Autenticación con código de acceso de un solo uso por correo electrónico

La característica de código de acceso de un solo uso por correo electrónico es una manera de autenticar a los usuarios de colaboración B2B cuando no se pueden autenticar a través de otros medios, como Microsoft Entra ID, la cuenta Microsoft (MSA) o los proveedores de identidades sociales. Cuando un usuario invitado B2B intenta canjear la invitación o iniciar sesión en los recursos compartidos, puede solicitar un código de acceso temporal, que se envía a su dirección de correo electrónico. A continuación, escribe el código de acceso para continuar con el inicio de sesión.

Importante

• La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Esta característica supone un método de autenticación de reserva ideal para los usuarios invitados. Si no desea usar esta característica, puede deshabilitarla, en cuyo caso se solicitará a los usuarios que creen una cuenta Microsoft.

Nota:

Actualmente no se pueden aplicar directivas de seguridad de autenticación a través del acceso condicional a cuentas con código de acceso de un solo uso por correo electrónico. Use el control de concesiones de acceso condicional "Requerir MFA" en su lugar. Para obtener más información, consulte la sección Directivas de seguridad de autenticación para usuarios externos de la página Autenticación y acceso condicional para el id. externo.

Puntos de conexión de inicio de sesión

Los usuarios invitados con código de acceso de un solo uso por correo electrónico ya pueden iniciar sesión en sus aplicaciones multiinquilino o en las aplicaciones propias de Microsoft desde un punto de conexión común (en otras palabras, una dirección URL general de la aplicación que no incluya el contexto del inquilino). Durante el proceso de inicio de sesión, el usuario invitado elige Opciones de inicio de sesión y después selecciona Sign in to an organization (Iniciar sesión en una organización). Luego, escribe el nombre de la organización y continúa iniciando sesión con el código de acceso de un solo uso.

Los usuarios invitados del código de acceso de un solo uso por correo electrónico también pueden usar puntos de conexión de la aplicación que incluyan la información del inquilino; por ejemplo:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

También puede proporcionar a los usuarios invitados del código de acceso de un solo uso por correo electrónico un vínculo directo a una aplicación o recurso que incluya la información del inquilino; por ejemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Nota

Los usuarios invitados con código de acceso de un solo uso por email pueden iniciar sesión en Microsoft Teams directamente desde el punto de conexión común sin elegir opciones de inicio de sesión. Durante el proceso de inicio de sesión en Microsoft Teams, el usuario invitado puede seleccionar un vínculo para enviar un código de acceso de un solo uso.

Experiencia de usuario para los usuarios invitados de código de acceso de un solo uso

Cuando la característica de código de acceso de un solo uso por correo electrónico está habilitada, los usuarios nuevos invitados que cumplan ciertas condiciones usarán la autenticación con código de acceso de un solo uso. Los usuarios invitados que canjearon una invitación antes de la habilitación del código de acceso de un solo uso por correo electrónico seguirán usando su mismo método de autenticación.

Con la autenticación de código de acceso de un solo uso, el usuario invitado puede canjear su invitación haciendo clic en un vínculo directo o mediante el correo electrónico de invitación. En cualquier caso, un mensaje en el explorador indica que se enviará un código a la dirección de correo electrónico del usuario invitado. El usuario invitado selecciona Enviar código:

Se envía un código de acceso a la dirección de correo electrónico del usuario. El usuario recupera el código de acceso del correo electrónico y lo escribe en la ventana del explorador:

Ahora el usuario invitado se ha autenticado y puede ver el recurso compartido o continuar con el inicio de sesión.

Nota:

Los códigos de acceso de un solo uso son válidos durante 30 minutos. Después de 30 minutos, ese código de acceso de un solo uso específico ya no será válido y el usuario deberá solicitar uno nuevo. Las sesiones del usuario expiran después de 24 horas. Después de ese tiempo, el usuario invitado recibe un nuevo código de acceso cuando accede al recurso. La expiración de la sesión proporciona mayor seguridad, en especial cuando un usuario invitado deja su empresa o ya no necesita tener acceso.

¿Cuándo un usuario invitado obtiene un código de acceso de un solo uso?

Cuando un usuario invitado canjea una invitación o usa un vínculo a un recurso que se ha compartido con él, recibe un código de acceso de un solo uso si:

• No tienen una cuenta de Microsoft Entra.
• No tienen una cuenta de Microsoft.
• El inquilino que invita no ha configurado la federación con redes sociales (como Google) u otros proveedores de identidades.
• No tienen ningún otro método de autenticación ni ninguna cuenta con respaldo de contraseña.
• El código de acceso de un solo uso por correo electrónico está habilitado.

En el momento de la invitación, no hay ninguna indicación de que el usuario al que está invitando usará la autenticación de código de acceso de un solo uso. Pero cuando el usuario invitado inicia sesión, la autenticación de código de acceso de un solo uso será el método de reserva si no se puede usar ningún otro método de autenticación.

Nota:

Cuando un usuario canjea un código de acceso de un solo uso y más adelante obtiene una MSA, una cuenta de Microsoft Entra u otra cuenta federada, seguirá autenticándose con un código de acceso de un solo uso. Si desea actualizar el método de autenticación del usuario, puede restablecer su estado de canje.

Ejemplo

Se invita al usuario invitado nicole@firstupconsultants.com a Fabrikam, que no tiene configurada la federación de Google. Nicole no tiene una cuenta de Microsoft. Recibe un código de acceso de un solo uso para la autenticación.

Habilitación o deshabilitación de códigos de acceso de un solo uso por correo electrónico

La característica de código de acceso de un solo uso de correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los inquilinos existentes en los que no se ha desactivado explícitamente. Esta característica supone un método de autenticación de reserva ideal para los usuarios invitados. Si no desea usar esta característica, puede deshabilitarla, en cuyo caso se solicitará a los usuarios que creen una cuenta Microsoft.

Nota

• La configuración de un código de acceso de un solo uso de correo electrónico también se puede configurar con el tipo de recurso emailAuthenticationMethodConfiguration en Microsoft Graph API.
• Si la característica de código de acceso de un solo uso por correo electrónico se ha habilitado en el inquilino y la desactiva, los usuarios invitados que hayan canjeado un código de acceso de un solo uso no podrán iniciar sesión. Puede restablecer el estado de canje para que puedan iniciar sesión de nuevo con otro método de autenticación.

Para habilitar o deshabilitar códigos de acceso de un solo uso por correo electrónico

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de seguridad.

2. Vaya a Identidad>External Identities>Todos los proveedores de identidades.

3. En la lista Proveedores de identidades configurados, seleccione Código de acceso de un solo uso de correo electrónico.

4. En Email one-time passcode for guests (Código de acceso de un solo uso por correo electrónico para invitados), seleccione una de las opciones siguientes:

   • Sí: el botón de alternancia está establecido en Sí de forma predeterminada a menos que la característica se haya desactivado explícitamente. Para habilitar la característica, asegúrese de que Sí esté seleccionado.
   • No: Si desea deshabilitar la característica de código de acceso de un solo uso por correo electrónico, seleccione No.

6. Seleccione Guardar.

Preguntas más frecuentes

¿Qué ocurre con mis usuarios invitados existentes si se habilita el código de acceso de un solo uso de correo electrónico?

Los usuarios invitados existentes no se verán afectados si habilita el código de acceso de un solo uso por correo electrónico, ya que los usuarios existentes ya han pasado el punto de canje. La habilitación del código de un solo uso de correo electrónico solo afectará a las futuras actividades de procesamiento de canje, en las que los nuevos usuarios invitados canjeen contenido en el inquilino.

¿Cuál es la experiencia del usuario cuando el código de acceso de un solo uso por correo electrónico está deshabilitado?

Si ha deshabilitado la característica de código de acceso de un solo uso por correo electrónico, se le pedirá al usuario que cree una cuenta de Microsoft.

Además, cuando el código de acceso de un solo uso por correo electrónico está deshabilitado, los usuarios podrían ver un error de inicio de sesión al canjear un vínculo de aplicación directo si no se han agregado al directorio con antelación.

Para obtener más información sobre las diferentes rutas de procesamiento de canje, consulte Canje de invitación de colaboración B2B.

¿ Desaparecerá la opción "No tienen ninguna cuenta? Cree una" del registro de autoservicio?

No. Es fácil confundir el registro de autoservicio en el contexto de Id. externa con el registro de autoservicio para los usuarios comprobados por correo electrónico, pero son dos características diferentes. La característica no administrada ("viral") que ha quedado en desuso es el registro de autoservicio con usuarios comprobados por correo electrónico, lo que hace que los invitados creen una cuenta de Microsoft Entra no administrada. Sin embargo, el registro de autoservicio para Id. externa seguirá estando disponible, lo que da lugar a que los invitados se registren en su organización con diversos proveedores de identidades. 

¿Qué recomienda hacer Microsoft con las cuentas de Microsoft (MSA) existentes?

Cuando se admita la capacidad de deshabilitar la cuenta de Microsoft en las configuraciones de los proveedores de identidades (no disponible actualmente), se recomienda encarecidamente deshabilitar la cuenta de Microsoft y habilitar el código de acceso de un solo uso por correo electrónico. A continuación, debe restablecer el estado de canje de los invitados existentes con cuentas Microsoft para que puedan volver a realizar el canje mediante la autenticación de código de acceso de un solo uso por correo electrónico y usar el código de acceso de un solo uso por correo electrónico para iniciar sesión en el futuro.

Con respecto al cambio para habilitar el código de acceso de un solo uso por correo electrónico de forma predeterminada, ¿incluye la integración de SharePoint y OneDrive con Microsoft Entra B2B?

No, el lanzamiento global del cambio para habilitar el código de acceso de un solo uso por correo electrónico de manera predeterminada no incluye la habilitación de la integración de SharePoint y OneDrive con Microsoft Entra B2B de manera predeterminada. Para obtener más información sobre cómo habilitar o deshabilitar la integración de SharePoint y OneDrive con Microsoft Entra B2B para la colaboración segura, consulte Integración de SharePoint y OneDrive con Microsoft Entra B2B.

Pasos siguientes

Obtenga información sobre los Proveedores de identidades para Id. externa y cómo restablecer el estado de canje para un usuario invitado.