電子メール ワンタイム パスコード認証

  • [アーティクル]

電子メール ワンタイム パスコード機能は、Microsoft Entra ID、Microsoft アカウント (MSA)、またはソーシャル ID プロバイダーなどの他の方法で B2B コラボレーション ユーザーを認証できない場合に、そのユーザーを認証する方法です。 B2B ゲスト ユーザーは、招待を引き換えたり、共有リソースにサインインしたりしようとするときに、一時パスコードを要求できます。このパスコードは、ユーザーのメール アドレスに送信されます。 その後、このパスコードを入力してサインインを続けます。

電子メール ワンタイム パスコードの概要を示す図。

重要

  • すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能により、ゲスト ユーザーに対するシームレスなフォールバック認証方法が提供されます。 この機能を使用しない場合は無効にできます。その場合、ユーザーは代わりに Microsoft アカウントを作成するように求められます。

Note

現在、条件付きアクセスを介してメールのワンタイム パスコード アカウントに認証強度ポリシーを適用することはできません。 代わりに、条件付きアクセス許可コントロール [MFA を必須にする] を使います。 詳細については、「外部 ID の認証と条件付きアクセス」ページの「外部ユーザーの認証強度ポリシー」セクションを参照してください。

サインインのエンドポイント

メールのワンタイム パスコードのゲスト ユーザーは、共通エンドポイント (つまり、テナント コンテキストを含まない一般的なアプリ URL) を使って、マルチテナント アプリまたは Microsoft のファースト パーティ アプリにサインインできるようになりました。 サインイン プロセス中に、ゲスト ユーザーは [サインイン オプション] を選択してから、 [組織にサインイン] を選択します。 次に、ユーザーは組織の名前を入力し、ワンタイム パスコードを使用してサインインを続行します。

電子メール ワンタイム パスコードのゲスト ユーザーは、テナント情報を含むアプリケーション エンドポイントを使用することもできます。次に例を示します。

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

また、https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> のようにテナント情報を含めることによって、アプリケーションまたはリソースへの直接リンクを電子メール ワンタイム パスコードのゲスト ユーザーに提供することもできます。

注意

メールのワンタイム パスコードのゲスト ユーザーは、サインイン オプションを選択せずに、共通エンドポイントから直接 Microsoft Teams にサインインできます。 Microsoft Teams へのサインイン プロセス中に、ゲスト ユーザーはリンクを選択してワンタイム パスコードを送信できます。

ワンタイム パスコードのゲスト ユーザーに対するユーザー エクスペリエンス

電子メール ワンタイム パスコード機能が有効になっている場合、一定の条件を満たす新しく招待されたユーザーはワンタイム パスコード認証を使用します。 電子メール ワンタイム パスコードが有効になる前に招待に応じたゲスト ユーザーは、引き続き同じ認証方法を使用します。

ワンタイム パスコード認証では、ゲスト ユーザーは、直接リンクをクリックするか、招待メールを使用して、招待を引き換えることができます。 どちらの場合も、ブラウザーのメッセージで、ゲスト ユーザーのメール アドレスにコードが送信されることが示されます。 ゲスト ユーザーは、 [コードの送信] を選択します。

[コードの送信] ボタンを示すスクリーンショット。

パスコードがユーザーのメール アドレスに送信されます。 ユーザーは、メールからパスコードを取得し、ブラウザー ウィンドウに入力します。

[コードの入力] ページを示すスクリーンショット。

ゲスト ユーザーは認証されて、共有リソースを表示したり、サインインを続行したりできるようになります。

注意

ワンタイム パスコードの有効期間は 30 分です。 30 分が経過すると、その特定のワンタイム パスコードは無効になり、ユーザーは新しいパスコードを要求する必要があります。 ユーザー セッションは 24 時間後に期限が切れます。 それを過ぎると、ゲスト ユーザーはリソースにアクセスするときに新しいパスコードを受け取ります。 セッションの有効期限により、ゲスト ユーザーが自分の会社を退職したりアクセスを必要としなくなったときに特に、セキュリティが強化されます。

ゲスト ユーザーがワンタイム パスコードを入手するとき

次の場合、ゲスト ユーザーは、招待に応じたとき、または共有されているリソースへのリンクを使用したときに、ワンタイム パスコードを受け取ります。

  • Microsoft アカウントを持っていない。
  • Microsoft アカウントを持っていない。
  • 招待元のテナントで、ソーシャル プロバイダー (Google など) や他の ID プロバイダーとのフェデレーションを設定していなかった。
  • 他の認証方法もパスワードで認証されるアカウントも持っていない。
  • 電子メール ワンタイム パスコードが有効になっている。

招待するとき、招待されるユーザーにワンタイム パスコード認証が使用されることは示されません。 ただし、ゲスト ユーザーがサインインするとき、他の認証方法を使用できない場合は、ワンタイム パスコード認証がフォールバック メソッドになります。

Note

ユーザーがワンタイム パスコードを使用した後、MSA、Microsoft Entra アカウント、または他のフェデレーション アカウントを取得した場合、引き続きワンタイム パスコードによる認証が使用されます。 ユーザーの認証方法を更新する場合は、ユーザーの利用状態をリセットすることができます。

ゲスト ユーザー nicole@firstupconsultants.com は、Google フェデレーションが設定されていない Fabrikam に招待されます。 Nicole は Microsoft アカウントを持っていません。 認証用のワンタイム パスコードを受け取ります。

メールのワンタイム パスコードを有効または無効にする

すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能により、ゲスト ユーザーに対するシームレスなフォールバック認証方法が提供されます。 この機能を使用しない場合は無効にできます。その場合、ユーザーは Microsoft アカウントを作成するように求められます。

注意

  • 電子メール ワンタイム パスコードの設定は、Microsoft Graph API で emailAuthenticationMethodConfiguration リソースの種類を使用して構成することもできます。
  • お使いのテナントで電子メール ワンタイム パスコード機能が有効になっているときに、それを無効にした場合、ワンタイム パスコードを利用していたゲスト ユーザーは全員サインインできなくなります。 別の認証方法を使用してもう一度サインインできるように、利用状態をリセットすることができます。

メールのワンタイム パスコードを有効または無効にするには

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

  1. セキュリティ管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[External Identities]>[すべての ID プロバイダー] に移動します。

  3. [構成済みの ID プロバイダー] ボックスの一覧で、[メールのワンタイム パスコード] を選びます。

  4. [ゲストの電子メール ワンタイム パスコード] で、次のいずれかを選択します。

    • はい: 機能が明示的にオフになっていない限り、トグルは既定では [はい] に設定されます。 この機能を有効にするには、[はい] が選択されていることを確認します。
    • いいえ: メールのワンタイム パスコード機能を無効にする場合は、[いいえ] を選択します。

メールのワンタイム パスコードのトグルを示すスクリーンショット。

  1. [保存] を選択します。

よく寄せられる質問

電子メールでワンタイムパスコードを有効にした場合、既存のゲストユーザーはどうなりますか?

既存のゲストユーザーは、すでに引き換え時期を過ぎているため、メールのワンタイム パスコードを有効にしても影響を受けません。 電子メール ワンタイム パスコードの有効化は、新しいゲスト ユーザーがテナントを利用する際の将来の引き換え行為にのみ影響します。

電子メール ワンタイム パスコードが無効になっているときのユーザー エクスペリエンスはどのようなものですか?

電子メール ワンタイム パスコード機能を無効にした場合、ユーザーは Microsoft アカウントの作成を求められます。

電子メール ワンタイム パスコードが無効であると、ユーザーがダイレクト アプリケーション リンクを利用していて、事前にディレクトリに追加されていないときに、ユーザーにサインインエラーが表示される可能性があります。

さまざまな利用開始プロセスの詳細については、「B2B コラボレーションの招待の利用」に関するページを参照してください。

"アカウントをお持ちでない場合、 作成してください。” というセルフサービス サインアップのオプションが表示されなくなるのですか?

いいえ。 外部 ID のコンテキストでのセルフサービス サインアップは、メール検証済みユーザーのセルフサービス サインアップと混同しやすいですが、これらは 2 つの異なる機能です。 非推奨となったアンマネージド (「バイラル」) 機能は、メール検証済みユーザーのセルフサービス サインアップであり、このため、ゲストはアンマネージド Microsoft Entra アカウントを作成します。 ただし、外部 ID のセルフサービス サインアップは引き続き利用可能であり、ゲストはさまざまな ID プロバイダーを使用して組織にサインアップすることになります。 

Microsoft では、既存の Microsoft アカウント (MSA) をどのようにすることを勧めていますか?

ID プロバイダーの設定で Microsoft アカウントを無効にできるようになったら (現時点では利用できません)、Microsoft アカウントを無効にして電子メール ワンタイム パスコードを有効にすることを強くお勧めします。 次に、Microsoft アカウントを使用している既存のゲストの利用状態をリセットします。これにより、ゲストはメールのワンタイム パスコード認証の使用に再度切り替え、今後はメールのワンタイム パスコードを使用してサインインできるようになります。

既定で電子メール ワンタイム パスコードを有効にする変更に関して、SharePoint および OneDrive の Microsoft Entra B2B との統合の有効化がこれに含まれますか?

いいえ、電子メール ワンタイム パスコードを既定で有効にする変更をグローバルにロールアウトすることには、SharePoint および OneDrive の Microsoft Entra B2B との統合を既定で有効することを含みません。安全なコラボレーションのために SharePoint および OneDrive の Microsoft Entra B2B との統合を有効または無効にする方法については、「SharePoint および OneDrive の Microsoft Entra B2B との統合」を参照してください。

次のステップ

外部 ID の ID プロバイダー」および「ゲスト ユーザーの引き換え状態をリセットする」方法について学習します。