Authentifizierung mit Einmalkennung per E-Mail
Gilt für: Mitarbeitermandanten Externe Mandanten (weitere Informationen)
Das Feature Einmal-Passcode per E-Mail ist eine Möglichkeit zum Authentifizieren von Benutzern für die B2B-Zusammenarbeit, wenn sie nicht auf andere Weise – z. B. Microsoft Entra ID, Microsoft-Konto (MSA) oder ein Social Media-Identitätsanbieter – authentifiziert werden können. Wenn ein B2B-Gastbenutzer versucht, Ihre Einladung einzulösen oder sich bei Ihren freigegebenen Ressourcen anzumelden, kann er eine temporäre Kennung anfordern, die an seine E-Mail-Adresse gesendet wird. Dann gibt er diesen so genannten Passcode ein, um den Anmeldevorgang fortzusetzen.
Wichtig
- Die E-Mail-Einmal-Passcode-Funktion ist jetzt standardmäßig für alle neuen Mandanten und für alle bestehenden Mandanten aktiviert, bei denen Sie sie nicht explizit deaktiviert haben. Diese Funktion bietet eine nahtlose Fallback-Authentifizierungsmethode für Ihre Gastbenutzer. Wenn Sie dieses Feature nicht verwenden möchten, können Sie es deaktivieren, in diesem Fall werden Benutzer aufgefordert, stattdessen ein Microsoft-Konto zu erstellen.
Hinweis
Derzeit können Sie keine Richtlinien zur Authentifizierungsstärke über Conditional Access auf E-Mail-Konten mit Einmal-Passcode anwenden. Verwenden Sie stattdessen die Zugriffskontrolle "MFA anfordern". Weitere Informationen finden Sie im Abschnitt Richtlinien zur Authentifizierungsstärke für externe Benutzer auf der Seite Authentifizierung und bedingter Zugriff für externe ID.
Endpunkte für die Anmeldung
Gastbenutzer mit Einmal-Passcode per E-Mail können sich nun mithilfe eines gemeinsamen Endpunkts (d. h. mit einer allgemeinen App-URL, die Ihren Mandantenkontext nicht enthält) bei Ihren mehrinstanzenfähigen Apps oder Microsoft-Erstanbieter-Apps anmelden. Beim Anmeldevorgang wählt der Gastbenutzer zuerst Anmeldeoptionen und dann Bei einer Organisation anmelden aus. Der Benutzer gibt dann den Namen Ihres Unternehmens ein und setzt den Vorgang mit einem Einmal-Passcode fort.
Gastbenutzer mit Einmalkennung per E-Mail können auch Anwendungsendpunkte verwenden, die Ihre Mandanteninformationen enthalten, z. B.:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Sie können Gastbenutzern mit Einmalkennung per E-Mail auch einen direkten Link zu einer Anwendung oder Ressource zur Verfügung stellen, indem Sie Ihre Mandanteninformationen einfügen, z. B. https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Hinweis
E-Mail-Gastbenutzer mit einmaliger Kennung können sich direkt über den gemeinsamen Endpunkt bei Microsoft Teams anmelden, ohne die Anmeldeoptionen auszuwählen. Während des Anmeldevorgangs bei Microsoft Teams kann der Gastbenutzer einen Link zum Senden einer einmaligen Kennung auswählen.
Benutzeroberfläche für Gastbenutzer mit Einmalkennung
Wenn die Funktion Einmalkennung per E-Mail aktiviert ist, wird für neu eingeladene Benutzer, die bestimmte Bedingungen erfüllen, die Authentifizierung per Einmalkennung verwendet. Gastbenutzer, die ihre Einladung schon vor dem Aktivieren der Einmalkennung per E-Mail eingelöst haben, werden weiterhin mit der bisherigen Methode authentifiziert.
Bei der Authentifizierung mit Einmalkennung kann der Gastbenutzer seine Einladung über einen direkten Link oder mithilfe der Einladungs-E-Mail einlösen. In beiden Fällen gibt eine Nachricht im Browser an, dass ein Code an die E-Mail-Adresse des Gastbenutzers gesendet wird. Der Gastbenutzer klickt auf Code senden:
Eine Kennung wird an die E-Mail-Adresse des Benutzers gesendet. Der Benutzer ruft die Kennung aus der E-Mail ab und gibt sie im Browserfenster ein:
Der Gastbenutzer wird jetzt authentifiziert und kann entweder die freigegebene Ressource anzeigen oder seinen Anmeldevorgang fortsetzen.
Hinweis
Einmalkennungen sind 30 Minuten gültig. Nach 30 Minuten ist die jeweilige Einmalkennung nicht mehr gültig, und der Benutzer muss eine neue Kennung anfordern. Benutzersitzungen laufen nach 24 Stunden ab. Danach erhält der Gastbenutzer eine neue Kennung, wenn er auf die Ressource zugreift. Der Ablauf der Sitzung sorgt für zusätzliche Sicherheit, besonders wenn ein Gastbenutzer das Unternehmen verlässt oder den Zugriff nicht mehr benötigt.
Wann erhält ein Gastbenutzer eine Einmalkennung?
Wenn ein Gastbenutzer eine Einladung einlöst oder einen Link zu einer Ressource verwendet, die für ihn freigegeben wurde, erhält er unter folgenden Bedingungen eine Einmalkennung:
- Sie verfügen über kein Microsoft-Konto.
- Er besitzt kein Microsoft-Konto.
- Der einladende Mandant hat keinen Verbund mit sozialen Netzwerken (wie Google) oder anderen Identitätsanbietern eingerichtet.
- Er verwendet keine andere Authentifizierungsmethode oder besitzt kein kennwortgeschütztes Konto.
- Einmalkennung per E-Mail ist aktiviert.
Zum Zeitpunkt der Einladung gibt es keinen Hinweis darauf, dass der eingeladene Benutzer die Authentifizierung mit Einmalkennung verwendet. Wenn sich der Gastbenutzer jedoch anmeldet, wird die Authentifizierung mit Einmalkennung als alternative Methode verwendet, wenn keine anderen Authentifizierungsmethoden eingesetzt werden können.
Hinweis
Wenn ein Benutzer einen Einmal-Passcode einlöst und später ein MSA, ein Microsoft Entra-Konto oder ein anderes Verbundkonto erhält, wird er weiterhin mit einem Einmal-Passcode authentifiziert. Wenn Sie die Authentifizierungsmethode des Benutzers aktualisieren möchten, können Sie den Einlösungsstatus zurücksetzen.
Beispiel
Gastbenutzer nicole@firstupconsultants.com wird von Fabrikam eingeladen. Das Unternehmen hat keinen Verbund mit Google eingerichtet. Nicole hat kein Microsoft-Konto. Er erhält für die Authentifizierung eine Einmalkennung.
Aktivieren oder Deaktivieren der Einmalkennung per E-Mail
Die Funktion Einmalkennung per E-Mail ist jetzt standardmäßig bei allen neuen Mandanten und allen bestehenden Mandanten aktiviert, die sie nicht explizit deaktiviert haben. Diese Funktion bietet eine nahtlose Fallback-Authentifizierungsmethode für Ihre Gastbenutzer. Wenn Sie dieses Feature nicht verwenden möchten, können Sie es deaktivieren, in diesem Fall werden Benutzer aufgefordert, n Microsoft-Konto zu erstellen.
Hinweis
- Die Einmalkennung per E-Mail -Einstellungen können auch mit dem Ressourcentyp emailAuthenticationMethodConfiguration in der Microsoft Graph-API konfiguriert werden.
- Wenn Sie die in Ihrem Mandanten aktivierte Funktion Einmalkennung per E-Mail deaktivieren, können sich alle Gastbenutzer, die eine Einmalkennung eingelöst haben, nicht anmelden. Sie können deren Einlösungsstatus zurücksetzen, damit sie sich mit einer anderen Authentifizierungsmethode erneut anmelden können.
So aktivieren oder deaktivieren Sie die Einmalkennung per E-Mail
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.
Browsen Sie zu Identität>External Identities>Alle Identitätsanbieter.
Wählen Sie auf der Registerkarte Integriert neben Einmalkennung per E-Mail senden die Option Konfiguriert aus.
Wählen Sie unter Einmalkennung per E-Mail für Gastbenutzer eine der folgenden Möglichkeiten aus:
- Ja: Der Umschalter wird standardmäßig auf Ja festgelegt, sofern die Funktion nicht explizit deaktiviert wurde. Um die Funktion zu aktivieren, stellen Sie sicher, dass Ja ausgewählt ist.
- Nein: Wenn Sie die Funktion Einmalkennung per E-Mail deaktivieren möchten, wählen Sie Nein aus.
- Wählen Sie Speichern.
Häufig gestellte Fragen
Was geschieht mit meinen vorhandenen Gastbenutzern/-benutzerinnen, wenn ich die einmalige E-Mail-Kennung aktiviere?
Ihre vorhandenen Gastbenutzer sind nicht betroffen, wenn Sie eine Einmalkennung per E-Mail aktivieren, da Ihre vorhandenen Benutzer den Zeitpunkt der Einlösung bereits hinter sich haben. Das Aktivieren des Einmal-Passcodes per E-Mail wirkt sich nur auf zukünftige Einlösungsaktivitäten aus, bei denen neue Gastbenutzer Mandanteneinladungen einlösen.
Wie ist die Benutzererfahrung, wenn der einmalige Passcode für E-Mails deaktiviert ist?
Wenn Sie das Feature Einmalkennung per E-Mail deaktiviert haben, wird der Benutzer aufgefordert, ein Microsoft-Konto zu erstellen.
Wenn der einmalige Passcode per E-Mail deaktiviert ist, wird Benutzern möglicherweise ein Anmeldefehler angezeigt, wenn sie einen direkten Anwendungslink einlösen und nicht im Voraus zu Ihrem Verzeichnis hinzugefügt wurden.
Weitere Informationen zu den verschiedenen Möglichkeiten des Einlösungsprozesses finden Sie unter B2B-Zusammenarbeit: Einlösen von Einladungen.
Wird die "Kein Konto? Erstellen Sie eins!“ Option für die Self-Service-Anmeldung wegfallen?
Nein. Die Selbstbedienungsregistrierung im Kontext von External ID kann leicht mit der Selbstbedienungsregistrierung für E-Mail-verifizierte Benutzer verwechselt werden, aber es handelt sich um zwei verschiedene Features. Das nicht verwaltete ("virale") Feature, das veraltet ist, ist die Self-Service-Registrierung mit per E-Mail verifizierten Benutzern, was dazu führte, dass Gäste ein nicht verwaltetes Microsoft Entra-Konto erstellten. Die Selbstbedienungsregistrierung für External ID ist weiterhin verfügbar, was dazu führt, dass sich Ihre Gäste bei Ihrer Organisation mit einer Vielzahl von Identitätsanbietern registrieren.
Was empfiehlt Microsoft für vorhandene Microsoft-Konten (MSA)?
Wenn die Möglichkeit zum Deaktivieren des Microsoft-Kontos in den Einstellungen für Identitätsanbieter (derzeit nicht verfügbar) unterstützt wird, wird dringend empfohlen, das Microsoft-Konto zu deaktivieren und die Einmalkennung per E-Mail zu aktivieren. Anschließend sollten Sie den Einlösungsstatus vorhandener Gastbenutzer mit Microsoft-Konten zurücksetzen, sodass sie die Einladung mit der Authentifizierung der Einmalkennung per E-Mail erneut einlösen und die Einmalkennung per E-Mail in Zukunft zur Anmeldung nutzen können.
Hinsichtlich der Änderung, den Einmal-Passcode per E-Mail standardmäßig zu aktivieren, gilt dies auch für die Integration von SharePoint und OneDrive mit Microsoft Entra B2B?
Nein, der globale Rollout der Änderung zur standardmäßigen Aktivierung des E-Mail-Einmal-Passcodes beinhaltet nicht die standardmäßige Aktivierung der SharePoint- und OneDrive-Integration mit Microsoft Entra B2B. Informationen zum Aktivieren oder Deaktivieren der Integration von SharePoint und OneDrive mit Microsoft Entra B2B für die sichere Zusammenarbeit finden Sie unter SharePoint- und OneDrive-Integration mit Microsoft Entra B2B.
Nächste Schritte
Erfahren Sie mehr über Identitätsanbieter für External ID und wie Sie den Einlösungsstatus für einen Gastbenutzer zurücksetzen.