Autenticazione con passcode monouso tramite posta elettronica per gli utenti guest B2B

Si applica a: Tenant della forza lavoro Tenant esterni (altre informazioni)

La funzionalità di passcode monouso tramite e-mail è un modo per autenticare gli utenti di Collaborazione B2B quando non possono essere autenticati tramite altri mezzi, ad esempio Microsoft Entra ID, account Microsoft (MSA) o provider di identità di social network. Quando un utente guest B2B tenta di riscattare l'invito o accedere alle risorse condivise, può richiedere un passcode temporaneo, che viene inviato al proprio indirizzo di posta elettronica. Quindi, immette tale codice per continuare ad accedere.

Importante

• La funzionalità di passcode monouso tramite e-mail è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla, nel qual caso agli utenti verrà richiesto di creare un account Microsoft.

Nota

Attualmente non è possibile applicare criteri di attendibilità dell'autenticazione tramite l'accesso condizionale agli account con passcode monouso tramite e-mail. Usare invece il controllo di concessione dell'accesso condizionale "Richiedere l'autenticazione MFA". Per altre informazioni, vedere la sezione Criteri di attendibilità dell'autenticazione per gli utenti esterni della pagina Autenticazione e accesso condizionale per ID esterno .

Endpoint di accesso

Gli utenti guest con passcode monouso possono ora accedere alle app multi-tenant o di Microsoft usando un endpoint comune (in altre parole, un URL generico dell'applicazione che non include il contesto del tenant). Durante il processo di accesso, l'utente guest sceglie le opzioni di accesso e quindi seleziona Accedi a un'organizzazione. L'utente digita quindi il nome dell'organizzazione e continua l'accesso con passcode monouso.

Gli utenti guest con passcode monouso tramite e-mail possono usare anche gli endpoint dell'applicazione che includono le informazioni sul tenant, ad esempio:

• https://myapps.microsoft.com/?tenantid=<your tenant ID>
• https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
• https://portal.azure.com/<your tenant ID>

È anche possibile fornire agli utenti guest con passcode monouso tramite e-mail un collegamento diretto a un'applicazione o a una risorsa includendo le informazioni sul tenant, ad esempio https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.

Nota

Gli utenti guest con passcode monouso possono effettuare l'accesso a Microsoft Teams direttamente dal punto di accesso comune senza dover scegliere le opzioni di accesso. Durante il processo di accesso a Microsoft Teams, l'utente guest può selezionare un collegamento per inviare un passcode monouso.

Esperienza utente per gli utenti guest con passcode monouso

Quando la funzionalità passcode monouso della posta elettronica è abilitata, gli utenti appena invitati che soddisfano determinate condizioni useranno l'autenticazione con passcode monouso. Gli utenti guest che hanno riscattato un invito prima dell'abilitazione del passcode monouso tramite e-mail continueranno a usare lo stesso metodo di autenticazione.

Grazie all'autenticazione con passcode monouso, l'utente guest può riscattare l'invito facendo clic su un collegamento diretto o tramite l'indirizzo di posta elettronica di invito. In entrambi i casi, un messaggio nel browser indica che verrà inviato un codice all'indirizzo di posta elettronica dell'utente guest. L'utente guest seleziona Invia codice:

Un passcode viene inviato all'indirizzo di posta elettronica dell'utente. L'utente recupera il passcode dal messaggio di posta elettronica e lo immette nella finestra del browser:

L'utente guest viene autenticato e può quindi visualizzare la risorsa condivisa o continuare ad accedere.

Nota

I passcode monouso sono validi per 30 minuti. Dopo 30 minuti, tale passcode monouso specifico non è più valido e l'utente deve richiederne uno nuovo. Le sessioni utente scadono dopo 24 ore. Dopo tale periodo, l'utente guest riceve un nuovo passcode quando accede alla risorsa. La scadenza della sessione offre una sicurezza maggiore, in particolare quando un utente guest lascia la società o non ha più bisogno dell'accesso.

In quali casi un utente guest ottiene un passcode monouso?

Quando un utente guest riscatta un invito o usa un collegamento a una risorsa che è stato condivisa con tale utente, questo riceve un passcode monouso se:

• Non dispongono di un account Microsoft Entra.
• Non dispongono di un account Microsoft.
• Il tenant che invita non ha configurato la federazione con social network (ad esempio Google) o altri provider di identità.
• Non hanno altri metodi di autenticazione o account supportati da password.
• Il passcode monouso della posta elettronica è abilitato.

Al momento dell'invito non è presente alcuna indicazione del fatto che l'utente che si sta invitando userà l'autenticazione con passcode monouso. Tuttavia quando l'utente guest accede, l'autenticazione con passcode monouso sarà il metodo di fallback se non è possibile utilizzare altri metodi di autenticazione.

Nota

Quando un utente riscatta un passcode monouso e in un secondo momento ottiene un account Microsoft, un account Microsoft Entra o un altro account federato, continuerà a essere autenticato con un passcode monouso. Se si vuole aggiornare il metodo di autenticazione dell'utente, è possibile reimpostare lo stato di riscatto.

Esempio

L'utente guest nicole@firstupconsultants.com viene invitato in Fabrikam, che non dispone di federazione Google configurata. Nicole non ha un account Microsoft. Riceverà un passcode monouso per l'autenticazione.

Abilitare o disabilitare i passcode monouso tramite e-mail

La funzionalità di passcode monouso tramite e-mail è ora attivata per impostazione predefinita per tutti i nuovi tenant e per tutti i tenant esistenti in cui non è stata disattivata in modo esplicito. Questa funzionalità offre un metodo di autenticazione di fallback facile per gli utenti guest. Se non si vuole usare questa funzionalità, è possibile disabilitarla; in questo caso, agli utenti verrà richiesto di creare un account Microsoft.

Nota

• È anche possibile configurare le impostazioni di passcode monouso tramite posta elettronica con il tipo di risorsa emailAuthenticationMethodConfiguration nell'API Microsoft Graph.
• Se nel tenant è stata abilitata la funzionalità di passcode monouso tramite e-mail e viene disattivata, gli utenti guest che hanno riscattato un passcode monouso non potranno accedere. È possibile reimpostare lo stato di riscatto in modo che possano accedere di nuovo usando un altro metodo di autenticazione.

Abilitare o disabilitare i passcode monouso tramite e-mail

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dei criteri di autenticazione.

2. Passare a Entra ID>Identità Esterne>Tutti i provider di identità.

3. Nella scheda Integrata, accanto a e-mail passcode monouso, selezionare Configurato.

4. In Passcode monouso tramite email per ospiti, selezionare una delle opzioni seguenti:

   • Sì: l'interruttore è impostato su Sì per impostazione predefinita, a meno che la funzionalità non sia stata disattivata in modo esplicito. Per abilitare la funzionalità, assicurarsi che Sia selezionato Sì .
   • No: se si vuole disabilitare la funzionalità passcode monouso tramite posta elettronica, selezionare No.

6. Selezionare Salva.

Domande frequenti

Cosa accade agli utenti guest esistenti se si abilita il passcode monouso tramite posta elettronica?

Gli utenti guest esistenti non saranno interessati se si abilita il passcode monouso tramite e-mail, perché gli utenti esistenti hanno già superato il punto di riscatto. L'abilitazione del passcode monouso tramite e-mail influirà solo sulle attività future del processo di riscatto che i nuovi utenti guest stanno riscattando nel tenant.

Qual è l'esperienza utente quando il passcode monouso della posta elettronica è disabilitato?

Se è stata disabilitata la funzionalità di passcode monouso tramite e-mail, all'utente viene richiesto di creare un account Microsoft.

Inoltre, quando il passcode monouso tramite e-mail è disabilitato, gli utenti potrebbero visualizzare un errore di accesso quando riscattano un collegamento diretto all'applicazione e non sono stati aggiunti in precedenza alla directory.

Per ulteriori informazioni sui vari percorsi per il riscatto, consultare Riscatto degli inviti di Collaborazione B2B.

L'opzione"Nessun account? Creane uno!" per l'iscrizione self-service non sarà più disponibile?

No È facile confondersi tra l'iscrizione self-service nel contesto dell'ID Esterno e l'iscrizione self-service per gli utenti verificati tramite posta elettronica, ma sono due funzionalità diverse. La funzionalità non gestita ("virale") deprecata è l'iscrizione self-service con utenti verificati tramite posta elettronica, che ha comportato la creazione di un account Microsoft Entra non gestito. Tuttavia, l'iscrizione self-service per l'ID esterno continuerà a essere disponibile, il che comporta l'iscrizione dei tuoi ospiti alla tua organizzazione con una varietà di provider di identità. 

Cosa è consigliabile fare con gli account Microsoft esistenti (MSA)?

Quando sarà supportata la possibilità di disabilitare l'account Microsoft nelle impostazioni del provider di identità (non disponibile al momento), è consigliabile disabilitare l'account Microsoft e abilitare il passcode monouso tramite e-mail. È quindi necessario reimpostare lo stato di riscatto degli utenti guest esistenti con account Microsoft in modo che possano riscattare nuovamente usando l'autenticazione con passcode monouso tramite posta elettronica e usare il passcode monouso per accedere in futuro.

Per quanto riguarda la modifica per abilitare il passcode monouso tramite posta elettronica per impostazione predefinita, include l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B?

No, l'implementazione globale della modifica per abilitare il passcode monouso della posta elettronica per impostazione predefinita non include l'abilitazione dell'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per impostazione predefinita. Per informazioni su come abilitare o disabilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per la collaborazione sicura, vedere Integrazione di SharePoint e OneDrive con Microsoft Entra B2B.

Passaggi successivi

Informazioni sui Fornitori di Identità per l'ID esterno e su come reimpostare lo stato di riscatto per un utente ospite.