針對 B2B 來賓用戶傳送單次密碼驗證電子郵件
適用於: 員工租用戶 外部租用戶 (深入了解)
電子郵件一次性密碼功能是驗證 B2B 共同作業使用者的方式,適合在使用者無法透過其他方法 (例如 Microsoft Entra ID、Microsoft 帳戶 (MSA) 或社交識別提供者) 驗證時使用。 當 B2B 來賓使用者嘗試兌換您的邀請或登入您的共用資源時,他們可以要求暫時密碼,並傳送到自己的電子郵件地址。 之後,他們便可輸入此密碼繼續登入。
重要
- 針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 此功能為您的來賓使用者提供順暢的後援驗證方法。 如果您不想要使用此功能,則可以將其停用,在此情況下,系統會提示使用者改為建立 Microsoft 帳戶。
注意
目前您無法透過「條件式存取」將驗證強度原則套用至電子郵件一次性密碼帳戶。 請改用「條件式存取」授與控制項「需要 MFA」。 如需詳細資訊,請參閱「外部 ID 的驗證和條件式存取」頁面的「外部使用者的驗證強度原則」一節。
登入端點
電子郵件一次性密碼來賓使用者現在可以使用通用端點 (換句話說,就是不包括租用戶內容的通用應用程式 URL) 來登入您的多租用戶或 Microsoft 第一方應用程式。 在登入流程中,來賓使用者會選擇 [登入選項],然後選取 [登入組織]。 使用者接著輸入您的組織名稱,並繼續使用一次性密碼登入。
電子郵件一次性密碼來賓使用者也可以使用包括您租用戶資訊的應用程式端點,例如:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
您也可以將應用程式或資源的直接連結提供給電子郵件一次性密碼來賓使用者,方法是包括您的租用戶資訊,例如 https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
。
注意
電子郵件一次性密碼來賓使用者可以直接從一般端點登入 Microsoft Teams,而不需選擇登入選項。 在登入 Microsoft Teams 的過程中,來賓使用者可以選取一個連結來傳送一次性密碼。
單次密碼來賓使用者的使用者體驗
啟用電子郵件一次性密碼功能時,新邀請的使用者如果滿足特定條件,就會使用一次性密碼驗證。 在電子郵件一次性密碼啟用前兌換邀請的來賓使用者,能夠繼續使用自己的相同驗證方法。
使用單次密碼驗證時,來賓使用者可以兌換您的邀請,方法是按一下直接連結,或使用邀請電子郵件。 無論是哪一種方法,瀏覽器中會顯示訊息,指出驗證碼將傳送到來賓使用者的電子郵件地址。 來賓使用者可選取 [傳送驗證碼]:
密碼會傳送到使用者的電子郵件地址。 使用者可從電子郵件中擷取該密碼,並在瀏覽器視窗中輸入:
來賓使用者現在已通過驗證,可看見共用資源或繼續登入。
注意
單次密碼的有效時間為 30 分鐘。 30 分鐘之後,該特定的單次密碼不再有效,使用者必須要求新的密碼。 使用者工作階段會在 24 小時後過期。 在此之後,來賓使用者在存取資源時會收到新密碼。 工作階段到期能夠增加安全性,尤其是在來賓使用者離開公司或不再需要存取時。
來賓使用者何時會收到一次性密碼?
當來賓使用者兌換邀請,或使用已與他們共用之資源的連結時,會在下列情況下收到一次性密碼:
- 他們沒有 Microsoft Entra 帳戶。
- 他們沒有 Microsoft 帳戶。
- 邀請的租用戶未與社交 (例如 Google) 或其他識別提供者設定同盟。
- 他們沒有其他任何驗證方法或密碼支援的帳戶。
- 已啟用電子郵件一次性密碼。
邀請時,不會指出您邀請的使用者將使用單次密碼驗證。 但當來賓使用者登入時,如果沒有其他驗證方法可使用,單次密碼驗證將作為後援方法。
注意
當使用者兌換單次密碼,並稍後取得 MSA、Microsoft Entra 帳戶或其他同盟帳戶時,系統仍會繼續使用單次密碼進行驗證。 如果您想要更新使用者的驗證方法,可以重設他們的兌換狀態。
範例
邀請來賓使用者 nicole@firstupconsultants.com 到 Fabrikam,該使用者尚未設定 Google 同盟。 Nicole 沒有 Microsoft 帳戶。 他們會收到一次性密碼進行驗證。
啟用或停用電子郵件一次性密碼
針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 此功能為您的來賓使用者提供順暢的後援驗證方法。 如果您不想要使用此功能,則可以將其停用,在此情況下,系統會提示使用者建立 Microsoft 帳戶。
注意
- 您也可以在 Microsoft Graph API 中使用 emailAuthenticationMethodConfiguration 資源類型來設定電子郵件一次性密碼設定。
- 如果您租用戶中的電子郵件一次性密碼功能已啟用,但您將該功能關閉,則已兌換一次性密碼的所有來賓使用者都將無法登入。 您可以重設他們的兌換狀態,以便他們能使用其他驗證方法重新登入。
若要啟用或停用電子郵件一次性密碼
提示
根據您從中開始的入口網站,本文中的步驟可能會略有不同。
至少以驗證原則系統管理員身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別] > [外部身分識別] > [所有識別提供者]。
在 [內建] 索引標籤上的 [電子郵件一次性密碼] 旁邊,選取 [已設定]。
在 [來賓的電子郵件一次性密碼] 下,選取以下其中一項:
- 在 [ 內建 ] 索引標籤的 [電子郵件單次密碼] 旁,選取 [ [已設定]。 若要啟用此功能,請確認已選取 [是]。
- 否:若要停用電子郵件一次性密碼功能,請選取 [否]。
- 選取 [儲存]。
常見問題集
如果我啟用電子郵件一次性密碼,我目前的來賓使用者會怎麼樣?
如果您啟用電子郵件一次性密碼,將不會影響您現有的來賓使用者,因為您現有的使用者已經超過兌換的時間點。 啟用電子郵件一次性密碼只會影響未來新來賓使用者兌換為租用戶的兌換流程活動。
停用電子郵件一次性密碼時,使用者體驗為何?
如果您已停用電子郵件一次性密碼功能,則系統會提示使用者建立 Microsoft 帳戶。
另外,停用電子郵件一次性密碼時,若使用者兌換的是直接應用程式連結,且未事先將這些使用者新增到您的目錄,他們可能會在登入時看到錯誤。
如需關於不同兌換流程的詳細資訊,請參閱 B2B 共同作業邀請兌換。
「沒有帳戶嗎? 建立一個帳戶!」 自助式註冊選項會消失嗎?
否。 在外部 ID 的內容下進行自助註冊很容易與電子郵件驗證使用者的自助註冊混淆,但它們是兩個不同的功能。 已淘汰的非受控 (「病毒式」) 功能是以經電子郵件驗證的使用者進行自助註冊,這會使來賓建立非受控 Microsoft Entra 帳戶。 不過,外部 ID 的自助註冊將繼續可用,這會使得您的來賓透過各種識別提供者向您的組織註冊。
Microsoft 建議我們如何處理現有的 Microsoft 帳戶 (MSA)?
我們雖然支援在識別提供者設定中停用 Microsoft 帳戶 (目前無法使用),但我們強烈建議您停用 Microsoft 帳戶並啟用電子郵件一次性密碼。 然後,您應該針對具有 Microsoft 帳戶的現有來賓重設兌換狀態,讓他們可以使用電子郵件一次性密碼驗證重新兌換,並使用電子郵件一次性密碼登入。
關於預設會啟用電子郵件一次性密碼的變更,是否包含了 SharePoint 及 OneDrive 與 Microsoft Entra B2B 的整合?
否,預設啟用電子郵件一次性密碼的變更的全域推出不包括預設啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合。若要了解如何啟用或停用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合以進行安全共同作業,請參閱「SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合」。
下一步
了解外部 ID 的識別提供者以及如何重設來賓使用者的兌換狀態。