E-posta engångslösenordsautentisering för B2B-gästanvändare
Gäller för: Personalklientorganisationer Externa klienter (läs mer)
Funktionen för engångslösenord för e-post är ett sätt att autentisera B2B-samarbetsanvändare när de inte kan autentiseras på andra sätt, till exempel Microsoft Entra-ID, Microsoft-konto (MSA) eller leverantörer av sociala identiteter. När en B2B-gästanvändare försöker lösa in din inbjudan eller logga in på dina delade resurser kan de begära ett tillfälligt lösenord som skickas till deras e-postadress. Sedan anger de det här lösenordet för att fortsätta logga in.
Viktigt!
- Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. Den här funktionen ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Om du inte vill använda den här funktionen kan du inaktivera den. I så fall uppmanas användarna att skapa ett Microsoft-konto i stället.
Kommentar
För närvarande kan du inte tillämpa principer för autentiseringsstyrka via villkorlig åtkomst för engångslösenordskonton via e-post. Använd beviljandekontrollen För villkorsstyrd åtkomst "Kräv MFA" i stället. Mer information finns i avsnittet Policyer för autentiseringsstyrka för externa användare på sidan Autentisering och villkorsstyrd åtkomst för externt ID .
Inloggningsslutpunkter
Gästanvändare med engångslösenord via e-post kan nu logga in på dina appar för flera klienter eller Microsofts första part med hjälp av en gemensam slutpunkt (med andra ord en allmän app-URL som inte innehåller din klientkontext). Under inloggningsprocessen väljer gästanvändaren inloggningsalternativ och väljer sedan Logga in på en organisation. Användaren skriver sedan namnet på din organisation och fortsätter att logga in med engångslösenord.
Gästanvändare med engångslösenord via e-post kan också använda programslutpunkter som innehåller din klientinformation, till exempel:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Du kan också ge e-post en gång lösenord gästanvändare en direktlänk till ett program eller en resurs genom att inkludera din klientinformation, till exempel https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Kommentar
Gästanvändare med engångslösenord via e-post kan logga in på Microsoft Teams direkt från den gemensamma slutpunkten utan att välja inloggningsalternativ. Under inloggningsprocessen till Microsoft Teams kan gästanvändaren välja en länk för att skicka ett engångslösenord.
Användarupplevelse för engångslösenord för gästanvändare
När funktionen för engångslösenord för e-post är aktiverad använder nyligen inbjudna användare som uppfyller vissa villkor autentisering med engångslösenord. Gästanvändare som löste in en inbjudan innan engångslösenord för e-post aktiverades fortsätter att använda samma autentiseringsmetod.
Med autentisering med engångslösenord kan gästanvändaren lösa in din inbjudan genom att klicka på en direktlänk eller via e-postinbjudan. I båda fallen anger ett meddelande i webbläsaren att en kod skickas till gästanvändarens e-postadress. Gästanvändaren väljer Skicka kod:
Ett lösenord skickas till användarens e-postadress. Användaren hämtar lösenordet från e-postmeddelandet och anger det i webbläsarfönstret:
Gästanvändaren är nu autentiserad och kan se den delade resursen eller fortsätta logga in.
Kommentar
Engångslösenord är giltiga i 30 minuter. Efter 30 minuter är det specifika engångslösenordet inte längre giltigt och användaren måste begära ett nytt. Användarsessioner upphör att gälla efter 24 timmar. Efter det får gästanvändaren ett nytt lösenord när de får åtkomst till resursen. Sessionsförfallotid ger extra säkerhet, särskilt när en gästanvändare lämnar sitt företag eller inte längre behöver åtkomst.
När får en gästanvändare ett engångslösenord?
När en gästanvändare löser in en inbjudan eller använder en länk till en resurs som har delats med dem får de ett engångslösenord om:
- De har inget Microsoft Entra-konto.
- De har inget Microsoft-konto.
- Den inbjudande klientorganisationen har inte konfigurerat federation med sociala (t.ex . Google) eller andra identitetsprovidrar.
- De har ingen annan autentiseringsmetod eller några lösenordsbaserade konton.
- Engångslösenord för e-post är aktiverat.
Vid tidpunkten för inbjudan finns det inget som tyder på att användaren som du bjuder in kommer att använda engångslösenordsautentisering. Men när gästanvändaren loggar in är engångslösenordsautentisering återställningsmetoden om inga andra autentiseringsmetoder kan användas.
Kommentar
När en användare löser in ett engångslösenord och senare hämtar ett MSA- eller Microsoft Entra-konto eller ett annat federerat konto fortsätter de att autentiseras med ett engångslösenord. Om du vill uppdatera användarens autentiseringsmetod kan du återställa deras inlösenstatus.
Exempel
Gästanvändaren nicole@firstupconsultants.com är inbjuden till Fabrikam, som inte har Konfigurerat Google-federation. Nicole har inget Microsoft-konto. De får ett engångslösenord för autentisering.
Aktivera eller inaktivera engångslösenord för e-post
Funktionen för engångslösenord för e-post är nu aktiverad som standard för alla nya klienter och för alla befintliga klienter där du inte uttryckligen har inaktiverat den. Den här funktionen ger en sömlös återställningsautentiseringsmetod för dina gästanvändare. Om du inte vill använda den här funktionen kan du inaktivera den. I så fall uppmanas användarna att skapa ett Microsoft-konto.
Kommentar
- Inställningar för engångslösenord för e-post kan också konfigureras med resurstypen emailAuthenticationMethodConfiguration i Microsoft Graph API.
- Om funktionen för engångslösenord för e-post har aktiverats i din klientorganisation och du inaktiverar den kan gästanvändare som har löst in ett engångslösenord inte logga in. Du kan återställa deras inlösenstatus så att de kan logga in igen med en annan autentiseringsmetod.
Aktivera eller inaktivera engångslösenord för e-post
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Logga in på administrationscentret för Microsoft Entra som minst administratör för autentiseringsprinciper.
Bläddra till Identitet>externa identiteter>Alla identitetsprovidrar.
På den inbyggda fliken bredvid E-post engångslösenord väljer du Konfigurerad.
Under E-post engångslösenord för gäster väljer du något av följande:
- Ja: Växlingsknappen är inställd på Ja som standard om inte funktionen uttryckligen har inaktiverats. Om du vill aktivera funktionen kontrollerar du att Ja är markerat.
- Nej: Om du vill inaktivera funktionen för engångslösenord för e-post väljer du Nej.
- Välj Spara.
Vanliga frågor och svar
Vad händer med mina befintliga gästanvändare om jag aktiverar engångslösenord för e-post?
Dina befintliga gästanvändare påverkas inte om du aktiverar engångslösenord för e-post eftersom dina befintliga användare redan har passerat inlösningspunkten. Aktivering av engångslösenord för e-post påverkar endast framtida inlösenprocessaktiviteter där nya gästanvändare löser in till klientorganisationen.
Vad är användarupplevelsen när engångslösenord för e-post inaktiveras?
Om du har inaktiverat funktionen för engångslösenord för e-post uppmanas användaren att skapa ett Microsoft-konto.
När engångslösenord för e-post inaktiveras kan användarna också se ett inloggningsfel när de löser in en direkt programlänk och de inte lades till i katalogen i förväg.
Mer information om de olika inlösenprocessvägarna finns i inlösen av B2B-samarbetsinbjudan.
Kommer "Inget konto? Skapa en!" alternativet för självbetjäningsregistrering försvinner?
Nej. Det är enkelt att få självbetjäningsregistrering i samband med externt ID som förväxlas med självbetjäningsregistrering för e-postverifierade användare, men det är två olika funktioner. Den ohanterade ("virala") funktionen som har blivit inaktuell är självbetjäningsregistrering med e-postverifierade användare, vilket resulterade i att gäster skapade ett ohanterat Microsoft Entra-konto. Självbetjäningsregistrering för externt ID fortsätter dock att vara tillgängligt, vilket resulterar i att dina gäster registrerar sig för din organisation med en mängd olika identitetsprovidrar.
Vad rekommenderar Microsoft att vi gör med befintliga Microsoft-konton (MSA)?
När vi stöder möjligheten att inaktivera Microsoft-konto i inställningarna för identitetsprovidrar (inte tillgängligt i dag) rekommenderar vi starkt att du inaktiverar Microsoft-konto och aktiverar engångslösenord för e-post. Sedan bör du återställa inlösenstatusen för befintliga gäster med Microsoft-konton så att de kan lösa in igen med e-postautentisering med engångslösenord och använda engångslösenord för e-post för att logga in framöver.
När det gäller ändringen för att aktivera engångslösenord för e-post som standard, inkluderar detta SharePoint- och OneDrive-integrering med Microsoft Entra B2B?
Nej, den globala distributionen av ändringen för att aktivera engångslösenord för e-post omfattar som standard inte aktivering av SharePoint- och OneDrive-integrering med Microsoft Entra B2B som standard. Information om hur du aktiverar eller inaktiverar integrering av SharePoint och OneDrive med Microsoft Entra B2B för säkert samarbete finns i SharePoint- och OneDrive-integrering med Microsoft Entra B2B.
Nästa steg
Lär dig mer om identitetsprovidrar för externt ID och hur du återställer inlösningsstatus för en gästanvändare.