Authentification par envoi d’un code secret à usage unique par e-mail

  • Article

La fonctionnalité de code secret à usage unique envoyé par e-mail est un moyen d’authentifier les utilisateurs B2B Collaboration lorsqu’ils ne peuvent pas être authentifiés par d’autres moyens, par exemple Microsoft Entra ID, un compte Microsoft (MSA) ou des fournisseurs d’identité sociale. Lorsqu’un utilisateur invité B2B tente d’accepter votre invitation ou de se connecter à vos ressources partagées, il peut demander un code secret temporaire, qui est envoyé à son adresse e-mail. Il doit ensuite saisir ce code secret pour se connecter.

Diagramme montrant une vue d’ensemble de la fonctionnalité de code secret à usage unique envoyé par e-mail.

Important

  • La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Cette fonctionnalité fournit une méthode d’authentification de secours fluide pour les utilisateurs invités. Si vous ne souhaitez pas utiliser cette fonctionnalité, vous pouvez la désactiver, auquel cas les utilisateurs sont invités à créer un compte Microsoft à la place.

Remarque

Actuellement, vous ne pouvez pas appliquer de stratégies de force d’authentification via l’accès conditionnel aux comptes e-mail à code secret à usage unique. Utilisez plutôt le contrôle d’octroi d’accès conditionnel « Exiger une authentification multifacteur ». Pour plus d’informations, consultez la section Stratégies de force d’authentification pour les utilisateurs externes de la page Authentification et accès conditionnel pour les ID externes.

Points de terminaison de connexion

Les utilisateurs invités avec code secret à usage unique par e-mail peuvent désormais se connecter à vos applications multilocataires ou à vos applications principales Microsoft avec un point de terminaison commun (en d’autres termes, une URL d’application générale qui n’inclut pas le contexte de votre locataire). Durant le processus de connexion, l’utilisateur invité choisit Options de connexion, puis sélectionne Sign in to an organization (Se connecter à une organisation). L’utilisateur tape ensuite le nom de votre organisation et poursuit le processus de connexion en utilisant le code secret à usage unique.

Les utilisateurs invités avec code secret à usage unique par e-mail peuvent également se servir des points de terminaison d’application qui incluent les informations de votre locataire, par exemple :

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Vous pouvez également fournir aux utilisateurs invités avec code secret à usage unique par e-mail un lien direct vers une application ou une ressource en incluant les informations de votre locataire, par exemple https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Notes

E-mail avec un mot de passe à usage unique avec lequel les utilisateurs invités peuvent se connecter à Microsoft Teams, directement à partir du point de terminaison commun, sans les Options de connexion. Pendant le processus de connexion à Microsoft Teams, l’utilisateur invité peut sélectionner un lien pour envoyer un mot de passe à usage unique.

Expérience utilisateur pour les utilisateurs invités avec code secret à usage unique

Lorsque la fonctionnalité d’envoi d’un code secret à usage unique par e-mail est activée, les utilisateurs invités qui remplissent certaines conditions utilisent l’authentification par code secret à usage unique. Les utilisateurs invités qui ont accepté une invitation avant que cette fonctionnalité ne soit activée continueront de passer par la même méthode d’authentification qu’avant.

Avec l’authentification par code secret à usage unique, l’utilisateur invité peut accepter votre invitation en cliquant sur un lien direct ou à l’aide de l’e-mail d’invitation. Dans les deux cas, un message dans le navigateur indique qu’un code sera envoyé à l’adresse e-mail de l’utilisateur invité. L’utilisateur invité sélectionne Envoyer le code :

Capture d’écran montrant le bouton Envoyer le code.

Un code secret est envoyé à l’adresse e-mail de l’utilisateur. L’utilisateur récupère le code secret à partir de l’e-mail et le saisit dans la fenêtre du navigateur :

Capture d’écran montrant le bouton Entrer le code.

L’utilisateur invité est maintenant authentifié, et il peut voir la ressource partagée ou continuer à se connecter.

Notes

Les codes secrets à usage unique sont valides pendant 30 minutes. Après 30 minutes, ce code secret à usage unique spécifique n’est plus valide, et l’utilisateur doit en demander un nouveau. Les sessions utilisateur expirent après 24 heures. Passée cette durée, l’utilisateur invité reçoit un nouveau code secret quand ils accèdent à la ressource. L’expiration de la session garantit plus de sécurité, particulièrement quand un utilisateur invité quitte l’entreprise ou n’a plus besoin d’accéder à la ressource.

Quand un utilisateur invité obtient-il un code secret à usage unique ?

Quand un utilisateur invité accepte une invitation ou utilise un lien vers une ressource qui a été partagée avec lui, il va recevoir un code secret à usage unique dans les cas suivants :

  • Il n’a pas de compte Microsoft Entra.
  • Il n’a pas de compte Microsoft.
  • Le locataire qui invite n’a pas configuré de fédération avec des fournisseurs d’identité sociale (comme Google) ou d’autres fournisseurs d’identité.
  • Il n’a pas d’autre méthode d’authentification ou de compte authentifié par mot de passe.
  • Le code secret à usage unique envoyé par e-mail est activé.

Au moment de l’invitation, rien n’indique que l’utilisateur que vous invitez devra utiliser l’authentification par code secret à usage unique. Mais lorsque l’utilisateur invité se connecte, l’authentification par code secret à usage unique est la méthode de secours si aucune autre méthode d’authentification ne peut être utilisée.

Remarque

Lorsqu’un utilisateur accepte un code secret à usage unique, puis obtient un compte MSA, Microsoft Entra, ou un autre compte fédéré, il continue d’être authentifié à l’aide d’un code secret à usage unique. Si vous souhaitez mettre à jour la méthode d’authentification de l’utilisateur, vous pouvez réinitialiser son état d’acceptation.

Exemple

L’utilisateur invité nicole@firstupconsultants.com est invité sur Fabrikam, qui n’a pas de fédération Google configurée. Nicole ne possède pas de compte Microsoft. Il va recevoir un code secret à usage unique pour s’authentifier.

Activer ou désactiver l’envoi de codes secrets à usage unique par e-mail

La fonctionnalité de code secret à usage unique par e-mail est désormais activée par défaut pour tous les nouveaux locataires et pour tous les locataires existants où vous ne l’avez pas explicitement désactivée. Cette fonctionnalité fournit une méthode d’authentification de secours fluide pour les utilisateurs invités. Si vous ne souhaitez pas utiliser cette fonctionnalité, vous pouvez la désactiver, auquel cas les utilisateurs sont invités à créer un compte Microsoft.

Notes

  • Les paramètres de code secret à usage unique par e-mail peuvent également être configurés avec le type de ressource EmailAuthenticationMethodConfiguration dans l’API Microsoft Graph.
  • Si la fonctionnalité d’envoi d’un code secret à usage unique par e-mail a été activée dans votre locataire et que vous la désactivez, les utilisateurs invités qui ont demandé un code secret à usage unique ne seront pas en mesure de se connecter. Vous pouvez réinitialiser leur état d’acceptation pour leur permettre de se reconnecter à l’aide d’une autre méthode d’authentification.

Pour activer ou désactiver l’envoi de codes secrets à usage unique par e-mail

Conseil

Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>External Identities>Tous les fournisseurs d’identité.

  3. Dans la liste Fournisseurs d’identité configurés , sélectionnez Code secret à usage unique par e-mail.

  4. Sous Code secret à usage unique envoyé par e-mail, sélectionnez l’une des options suivantes :

    • Oui : le bouton bascule est défini sur Oui par défaut, sauf si la fonctionnalité a été explicitement désactivée. Pour activer la fonctionnalité, sélectionnez Oui.
    • Non : si vous souhaitez désactiver la fonctionnalité Envoyer un code secret à usage unique par e-mail, sélectionnez Non.

Captures d’écran montrant le bouton Envoyer un code secret à usage unique par e-mail.

  1. Sélectionnez Enregistrer.

Forum aux questions

Qu’advient-il de mes utilisateurs invités existants si j’active le code secret à usage unique envoyé par e-mail ?

Vos utilisateurs invités existants ne seront pas affectés si vous activez le code secret à usage unique envoyé par e-mail, car vos utilisateurs existants sont déjà au-delà du point d’acceptation. L’activation du code secret à usage unique envoyé par e-mail va uniquement affecter les activités futures du processus d’acceptation, où les nouveaux utilisateurs invités procèdent à l’acceptation dans le locataire.

Quelle est l’expérience utilisateur quand le code secret à usage unique par e-mail est désactivé ?

Si vous avez désactivé la fonctionnalité de code secret à usage unique par e-mail, l’utilisateur est invité à créer un compte Microsoft.

En outre, quand le code secret à usage unique par e-mail est désactivé, les utilisateurs peuvent recevoir une erreur de connexion quand ils utilisent un lien d’application direct et qu’ils n’ont pas été ajoutés à l’avance à votre annuaire.

Pour plus d’informations sur les différents chemins de processus d’acceptation, consultez Utilisation d’une invitation B2B Collaboration.

L’option « Pas de compte ? Créez-en un ! » pour l’inscription en libre-service disparaîtra-t-elle ?

Non. Il est facile de confondre l’inscription en libre-service dans le contexte d’ID externes avec l’inscription en libre-service pour les utilisateurs vérifiés par e-mail, mais il s’agit de deux fonctionnalités différentes. La fonctionnalité non managée (« virale ») qui est désormais dépréciée est l’inscription libre-service avec des utilisateurs vérifiés par e-mail. Celle-ci permettait aux utilisateurs invités de créer un compte Microsoft Entra non managé. Toutefois, l’inscription en libre-service pour les ID externes restera disponible, ce qui a pour effet que vos invités s’inscrivent auprès de votre organisation avec un large éventail de fournisseurs d’identité. 

Que recommande Microsoft en matière de comptes Microsoft (MSA) existants ?

Lorsque nous prenons en charge la possibilité de désactiver un compte Microsoft dans les paramètres des fournisseurs d’identité (non disponible actuellement), nous vous recommandons vivement de désactiver le compte Microsoft et d’activer le code secret à usage unique envoyé par e-mail. Ensuite, vous devez réinitialiser l’état d’acceptation des invités existants avec des comptes Microsoft afin qu’ils puissent réaccepter l’authentification par code secret à usage unique envoyé par e-mail et utiliser le code secret à usage unique envoyé par e-mail pour se connecter à l’avenir.

Concernant la modification permettant d’activer par défaut le code secret à usage unique envoyé par e-mail, inclut-elle l’intégration de SharePoint et OneDrive à Microsoft Entra B2B ?

Non, le déploiement global de la modification pour activer le code secret à usage unique par e-mail par défaut n’inclut pas l’activation de l’intégration de SharePoint et OneDrive à Microsoft Entra B2B par défaut. Pour savoir comment activer ou désactiver l’intégration de SharePoint et OneDrive avec Microsoft Entra B2B pour une collaboration plus sécurisée, consultez Intégration de SharePoint et OneDrive à Microsoft Entra B2B.

Étapes suivantes

Découvrez les fournisseurs d’identité pour les ID externes et comment réinitialiser l’état d’échange pour un utilisateur invité.