電子メール ワンタイム パスコード認証

  • [アーティクル]

電子メール ワンタイム パスコード機能は、Azure AD、Microsoft アカウント (MSA)、ソーシャル ID プロバイダーなどの他の方法で認証できない場合に、B2B コラボレーション ユーザーを認証する方法です。 B2B ゲスト ユーザーは、招待を引き換えたり、共有リソースにサインインしたりしようとするときに、一時パスコードを要求できます。このパスコードは、ユーザーのメール アドレスに送信されます。 その後、このパスコードを入力してサインインを続けます。

電子メール ワンタイム パスコードの概要を示す図。

重要

  • すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能により、ゲスト ユーザーに対するシームレスなフォールバック認証方法が提供されます。 この機能を使用しない場合は無効にできます。その場合、ユーザーは代わりに Microsoft アカウントを作成するように求められます。

サインインのエンドポイント

電子メール ワンタイム パスコードのゲスト ユーザーは、共通のエンドポイント (つまり、テナント コンテキストを含まない一般的なアプリ URL) を使用して、マルチテナントまたは Microsoft のファーストパーティ アプリにサインインできるようになりました。 サインイン プロセス中に、ゲスト ユーザーは [サインイン オプション] を選択してから、 [組織にサインイン] を選択します。 次に、ユーザーは組織の名前を入力し、ワンタイム パスコードを使用してサインインを続行します。

電子メール ワンタイム パスコードのゲスト ユーザーは、テナント情報を含むアプリケーション エンドポイントを使用することもできます。次に例を示します。

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

また、https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID> のようにテナント情報を含めることによって、アプリケーションまたはリソースへの直接リンクを電子メール ワンタイム パスコードのゲスト ユーザーに提供することもできます。

ワンタイム パスコードのゲスト ユーザーに対するユーザー エクスペリエンス

電子メール ワンタイム パスコード機能が有効になっている場合、一定の条件を満たす新しく招待されたユーザーはワンタイム パスコード認証を使用します。 電子メール ワンタイム パスコードが有効になる前に招待に応じたゲスト ユーザーは、引き続き同じ認証方法を使用します。

ワンタイム パスコード認証では、ゲスト ユーザーは、直接リンクをクリックするか、招待メールを使用して、招待を引き換えることができます。 どちらの場合も、ブラウザーのメッセージで、ゲスト ユーザーのメール アドレスにコードが送信されることが示されます。 ゲスト ユーザーは、 [コードの送信] を選択します。

[コードの送信] ボタンを示すスクリーンショット。

パスコードがユーザーのメール アドレスに送信されます。 ユーザーは、メールからパスコードを取得し、ブラウザー ウィンドウに入力します。

[コードの入力] ページを示すスクリーンショット。

ゲスト ユーザーは認証されて、共有リソースを表示したり、サインインを続行したりできるようになります。

注意

ワンタイム パスコードの有効期間は 30 分です。 30 分が経過すると、その特定のワンタイム パスコードは無効になり、ユーザーは新しいパスコードを要求する必要があります。 ユーザー セッションは 24 時間後に期限が切れます。 それを過ぎると、ゲスト ユーザーはリソースにアクセスするときに新しいパスコードを受け取ります。 セッションの有効期限により、ゲスト ユーザーが自分の会社を退職したりアクセスを必要としなくなったときに特に、セキュリティが強化されます。

ゲスト ユーザーがワンタイム パスコードを入手するとき

次の場合、ゲスト ユーザーは、招待に応じたとき、または共有されているリソースへのリンクを使用したときに、ワンタイム パスコードを受け取ります。

  • Azure AD アカウントを持っていない。
  • Microsoft アカウントを持っていない。
  • 招待元のテナントで、ソーシャル プロバイダー (Google など) や他の ID プロバイダーとのフェデレーションを設定していなかった。
  • 他の認証方法もパスワードで認証されるアカウントも持っていない。
  • 電子メール ワンタイム パスコードが有効になっている。

招待するとき、招待されるユーザーにワンタイム パスコード認証が使用されることは示されません。 ただし、ゲスト ユーザーがサインインするとき、他の認証方法を使用できない場合は、ワンタイム パスコード認証がフォールバック メソッドになります。

注意

ユーザーがワンタイム パスコードを使用した後、MSA、Azure AD アカウント、または他のフェデレーション アカウントを取得した場合、引き続きワンタイム パスコードによる認証が使用されます。 ユーザーの認証方法を更新する場合は、ユーザーの利用状態をリセットすることができます。

ゲスト ユーザー teri@gmail.com は、Google フェデレーションが設定されていない Fabrikam に招待されます。 Teri は Microsoft アカウントを持っていません。 認証用のワンタイム パスコードを受け取ります。

メールのワンタイム パスコードを有効または無効にする

すべての新しいテナントと、明示的に無効にしていない既存のテナントに対して、電子メール ワンタイム パスコード機能が既定で有効になりました。 この機能により、ゲスト ユーザーに対するシームレスなフォールバック認証方法が提供されます。 この機能を使用しない場合は無効にできます。その場合、ユーザーは Microsoft アカウントを作成するように求められます。

注意

  • 電子メール ワンタイム パスコードの設定は、Microsoft Graph API で emailAuthenticationMethodConfiguration リソースの種類を使用して構成することもできます。
  • お使いのテナントで電子メール ワンタイム パスコード機能が有効になっているときに、それを無効にした場合、ワンタイム パスコードを利用していたゲスト ユーザーは全員サインインできなくなります。 別の認証方法を使用してもう一度サインインできるように、利用状態をリセットすることができます。

メールのワンタイム パスコードを有効または無効にするには

  1. Azure AD の全体管理者として Azure portal にサインインします。

  2. ナビゲーション ペインで、 [Azure Active Directory] を選択します。

  3. [外部 ID]>[すべての ID プロバイダー] を選択します。

  4. [電子メール ワンタイム パスコード] を選択します。

  5. [ゲストの電子メール ワンタイム パスコード] で、次のいずれかを選択します。

    • はい: 機能が明示的にオフになっていない限り、トグルは既定では [はい] に設定されます。 この機能を有効にするには、[はい] が選択されていることを確認します。
    • いいえ: メールのワンタイム パスコード機能を無効にする場合は、[いいえ] を選択します。

    メールのワンタイム パスコードのトグルを示すスクリーンショット。

  6. [保存] を選択します。

よく寄せられる質問

電子メールでワンタイムパスコードを有効にした場合、既存のゲストユーザーはどうなりますか?

既存のゲストユーザーは、すでに引き換え時期を過ぎているため、メールのワンタイム パスコードを有効にしても影響を受けません。 電子メールのワンタイムパスコードを有効にすると、新しいゲストユーザーがテナントに引き換える将来の引き換えアクティビティにのみ影響します。

電子メール ワンタイム パスコードが無効になっているときのユーザー エクスペリエンスはどのようなものですか?

電子メール ワンタイム パスコード機能を無効にした場合、ユーザーは Microsoft アカウントの作成を求められます。

電子メール ワンタイム パスコードが無効であると、ユーザーがダイレクト アプリケーション リンクを利用していて、事前にディレクトリに追加されていないときに、ユーザーにサインインエラーが表示される可能性があります。

さまざまな利用開始プロセスの詳細については、B2B コラボレーションの招待の引き換えに関するページを参照してください。

"アカウントをお持ちでない場合、 作成してください。” というセルフサービス サインアップのオプションが表示されなくなるのですか?

いいえ。 External Identities のコンテキストでのセルフサービス サインアップは、メール検証済みユーザーのセルフサービス サインアップと混同しやすいですが、これらは 2 つの異なる機能です。 非推奨となったアンマネージド ("バイラル") 機能は、メール検証済みユーザーのセルフサービス サインアップです。このため、ゲストはアンマネージド Azure AD アカウントを作成します。 ただし、External Identities のセルフサービス サインアップは引き続き利用可能であり、ゲストはさまざまな ID プロバイダーを使用して組織にサインアップすることになります。 

Microsoft では、既存の Microsoft アカウント (MSA) をどのようにすることを勧めていますか?

ID プロバイダーの設定で Microsoft アカウントを無効にできるようになったら (現時点では利用できません)、Microsoft アカウントを無効にして電子メール ワンタイム パスコードを有効にすることを強くお勧めします。 次に、Microsoft アカウントを使用している既存のゲストの利用状態をリセットします。これにより、ゲストはメールのワンタイム パスコード認証の使用に再度切り替え、今後はメールのワンタイム パスコードを使用してサインインできるようになります。

既定で電子メール ワンタイム パスコードを有効にする変更に関して、SharePoint および OneDrive の Azure AD B2B との統合の有効化がこれに含まれますか?

いいえ。既定でメールのワンタイム パスコードを有効にする変更のグローバル ロールアウトに、SharePoint および OneDrive の Azure AD B2B との統合の有効化は既定では含まれていません。 SharePoint と OneDrive でのコラボレーションに B2B 機能が使用されるように統合を有効にする方法、またはこの統合を無効にする方法については、「SharePoint および OneDrive と Azure AD B2B との統合」を参照してください。

次の手順

External Identities の ID プロバイダーについて説明します。