Аутентификация с использованием одноразового секретного кода из сообщения

  • Статья

Функция однократного секретного кода электронной почты — это способ проверки подлинности пользователей совместной работы B2B, если они не могут проходить проверку подлинности с помощью других средств, таких как идентификатор Microsoft Entra, учетная запись Майкрософт (MSA) или поставщики удостоверений социальных сетей. Когда гостевой пользователь B2B пытается активировать ваше приглашение или войти в общие ресурсы, он может запросить временный секретный код, который отправляется на его адрес электронной почты. Этот код нужно ввести, чтобы войти в систему.

Обзорная схема одноразового секретного кода, отправляемого на электронную почту.

Внимание

  • Функция одноразового секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, если вы его не отключили напрямую. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.

Примечание.

В настоящее время нельзя применять политики надежности проверки подлинности с помощью условного доступа к учетным записям однократного секретного кода электронной почты. Вместо этого используйте элемент управления условного доступа "Требовать MFA". Дополнительные сведения см. в разделе "Политики надежности проверки подлинности для внешних пользователей" на странице проверки подлинности и условного доступа для внешнего идентификатора.

Конечные точки входа

Пользователи однократного секретного кода электронной почты теперь могут войти в мультитенантные или сторонние приложения Майкрософт с помощью общей конечной точки (другими словами, url-адрес общего приложения, который не включает контекст клиента). В процессе входа гостевой пользователь выбирает Параметры входа, а затем Вход в организацию. Далее пользователь вводит название организации и выполняет вход с помощью одноразового секретного кода.

Гостевые пользователи с одноразовым секретным кодом электронной почты могут также использовать конечные точки приложений, содержащие сведения об арендаторе, например:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Вы также можете предоставить гостевым пользователям с одноразовым секретным кодом электронной почты прямую ссылку на приложение или ресурс, если эта ссылка включает сведения об арендаторе, например https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Примечание.

Однократные гостевые пользователи секретного кода электронной почты могут войти в Microsoft Teams непосредственно из общей конечной точки без выбора параметров входа. Во время входа в Microsoft Teams гостевой пользователь может выбрать ссылку, чтобы отправить одноразовый секретный код.

Применение одноразового секретного кода гостевыми пользователями

Если включена функция одноразового секретного кода по электронной почте, то вновь приглашенные пользователи , которые отвечают определенным условиям, будут использовать проверку подлинности с использованием одноразового секретного кода. Гостевые пользователи, которые активировали свои приглашения ранее, будут продолжать использовать свой обычный метод проверки подлинности.

При использовании проверки подлинности на основе одноразового секретного кода гостевой пользователь может активировать ваше приглашение, перейдя по прямой ссылке или используя письмо с приглашением. В обоих случаях в браузере отобразится сообщение о том, что секретный код будет отправлен на адрес электронной почты гостевого пользователя. Гостевому пользователю необходимо щелкнуть Отправить код:

Снимок экрана: кнопка

Секретный код отправляется на адрес электронной почты пользователя. Пользователь получает секретный код в письме и вводит его в окне браузера:

Снимок экрана: страница для ввода кода.

После проверки подлинности гостевой пользователь может просмотреть общий ресурс или продолжить вход.

Примечание.

Одноразовый секретный код действителен в течение 30 минут. По истечении 30 минут этот одноразовый секретный код станет недействительным, и пользователю придется запросить новый. Сеансы пользователя завершаются через 24 часа. По прошествии этого времени для доступа к ресурсу гостевому пользователю необходимо получить новый секретный код. Срок действия сеанса позволяет повысить уровень безопасности, особенно если гостевой пользователь увольняется из компании или ему больше не нужен доступ к ресурсам.

Когда гостевой пользователь получает одноразовый секретный код?

Когда гостевой пользователь активирует приглашение или использует ссылку на ресурс, к которому был предоставлен общий доступ, он получит одноразовый секретный код, если:

  • у него нет учетной записи Microsoft Entra.
  • у него нет учетной записи Майкрософт;
  • арендатор, отправивший приглашение, не настроил федерацию с социальной сетью (например, Google) или другими поставщиками удостоверений.
  • у него нет других методов проверки подлинности или учетных записей на основе пароля;
  • отправка одноразового секретного кода по электронной почте включена.

Во время отправки приглашения нельзя определить, что приглашаемый пользователь будет применять проверку подлинности на основе одноразового секретного кода. Но если невозможно использовать другие методы проверки подлинности, когда гостевой пользователь входит в систему, в качестве резервного метода применяется проверка подлинности на основе одноразового секретного кода.

Примечание.

Когда пользователь активирует одноразовый секретный код, а затем получает учетную запись MSA, учетную запись Microsoft Entra или другую федеративную учетную запись, они будут продолжать проходить проверку подлинности с помощью однократного секретного кода. Если вы хотите обновить метод проверки подлинности пользователя, можно сбросить состояние активации.

Пример

Гостевой пользователь nicole@firstupconsultants.com приглашен в компанию Fabrikam, которая не поддерживает настройку федерации Google. У Николя нет учетной записи Майкрософт. Он получит одноразовый секретный код для проверки подлинности.

Включение или отключение одноразовых секретных кодов, отправляемых по электронной почте

Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.

Примечание.

  • Параметры одноразового секретного кода электронной почты также можно настроить с помощью типа ресурса emailAuthenticationMethodConfiguration в API Microsoft Graph.
  • Если функция секретного кода одноразового пароля включена в клиенте и вы ее отключаете, все гостевые пользователи, которые активировали одноразовый секретный код, не смогут войти в систему. Вам нужно сбросить состояние активации, чтобы они могли снова войти в систему с помощью другого метода проверки подлинности.

Включение одноразовых секретных кодов, отправляемых по электронной почте

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор istrator безопасности.

  2. Перейдите к списку внешних>удостоверений>всех поставщиков удостоверений.

  3. В списке настроенных поставщиков удостоверений выберите одноразовый секретный код электронной почты.

  4. В разделе Отправлять одноразовый секретный код гостям по электронной почте выберите один из следующих вариантов:

    • Да: переключатель установлен на Да по умолчанию, если функция не была явно отключена. Чтобы включить эту функцию, убедитесь, что выбрано Да.
    • Нет: если вы хотите отключить функцию одноразового секретного кода электронной почты, выберите Нет.

Снимок экрана: переключатель для отправки одноразового секретного кода по электронной почте.

  1. Выберите Сохранить.

Часто задаваемые вопросы

Что произойдет с имеющимися гостевыми пользователями, если включить отправку одноразового секретного кода по электронной почте?

Имеющиеся гостевые пользователи не будут затронуты, если включить отправку одноразового секретного кода по электронной почте, так как они уже прошли точку активации. Включение однократного секретного кода электронной почты влияет только на будущие действия процесса активации, в которых новые гостевые пользователи активируются в клиенте.

Что такое взаимодействие с пользователем при отключении одноразового секретного кода электронной почты?

Если вы отключили функцию отправки одноразового секретного кода по электронной почте, пользователю будет предложено создать учетную запись Майкрософт.

Если одноразовый секретный код отключен, пользователь может столкнуться с ошибкой входа при активации прямой ссылки на приложение и невозможности добавления заранее в ваш каталог.

Дополнительные сведения о различных путях активации см. в статье B2B Для активации приглашений на совместную работу.

Будет ли выводиться сообщение «Нет учетной записи»? Создайте ее!" функции для самостоятельной регистрации больше не будет?

№ Это легко получить самостоятельную регистрацию в контексте внешнего идентификатора спутать с самообслуживанием регистрации для пользователей, проверенных по электронной почте, но они две разные функции. Неуправляемая функция ("вирусная") нерекомендуемая является самостоятельной регистрации с проверенными по электронной почте пользователями, что привело к созданию неуправляемой учетной записи Microsoft Entra. Однако самостоятельная регистрация для внешнего идентификатора будет по-прежнему доступна, что приводит к регистрации гостей в организации с различными поставщиками удостоверений. 

Что корпорация Майкрософт рекомендует делать с доступными учетными записями Майкрософт (MSA)?

Когда будет поддерживаться возможность отключения учетной записи Майкрософт в параметрах поставщиков удостоверений (сейчас недоступна), настоятельно рекомендуется отключить учетную запись Майкрософт и включить отправку одноразового секретного кода по электронной почте. Затем следует сбросить состояние активации доступных гостей с учетными записями Майкрософт, чтобы они могли повторно активироваться с помощью аутентификации с использованием отправки секретного кода по электронной почте, и использовать его для входа.

Что касается изменения, чтобы включить одноразовый секретный код электронной почты по умолчанию, это включает интеграцию SharePoint и OneDrive с Microsoft Entra B2B?

Нет, глобальный выпуск изменения, чтобы включить одноразовый секретный код электронной почты по умолчанию, не включает интеграцию SharePoint и OneDrive с Microsoft Entra B2B по умолчанию. Сведения о включении или отключении интеграции SharePoint и OneDrive с Microsoft Entra B2B для безопасной совместной работы см. в статье Интеграции SharePoint и OneDrive с Microsoft Entra B2B.

Следующие шаги

Узнайте о поставщиках удостоверений для внешнего идентификатора и о том, как сбросить состояние активации для гостевого пользователя.