Email autentisering med engångslösenord

Funktionen för engångslösenord för e-post är ett sätt att autentisera B2B-samarbetsanvändare när de inte kan autentiseras på andra sätt, till exempel Azure AD, Microsoft-konto (MSA) eller leverantörer av sociala identiteter. När en B2B-gästanvändare försöker lösa in din inbjudan eller logga in på dina delade resurser kan de begära ett tillfälligt lösenord som skickas till deras e-postadress. Sedan anger de det här lösenordet för att fortsätta logga in.

Diagram som visar en översikt över Email engångslösenord.

Viktigt

  • Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. Den här funktionen ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Om du inte vill använda den här funktionen kan du inaktivera den. I så fall uppmanas användarna att skapa ett Microsoft-konto i stället.

Inloggningsslutpunkter

Email gästanvändare med engångslösenord kan nu logga in på dina appar för flera klientorganisationer eller Microsofts första part med hjälp av en gemensam slutpunkt (med andra ord en allmän app-URL som inte innehåller klientkontexten). Under inloggningsprocessen väljer gästanvändaren inloggningsalternativ och väljer sedan Logga in på en organisation. Användaren skriver sedan namnet på din organisation och fortsätter att logga in med engångslösenord.

Email engångslösenord kan gästanvändare också använda programslutpunkter som innehåller din klientinformation, till exempel:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

Du kan också ge e-postanvändare med engångslösenord en direktlänk till ett program eller en resurs genom att inkludera din klientinformation, till exempel https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>.

Användarupplevelse för engångslösenord för gästanvändare

När funktionen för engångslösenord för e-post är aktiverad använder nyligen inbjudna användare som uppfyller vissa villkor autentisering med engångslösenord. Gästanvändare som löste in en inbjudan innan engångslösenord för e-post aktiverades fortsätter att använda samma autentiseringsmetod.

Med engångsautentisering med lösenord kan gästanvändaren lösa in din inbjudan genom att klicka på en direktlänk eller med hjälp av e-postmeddelandet med inbjudan. I båda fallen anger ett meddelande i webbläsaren att en kod skickas till gästanvändarens e-postadress. Gästanvändaren väljer Skicka kod:

Skärmbild som visar knappen Skicka kod.

Ett lösenord skickas till användarens e-postadress. Användaren hämtar lösenordet från e-postmeddelandet och anger det i webbläsarfönstret:

Skärmbild som visar sidan Ange kod.

Gästanvändaren är nu autentiserad och kan se den delade resursen eller fortsätta logga in.

Anteckning

Engångslösenord är giltiga i 30 minuter. Efter 30 minuter är det specifika engångslösenordet inte längre giltigt och användaren måste begära ett nytt. Användarsessioner upphör att gälla efter 24 timmar. Efter det får gästanvändaren ett nytt lösenord när de kommer åt resursen. Sessionsförfallodatum ger extra säkerhet, särskilt när en gästanvändare lämnar företaget eller inte längre behöver åtkomst.

När får en gästanvändare ett engångslösenord?

När en gästanvändare löser in en inbjudan eller använder en länk till en resurs som har delats med dem får de ett engångslösenord om:

  • De har inget Azure AD konto.
  • De har inget Microsoft-konto.
  • Den inbjudande klienten har inte konfigurerat federation med sociala (t.ex. Google) eller andra identitetsprovidrar.
  • De har ingen annan autentiseringsmetod eller lösenordsbaserade konton.
  • Email engångslösenord är aktiverat.

Vid tidpunkten för inbjudan finns det inget som tyder på att den användare som du bjuder in kommer att använda autentisering med engångslösenord. Men när gästanvändaren loggar in är engångslösenordsautentisering reservmetoden om inga andra autentiseringsmetoder kan användas.

Anteckning

När en användare löser in ett engångslösenord och senare hämtar ett MSA- Azure AD-konto eller ett annat federerat konto fortsätter de att autentiseras med ett engångslösenord. Om du vill uppdatera användarens autentiseringsmetod kan du återställa deras inlösenstatus.

Exempel

Gästanvändaren nicole@firstupconsultants.com bjuds in till Fabrikam, som inte har Konfigurerat Google-federation. Nicole har inget Microsoft-konto. De får ett engångslösenord för autentisering.

Aktivera eller inaktivera engångslösenord för e-post

Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. Den här funktionen ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Om du inte vill använda den här funktionen kan du inaktivera den, i så fall uppmanas användarna att skapa ett Microsoft-konto.

Anteckning

  • Email engångslösenordsinställningar kan också konfigureras med resurstypen emailAuthenticationMethodConfiguration i Microsoft Graph API.
  • Om funktionen för engångslösenord för e-post har aktiverats i din klientorganisation och du inaktiverar den kommer gästanvändare som har löst in ett engångslösenord inte att kunna logga in. Du kan återställa deras inlösenstatus så att de kan logga in igen med en annan autentiseringsmetod.

Aktivera eller inaktivera engångslösenord för e-post

  1. Logga in på Azure Portal som Azure AD global administratör.

  2. I navigeringsfönstret väljer du Azure Active Directory.

  3. Välj Externa identiteter>Alla identitetsprovidrar.

  4. Välj Email engångslösenord.

  5. Under Email engångslösenord för gäster väljer du något av följande:

    • Ja: Växlingsknappen är inställd på Ja som standard om inte funktionen uttryckligen har inaktiverats. Om du vill aktivera funktionen kontrollerar du att Ja har valts.
    • Nej: Om du vill inaktivera funktionen för engångslösenord för e-post väljer du Nej.

Skärmbilder som visar Email växlingsknapp för engångslösenord.

  1. Välj Spara.

Vanliga frågor och svar

Vad händer med mina befintliga gästanvändare om jag aktiverar engångslösenord för e-post?

Dina befintliga gästanvändare påverkas inte om du aktiverar engångslösenord för e-post eftersom dina befintliga användare redan har passerat inlösningspunkten. Aktivering av engångslösenord för e-post påverkar bara framtida inlösenaktiviteter där nya gästanvändare löser in till klientorganisationen.

Vad är användarupplevelsen när engångslösenord för e-post inaktiveras?

Om du har inaktiverat funktionen för engångslösenord för e-post uppmanas användaren att skapa ett Microsoft-konto.

När engångslösenord för e-post inaktiveras kan användarna se ett inloggningsfel när de löser in en direkt programlänk och de inte har lagts till i katalogen i förväg.

Mer information om de olika inlösenvägarna finns i inlösen av B2B-samarbetsinbjudan.

Kommer "Inget konto? Skapa en!" alternativet för självbetjäningsregistrering försvinner?

Nej. Det är enkelt att få självbetjäningsregistrering i kontexten för externa identiteter som förväxlas med självbetjäningsregistrering för e-postverifierade användare, men det är två olika funktioner. Den ohanterade ("virala") funktionen som har blivit inaktuell är självbetjäningsregistrering med e-postverifierade användare, vilket resulterade i att gäster skapade ett ohanterat Azure AD konto. Självbetjäningsregistrering för externa identiteter fortsätter dock att vara tillgängligt, vilket resulterar i att dina gäster registrerar sig för din organisation med en mängd olika identitetsprovidrar. 

Vad rekommenderar Microsoft att vi gör med befintliga Microsoft-konton (MSA)?

När vi stöder möjligheten att inaktivera Microsoft-konto i inställningarna för identitetsprovidrar (inte tillgängligt i dag) rekommenderar vi starkt att du inaktiverar Microsoft-konto och aktiverar engångslösenord för e-post. Sedan bör du återställa inlösenstatusen för befintliga gäster med Microsoft-konton så att de kan återlösa med e-postautentisering med engångslösenord och använda engångslösenord för e-post för att logga in framöver.

När det gäller ändringen för att aktivera engångslösenord för e-post som standard, inkluderar detta SharePoint- och OneDrive-integrering med Azure AD B2B?

Nej, den globala distributionen av ändringen för att aktivera engångslösenord för e-post ingår som standard inte att aktivera SharePoint- och OneDrive-integrering med Azure AD B2B som standard. Information om hur du aktiverar eller inaktiverar integrering av SharePoint och OneDrive med Azure AD B2B för säkert samarbete finns i SharePoint- och OneDrive-integrering med Azure AD B2B.

Nästa steg

Lär dig mer om identitetsprovidrar för externa identiteter och hur du återställer inlösenstatus för en gästanvändare.