電子郵件一次性密碼驗證
電子郵件一次性密碼功能是無法透過其他方式驗證 B2B 共同作業使用者的方式,例如 Microsoft Entra ID、Microsoft 帳戶(MSA)或社交識別提供者。 當 B2B 來賓使用者嘗試兌換您的邀請或登入您的共享資源時,他們可以要求暫時密碼,該密碼會傳送至其電子郵件位址。 然後輸入此密碼以繼續登入。
重要
- 所有新租使用者,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 此功能為您的來賓使用者提供順暢的後援驗證方法。 如果您不想使用此功能,您可以 停用此功能,在此情況下,系統會提示使用者改為建立 Microsoft 帳戶。
注意
目前您無法透過條件式存取將驗證強度原則套用至電子郵件一次性密碼帳戶。 請改用條件式存取授與控制項 「需要 MFA」。 如需詳細資訊,請參閱外部使用者的驗證強度原則一節,請參閱外部標識碼的驗證和條件式存取頁面。
登入端點
電子郵件一次性密碼來賓用戶現在可以使用一般端點登入您的多租使用者或 Microsoft 第一方應用程式(換句話說,不包含租用戶內容的一般應用程式 URL)。 在登入過程中,來賓用戶選擇 [登入] 選項,然後選取 [登入組織]。 然後,使用者輸入組織的名稱,然後使用一次性密碼繼續登入。
電子郵件一次性密碼來賓使用者也可以使用包含租使用者資訊的應用程式端點,例如:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
您也可以將租使用者資訊納入租使用者資訊,為電子郵件一次性密碼來賓使用者提供應用程式或資源的直接連結,例如 https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>。
注意
電子郵件一次性密碼來賓使用者可以直接從一般端點登入 Microsoft Teams,而不需要選擇 [登入] 選項。 在登入 Microsoft Teams 期間,來賓使用者可以選取連結以傳送一次性密碼。
單次密碼來賓用戶的用戶體驗
啟用電子郵件單次密碼功能時,符合特定條件的新受邀使用者將會使用一次性密碼驗證。 啟用電子郵件一次性密碼之前兌換邀請的來賓使用者將繼續使用相同的驗證方法。
透過單次密碼驗證,來賓使用者可以按下直接連結或使用邀請電子郵件來兌換您的邀請。 不論是哪一種情況,瀏覽器中的訊息都會指出將程式代碼傳送至來賓用戶的電子郵件位址。 來賓用戶選取 [ 傳送程序代碼]:
![顯示 [傳送程式代碼] 按鈕的螢幕快照。](media/one-time-passcode/otp-send-code.png)
密碼會傳送至使用者的電子郵件位址。 使用者會從電子郵件擷取密碼,並在瀏覽器視窗中輸入密碼:
來賓用戶現在已驗證,他們可以看到共用資源或繼續登入。
注意
一次性密碼有效期為30分鐘。 30 分鐘之後,該特定單次密碼不再有效,而且用戶必須要求新的密碼。 用戶會話會在 24 小時後到期。 之後,來賓使用者會在存取資源時收到新的密碼。 會話到期提供額外的安全性,尤其是在來賓用戶離開公司或不再需要存取權時。
來賓使用者何時會收到一次性密碼?
當來賓使用者兌換邀請,或使用已與他們共用之資源的連結時,會在下列情況下收到一次性密碼:
- 他們沒有 Microsoft Entra 帳戶。
- 他們沒有 Microsoft 帳戶。
- 邀請的租用戶沒有與社交(如 Google)或其他身分識別提供者建立同盟。
- 他們沒有其他任何驗證方法或密碼支援的帳戶。
- 已啟用電子郵件一次性密碼。
邀請時,沒有跡象表明您邀請的使用者將使用一次性密碼驗證。 但是當來賓使用者登入時,如果無法使用其他驗證方法,單次密碼驗證將會是後援方法。
注意
當用戶兌換一次性密碼,稍後取得 MSA、Microsoft Entra 帳戶或其他同盟帳戶時,他們將會繼續使用一次性密碼進行驗證。 如果您想要更新用戶的驗證方法,可以 重設其兌換狀態。
範例
來賓使用者 nicole@firstupconsultants.com 受邀加入未設定Google同盟的 Fabrikam。 Nicole 沒有 Microsoft 帳戶。 他們將會收到一次性驗證密碼。
啟用或停用電子郵件一次性密碼
所有新租使用者,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 此功能為您的來賓使用者提供順暢的後援驗證方法。 如果您不想使用此功能,您可以停用此功能,在此情況下,系統會提示使用者建立 Microsoft 帳戶。
注意
- 您也可以使用 Microsoft Graph API 中的 emailAuthenticationMethodConfiguration 資源類型來設定電子郵件一次性密碼設定。
- 如果您的租使用者中已啟用電子郵件單次密碼功能,而且您關閉該密碼,則任何兌換單次密碼的來賓用戶將無法登入。 您可以 重設其兌換狀態 ,讓他們可以使用另一個驗證方法再次登入。
啟用或停用電子郵件一次性密碼
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
以至少安全性 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
流覽至 [身分>識別外部身分>識別] [所有識別提供者]。
在 [ 設定的識別提供者 ] 清單中,選取 [ 電子郵件一次性密碼]。
在 [為來賓傳送單次密碼] 底下,選取下列其中一項:
- 是:除非功能已明確關閉,否則切換預設會設定為 [是 ]。 若要啟用此功能,請確定 已選取 [是 ]。
- 否:如果您想要停用電子郵件一次性密碼功能,請選取 [ 否]。
- 選取 [儲存]。
常見問題集
如果我啟用電子郵件一次性密碼,我現有的來賓用戶會發生什麼事?
如果您啟用電子郵件一次性密碼,則現有的來賓使用者不會受到影響,因為現有的用戶已經超過兌換點。 啟用電子郵件一次性密碼只會影響新的來賓用戶兌換到租用戶的未來兌換程序活動。
停用電子郵件一次性密碼時的用戶體驗為何?
如果您已停用電子郵件一次性密碼功能,系統會提示使用者建立 Microsoft 帳戶。
此外,當電子郵件一次性密碼停用時,用戶在兌換直接應用程式連結時,可能會看到登入錯誤,且未事先新增至您的目錄。
如需不同兌換程式路徑的詳細資訊,請參閱 B2B 共同作業邀請兌換。
「沒有帳戶嗎? 建立一個! 自助式註冊的選項會消失嗎?
否。 在與電子郵件驗證使用者自助式註冊混淆的外部標識符內容中,輕鬆取得自助式註冊,但兩個不同的功能。 已被取代的 Unmanaged (“viral”) 功能是 透過電子郵件驗證的用戶進行自助式註冊,導致來賓建立 Unmanaged Microsoft Entra 帳戶。 不過,外部標識符的自助式註冊將會繼續可供使用,這會導致來賓使用各種 身分識別提供者註冊您的組織。
Microsoft 建議使用現有的 Microsoft 帳戶 (MSA)做什麼?
當我們支援在身分識別提供者設定中停用 Microsoft 帳戶的功能(目前無法使用),強烈建議您停用 Microsoft 帳戶,並啟用電子郵件一次性密碼。 然後,您應該 使用 Microsoft 帳戶重設現有來賓的兌換狀態 ,讓他們可以使用電子郵件一次性密碼驗證重新兌換,並使用電子郵件一次性密碼進行登入。
關於默認啟用電子郵件一次性密碼的變更,這是否包含 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合?
否,默認啟用電子郵件一次性密碼之變更的全域推出並不包含啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合。若要瞭解如何啟用或停用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合的安全共同作業,請參閱 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合。