電子郵件一次性密碼驗證

電子郵件一次性密碼功能是驗證 B2B 共同作業使用者的方式,適合在使用者無法透過其他方法 (例如 Azure AD、Microsoft 帳戶 (MSA) 或社交識別提供者) 驗證時使用。 當 B2B 來賓使用者嘗試兌換您的邀請或登入您的共用資源時,他們可以要求暫時密碼,並傳送到自己的電子郵件地址。 之後,他們便可輸入此密碼繼續登入。

圖表,其中顯示電子郵件一次性密碼的概觀。

重要

  • 針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 有了此功能,主要驗證方法無法使用時,您的來賓使用者可以輕鬆改用後援驗證方法。 如果您不想要使用此功能,則可以將其停用,在此情況下,系統會提示使用者改為建立 Microsoft 帳戶。

登入端點

電子郵件一次性密碼來賓使用者現在可以使用通用端點 (換句話說,就是不包括租用戶內容的通用應用程式 URL) 來登入您的多租用戶或 Microsoft 第一方應用程式。 在登入流程中,來賓使用者會選擇 [登入選項],然後選取 [登入組織]。 使用者接著輸入您的組織名稱,並繼續使用一次性密碼登入。

電子郵件一次性密碼來賓使用者也可以使用包括您租用戶資訊的應用程式端點,例如:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

您也可以將應用程式或資源的直接連結提供給電子郵件一次性密碼來賓使用者,方法是包括您的租用戶資訊,例如 https://myapps.microsoft.com/signin/Twitter/<application ID?tenantId=<your tenant ID>

單次密碼來賓使用者的使用者體驗

啟用電子郵件一次性密碼功能時,新邀請的使用者如果滿足特定條件,就會使用一次性密碼驗證。 在電子郵件一次性密碼啟用前兌換邀請的來賓使用者,能夠繼續使用自己的相同驗證方法。

使用單次密碼驗證時,來賓使用者可以兌換您的邀請,方法是按一下直接連結,或使用邀請電子郵件。 無論是哪一種方法,瀏覽器中會顯示訊息,指出驗證碼將傳送到來賓使用者的電子郵件地址。 來賓使用者可選取 [傳送驗證碼]:

螢幕擷取畫面,其中顯示 [傳送驗證碼] 按鈕。

密碼會傳送到使用者的電子郵件地址。 使用者可從電子郵件中擷取該密碼,並在瀏覽器視窗中輸入:

螢幕擷取畫面,其中顯示 [輸入驗證碼] 頁面。

來賓使用者現在已通過驗證,可看見共用資源或繼續登入。

注意

單次密碼的有效時間為 30 分鐘。 30 分鐘之後,該特定的單次密碼不再有效,使用者必須要求新的密碼。 使用者工作階段會在 24 小時後過期。 在此之後,來賓使用者在存取資源時會收到新密碼。 工作階段到期能夠增加安全性,尤其是在來賓使用者離開公司或不再需要存取時。

來賓使用者何時會收到單次密碼?

在下列情況下,當來賓使用者兌換邀請,或使用已與他們共用的資源連結時,便會收到單次密碼:

  • 他們沒有 Azure AD 帳戶。
  • 他們沒有 Microsoft 帳戶。
  • 邀請的租用戶未與社交 (例如 Google) 或其他識別提供者設定同盟。
  • 他們沒有任何其他驗證方法或任何密碼支援的帳戶。
  • 啟用電子郵件一次性密碼。

邀請時,不會指出您邀請的使用者將使用單次密碼驗證。 但當來賓使用者登入時,如果沒有其他驗證方法可使用,單次密碼驗證將作為後援方法。

注意

當使用者兌換單次密碼,並稍後取得 MSA、Azure AD 帳戶或其他同盟帳戶時,系統仍會繼續使用單次密碼進行驗證。 如果您想要更新使用者的驗證方法,可以重設他們的兌換狀態

範例

邀請來賓使用者 teri@gmail.com 到 Fabrikam,該使用者尚未設定 Google 同盟。 Teri 沒有 Microsoft 帳戶。 他們會收到一次性密碼進行驗證。

啟用或停用電子郵件一次性密碼

針對所有新租用戶,以及您尚未明確關閉的任何現有租用戶,現在預設會開啟電子郵件一次性密碼功能。 有了此功能,主要驗證方法無法使用時,您的來賓使用者可以輕鬆改用後援驗證方法。 如果您不想要使用此功能,則可以將其停用,在此情況下,系統會提示使用者建立 Microsoft 帳戶。

注意

  • 您也可以在 Microsoft Graph API 中使用 emailAuthenticationMethodConfiguration 資源類型來設定電子郵件一次性密碼設定。
  • 如果您租用戶中的電子郵件一次性密碼功能已啟用,但您將該功能關閉,則已兌換一次性密碼的所有來賓使用者都將無法登入。 您可以重設他們的兌換狀態,以便他們能使用其他驗證方法重新登入。

若要啟用或停用電子郵件一次性密碼

  1. 以 Azure AD 全域管理員身分登入 Azure 入口網站

  2. 在導覽窗格中,選取 [Azure Active Directory]。

  3. 選取 [外部身分識別]>[所有識別提供者]。

  4. 選取 [電子郵件一次性密碼]。

  5. 在 [來賓的電子郵件一次性密碼] 下,選取以下其中一項:

    • :除非功能已明確關閉,否則根據預設,切換會設定為 [是]。 若要啟用此功能,請確認已選取 [是]。
    • :若要停用電子郵件一次性密碼功能,請選取 [否]。

    螢幕擷取畫面顯示電子郵件一次性密碼切換。

  6. 選取 [儲存]。

常見問題集

如果我啟用電子郵件一次性密碼,我目前的來賓使用者會怎麼樣?

如果您啟用電子郵件一次性密碼,將不會影響您現有的來賓使用者,因為您現有的使用者已經超過兌換的時間點。 啟用電子郵件一次性密碼只會影響新的來賓使用者在租用戶中兌換的後續兌換活動。

停用電子郵件一次性密碼時,使用者體驗為何?

如果您已停用電子郵件一次性密碼功能,則系統會提示使用者建立 Microsoft 帳戶。

另外,停用電子郵件一次性密碼時,若使用者兌換的是直接應用程式連結,且未事先將這些使用者新增到您的目錄,他們可能會在登入時看到錯誤。

如需關於不同兌換方式的詳細資訊,請參閱 B2B 共同作業邀請兌換

「沒有帳戶嗎? 建立一個帳戶!」 自助式註冊選項會消失嗎?

不會。 外部身分識別的自助註冊與經電子郵件驗證之使用者的自助註冊很容易搞混,這是兩個不同的功能。 已淘汰的非受控 (「病毒式」) 功能是以經電子郵件驗證的使用者進行自助註冊,這會使來賓建立非受控 Azure AD 帳戶。 不過外部身分識別的自助註冊將繼續有效,這會使您的來賓透過各種識別提供者向您的組織註冊。 

Microsoft 建議我們如何處理現有的 Microsoft 帳戶 (MSA)?

我們雖然支援在識別提供者設定中停用 Microsoft 帳戶 (目前無法使用),但我們強烈建議您停用 Microsoft 帳戶並啟用電子郵件一次性密碼。 然後,您應該針對具有 Microsoft 帳戶的現有來賓重設兌換狀態,讓他們可以使用電子郵件一次性密碼驗證重新兌換,並使用電子郵件一次性密碼登入。

關於預設會啟用電子郵件一次性密碼的變更,是否包含了 SharePoint 及 OneDrive 與 Azure AD B2B 的整合?

不包含,預設要啟用電子郵件一次性密碼的全球推出變更,根據預設並不包含啟用 SharePoint 及 OneDrive 與 Azure AD B2B 的整合。 若要了解如何啟用整合,以便 SharePoint 和 OneDrive 上的共同作業使用 B2B 功能,或是想了解如何停用此整合,請參閱 SharePoint 和 OneDrive 與 Azure AD B2B 整合

後續步驟

了解外部身分識別的身分識別提供者