Autenticación con código de acceso de un solo uso por correo electrónico

La característica de código de acceso de un solo uso por correo electrónico es una manera de autenticar a los usuarios de colaboración B2B cuando no se pueden autenticar a través de otros medios, como Azure AD, la cuenta Microsoft (MSA) o los proveedores de identidades sociales. Cuando un usuario invitado B2B intenta canjear la invitación o iniciar sesión en los recursos compartidos, puede solicitar un código de acceso temporal, que se envía a su dirección de correo electrónico. A continuación, escribe el código de acceso para continuar con el inicio de sesión.

Diagrama en el que se muestra una introducción del código de acceso de un solo uso por correo electrónico.

Importante

  • La característica de código de acceso de un solo uso por correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los existentes en los que no se haya desactivado explícitamente. Esta característica supone un método de autenticación de reserva ideal para los usuarios invitados. Si no desea usar esta característica, puede deshabilitarla, en cuyo caso se solicitará a los usuarios que creen una cuenta Microsoft.

Puntos de conexión de inicio de sesión

Ahora, los usuarios invitados del código de acceso de un solo uso por correo electrónico pueden iniciar sesión en sus aplicaciones multiinquilino o en las aplicaciones propias de Microsoft desde un punto de conexión común (en otras palabras, una dirección URL general de la aplicación que no incluya el contexto del inquilino). Durante el proceso de inicio de sesión, el usuario invitado elige Opciones de inicio de sesión y después selecciona Sign in to an organization (Iniciar sesión en una organización). Luego, escribe el nombre de la organización y continúa iniciando sesión con el código de acceso de un solo uso.

Los usuarios invitados del código de acceso de un solo uso por correo electrónico también pueden usar puntos de conexión de la aplicación que incluyan la información del inquilino; por ejemplo:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

También puede proporcionar a los usuarios invitados del código de acceso de un solo uso por correo electrónico un vínculo directo a una aplicación o recurso que incluya la información del inquilino; por ejemplo, https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Experiencia de usuario para los usuarios invitados de código de acceso de un solo uso

Cuando la característica de código de acceso de un solo uso por correo electrónico está habilitada, los usuarios nuevos invitados que cumplan ciertas condiciones usarán la autenticación con código de acceso de un solo uso. Los usuarios invitados que canjearon una invitación antes de la habilitación del código de acceso de un solo uso por correo electrónico seguirán usando su mismo método de autenticación.

Con la autenticación de código de acceso de un solo uso, el usuario invitado puede canjear su invitación haciendo clic en un vínculo directo o mediante el correo electrónico de invitación. En cualquier caso, un mensaje en el explorador indica que se enviará un código a la dirección de correo electrónico del usuario invitado. El usuario invitado selecciona Enviar código:

Captura de pantalla que muestra el botón Enviar código.

Se envía un código de acceso a la dirección de correo electrónico del usuario. El usuario recupera el código de acceso del correo electrónico y lo escribe en la ventana del explorador:

Captura de pantalla que muestra la página Escribir código.

Ahora el usuario invitado se ha autenticado y puede ver el recurso compartido o continuar con el inicio de sesión.

Nota:

Los códigos de acceso de un solo uso son válidos durante 30 minutos. Después de 30 minutos, ese código de acceso de un solo uso específico ya no será válido y el usuario deberá solicitar uno nuevo. Las sesiones del usuario expiran después de 24 horas. Después de ese tiempo, el usuario invitado recibe un nuevo código de acceso cuando accede al recurso. La expiración de la sesión proporciona mayor seguridad, en especial cuando un usuario invitado deja su empresa o ya no necesita tener acceso.

¿Cuándo un usuario invitado obtiene un código de acceso de un solo uso?

Cuando un usuario invitado canjea una invitación o usa un vínculo a un recurso que se ha compartido con él, recibe un código de acceso de un solo uso si:

  • No tienen una cuenta de Azure AD.
  • No tienen una cuenta de Microsoft.
  • El inquilino que invita no ha configurado la federación con redes sociales (como Google) u otros proveedores de identidades.
  • No tienen ningún otro método de autenticación ni ninguna cuenta con respaldo de contraseña.
  • El código de acceso de un solo uso por correo electrónico está habilitado.

En el momento de la invitación, no hay ninguna indicación de que el usuario al que está invitando usará la autenticación de código de acceso de un solo uso. Pero cuando el usuario invitado inicia sesión, la autenticación de código de acceso de un solo uso será el método de reserva si no se puede usar ningún otro método de autenticación.

Nota:

Cuando un usuario canjea un código de acceso de un solo uso y más adelante obtiene una MSA, una cuenta de Azure AD u otra cuenta federada, seguirá autenticándose con un código de acceso de un solo uso. Si desea actualizar el método de autenticación del usuario, puede restablecer su estado de canje.

Ejemplo

Se invita al usuario invitado teri@gmail.com a Fabrikam, que no tiene configurada la federación de Google. Teri no tiene una cuenta de Microsoft. Recibe un código de acceso de un solo uso para la autenticación.

Habilitación o deshabilitación de códigos de acceso de un solo uso por correo electrónico

La característica de código de acceso de un solo uso de correo electrónico ahora está activada de manera predeterminada para todos los inquilinos nuevos y para los inquilinos existentes en los que no se ha desactivado explícitamente. Esta característica supone un método de autenticación de reserva ideal para los usuarios invitados. Si no desea usar esta característica, puede deshabilitarla, en cuyo caso se solicitará a los usuarios que creen una cuenta Microsoft.

Nota

  • La configuración de un código de acceso de un solo uso de correo electrónico también se puede configurar con el tipo de recurso emailAuthenticationMethodConfiguration en Microsoft Graph API.
  • Si la característica de código de acceso de un solo uso por correo electrónico se ha habilitado en el inquilino y la desactiva, los usuarios invitados que hayan canjeado un código de acceso de un solo uso no podrán iniciar sesión. Puede restablecer el estado de canje para que puedan iniciar sesión de nuevo con otro método de autenticación.

Para habilitar o deshabilitar códigos de acceso de un solo uso por correo electrónico

  1. Inicie sesión en Azure Portal como administrador global de Azure AD.

  2. En el panel de navegación, seleccione Azure Active Directory.

  3. Seleccione External Identities>Todos los proveedores de identidades.

  4. Seleccione Código de acceso de un solo uso de correo electrónico.

  5. En Email one-time passcode for guests (Código de acceso de un solo uso por correo electrónico para invitados), seleccione una de las opciones siguientes:

    • : el botón de alternancia está establecido en de forma predeterminada a menos que la característica se haya desactivado explícitamente. Para habilitar la característica, asegúrese de que esté seleccionado.
    • No: Si desea deshabilitar la característica de código de acceso de un solo uso por correo electrónico, seleccione No.

    Capturas de pantalla que muestran el botón de alternancia de código de acceso de un solo uso por correo electrónico.

  6. Seleccione Guardar.

Preguntas más frecuentes

¿Qué ocurre con mis usuarios invitados existentes si se habilita el código de acceso de un solo uso de correo electrónico?

Los usuarios invitados existentes no se verán afectados si habilita el código de acceso de un solo uso por correo electrónico, ya que los usuarios existentes ya han pasado el punto de canje. La habilitación del código de un solo uso de correo electrónico solo afectará a las futuras actividades de canje en las que los nuevos usuarios invitados canjeen en el inquilino.

¿Cuál es la experiencia del usuario cuando el código de acceso de un solo uso por correo electrónico está deshabilitado?

Si ha deshabilitado la característica de código de acceso de un solo uso por correo electrónico, se le pedirá al usuario que cree una cuenta de Microsoft.

Además, cuando el código de acceso de un solo uso por correo electrónico está deshabilitado, los usuarios podrían ver un error de inicio de sesión al canjear un vínculo de aplicación directo si no se han agregado al directorio con antelación.

Para obtener más información sobre las diferentes rutas de canje, consulte Canje de invitación de colaboración B2B.

¿ Desaparecerá la opción "No tienen ninguna cuenta? Cree una" del registro de autoservicio?

No. Es fácil confundir el registro de autoservicio en el contexto de External Identities con el registro de autoservicio para los usuarios comprobados por correo electrónico, pero son dos características diferentes. La característica no administrada ("viral") que ha quedado en desuso es el registro de autoservicio con usuarios comprobados por correo electrónico, lo que hace que los invitados creen una cuenta de Azure AD no administrada. Sin embargo, el registro de autoservicio para External Identities seguirá estando disponible, lo que da lugar a que los invitados se registren en su organización con diversos proveedores de identidades. 

¿Qué recomienda hacer Microsoft con las cuentas de Microsoft (MSA) existentes?

Cuando se admita la capacidad de deshabilitar la cuenta de Microsoft en las configuraciones de los proveedores de identidades (no disponible actualmente), se recomienda encarecidamente deshabilitar la cuenta de Microsoft y habilitar el código de acceso de un solo uso por correo electrónico. A continuación, debe restablecer el estado de canje de los invitados existentes con cuentas Microsoft para que puedan volver a realizar el canje mediante la autenticación de código de acceso de un solo uso por correo electrónico y usar el código de acceso de un solo uso por correo electrónico para iniciar sesión en el futuro.

Con respecto al cambio para habilitar el código de acceso de un solo uso por correo electrónico de forma predeterminada, ¿incluye la integración de SharePoint y OneDrive con Azure AD B2B?

No, el lanzamiento global del cambio para habilitar el código de acceso de un solo uso por correo electrónico de manera predeterminada no incluye la habilitación de la integración de SharePoint y OneDrive con Azure AD B2B de manera predeterminada. Para obtener información sobre cómo habilitar la integración para que la colaboración de SharePoint y OneDrive use funcionalidades de B2B o cómo deshabilitar esta integración, consulte Integración de SharePoint y OneDrive con Azure AD B2B.

Pasos siguientes

Más información sobre los proveedores de identidades de External Identities.