Autenticação de senha de uso único para usuários B2B convidados
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
O recurso de senha de uso único por email é uma maneira de autenticar usuários de colaboração B2B quando eles não podem ser autenticados por outros meios, como o Microsoft Entra ID, a MSA (conta Microsoft) ou provedores de identidade social. Quando um usuário convidado B2B tenta resgatar seu convite ou entrar em seus recursos compartilhados, ele pode solicitar uma senha temporária, que é enviada para seu endereço de email. Em seguida, ele digita essa senha para continuar o processo de entrada.
Importante
- O recurso de senha de uso único de email agora fica ativado por padrão para todos os novos locatários e para os locatários existentes em que você não o desativou explicitamente. Esse recurso fornece um método de autenticação de fallback contínuo para seus usuários convidados. Se você não quiser usar esse recurso, desabilite-o e, nesse caso, será solicitado que os usuários criem uma conta Microsoft.
Observação
Atualmente, você não pode aplicar políticas de força de autenticação por meio do Acesso Condicional a contas de senha de uso único por email. Em vez disso, use o controle de concessão de acesso condicional 'Exigir MFA'. Para obter mais informações, consulte a seção Políticas de força de autenticação para usuários externos da página Autenticação e Acesso Condicional para ID Externa.
Pontos de extremidade de entrada
Os usuários convidados de senha de uso único por email agora podem entrar em seus aplicativos multilocatário ou de primeira parte da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL geral do aplicativo que não inclui o contexto do locatário). Durante o processo de entrada, o usuário convidado escolhe Opções de entrada e seleciona Entrar em uma organização. Depois, o usuário digita o nome da organização e continua a entrada usando a senha de uso único.
Os usuários convidados com a senha de uso único por email também podem usar pontos de extremidade do aplicativo que incluem as informações do locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários convidados com senha de uso único por email um link direto para um aplicativo ou um recurso incluindo as informações do locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Observação
Os usuários convidados com senha única de email podem entrar no Microsoft Teams diretamente do ponto de extremidade comum sem escolher as Opções de entrada. Durante o processo de entrada no Microsoft Teams, o usuário convidado pode selecionar um link para enviar uma senha de uso único.
Experiência do usuário para usuários convidados com senha avulsa
Quando o recurso de senha de uso único por email estiver habilitado, os usuários convidados que atenderem a determinadas condições usarão a autenticação por senha de uso único. Os usuários convidados que resgataram um convite antes da habilitação da senha de uso único por email continuarão a usar o mesmo método de autenticação.
Com a autenticação por senha avulsa, o usuário convidado pode resgatar seu convite clicando em um link direto ou usando o email de convite. Em ambos os casos, uma mensagem no navegador indica que um código será enviado ao endereço de email do usuário convidado. O usuário convidado seleciona Enviar código:
Uma senha é enviada ao endereço de email do usuário. O usuário recupera a senha de email e insere-a na janela do navegador:
O usuário convidado está agora autenticado e pode ver o recurso compartilhado ou continuar o processo de entrada.
Observação
Senhas de uso único são válidas por 30 minutos. Após 30 minutos, essa senha avulsa específica não é mais válida e o usuário precisa solicitar uma nova. Sessões de usuário expiram após 24 horas. Após esse tempo, o usuário convidado recebe uma nova senha quando acessa o recurso. A expiração de sessão fornece maior segurança, especialmente quando um usuário convidado deixa a empresa ou não precisa mais de acesso.
Quando um usuário convidado obtém uma senha avulsa?
Quando um usuário convidado resgata um convite ou usa um link para um recurso que foi compartilhado consigo, ele recebe uma senha avulsa se:
- Ele não tem uma conta Microsoft Entra.
- Ele não tem uma conta Microsoft.
- O locatário que está convidando não configurou a federação com o provedor de identidade social (como o Google) ou outros provedores de identidade.
- Ele não tem nenhum outro método de autenticação ou contas com backup de senha.
- A senha de uso único por email está habilitada.
No momento do convite, não há nenhuma indicação de que o usuário que você está convidando usará a autenticação de senha avulsa. Mas quando o usuário convidado entrar, a autenticação de senha avulsa será o método de fallback se nenhum outro método de autenticação puder ser usado.
Observação
Quando um usuário resgatar uma senha avulsa e, posteriormente, obtém uma MSA, conta do Microsoft Entra ou outra conta federada, ele continuará a ser autenticado usando uma senha avulsa. Se quiser atualizar o método de autenticação do usuário, você poderá redefinir seu status de resgate.
Exemplo
O usuário convidado nicole@firstupconsultants.com é convidado para a Fabrikam, que não tem a federação do Google configurada. Nicole não tem uma conta Microsoft. Receberemos uma senha avulsa para autenticação.
Habilitar ou desabilitar senhas de uso único por email
O recurso de senha de uso único de email agora fica ativado por padrão para todos os novos locatários e para os locatários existentes em que você não o desativou explicitamente. Esse recurso fornece um método de autenticação de fallback contínuo para seus usuários convidados. Se você não quiser usar esse recurso, desabilite-o e, nesse caso, será solicitado que os usuários criem uma conta Microsoft.
Observação
- As configurações de senha de uso único por email também podem ser configuradas com o tipo de recurso emailAuthenticationMethodConfiguration no API do Microsoft Graph.
- Se o recurso de senha de uso único por email tiver sido habilitado em seu locatário e você desabilitá-lo, todos os usuários convidados que tiverem resgatado uma senha de uso único não poderão entrar. Você pode redefinir o status de resgate deles para que eles possam entrar novamente usando outro método de autenticação.
Para habilitar ou desabilitar senhas de uso único por email
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de Política de Autenticação.
Navegue até Identidade>Identidades Externas>Todos os provedores de identidade.
Na guia Interna, ao lado da senha única por email, selecione Configurado.
Em Senha de uso único por email para convidados, selecione uma das seguintes opções:
- Sim: a alternância está definida como Sim por padrão, a menos que o recurso tenha sido explicitamente desativado. Para habilitar o recurso, selecione Sim.
- Não: se você quiser desabilitar o recurso de senha única de email, selecione Não.
- Selecione Salvar.
Perguntas frequentes
O que acontece com meus usuários convidados existentes se eu habilitar a senha de uso único do email?
Os usuários convidados existentes não serão afetados se você habilitar a senha de uso único de email, pois os usuários existentes já estão além do ponto de resgate. A ativação da senha de uso único por email afetará apenas as atividades futuras do processo de resgate em que novos usuários convidados estejam resgatando no locatário.
Qual é a experiência do usuário quando a senha de uso único de email está desabilitada?
Se você desabilitou o recurso de senha de uso único por email, o usuário será solicitado a criar uma conta Microsoft.
Além disso, quando a senha de uso único de email está desabilitada, os usuários podem ver um erro de conexão ao resgatar um link de aplicativo direto quando ele não foi adicionado ao diretório com antecedência.
Para saber mais sobre os diferentes caminhos do processo de resgate, confira Resgate do convite de colaboração B2B.
A opção "Não tem uma conta? Crie uma!” de inscrição de autoatendimento vai desaparecer?
Não. É fácil confundir a inscrição de autoatendimento no contexto da ID externa com a inscrição de autoatendimento para usuários verificados por email, mas eles são dois recursos diferentes. O recurso não gerenciado ("viral") que foi preterido é a inscrição de autoatendimento com usuários verificados por email, que faz seus convidados criarem uma conta do Microsoft Entra não gerenciada. No entanto, a inscrição de autoatendimento para ID externa continuará disponível, o que resulta em seus convidados se inscrevendo em sua organização com uma variedade de provedores de identidade.
O que a Microsoft recomenda fazer com as contas da Microsoft (MSA) existentes?
Quando damos suporte à capacidade de desabilitar a conta da Microsoft nas configurações dos provedores de Identidade (não disponíveis hoje), é altamente recomendável desabilitar a conta da Microsoft e habilitar a senha de uso único por email. Em seguida, você deve redefinir o status de resgate de convidados existentes com contas Microsoft para que eles possam fazer novamente o resgate usando a autenticação de senha de uso único por email e usar a senha de uso único por email para entrar daí em diante.
Com relação à alteração para habilitar por padrão a senha de uso único por email, ela inclui habilitar a integração do SharePoint e do OneDrive ao Microsoft Entra B2B?
Não, a distribuição global da alteração para habilitar a senha de uso único por padrão não inclui habilitar a integração do SharePoint e do OneDrive com o B2B do Azure AD por padrão. Para saber como habilitar ou desabilitar a integração do SharePoint e do OneDrive com B2B do Microsoft Entra para colaboração segura, confira Integração do SharePoint e do OneDrive com o B2B do Azure AD.
Próximas etapas
Saiba mais sobre Provedores de identidade para ID externa e como redefinir o status de resgate para um usuário convidado.