Аутентификация с использованием одноразового секретного кода из сообщения

Функция одноразового секретного кода по электронной почте — это способ проверки подлинности пользователей службы совместной работы B2B, который используется, когда они не могут пройти проверку подлинности с помощью других средств, например Azure AD, учетная запись Майкрософт (MSA) или поставщики удостоверений социальных сетей. Когда гостевой пользователь B2B пытается активировать ваше приглашение или войти в общие ресурсы, он может запросить временный секретный код, который отправляется на его адрес электронной почты. Этот код нужно ввести, чтобы войти в систему.

Обзорная схема одноразового секретного кода, отправляемого на электронную почту.

Важно!

  • Функция одноразового секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, если вы его не отключили напрямую. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.

Конечные точки входа

Гостевые пользователи с одноразовым секретным кодом электронной почты могут входить в приложения с несколькими арендаторами или приложения Майкрософт, используя общую конечную точку (иными словами, обычный URL-адрес приложения, не включающий контекст арендатора). В процессе входа гостевой пользователь выбирает Параметры входа, а затем Вход в организацию. Далее пользователь вводит название организации и выполняет вход с помощью одноразового секретного кода.

Гостевые пользователи с одноразовым секретным кодом электронной почты могут также использовать конечные точки приложений, содержащие сведения об арендаторе, например:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Вы также можете предоставить гостевым пользователям с одноразовым секретным кодом электронной почты прямую ссылку на приложение или ресурс, если эта ссылка включает сведения об арендаторе, например https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Применение одноразового секретного кода гостевыми пользователями

Если включена функция одноразового секретного кода по электронной почте, то вновь приглашенные пользователи , которые отвечают определенным условиям, будут использовать проверку подлинности с использованием одноразового секретного кода. Гостевые пользователи, которые активировали свои приглашения ранее, будут продолжать использовать свой обычный метод проверки подлинности.

При использовании проверки подлинности на основе одноразового секретного кода гостевой пользователь может активировать ваше приглашение, перейдя по прямой ссылке или используя письмо с приглашением. В обоих случаях в браузере отобразится сообщение о том, что секретный код будет отправлен на адрес электронной почты гостевого пользователя. Гостевому пользователю необходимо щелкнуть Отправить код:

Снимок экрана: кнопка

Секретный код отправляется на адрес электронной почты пользователя. Пользователь получает секретный код в письме и вводит его в окне браузера:

Снимок экрана: страница для ввода кода.

После проверки подлинности гостевой пользователь может просмотреть общий ресурс или продолжить вход.

Примечание

Одноразовый секретный код действителен в течение 30 минут. По истечении 30 минут этот одноразовый секретный код станет недействительным, и пользователю придется запросить новый. Сеансы пользователя завершаются через 24 часа. По прошествии этого времени для доступа к ресурсу гостевому пользователю необходимо получить новый секретный код. Срок действия сеанса позволяет повысить уровень безопасности, особенно если гостевой пользователь увольняется из компании или ему больше не нужен доступ к ресурсам.

Когда гостевой пользователь получает одноразовый секретный код?

Когда гостевой пользователь активирует приглашение или использует ссылку на ресурс, к которому был предоставлен общий доступ, он получит одноразовый секретный код, если:

  • у него нет учетной записи в Azure AD;
  • у него нет учетной записи Майкрософт;
  • арендатор, отправивший приглашение, не настроил федерацию с социальной сетью (например, Google) или другими поставщиками удостоверений.
  • у него нет других методов проверки подлинности или учетных записей на основе пароля;
  • отправка одноразового секретного кода по электронной почте включена.

Во время отправки приглашения нельзя определить, что приглашаемый пользователь будет применять проверку подлинности на основе одноразового секретного кода. Но если невозможно использовать другие методы проверки подлинности, когда гостевой пользователь входит в систему, в качестве резервного метода применяется проверка подлинности на основе одноразового секретного кода.

Примечание

Если пользователь активирует одноразовый секретный код, а затем вводит данные MSA, учетной записи Azure AD или другой федеративной учетной записи, он по-прежнему считается пользователем с проверкой подлинности на основе одноразового секретного кода. Если вы хотите обновить метод проверки подлинности пользователя, можно сбросить состояние активации.

Пример

Гостевой пользователь teri@gmail.com приглашен в компанию Fabrikam, которая не поддерживает настройку федерации Google. У Билла нет учетной записи Майкрософт. Он получит одноразовый секретный код для проверки подлинности.

Включение или отключение одноразовых секретных кодов, отправляемых по электронной почте

Функция одноразового секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, если вы его не отключили напрямую. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.

Примечание

  • Параметры одноразового секретного кода электронной почты также можно настроить с помощью типа ресурса emailAuthenticationMethodConfiguration в API Microsoft Graph.
  • Если функция секретного кода одноразового пароля включена в клиенте и вы ее отключаете, все гостевые пользователи, которые активировали одноразовый секретный код, не смогут войти в систему. Вам нужно сбросить состояние активации, чтобы они могли снова войти в систему с помощью другого метода проверки подлинности.

Включение одноразовых секретных кодов, отправляемых по электронной почте

  1. Войдите на портал Azure с правами глобального администратора Azure AD.

  2. В области навигации выберите Azure Active Directory.

  3. Выберите Внешние удостоверения>Все поставщики удостоверений.

  4. Выберите Одноразовый секретный код, отправляемый по электронной почте.

  5. В разделе Отправлять одноразовый секретный код гостям по электронной почте выберите один из следующих вариантов:

    • Да: переключатель установлен на Да по умолчанию, если функция не была явно отключена. Чтобы включить эту функцию, убедитесь, что выбрано Да.
    • Нет: если вы хотите отключить функцию одноразового секретного кода электронной почты, выберите Нет.

    Снимок экрана: переключатель для отправки одноразового секретного кода по электронной почте.

  6. Нажмите кнопку Сохранить.

Часто задаваемые вопросы

Что произойдет с имеющимися гостевыми пользователями, если включить отправку одноразового секретного кода по электронной почте?

Имеющиеся гостевые пользователи не будут затронуты, если включить отправку одноразового секретного кода по электронной почте, так как они уже прошли точку активации. Включение отправки одноразового секретного кода по электронной почте повлияет только на будущие операции активации, когда новые гостевые пользователи будут активироваться в арендаторе.

Что такое взаимодействие с пользователем при отключении одноразового секретного кода электронной почты?

Если вы отключили функцию отправки одноразового секретного кода по электронной почте, пользователю будет предложено создать учетную запись Майкрософт.

Если одноразовый секретный код отключен, пользователь может столкнуться с ошибкой входа при активации прямой ссылки на приложение и невозможности добавления заранее в ваш каталог.

Дополнительные сведения о процессе активации приглашений см. в статье Активация приглашения совместной работы B2B.

Будет ли выводиться сообщение «Нет учетной записи»? Создайте ее!" функции для самостоятельной регистрации больше не будет?

Нет. Самостоятельную регистрацию в контексте внешних удостоверений легко спутать с самостоятельной регистрацией проверенных по электронной почте пользователей, но они являются двумя разными возможностями. Неуправляемая ("вирусная") функция, которая устарела, — это самостоятельная регистрация для пользователей, подтвердивших адрес электронной почты, в результате чего гости создавали неуправляемую учетную запись Azure AD. Однако самостоятельная регистрация Внешних удостоверений будет по-прежнему доступна, что приведет к регистрации гостей в вашей организации с различными поставщиками удостоверений. 

Что корпорация Майкрософт рекомендует делать с доступными учетными записями Майкрософт (MSA)?

Когда будет поддерживаться возможность отключения учетной записи Майкрософт в параметрах поставщиков удостоверений (сейчас недоступна), настоятельно рекомендуется отключить учетную запись Майкрософт и включить отправку одноразового секретного кода по электронной почте. Затем следует сбросить состояние активации доступных гостей с учетными записями Майкрософт, чтобы они могли повторно активироваться с помощью аутентификации с использованием отправки секретного кода по электронной почте, и использовать его для входа.

Что касается изменения во включении отправки одноразового секретного кода по электронной почте по умолчанию: включает ли это интеграцию SharePoint и OneDrive с помощью Azure AD B2B?

Нет, глобальное развертывание изменения для включения отправки одноразового секретного кода по электронной почте по умолчанию не включает интеграцию SharePoint и OneDrive с помощью Azure AD B2B по умолчанию. Сведения о включении интеграции для того, чтобы для совместной работы в SharePoint и OneDrive использовались возможности B2B, или ее отключении в см. статье Интеграция SharePoint и OneDrive с Azure AD B2B.

Дальнейшие действия

Дополнительные сведения см. в статье Поставщики удостоверений для внешних удостоверений.