适用于 B2B 来宾用户的电子邮件一次性密码身份验证

适用于:带白色勾号的绿色圆圈。 员工租户 带灰色 X 号的白色圆圈。 外部租户(了解详细信息

当 B2B 协作用户无法通过 Microsoft Entra ID、Microsoft 帐户 (MSA) 或社交标识提供者等其他方式进行身份验证时,可使用电子邮件一次性密码功能对他们进行身份验证。 当 B2B 来宾用户试图履行你的邀请或登录你的共享资源时,他们可以请求向其电子邮件地址发送临时密码。 他们输入此密码后,可以继续登录。

显示电子邮件一次性密码的概述的图。

重要

  • 电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 此功能为来宾用户提供无缝的回退身份验证方法。 如果不想使用此功能,可以禁用它,在这种情况下,系统会提示用户创建 Microsoft 帐户。

注意

目前,无法通过条件访问对电子邮件一次性密码帐户应用身份验证强度策略。 请改用条件访问授权控制“需要 MFA”。 有关详细信息,请参阅“外部 ID 的身份验证和条件访问”页部分的外部用户的身份验证强度策略

登录终结点

电子邮件一次性密码来宾用户现在可以使用公共终结点(即不包含租户上下文的常规应用 URL)登录到多租户或 Microsoft 第一方应用。 在登录过程中,来宾用户选择“登录选项”,然后选择“登录到组织” 。 然后,用户键入组织名并继续使用一次性密码登录。

电子邮件一次性密码来宾用户还可以使用包含租户信息的应用程序终结点,例如:

  • https://myapps.microsoft.com/?tenantid=<your tenant ID>
  • https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
  • https://portal.azure.com/<your tenant ID>

还可以通过添加租户信息,为电子邮件一次性密码来宾用户提供指向应用程序或资源的直接链接,例如 https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>

注意

电子邮件一次性密码来宾用户可以直接从公共终结点登录到 Microsoft Teams,而无需选择“登录选项”。 在登录 Microsoft Teams 的过程中,来宾用户可以选择一个链接来发送一次性密码。

一次性密码来宾用户的用户体验

启用电子邮件一次性密码功能后,满足特定条件的新邀请的用户将使用一次性密码身份验证。 在启用一次性密码之前已兑换邀请的来宾用户将继续使用同一身份验证方法。

借助一次性密码身份验证,来宾用户可以通过单击直接链接或使用邀请电子邮件来兑换邀请。 在任一情况下,浏览器中的消息都指示代码将发送到来宾用户的电子邮件地址。 来宾用户选择“发送代码”:

显示“发送代码”按钮的屏幕截图。

密码将发送到用户的电子邮件地址。 用户从电子邮件检索密码,并在浏览器窗口中输入该密码:

显示“输入代码”页的屏幕截图。

来宾用户现在已通过身份验证,他们可以查看共享资源或继续登录。

注意

一次性密码在 30 分钟内有效。 30 分钟后,该特定的一次性密码不再有效,用户必须申请新密码。 用户会话在 24 小时后过期。 届时,来宾用户在访问资源时会收到新密码。 会话过期可提高安全性,尤其是当来宾用户离开公司或不再需要访问权限时。

来宾用户何时收到一次性密码?

当来宾用户兑换邀请或使用指向已与其共享的资源的链接时,将收到一次性密码,前提是符合以下条件:

  • 他们没有 Microsoft Entra 帐户。
  • 他们没有 Microsoft 帐户。
  • 发出邀请的租户没有与社交标识提供者(如 Google)或其他标识提供者建立联合身份验证。
  • 他们没有任何其他身份验证方法或任何密码支持的帐户。
  • 电子邮件一次性密码已启用。

在邀请时,没有迹象表明你邀请的用户将使用一次性密码身份验证。 但是当来宾用户登录时,如果不能使用其他身份验证方法,则可以使用一次性密码身份验证作为应变方法。

注意

如果用户兑换了一次性密码,并且稍后获得 MSA、Microsoft Entra 帐户或其他联合帐户,他们将继续使用一次性密码进行身份验证。 如果要更新用户的身份验证方法,可以重置其兑换状态

示例

来宾用户 nicole@firstupconsultants.com 受邀加入 Fabrikam,而 Fabrikam 未设置 Google 联合身份验证。 Nicole 没有 Microsoft 帐户。 他将收到用于身份验证的一次性密码。

启用或禁用电子邮件一次性密码

电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 此功能为来宾用户提供无缝的回退身份验证方法。 如果不想使用此功能,可以禁用它,在这种情况下,系统会提示用户创建 Microsoft 帐户。

注意

  • 电子邮件一次性密码设置也可以使用 Microsoft Graph API 中的 emailAuthenticationMethodConfiguration 资源类型进行配置。
  • 如果电子邮件一次性密码功能已在租户中启用,而你将其关闭,则已兑换一次性密码的任何来宾用户将无法登录。 可以重置其兑换状态,以便他们可以使用另一种身份验证方法再次登录。

启用或禁用电子邮件一次性密码

提示

本文中的步骤可能因开始使用的门户而略有不同。

  1. 至少以身份验证策略管理员的身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“外部标识”>“所有标识提供者”。

  3. 在“内置”选项卡的“电子邮件一次性密码”旁,选择“已配置”

  4. 在“来宾的电子邮件一次性密码”下,选择以下选项之一:

    • 是:默认情况下,切换开关设置为“是”,除非已明确关闭该功能。 若要启用该功能,请确保已选中“是”。
    • :如果要禁用电子邮件一次性密码功能,请选择“否”。

屏幕截图显示电子邮件一次性密码切换开关。

  1. 选择“保存”。

常见问题

如果启用电子邮件一次性密码,现有来宾用户会发生什么情况?

如果启用电子邮件一次性密码,现有来宾用户将不会受到影响,因为现有用户已超过兑换点。 启用电子邮件一次性密码仅会影响今后将新来宾用户兑换到租户的兑换过程活动。

禁用电子邮件一次性密码时,用户体验如何?

如果已禁用电子邮件一次性密码功能,系统会提示用户创建 Microsoft 帐户。

此外,当电子邮件一次性密码被禁用时,用户在兑换直接应用程序链接时可能会看到登录错误,并且他们没有提前添加到目录中。

有关不同兑换过程路径的详细信息,请参阅 B2B 协作邀请兑换

“没有帐户?”自助注册选项 请创建一个!” 会消失吗?

否。 外部 ID 上下文中的自助注册与面向电子邮件验证的用户的自助注册很容易混淆,但它们是两种不同的功能。 已弃用的非托管功能(“病毒”功能)是面向电子邮件验证的用户的自助注册,它导致来宾创建了非托管的 Microsoft Entra 帐户。 但是,将继续提供适用于外部 ID 的自助注册,该功能导致来宾使用各种标识提供者注册组织。 

Microsoft 建议如何处理现有的 Microsoft 帐户 (MSA)?

如果支持在“标识提供者”设置中禁用 Microsoft 帐户(目前不可用),强烈建议禁用 Microsoft 帐户并启用电子邮件一次性密码。 然后,应使用 Microsoft 帐户为现有来宾重置兑换状态,使他们可以使用电子邮件一次性密码身份验证进行重新兑换,并在今后使用电子邮件一次性密码进行登录。

关于对“默认启用电子邮件一次性密码”设置的更改,这是否涵盖 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成?

否,在全局推出对“默认启用电子邮件一次性密码”设置的更改中,不包含默认启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。若要了解如何启用或禁用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成来实现安全协作,请参阅 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成

后续步骤

了解外部 ID 的标识提供者以及如何重置来宾用户的兑换状态