Autentikasi kode akses satu kali email untuk pengguna tamu B2B
Berlaku untuk: Penyewa Tenaga Kerja Penyewa eksternal (pelajari lebih lanjut)
Fitur kode akses satu kali email adalah cara untuk mengautentikasi pengguna kolaborasi B2B ketika mereka tidak dapat diautentikasi melalui cara lain, seperti ID Microsoft Entra, akun Microsoft (MSA), atau penyedia identitas sosial. Jika pengguna tamu B2B mencoba menukarkan undangan Anda atau masuk ke sumber daya bersama, mereka dapat meminta kode akses sementara, yang dikirim ke alamat email mereka. Kemudian, mereka memasukkan kode akses ini untuk tetap masuk.
Penting
- Fitur kode sandi email sekali pakai sekarang diaktifkan secara default untuk semua penyewa baru dan untuk penyewa yang ada di mana Anda belum menonaktifkannya secara eksplisit. Fitur ini memberikan metode autentikasi fallback yang mulus untuk pengguna tamu Anda. Jika tidak ingin menggunakan fitur ini, Anda dapat menonaktifkannya, dalam hal ini pengguna akan diminta untuk membuat akun Microsoft sebagai gantinya.
Catatan
Saat ini Anda tidak dapat menerapkan kebijakan kekuatan autentikasi melalui Akses Bersyar ke akun kode akses satu kali email. Gunakan kontrol pemberian Akses Bersyarat 'Perlu MFA' sebagai gantinya. Untuk informasi selengkapnya, lihat bagian Kebijakan kekuatan autentikasi untuk pengguna eksternal di halaman Autentikasi dan Akses Bersyarah untuk ID Eksternal.
Titik akhir masuk
Pengguna tamu kode akses satu kali email sekarang dapat masuk ke aplikasi multipenyewa atau pihak pertama Microsoft Anda dengan menggunakan titik akhir umum (dengan kata lain, URL aplikasi umum yang tidak menyertakan konteks penyewa Anda). Selama proses masuk, pengguna tamu memilih opsi Masuk, lalu memilih Masuk ke organisasi. Lalu, pengguna mengetik nama organisasi Anda dan terus masuk menggunakan kode sandi sekali pakai.
Pengguna tamu kode sandi sekali pakai email juga dapat menggunakan titik akhir aplikasi yang menyertakan informasi penyewa Anda, misalnya:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Anda juga dapat memberi link langsung ke aplikasi atau sumber daya kepada pengguna tamu kode sandi sekali pakai dengan menyertakan informasi penyewa Anda, misalnya https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Catatan
Pengguna tamu kode akses satu kali email dapat masuk ke Microsoft Teams langsung dari titik akhir umum tanpa memilih opsi Masuk. Selama proses masuk ke Microsoft Teams, pengguna tamu dapat memilih tautan untuk mengirim kode sandi satu kali.
Pengalaman pengguna untuk pengguna tamu kode akses satu kali
Saat fitur kode akses satu kali email diaktifkan, pengguna undangan baru yang memenuhi syarat tertentu akan menggunakan autentikasi kode akses satu kali. Pengguna tamu yang menukarkan undangan sebelum kode akses satu kali email diaktifkan akan tetap menggunakan metode autentikasi yang sama.
Dengan autentikasi kode akses satu kali, pengguna tamu dapat menukarkan undangan Anda dengan mengklik tautan langsung atau menggunakan email undangan. Di kedua kasus, pesan pada browser menandakan bahwa kode akan dikirimkan ke alamat email pengguna tamu. Pengguna tamu memilih Kirim kode:
Kode akses dikirimkan ke alamat email pengguna. Pengguna mengambil kode akses dari email dan memasukkannya ke dalam jendela browser:
Pengguna tamu sekarang diautentikasi, dan mereka dapat melihat sumber daya bersama atau meneruskan masuk.
Catatan
Kode akses satu kali valid selama 30 menit. Setelah 30 menit, kode akses satu kali tersebut tidak lagi valid, dan pengguna harus meminta kode akses baru. Sesi pengguna kedaluwarsa setelah 24 jam. Setelah itu, pengguna tamu menerima kode akses baru saat mereka mengakses sumber daya. Masa berlaku sesi memberikan keamanan tambahan, khususnya saat pengguna tamu meninggalkan perusahaan atau tidak lagi memerlukan akses.
Kapan pengguna tamu mendapatkan kode akses satu kali?
Saat pengguna tamu menukarkan undangan atau menggunakan tautan ke sumber daya yang telah dibagikan, mereka akan menerima kode akses satu kali jika:
- Mereka tidak memiliki akun Microsoft Entra.
- Mereka tidak memiliki akun Microsoft.
- Penyewa yang mengundang tidak menyiapkan federasi dengan penyedia sosial (seperti Google) atau penyedia identitas lainnya.
- Mereka tidak memiliki metode autentikasi lain atau akun dengan kata sandi apa pun.
- Kode sandi sekali pakai Email diaktifkan.
Pada saat mengundang, tidak ada indikasi bahwa pengguna yang Anda undang akan menggunakan autentikasi kode akses satu kali. Tapi saat pengguna tamu masuk, autentikasi kode akses satu kali akan jadi metode cadangan jika tidak ada metode autentikasi lain yang dapat digunakan.
Catatan
Saat pengguna menukarkan kode sandi satu kali dan kemudian mendapatkan MSA, akun Microsoft Entra, atau akun federasi lainnya, mereka akan terus diautentikasi menggunakan kode sandi satu kali. Jika Anda ingin memperbarui metode autentikasi pengguna, Anda dapat mereset status penukaran mereka.
Contoh
Pengguna tamu nicole@firstupconsultants.com diundang ke Fabrikam, yang tidak menyiapkan federasi Google. Nicole tidak memiliki akun Microsoft. Mereka akan menerima kode akses satu kali untuk autentikasi.
Mengaktifkan atau menonaktifkan kode sandi sekali pakai email
Fitur kode sandi email sekali pakai sekarang diaktifkan secara default untuk semua penyewa baru dan untuk penyewa yang sudah ada di mana Anda belum secara eksplisit menonaktifkannya. Fitur ini memberikan metode autentikasi fallback yang mulus untuk pengguna tamu Anda. Jika tidak ingin menggunakan fitur ini, Anda dapat menonaktifkannya, dalam hal ini pengguna akan diminta untuk membuat akun Microsoft.
Catatan
- Setelan kode akses satu kali email juga dapat dikonfigurasi dengan jenis sumber daya emailAuthenticationMethodConfiguration di Microsoft Graph API.
- Jika fitur kode akses satu kali email telah diaktifkan pada penyewa dan Anda menonaktifkannya, pengguna tamu yang telah menukarkan kode akses satu kali tidak akan dapat masuk. Anda dapat mereset status penukaran mereka agar mereka dapat masuk lagi menggunakan metode autentikasi lain.
Untuk mengaktifkan atau menonaktifkan kode sandi sekali pakai email
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Kebijakan Autentikasi.
Telusuri Identitas>Eksternal Identitas>Semua idP.
Pada tab Bawaan, di samping Kode akses satu kali email, pilih Dikonfigurasi.
Di bagian Kode akses satu kali email untuk tamu, pilih salah satu opsi berikut:
- Ya: Tombol diatur ke Ya secara default kecuali fitur telah dinonaktifkan secara eksplisit. Untuk mengaktifkan fitur ini, pastikan Ya dipilih.
- Tidak: Jika Anda ingin menonaktifkan fitur kode sandi sekali pakai email, pilih Tidak.
- Pilih Simpan.
Tanya jawab umum
Apa yang terjadi pada pengguna tamu saya yang sudah ada jika saya mengaktifkan kode sandi email satu kali?
Pengguna tamu Anda yang sudah ada tidak akan terpengaruh jika Anda mengaktifkan kode sandi email sekali pakai, karena pengguna Anda yang sudah ada telah melewati titik penukaran. Mengaktifkan kode akses satu kali email hanya akan memengaruhi aktivitas proses penukaran di masa mendatang di mana pengguna tamu baru menukarkan ke penyewa.
Apa pengalaman pengguna saat kode sandi email sekali pakai dinonaktifkan?
Jika Anda telah menonaktifkan fitur kode akses satu kali email, pengguna akan diminta untuk membuat akun Microsoft.
Selain itu, saat kode sandi email sekali pakai dinonaktifkan, pengguna mungkin melihat kesalahan masuk saat mereka menukarkan link aplikasi langsung dan mereka tidak ditambahkan ke direktori Anda sebelumnya.
Untuk informasi selengkapnya tentang jalur proses penukaran yang berbeda, lihat Penukaran undangan kolaborasi B2B.
Akankah "Tidak ada akun? Buat akun!” opsi untuk pendaftaran layanan mandiri ditiadakan?
Tidak. Sangat mudah untuk mendapatkan pendaftaran layanan mandiri dalam konteks ID Eksternal yang bingung dengan pendaftaran layanan mandiri untuk pengguna yang diverifikasi email, tetapi mereka adalah dua fitur yang berbeda. Fitur yang tidak dikelola ("viral") yang tidak digunakan lagi adalah pendaftaran layanan mandiri dengan pengguna yang diverifikasi email, yang mengakibatkan tamu membuat akun Microsoft Entra yang tidak dikelola. Namun, pendaftaran layanan mandiri untuk ID Eksternal akan terus tersedia, yang menyebabkan tamu Anda mendaftar ke organisasi Anda dengan berbagai penyedia identitas.
Apa yang Microsoft sarankan kepada kita terkait akun Microsoft (MSA) yang ada?
Ketika kami mendukung kemampuan untuk menonaktifkan Akun Microsoft di pengaturan penyedia Identitas (tidak tersedia hari ini), kami sangat menyarankan Anda menonaktifkan Akun Microsoft dan mengaktifkan kode sandi email sekali pakai. Kemudian Anda harus mengatur ulang status penukaran tamu yang ada dengan akun Microsoft sehingga mereka dapat menukarkan kembali menggunakan autentikasi kode sandi email sekali pakai dan menggunakan kode sandi email sekali pakai untuk melakukan proses masuk.
Mengenai perubahan untuk mengaktifkan kode akses satu kali email secara default, apakah ini termasuk integrasi SharePoint dan OneDrive dengan Microsoft Entra B2B?
Tidak, peluncuran global perubahan untuk mengaktifkan kode akses satu kali email secara default tidak termasuk mengaktifkan integrasi SharePoint dan OneDrive dengan Microsoft Entra B2B secara default. Untuk mempelajari cara mengaktifkan atau menonaktifkan integrasi SharePoint dan OneDrive dengan Microsoft Entra B2B untuk kolaborasi yang aman, lihat Integrasi SharePoint dan OneDrive dengan Microsoft Entra B2B.
Langkah berikutnya
Pelajari tentang Penyedia Identitas untuk ID Eksternal, dan cara mengatur ulang status penukaran untuk pengguna tamu.