v tématu Integrace SharePointu a OneDrivu s Azure AD B2B.

Další kroky

Seznamte se se zprostředkovateli identit pro externí identity.