Authentifizierung mit Einmalkennung per E-Mail

Das Feature „Einmalkennung per E-Mail“ ist eine Möglichkeit zum Authentifizieren von Benutzern für die B2B-Zusammenarbeit, wenn sie nicht auf andere Weise – z. B. Azure AD, Microsoft-Konto (MSA) oder soziales Netzwerk als Identitätsanbieter – authentifiziert werden können. Wenn ein B2B-Gastbenutzer versucht, Ihre Einladung einzulösen oder sich bei Ihren freigegebenen Ressourcen anzumelden, kann er eine temporäre Kennung anfordern, die an seine E-Mail-Adresse gesendet wird. Dann gibt er diesen so genannten „Passcode“ ein, um den Anmeldevorgang fortzusetzen.

Darstellung einer Übersicht von Einmalkennung per E-Mail.

Wichtig

  • Die E-Mail-Einmal-Passcode-Funktion ist jetzt standardmäßig für alle neuen Mandanten und für alle bestehenden Mandanten aktiviert, bei denen Sie sie nicht explizit deaktiviert haben. Diese Funktion bietet eine nahtlose Fallback-Authentifizierungsmethode für Ihre Gastbenutzer. Wenn Sie dieses Feature nicht verwenden möchten, können Sie es deaktivieren, in diesem Fall werden Benutzer aufgefordert, stattdessen ein Microsoft-Konto zu erstellen.

Endpunkte für die Anmeldung

Gastbenutzer mit Einmalkennung per E-Mail können sich nun mithilfe eines gemeinsamen Endpunkts (d. h. mit einer allgemeinen App-URL, die Ihren Mandantenkontext nicht enthält) bei Ihren mehrmandantenfähigen Anwendungen oder bei Microsoft-Erstanbieter-Apps anmelden. Beim Anmeldevorgang wählt der Gastbenutzer zuerst Anmeldeoptionen und dann Bei einer Organisation anmelden aus. Der Benutzer gibt dann den Namen Ihres Unternehmens ein und setzt den Vorgang mit einem Einmal-Passcode fort.

Gastbenutzer mit Einmalkennung per E-Mail können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Sie können Gastbenutzern mit Einmalkennung per E-Mail auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen, indem Sie Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Benutzeroberfläche für Gastbenutzer mit Einmalkennung

Wenn die Funktion „Einmalkennung per E-Mail“ aktiviert ist, wird für neu eingeladene Benutzer, die bestimmte Bedingungen erfüllen, die Authentifizierung per Einmalkennung verwendet. Gastbenutzer, die ihre Einladung schon vor dem Aktivieren der Einmalkennung per E-Mail eingelöst haben, werden weiterhin mit der bisherigen Methode authentifiziert.

Bei der Authentifizierung mit Einmalkennung kann der Gastbenutzer seine Einladung über einen direkten Link oder mithilfe der Einladungs-E-Mail einlösen. In beiden Fällen gibt eine Nachricht im Browser an, dass ein Code an die E-Mail-Adresse des Gastbenutzers gesendet wird. Der Gastbenutzer klickt auf Code senden:

Screenshot: Schaltfläche „Code senden“.

Eine Kennung wird an die E-Mail-Adresse des Benutzers gesendet. Der Benutzer ruft die Kennung aus der E-Mail ab und gibt sie im Browserfenster ein:

Screenshot: Seite „Code eingeben“.

Der Gastbenutzer wird jetzt authentifiziert und kann entweder die freigegebene Ressource anzeigen oder seinen Anmeldevorgang fortsetzen.

Hinweis

Einmalkennungen sind 30 Minuten gültig. Nach 30 Minuten ist die jeweilige Einmalkennung nicht mehr gültig, und der Benutzer muss eine neue Kennung anfordern. Benutzersitzungen laufen nach 24 Stunden ab. Danach erhält der Gastbenutzer eine neue Kennung, wenn er auf die Ressource zugreift. Der Ablauf der Sitzung sorgt für zusätzliche Sicherheit, besonders wenn ein Gastbenutzer das Unternehmen verlässt oder den Zugriff nicht mehr benötigt.

Wann erhält ein Gastbenutzer eine Einmalkennung?

Wenn ein Gastbenutzer eine Einladung einlöst oder einen Link zu einer Ressource verwendet, die für ihn freigegeben wurde, erhält er unter folgenden Bedingungen eine Einmalkennung:

  • Er hat kein Azure AD-Konto
  • Er hat kein Microsoft-Konto
  • Der einladende Mandant hat keinen Verbund mit sozialen Netzwerken (wie Google) oder anderen Identitätsanbietern eingerichtet.
  • Einmalkennung per E-Mail ist aktiviert.

Zum Zeitpunkt der Einladung gibt es keinen Hinweis darauf, dass der eingeladene Benutzer die Authentifizierung mit Einmalkennung verwendet. Wenn sich der Gastbenutzer jedoch anmeldet, wird die Authentifizierung mit Einmalkennung als alternative Methode verwendet, wenn keine anderen Authentifizierungsmethoden eingesetzt werden können.

Hinweis

Wenn ein Benutzer eine Einmalkennung einlöst und später ein MSA, ein Azure AD-Konto oder ein anderes Verbundkonto erhält, wird er weiterhin mit einer Einmalkennung authentifiziert. Wenn Sie die Authentifizierungsmethode des Benutzers aktualisieren möchten, können Sie den Einlösungsstatus zurücksetzen.

Beispiel

Gastbenutzer*in teri@gmail.com wird von Fabrikam eingeladen. Das Unternehmen hat keinen Verbund mit Google eingerichtet. Teri hat kein Microsoft-Konto. Er erhält für die Authentifizierung eine Einmalkennung.

Aktivieren der Einmalkennung per E-Mail

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Externe Identitäten>Alle Identitätsanbieter aus.

  4. Wählen Sie Einmalkennung per E-Mail aus, um den Konfigurationsbereich zu öffnen.

  5. Wählen Sie unter Einmalkennung per E-Mail für Gastbenutzer eine der folgenden Möglichkeiten aus:

    • Einmalkennung per E-Mail für Gastbenutzer ab Oktober 2021 automatisch aktivieren, wenn Sie das Feature nicht sofort aktivieren und auf das automatische Aktivierungsdatum warten möchten.
    • Enable email one-time passcode for guests effective now (Einmalkennung per E-Mail für Gastbenutzer mit sofortiger Gültigkeit aktivieren), um das Feature jetzt zu aktivieren.
    • Ja, um das Feature jetzt zu aktivieren, wenn die Umschaltfläche „Ja/Nein“ angezeigt wird (diese Umschaltfläche wird angezeigt, wenn das Feature zuvor deaktiviert wurde).

    Screenshots: aktivierte Umschaltfläche „Einmalkennung per E-Mail“.

  6. Wählen Sie Speichern aus.

Hinweis

Die Einmalkennung per E-Mail -Einstellungen können auch mit dem Ressourcentyp emailAuthenticationMethodConfiguration in der Microsoft Graph-API konfiguriert werden.

Deaktivieren der Einmalkennung per E-Mail

Die E-Mail-Einmal-Passcode-Funktion ist jetzt standardmäßig für alle neuen Mandanten und für alle bestehenden Mandanten aktiviert, bei denen Sie sie nicht explizit deaktiviert haben. Diese Funktion bietet eine nahtlose Fallback-Authentifizierungsmethode für Ihre Gastbenutzer. Wenn Sie dieses Feature nicht verwenden möchten, können Sie es deaktivieren, in diesem Fall werden Benutzer aufgefordert, n Microsoft-Konto zu erstellen.

Hinweis

Wenn Sie die in Ihrem Mandanten aktivierte Funktion „Einmalkennung per E-Mail“ deaktivieren, können sich alle Gastbenutzer, die eine Einmalkennung eingelöst haben, nicht anmelden. Sie können deren Einlösungsstatus zurücksetzen, damit sie sich mit einer anderen Authentifizierungsmethode erneut anmelden können.

So deaktivieren Sie die Funktion „Einmalkennung per E-Mail“

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Externe Identitäten>Alle Identitätsanbieter aus.

  4. Wählen Sie Einmalkennung per E-Mail und dann unter Einmalkennung per E-Mail für Gastbenutzer die Option Einmalkennung per E-Mail für Gastbenutzer deaktivieren aus (oder wählen Sie Nein aus, wenn dieses Feature zuvor aktiviert, deaktiviert oder während der Vorschau aktiviert wurde).

    Screenshots: deaktivierte Umschaltfläche „Einmalkennung per E-Mail“.

    Hinweis

    Die Einstellungen für die Einmalkennung per E-Mail wurden im Azure-Portal aus den Einstellungen für externe Zusammenarbeit in Alle Identitätsanbieter verschoben. Sollte anstelle der Optionen für die Einmalkennung per E-Mail eine Umschaltfläche angezeigt werden, bedeutet das, dass Sie die Funktion zuvor aktiviert oder deaktiviert bzw. die Vorschauversion genutzt haben. Wählen Sie Nein aus, um die Funktion zu deaktivieren.

  5. Wählen Sie Speichern aus.

Hinweis für Kunden der öffentlichen Vorschauversion

Wenn Sie die öffentliche Vorschauversion der Funktion „Einmalkennung per E-Mail“ genutzt haben, gilt die automatische Funktionsaktivierung nicht für Sie, sodass Ihre zugehörigen Geschäftsprozesse nicht beeinträchtigt werden. Außerdem wird im Azure-Portal in den Eigenschaften der Funktion Einmalkennung per E-Mail für Gastbenutzer nicht die Option Einmalkennung per E-Mail für Gäste ab Oktober 2021 automatisch aktivieren angezeigt. Stattdessen wird die folgende Umschaltfläche (Ja/Nein) angezeigt:

Screenshot: „Einmalkennung per E-Mail“ aktiviert.

Wenn Sie die Vorschauversion nicht mehr nutzen und das automatische Aktivieren der Funktion zulassen möchten, können Sie die Standardeinstellungen wiederherstellen. Verwenden Sie dazu in der Microsoft Graph-API den Ressourcentyp „emailAuthenticationMethodConfiguration“. Nachdem Sie die Standardeinstellungen wiederhergestellt haben, stehen unter Einmalkennung per E-Mail für Gastbenutzer die folgenden Optionen zur Verfügung:

Screenshot: „Einmalkennung per E-Mail aktivieren“ aktiviert.

  • Einmalkennung per E-Mail für Gäste ab Oktober 2021 automatisch aktivieren (Standardeinstellung:) Wenn die Funktion „Einmalkennung per E-Mail“ für Ihren Mandanten noch nicht aktiviert ist, wird sie automatisch aktiviert. Wenn die Funktion zu diesem Zeitpunkt aktiviert werden soll, ist keine weitere Aktion erforderlich. Wenn Sie die Funktion bereits aktiviert oder deaktiviert haben, ist diese Option nicht verfügbar.

  • Einmalkennung per E-Mail für Gastbenutzer sofort aktivieren. Aktiviert die Funktion „Einmalkennung per E-Mail“ für Ihren Mandanten.

  • Einmalkennung per E-Mail für Gastbenutzer deaktivieren. Deaktiviert das Feature „Einmalkennung per E-Mail“ für Ihren Mandanten und verhindert, dass das Feature zum Datum der automatischen Aktivierung aktiviert wird.

Hinweis für Azure US Government-Kunden

Das Feature „Einmalkennung per E-Mail“ ist in der Azure US Government-Cloud standardmäßig deaktiviert. Ihre Partner können sich erst anmelden, wenn dieses Feature aktiviert ist. Im Gegensatz zur öffentlichen Azure-Cloud unterstützt die Azure US Government-Cloud nicht das Einlösen von Einladungen über Azure Active Directory-Self-Service-Konten.

Screenshot: „Einmalkennung per E-Mail“ deaktiviert.

So aktivieren Sie das Feature „Einmalkennung per E-Mail“ in der Azure US Government-Cloud:

  1. Melden Sie sich als globaler Azure AD-Administrator im Azure-Portal an.

  2. Klicken Sie im Navigationsbereich auf Azure Active Directory.

  3. Wählen Sie Organisationsbeziehungen>Alle Identitätsanbieter aus.

    Hinweis

    • Sollte die Option Organisationsbeziehungen nicht angezeigt werden, suchen Sie über die Suchleiste im oberen Bereich nach „External Identities“.
  4. Wählen Sie Einmalkennung per E-Mail und anschließend Ja aus.

  5. Wählen Sie Speichern aus.

Weitere Informationen zu aktuellen Einschränkungen finden Sie unter Azure AD B2B in Clouds für Behörden und nationalen Clouds.

Häufig gestellte Fragen

Was geschieht mit meinen vorhandenen Gastbenutzern/-benutzerinnen, wenn ich die einmalige E-Mail-Kennung aktiviere?

Ihre vorhandenen Gastbenutzer*innen sind nicht betroffen, wenn Sie eine Einmalkennung per E-Mail aktivieren, da Ihre vorhandenen Benutzer*innen den Zeitpunkt der Einlösung bereits hinter sich haben. Das Aktivieren der einmaligen E-Mail-Kennung wirkt sich nur auf zukünftige Einlösungsaktivitäten aus, bei denen neue Gastbenutzer*innen Einlösungsaktivitäten in den Mandanten durchführen.

Wie ist die Benutzererfahrung, wenn der einmalige Passcode für E-Mails deaktiviert ist?

Wenn Sie das Feature „Einmalkennung per E-Mail“ deaktiviert haben, wird der Benutzer aufgefordert, ein Microsoft-Konto zu erstellen.

Wenn der einmalige Passcode per E-Mail deaktiviert ist, wird Benutzern möglicherweise ein Anmeldefehler angezeigt, wenn sie einen direkten Anwendungslink einlösen und nicht im Voraus zu Ihrem Verzeichnis hinzugefügt wurden.

Weitere Informationen zu den verschiedenen Möglichkeiten, die Einladung einzulösen, finden Sie unter B2B-Zusammenarbeit: Einlösen von Einladungen.

Wird die "Kein Konto? Erstellen Sie eins!“ Option für die Self-Service-Anmeldung wegfallen?

Nein. Self-Service-Registrierung im Kontext von External Identities können leicht mit der Self-Service-Registrierung für E-Mail-verifizierte Benutzer*innen verwechselt werden, aber es handelt sich um zwei verschiedene Features. Das wegfallende nicht verwaltete ("virale") Feature ist die Self-Service-Anmeldung mit E-Mail-verifizierten Benutzern, was dazu führt, dass Ihre Gäste ein nicht verwaltetes Azure AD-Konto erstellen. Die Self-Service-Registrierung für External Identities ist jedoch weiterhin verfügbar, was dazu führt, dass sich Ihre Gastbenutzer*innen bei Ihrer Organisation mit einer Vielzahl von Identitätsanbietern registrieren. 

Was empfiehlt Microsoft für vorhandene Microsoft-Konten (MSA)?

Wenn die Möglichkeit zum Deaktivieren des Microsoft-Kontos in den Einstellungen für Identitätsanbieter (derzeit nicht verfügbar) unterstützt wird, wird dringend empfohlen, das Microsoft-Konto zu deaktivieren und die Einmalkennung per E-Mail zu aktivieren. Anschließend sollten Sie den Einlösungsstatus vorhandener Gastbenutzer*innen mit Microsoft-Konten zurücksetzen, sodass sie die Einladung mit der Authentifizierung der Einmalkennung per E-Mail erneut einlösen und die Einmalkennung per E-Mail in Zukunft zur Anmeldung nutzen können.

Beinhaltet die Änderung zur standardmäßigen Aktivierung des einmaligen Passcodes für E-Mails die SharePoint- und OneDrive-Integration mit Azure AD B2B?

Nein, der globale Rollout, der standardmäßig die Einmalkennung per E-Mail aktiviert, umfasst nicht die Aktivierung der Integration von SharePoint und OneDrive in Azure AD B2B. Informationen zum Aktivieren der Integration, sodass die Zusammenarbeit bei SharePoint und OneDrive B2B-Funktionen verwendet, oder zum Deaktivieren der Integration finden Sie unter Integration mit SharePoint und OneDrive in Azure AD B2B.

Nächste Schritte

Weitere Informationen zu Identitätsanbietern für externe Identitäten.