适用于:
(员工租户)
(外部租户)(了解详细信息)
当 B2B 协作用户无法通过 Microsoft Entra ID、Microsoft 帐户 (MSA) 或社交标识提供者等其他方式进行身份验证时,可使用电子邮件一次性密码功能对他们进行身份验证。 当 B2B 来宾用户试图履行你的邀请或登录你的共享资源时,他们可以请求向其电子邮件地址发送临时密码。 他们输入此密码后,可以继续登录。
重要
- 电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 此功能为来宾用户提供无缝的回退身份验证方法。 如果不想使用此功能,可以 禁用此功能,在这种情况下,系统会提示用户创建Microsoft帐户。
注意
目前,无法通过条件访问对电子邮件一次性密码帐户应用身份验证强度策略。 请改用条件访问授权控制“需要 MFA”。 有关详细信息,请参阅“外部用户身份验证和外部 ID 条件访问”页的“身份验证强度策略”部分。
登录终结点
电子邮件一次性密码来宾用户现在可以使用 通用终结点 (换句话说,不包括租户上下文的常规应用 URL)登录到多租户或Microsoft第一方应用。 在登录过程中,来宾用户选择“登录选项”,然后选择“登录到组织” 。 然后,用户键入组织名并继续使用一次性密码登录。
电子邮件一次性密码来宾用户还可以使用包含租户信息的应用程序终结点,例如:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified ___domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
还可以通过添加租户信息,为电子邮件一次性密码来宾用户提供指向应用程序或资源的直接链接,例如 https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>。
注意
通过电子邮件获取一次性密码的来宾用户可以直接从通用端点登录 Microsoft Teams,而不需要选择 登录选项。 在登录 Microsoft Teams 的过程中,来宾用户可以选择一个链接来发送一次性密码。
一次性密码来宾用户的用户体验
启用电子邮件一次性密码功能后, 满足特定条件 的新受邀用户将使用一次性密码身份验证。 在启用一次性密码之前已兑换邀请的来宾用户将继续使用同一身份验证方法。
借助一次性密码身份验证,来宾用户可以通过单击直接链接或使用邀请电子邮件来兑换邀请。 在任一情况下,浏览器中的消息都指示代码将发送到来宾用户的电子邮件地址。 来宾用户选择“发送代码”:
密码将发送到用户的电子邮件地址。 用户从电子邮件检索密码,并在浏览器窗口中输入该密码:
来宾用户现在已通过身份验证,他们可以查看共享资源或继续登录。
注意
一次性密码在 30 分钟内有效。 30 分钟后,该特定的一次性密码不再有效,用户必须申请新密码。 用户会话在 24 小时后过期。 届时,来宾用户在访问资源时会收到新密码。 会话过期可提高安全性,尤其是当来宾用户离开公司或不再需要访问权限时。
来宾用户何时收到一次性密码?
当来宾用户兑换邀请或使用指向已与其共享的资源的链接时,将收到一次性密码,前提是符合以下条件:
- 他们没有 Microsoft Entra 帐户。
- 他们没有 Microsoft 帐户。
- 租户邀请方未与社交平台(如 Google)或其他身份提供商建立联合。
- 他们没有任何其他身份验证方法或任何密码支持的帐户。
- 电子邮件一次性密码已启用。
在邀请时,没有迹象表明你邀请的用户将使用一次性密码身份验证。 但是当来宾用户登录时,如果不能使用其他身份验证方法,则可以使用一次性密码身份验证作为应变方法。
注意
如果用户兑换了一次性密码,并且稍后获得 MSA、Microsoft Entra 帐户或其他联合帐户,他们将继续使用一次性密码进行身份验证。 如果要更新用户的身份验证方法,可以 重置其兑换状态。
示例
来宾用户 nicole@firstupconsultants.com 受邀加入 Fabrikam,而 Fabrikam 未设置 Google 联合身份验证。 Nicole 没有 Microsoft 帐户。 他将收到用于身份验证的一次性密码。
启用或禁用电子邮件一次性密码
电子邮件一次性密码功能现在默认为所有新租户以及尚未显式关闭的任何现有租户启用。 此功能为来宾用户提供无缝的回退身份验证方法。 如果不想使用此功能,可以禁用它,在这种情况下,系统会提示用户创建 Microsoft 帐户。
注意
- 还可以在 Microsoft Graph API 中使用 emailAuthenticationMethodConfiguration 资源类型配置电子邮件一次性密码设置。
- 如果电子邮件一次性密码功能已在租户中启用,而你将其关闭,则已兑换一次性密码的任何来宾用户将无法登录。 可以 重置其兑换状态 ,以便他们可以使用其他身份验证方法再次登录。
启用或禁用电子邮件一次性密码
以至少身份验证策略管理员身份登录到 Microsoft Entra 管理中心。
浏览到 Entra ID>外部身份>所有身份提供者。
在“内置”选项卡的“电子邮件一次性密码”旁,选择“已配置”。
在“来宾的电子邮件一次性密码”下,选择以下选项之一:
- 是:默认情况下,切换开关设置为“是”,除非已明确关闭该功能。 若要启用该功能,请确保已选中“是”。
- 否:如果要禁用电子邮件一次性密码功能,请选择 “否”。
- 选择“保存”。
常见问题
如果启用电子邮件一次性密码,现有来宾用户会发生什么情况?
如果启用电子邮件一次性密码,现有来宾用户将不会受到影响,因为现有用户已超过兑换点。 启用电子邮件一次性密码仅会影响今后将新来宾用户兑换到租户的兑换过程活动。
禁用电子邮件一次性密码时,用户体验如何?
如果已禁用电子邮件一次性密码功能,系统会提示用户创建 Microsoft 帐户。
此外,当电子邮件一次性密码被禁用时,用户在兑换直接应用程序链接时可能会看到登录错误,并且他们没有提前添加到目录中。
有关不同兑换过程路径的详细信息,请参阅 B2B 协作邀请兑换。
“没有帐户?”自助注册选项 请创建一个!” 会消失吗?
否。 在外部 ID 的上下文中,自助注册容易与针对电子邮件验证用户的自助注册相混淆,但它们是两个不同的功能。 已弃用的非托管(“病毒”)功能是 通过电子邮件验证的用户自助注册,从而导致访客创建了非托管的 Microsoft Entra 帐户。 但是,外部 ID 的自助注册将继续可用,这将使来宾能够使用 各种标识提供者 注册到您的组织。
Microsoft 建议如何处理现有的 Microsoft 帐户 (MSA)?
如果支持在“标识提供者”设置中禁用 Microsoft 帐户(目前不可用),强烈建议禁用 Microsoft 帐户并启用电子邮件一次性密码。 然后,应使用 Microsoft 帐户重置现有来宾的 兑换状态 ,以便他们可以使用电子邮件一次性密码身份验证重新兑换,并使用电子邮件一次性密码进行登录。
有关默认启用电子邮件一次性密码的更改,这是否包括 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成?
否,默认情况下启用电子邮件一次性密码的全局推出不包括启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。若要了解如何启用或禁用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成以实现安全协作,请参阅 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。
后续步骤
了解 外部 ID 的身份提供者,以及如何重置 访客用户的状态。