Autenticazione con passcode monouso tramite posta elettronica

  • Articolo

La funzionalità passcode monouso tramite posta elettronica è un modo per autenticare gli utenti di Collaborazione B2B quando non possono essere autenticati tramite altri mezzi, ad esempio Microsoft Entra ID, account Microsoft (MSA) o provider di identità di social networking. Quando un utente guest B2B tenta di riscattare l'invito o accedere alle risorse condivise, può richiedere un passcode temporaneo, che viene inviato al proprio indirizzo di posta elettronica. Quindi immettono questo passcode per continuare l'accesso.

Diagramma che mostra una panoramica del passcode monouso della posta elettronica.

Importante

  • La funzionalità passcode monouso della posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla, nel qual caso agli utenti verrà richiesto di creare un account Microsoft.

Nota

Attualmente non è possibile applicare criteri di attendibilità dell'autenticazione tramite l'accesso condizionale agli account passcode monouso. Usare invece il controllo di concessione dell'accesso condizionale 'Require MFA'. Per altre informazioni, vedere la sezione Criteri di attendibilità dell'autenticazione per gli utenti esterni della pagina Autenticazione e accesso condizionale per ID esterno.

Endpoint di accesso

Gli utenti guest con passcode monouso possono ora accedere alle app multi-tenant o Microsoft usando un endpoint comune (in altre parole, un URL generale dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso e quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso con passcode monouso.

Gli utenti guest con passcode monouso di posta elettronica possono usare anche gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

È anche possibile fornire agli utenti guest con passcode monouso tramite posta elettronica un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Nota

Gli utenti guest con passcode monouso possono accedere a Microsoft Teams direttamente dall'endpoint comune senza scegliere opzioni di accesso. Durante il processo di accesso a Microsoft Teams, l'utente guest può selezionare un collegamento per inviare un passcode monouso.

Esperienza utente per gli utenti guest con passcode monouso

Quando la funzionalità passcode monouso della posta elettronica è abilitata, gli utenti appena invitati che soddisfano determinate condizioni useranno l'autenticazione con passcode monouso. Gli utenti guest che hanno riscattato un invito prima dell'abilitazione del passcode monouso tramite posta elettronica continueranno a usare lo stesso metodo di autenticazione.

Grazie all'autenticazione con passcode monouso, l'utente guest può riscattare l'invito facendo clic su un collegamento diretto o tramite l'indirizzo di posta elettronica di invito. In entrambi i casi, un messaggio nel browser indica che verrà inviato un codice all'indirizzo di posta elettronica dell'utente guest. L'utente guest seleziona Send code (Invia codice):

Screenshot che mostra il pulsante Invia codice.

Un passcode viene inviato all'indirizzo di posta elettronica dell'utente. L'utente recupera il passcode dal messaggio di posta elettronica e lo immette nella finestra del browser:

Screenshot che mostra la tabella codici Invio.

L'utente guest viene autenticato e può quindi visualizzare la risorsa condivisa o continuare ad accedere.

Nota

I passcode monouso sono validi per 30 minuti. Dopo 30 minuti, tale passcode monouso specifico non è più valido e l'utente deve richiederne uno nuovo. Le sessioni utente scadono dopo 24 ore. Dopo tale periodo, l'utente guest riceve un nuovo passcode quando accede alla risorsa. La scadenza della sessione offre una sicurezza maggiore, in particolare quando un utente guest lascia la società o non ha più bisogno dell'accesso.

In quali casi un utente guest ottiene un passcode monouso?

Quando un utente guest riscatta un invito o usa un collegamento a una risorsa che è stato condivisa con tale utente, questo riceve un passcode monouso se:

  • Non dispongono di un account Microsoft Entra.
  • Non dispongono di un account Microsoft.
  • Il tenant che invita non ha configurato la federazione con social network (ad esempio Google) o altri provider di identità.
  • Non hanno altri metodi di autenticazione o account supportati da password.
  • Il passcode monouso della posta elettronica è abilitato.

Al momento dell'invito non è presente alcuna indicazione del fatto che l'utente che si sta invitando userà l'autenticazione con passcode monouso. Tuttavia quando l'utente guest accede, l'autenticazione con passcode monouso sarà il metodo di fallback se non è possibile utilizzare altri metodi di autenticazione.

Nota

Quando un utente riscatta un passcode monouso e successivamente ottiene un account msa, un account Microsoft Entra o un altro account federato, continuerà a essere autenticato usando un passcode monouso. Se si vuole aggiornare il metodo di autenticazione dell'utente, è possibile reimpostare lo stato di riscatto.

Esempio

L'utente nicole@firstupconsultants.com guest viene invitato a Fabrikam, che non ha la federazione di Google configurata. Nicole non ha un account Microsoft. Riceverà un passcode monouso per l'autenticazione.

Abilitare o disabilitare i passcode monouso tramite posta elettronica

La funzionalità passcode monouso della posta elettronica è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla, nel qual caso agli utenti verrà richiesto di creare un account Microsoft.

Nota

  • È anche possibile configurare le impostazioni di passcode monouso tramite posta elettronica con il tipo di risorsa emailAuthenticationMethodConfiguration nell'API Microsoft Graph.
  • Se nel tenant è stata abilitata la funzionalità passcode monouso tramite posta elettronica e la si disattiva, gli utenti guest che hanno riscattato un passcode monouso non potranno accedere. È possibile reimpostare lo stato di riscatto in modo che possano accedere di nuovo usando un altro metodo di autenticazione.

Per abilitare o disabilitare i passcode monouso tramite posta elettronica

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator di sicurezza.

  2. Passare a Identità>esterne Tutti>i provider di identità.

  3. Nell'elenco Provider di identità configurati selezionare Passcode monouso tramite posta elettronica.

  4. In Passcode monouso della posta elettronica per gli utenti guest selezionare una delle opzioni seguenti:

    • : l'interruttore è impostato su per impostazione predefinita, a meno che la funzionalità non sia stata disattivata in modo esplicito. Per abilitare la funzionalità, assicurarsi che Sia selezionato Sì .
    • No: se si vuole disabilitare la funzionalità passcode monouso tramite posta elettronica, selezionare No.

Screenshot che illustrano l'interruttore Passcode monouso della posta elettronica.

  1. Seleziona Salva.

Domande frequenti

Cosa accade agli utenti guest esistenti se si abilita il passcode monouso tramite posta elettronica?

Gli utenti guest esistenti non saranno interessati se si abilita il passcode monouso della posta elettronica, perché gli utenti esistenti hanno già superato il punto di riscatto. L'abilitazione del passcode monouso della posta elettronica influirà solo sulle attività future del processo di riscatto in cui i nuovi utenti guest stanno riscattando nel tenant.

Qual è l'esperienza utente quando il passcode monouso della posta elettronica è disabilitato?

Se è stata disabilitata la funzionalità passcode monouso tramite posta elettronica, all'utente viene richiesto di creare un account Microsoft.

Inoltre, quando il passcode monouso della posta elettronica è disabilitato, gli utenti potrebbero visualizzare un errore di accesso quando riscattano un collegamento diretto all'applicazione e non sono stati aggiunti in anticipo alla directory.

Per altre informazioni sui diversi percorsi del processo di riscatto, vedere Riscatto degli inviti di Collaborazione B2B.

Il "Nessun account? Crearne uno!" opzione per l'iscrizione self-service?

No. È facile ottenere l'iscrizione self-service nel contesto dell'ID esterno confuso con l'iscrizione self-service per gli utenti verificati tramite posta elettronica, ma sono due funzionalità diverse. La funzionalità non gestita ("virale") deprecata è l'iscrizione self-service con utenti verificati tramite posta elettronica, che ha comportato la creazione di un account Microsoft Entra non gestito. Tuttavia, l'iscrizione self-service per l'ID esterno continuerà a essere disponibile, che comporta l'iscrizione degli utenti guest all'organizzazione con un'ampia gamma di provider di identità. 

Cosa è consigliabile fare con gli account Microsoft esistenti (MSA)?

Quando è supportata la possibilità di disabilitare l'account Microsoft nelle impostazioni provider di identità (non attualmente disponibili), è consigliabile disabilitare l'account Microsoft e abilitare il passcode monouso tramite posta elettronica. È quindi necessario reimpostare lo stato di riscatto degli utenti guest esistenti con account Microsoft in modo che possano riscattare nuovamente usando l'autenticazione con passcode monouso tramite posta elettronica e usare il passcode monouso per accedere in futuro.

Per quanto riguarda la modifica per abilitare il passcode monouso tramite posta elettronica per impostazione predefinita, include l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B?

No, l'implementazione globale della modifica per abilitare il passcode monouso della posta elettronica per impostazione predefinita non include l'abilitazione dell'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per impostazione predefinita. Per informazioni su come abilitare o disabilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per la collaborazione sicura, vedere Integrazione di SharePoint e OneDrive con Microsoft Entra B2B.

Passaggi successivi

Informazioni sui provider di identità per l'ID esterno e su come reimpostare lo stato di riscatto per un utente guest.