Autenticação de senha única por e-mail para usuários convidados B2B
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
O recurso de senha única de email é uma maneira de autenticar usuários de colaboração B2B quando eles não podem ser autenticados por outros meios, como ID do Microsoft Entra, conta da Microsoft (MSA) ou provedores de identidade social. Quando um usuário convidado B2B tenta resgatar seu convite ou entrar em seus recursos compartilhados, ele pode solicitar uma senha temporária, que é enviada para seu endereço de e-mail. Em seguida, eles inserem essa senha para continuar a entrar.
Importante
- O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Esta funcionalidade fornece um método de autenticação de contingência totalmente integrado para os seus utilizadores convidados. Se não quiser utilizar esta funcionalidade, pode desativá-la, caso em que os utilizadores serão solicitados a criar uma conta Microsoft.
Nota
Atualmente, não é possível aplicar políticas de força de autenticação por meio do Acesso Condicional a contas de senha única de e-mail. Em vez disso, use o controle de concessão de acesso condicional 'Exigir MFA'. Para obter mais informações, consulte a seção Políticas de força de autenticação para usuários externos da página Autenticação e acesso condicional para ID externo.
Pontos finais de início de sessão
Os utilizadores convidados com código de acesso único por e-mail podem agora iniciar sessão nas suas aplicações multilocatárias ou de primeira parte da Microsoft utilizando um ponto de extremidade comum (por outras palavras, um URL geral da aplicação que não inclui o contexto do seu inquilino). Durante o processo de início de sessão, o utilizador convidado escolhe Opções de início de sessão e, em seguida, seleciona Iniciar sessão numa organização. Em seguida, o usuário digita o nome da sua organização e continua entrando usando uma senha única.
Os usuários convidados com código de acesso único por e-mail também podem usar pontos de extremidade de aplicativo que incluem suas informações de locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>
https://myapps.microsoft.com/<your verified domain>.onmicrosoft.com
https://portal.azure.com/<your tenant ID>
Você também pode dar aos usuários convidados com senha única de e-mail um link direto para um aplicativo ou recurso, incluindo suas informações de locatário, por exemplo https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>
.
Nota
Os utilizadores convidados com código de acesso único por e-mail podem iniciar sessão no Microsoft Teams diretamente a partir do ponto de extremidade comum sem escolher as opções de início de sessão. Durante o processo de entrada no Microsoft Teams, o usuário convidado pode selecionar um link para enviar uma senha única.
Experiência do usuário para usuários convidados com senha única
Quando o recurso de senha única de e-mail estiver habilitado, os usuários recém-convidados que atenderem a determinadas condições usarão a autenticação de senha única. Os usuários convidados que resgataram um convite antes que a senha única de e-mail fosse habilitada continuarão a usar o mesmo método de autenticação.
Com a autenticação de senha única, o usuário convidado pode resgatar seu convite clicando em um link direto ou usando o e-mail de convite. Em ambos os casos, uma mensagem no navegador indica que um código será enviado para o endereço de e-mail do usuário convidado. O usuário convidado seleciona Enviar código:
Uma senha é enviada para o endereço de e-mail do usuário. O usuário recupera a senha do e-mail e a insere na janela do navegador:
O utilizador convidado está agora autenticado e pode ver o recurso partilhado ou continuar a iniciar sessão.
Nota
As senhas únicas são válidas por 30 minutos. Após 30 minutos, essa senha única específica não é mais válida, e o usuário deve solicitar uma nova. As sessões de usuário expiram após 24 horas. Após esse período, o usuário convidado recebe uma nova senha quando acessa o recurso. A expiração da sessão oferece segurança adicional, especialmente quando um usuário convidado sai de sua empresa ou não precisa mais de acesso.
Quando é que um utilizador convidado recebe um código de acesso monouso?
Quando um utilizador convidado resgata um convite ou utiliza uma ligação para um recurso que foi partilhado com este, o utilizador irá receber um código de acesso monouso se:
- Não tiver uma conta do Microsoft Entra.
- Não tiver uma conta Microsoft.
- O locatário convidado não configurou a federação com redes sociais (como o Google) ou outros provedores de identidade.
- Não tem nenhum outro método de autenticação nem contas com palavra-passe.
- O código de acesso monouso por e-mail está ativado.
No momento do convite, não há indicação de que o usuário que você está convidando usará a autenticação de senha única. Mas quando o usuário convidado entrar, a autenticação de senha única será o método de fallback se nenhum outro método de autenticação puder ser usado.
Nota
Quando um usuário resgata uma senha única e posteriormente obtém uma conta MSA, Microsoft Entra ou outra conta federada, ela continuará a ser autenticada usando uma senha única. Se quiser atualizar o método de autenticação do usuário, você pode redefinir seu status de resgate.
Exemplo
O usuário nicole@firstupconsultants.com convidado é convidado para a Fabrikam, que não tem a federação do Google configurada. Nicole não tem uma conta Microsoft. Eles receberão uma senha única para autenticação.
Ativar ou desativar códigos de acesso únicos de e-mail
O recurso de senha única de e-mail agora está ativado por padrão para todos os novos locatários e para todos os locatários existentes nos quais você não o desativou explicitamente. Esta funcionalidade fornece um método de autenticação de contingência totalmente integrado para os seus utilizadores convidados. Se não quiser utilizar esta funcionalidade, pode desativá-la, caso em que os utilizadores serão solicitados a criar uma conta Microsoft.
Nota
- As configurações de senha única de email também podem ser definidas com o tipo de recurso emailAuthenticationMethodConfiguration na API do Microsoft Graph.
- Se o recurso de senha única de e-mail tiver sido habilitado em seu locatário e você desativá-lo, os usuários convidados que resgataram uma senha única não poderão entrar. Você pode redefinir o status de resgate para que eles possam entrar novamente usando outro método de autenticação.
Para ativar ou desativar códigos de acesso únicos de e-mail
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Identidades>externas>Todos os provedores de identidade.
Na guia Incorporado, ao lado de Senha única por e-mail, selecione Configurado.
Em Enviar código de acesso único por e-mail para hóspedes, selecione uma das seguintes opções:
- Sim: A alternância é definida como Sim por padrão, a menos que o recurso tenha sido explicitamente desativado. Para ativar o recurso, verifique se Sim está selecionado.
- Não: Se você quiser desativar o recurso de senha única de e-mail, selecione Não.
- Selecione Guardar.
Perguntas mais frequentes
O que acontece aos meus utilizadores convidados existentes se eu ativar o código de acesso único do e-mail?
Seus usuários convidados existentes não serão afetados se você ativar a senha única do e-mail, pois os usuários existentes já passaram do ponto de resgate. Habilitar a senha única de e-mail afetará apenas as atividades futuras do processo de resgate em que novos usuários convidados forem resgatados para o locatário.
Qual é a experiência do usuário quando a senha única de e-mail é desativada?
Se você tiver desabilitado o recurso de senha única de email, o usuário será solicitado a criar uma conta da Microsoft.
Além disso, quando a senha única de e-mail é desativada, os usuários podem ver um erro de entrada quando estão resgatando um link direto do aplicativo e eles não foram adicionados ao seu diretório com antecedência.
Para obter mais informações sobre os diferentes caminhos do processo de resgate, consulte Resgate de convite de colaboração B2B.
Será que o "Sem conta? Crie um!" opção de inscrição self-service desaparecer?
N.º É fácil fazer com que a inscrição de autoatendimento no contexto da ID externa seja confundida com a inscrição de autoatendimento para usuários verificados por e-mail, mas são dois recursos diferentes. O recurso não gerenciado ("viral") que foi preterido é a inscrição de autoatendimento com usuários verificados por e-mail, o que resultou em convidados criando uma conta não gerenciada do Microsoft Entra. No entanto, a inscrição de autoatendimento para ID externa continuará disponível, o que resulta em seus convidados se inscrevendo em sua organização com uma variedade de provedores de identidade.
O que a Microsoft recomenda que façamos com as contas Microsoft existentes (MSA)?
Quando suportamos a capacidade de desativar a Conta Microsoft nas definições de Fornecedores de Identidade (não disponíveis atualmente), recomendamos vivamente que desative a Conta Microsoft e ative o código de acesso único do e-mail. Em seguida, você deve redefinir o status de resgate de hóspedes existentes com contas da Microsoft para que eles possam resgatar novamente usando a autenticação de senha única de email e usar a senha única de email para entrar no futuro.
Em relação à mudança para habilitar a senha única de email por padrão, isso inclui a integração do SharePoint e do OneDrive com o Microsoft Entra B2B?
Não, a implementação global da alteração para habilitar a senha única de email por padrão não inclui habilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B por padrão. Para saber como habilitar ou desabilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para colaboração segura, consulte Integração do SharePoint e do OneDrive com o Microsoft Entra B2B.
Próximos passos
Saiba mais sobre os Provedores de Identidade para ID Externa e como redefinir o status de resgate para um usuário convidado.