Autenticazione con passcode monouso tramite e-mail

Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)

La funzionalità di passcode monouso tramite e-mail è un modo per autenticare gli utenti di Collaborazione B2B quando non possono essere autenticati tramite altri mezzi, ad esempio Microsoft Entra ID, account Microsoft (MSA) o provider di identità di social network. Quando un utente guest B2B tenta di riscattare l'invito o accedere alle risorse condivise, può richiedere un passcode temporaneo, che viene inviato al proprio indirizzo di posta elettronica. Quindi, immette tale codice per continuare ad accedere.

Importante

• La funzionalità di passcode monouso tramite e-mail è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla; in questo caso, agli utenti verrà richiesto di creare un account Microsoft.

Nota

Attualmente non è possibile applicare criteri di attendibilità dell'autenticazione tramite l'accesso condizionale agli account con passcode monouso tramite e-mail. Usare invece il controllo di concessione dell'accesso condizionale "Richiedere l'autenticazione MFA". Per altre informazioni, vedere la sezione Criteri di attendibilità dell'autenticazione per gli utenti esterni della pagina Autenticazione e accesso condizionale per ID esterno.

Endpoint di accesso

Gli utenti guest con passcode monouso tramite e-mail possono ora accedere alle app multi-tenant o proprietarie di Microsoft usando un endpoint comune (in altre parole, un URL generale dell'app che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso, quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso con passcode monouso.

Gli utenti guest con passcode monouso tramite e-mail possono usare anche gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

È anche possibile fornire agli utenti guest con passcode monouso tramite e-mail un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Nota

Gli utenti guest con passcode monouso possono accedere a Microsoft Teams direttamente dall'endpoint comune senza scegliere le opzioni di accesso. Durante il processo di accesso a Microsoft Teams, l'utente guest può selezionare un collegamento per inviare un passcode monouso.

Esperienza utente per gli utenti guest con passcode monouso

Quando la funzionalità di passcode monouso tramite e-mail è abilitata, gli utenti appena invitati che soddisfano determinate condizioni useranno l'autenticazione con passcode monouso. Gli utenti guest che hanno riscattato un invito prima dell'abilitazione del passcode monouso tramite e-mail continueranno a usare lo stesso metodo di autenticazione.

Grazie all'autenticazione con passcode monouso, l'utente guest può riscattare l'invito facendo clic su un collegamento diretto o tramite l'indirizzo di posta elettronica di invito. In entrambi i casi, un messaggio nel browser indica che verrà inviato un codice all'indirizzo di posta elettronica dell'utente guest. L'utente guest seleziona Send code (Invia codice):

Un passcode viene inviato all'indirizzo di posta elettronica dell'utente. L'utente recupera il passcode dal messaggio di posta elettronica e lo immette nella finestra del browser:

L'utente guest viene autenticato e può quindi visualizzare la risorsa condivisa o continuare ad accedere.

Nota

I passcode monouso sono validi per 30 minuti. Dopo 30 minuti, tale passcode monouso specifico non è più valido e l'utente deve richiederne uno nuovo. Le sessioni utente scadono dopo 24 ore. Dopo tale periodo, l'utente guest riceve un nuovo passcode quando accede alla risorsa. La scadenza della sessione offre una sicurezza maggiore, in particolare quando un utente guest lascia la società o non ha più bisogno dell'accesso.

In quali casi un utente guest ottiene un passcode monouso?

Quando un utente guest riscatta un invito o usa un collegamento a una risorsa che è stato condivisa con tale utente, questo riceve un passcode monouso se:

• Non dispongono di un account Microsoft Entra.
• Non dispongono di un account Microsoft.
• Il tenant che invita non ha configurato la federazione con social network (ad esempio Google) o altri provider di identità.
• Non hanno altri metodi di autenticazione o account supportati da password.
• Il passcode monouso della posta elettronica è abilitato.

Al momento dell'invito non è presente alcuna indicazione del fatto che l'utente che si sta invitando userà l'autenticazione con passcode monouso. Tuttavia quando l'utente guest accede, l'autenticazione con passcode monouso sarà il metodo di fallback se non è possibile utilizzare altri metodi di autenticazione.

Nota

Quando un utente riscatta un passcode monouso e in un secondo momento ottiene un account Microsoft, un account Microsoft Entra o un altro account federato, continuerà a essere autenticato con un passcode monouso. Se si vuole aggiornare il metodo di autenticazione dell'utente, è possibile reimpostare lo stato di riscatto.

Esempio

L'utente guest nicole@firstupconsultants.com viene invitato in Fabrikam, che non dispone di federazione Google configurata. Nicole non ha un account Microsoft. Riceverà un passcode monouso per l'autenticazione.

Abilitare o disabilitare i passcode monouso tramite e-mail

La funzionalità di passcode monouso tramite e-mail è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla; in questo caso, agli utenti verrà richiesto di creare un account Microsoft.

Nota

• È anche possibile configurare le impostazioni di passcode monouso tramite e-mail con il tipo di risorsa emailAuthenticationMethodConfiguration nell'API Microsoft Graph.
• Se nel tenant è stata abilitata la funzionalità di passcode monouso tramite e-mail e viene disattivata, gli utenti guest che hanno riscattato un passcode monouso non potranno accedere. È possibile reimpostare lo stato di riscatto in modo che possano accedere di nuovo usando un altro metodo di autenticazione.

Abilitare o disabilitare i passcode monouso tramite e-mail

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale di partenza.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore della sicurezza.

2. Andare a Identità>Identità esterne>Tutti i provider di identità.

3. Nella scheda Predefinito, accanto a passcode monouso tramite e-mail, selezionare Configurato.

4. In Passcode monouso tramite e-mail per gli utenti guest, selezionare una delle opzioni seguenti:

   • Sì: il selettore è impostato su Sì per impostazione predefinita, a meno che la funzionalità non sia stata disattivata in modo esplicito. Per abilitare la funzionalità, assicurarsi che sia selezionata l'opzione Sì.
   • No: se si vuole disabilitare la funzionalità passcode monouso tramite e-mail, selezionare No.

6. Seleziona Salva.

Domande frequenti

Cosa accade agli utenti guest esistenti se si abilita il passcode monouso tramite e-mail?

Gli utenti guest esistenti non saranno interessati se si abilita il passcode monouso tramite e-mail, perché gli utenti esistenti hanno già superato il punto di riscatto. L'abilitazione del passcode monouso tramite e-mail influirà solo sulle attività future del processo di riscatto che i nuovi utenti guest stanno riscattando nel tenant.

Qual è l'esperienza utente quando il passcode monouso tramite e-mail è disabilitato?

Se è stata disabilitata la funzionalità di passcode monouso tramite e-mail, all'utente viene richiesto di creare un account Microsoft.

Inoltre, quando il passcode monouso tramite e-mail è disabilitato, gli utenti potrebbero visualizzare un errore di accesso quando riscattano un collegamento diretto all'applicazione e non sono stati aggiunti in precedenza alla directory.

Per informazioni sul processo di riscatto, vedere Riscatto dell'invito di Collaborazione B2B.

L'opzione"Nessun account? Creane uno!" per l'iscrizione self-service non sarà più disponibile?

No. Anche se è facile confondere l'iscrizione self-service nel contesto dell'ID esterno con l'iscrizione self-service per gli utenti verificati tramite posta elettronica, sono due funzionalità diverse. La funzionalità non gestita ("virale") che è stata deprecata è l'iscrizione self-service con utenti verificati tramite e-mail, che ha comportato la creazione di un account Microsoft Entra non gestito. Tuttavia, l'iscrizione self-service per l'ID esterno continuerà a essere disponibile; ciò comporta l'iscrizione degli utenti guest all'organizzazione con un'ampia gamma di provider di identità. 

Cosa è consigliabile fare con gli account Microsoft (MSA) esistenti?

Quando sarà supportata la possibilità di disabilitare l'account Microsoft nelle impostazioni del provider di identità (non disponibile al momento), è consigliabile disabilitare l'account Microsoft e abilitare il passcode monouso tramite e-mail. Quindi, è necessario reimpostare lo stato di riscatto degli utenti guest esistenti con account Microsoft in modo che possano eseguire nuovamente il riscatto usando l'autenticazione con passcode monouso tramite e-mail e usare il passcode monouso per accedere in futuro.

Per quanto riguarda la modifica per abilitare il passcode monouso tramite e-mail per impostazione predefinita, include l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B?

No, l'implementazione globale della modifica per abilitare il passcode monouso tramite e-mail per impostazione predefinita non include l'abilitazione dell'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per impostazione predefinita. Per informazioni su come abilitare o disabilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per la collaborazione sicura, vedere Integrazione di SharePoint e OneDrive con Microsoft Entra B2B.

Passaggi successivi

Ulteriori informazioni sui provider di identità per l'ID esterno e su come reimpostare lo stato di riscatto per un utente guest.