Egyszeri pin-kód hitelesítése e-mailben B2B-vendégfelhasználók számára
A következőkre vonatkozik:
Munkaerő-bérlők 
Külső bérlők (további információ)
Az egyszeri e-mail pin-kód funkcióval hitelesítheti a B2B együttműködési felhasználókat, ha más módon nem hitelesíthetők, például Microsoft Entra-azonosítóval, Microsoft-fiókkal (MSA) vagy közösségi identitásszolgáltatókkal. Amikor egy B2B-vendégfelhasználó megpróbálja beváltani a meghívást, vagy bejelentkezik a megosztott erőforrásokba, kérhet egy ideiglenes pin-kódot, amelyet a rendszer elküld az e-mail-címére. Ezután beírja ezt a pin-kódot a bejelentkezés folytatásához.
Fontos
- Az egyszeri e-mail pin-kód funkció alapértelmezés szerint be van kapcsolva az összes új bérlő és minden olyan meglévő bérlő esetében, ahol nem kapcsolta ki explicit módon. Ez a funkció zökkenőmentes tartalék hitelesítési módszert biztosít a vendégfelhasználók számára. Ha nem szeretné használni ezt a funkciót, letilthatja azt, ebben az esetben a rendszer egy Microsoft-fiók létrehozására kéri a felhasználókat.
Feljegyzés
Jelenleg nem alkalmazhat hitelesítési erősségű szabályzatokat feltételes hozzáféréssel az egyszeri pin-kódfiókok e-mailjeire. Ehelyett használja a feltételes hozzáférés-engedélyezés "MFA megkövetelése" vezérlőt. További információkért tekintse meg a külső felhasználók hitelesítésének erősségszabályzatait a Külső azonosítók hitelesítése és feltételes hozzáférése lapjának a külső felhasználókra vonatkozó szakaszában.
Bejelentkezési végpontok
Az egyszeri pin-kódú vendégfelhasználók mostantól bejelentkezhetnek a több-bérlős vagy microsoftos belső alkalmazásokba egy közös végpont használatával (vagyis egy általános alkalmazás URL-címével, amely nem tartalmazza a bérlői környezetet). A bejelentkezési folyamat során a vendégfelhasználó kiválasztja a bejelentkezési beállításokat, majd kiválasztja a Bejelentkezés a szervezetbe lehetőséget. A felhasználó ezután begépeli a szervezet nevét, és továbbra is egyszeri pin-kóddal jelentkezik be.
Az egyszeri pin-kóddal ellátott vendégfelhasználók olyan alkalmazásvégpontokat is használhatnak, amelyek tartalmazzák a bérlő adatait, például:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Az egyszeri pin-kód vendégfelhasználóinak közvetlen hivatkozást is adhat egy alkalmazáshoz vagy erőforráshoz, például https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>a bérlői adatok megadásával.
Feljegyzés
Az egyszeri pin-kóddal rendelkező vendégfelhasználók közvetlenül a közös végpontról jelentkezhetnek be a Microsoft Teamsbe anélkül, hogy a bejelentkezési beállításokat választanák. A Microsoft Teamsbe való bejelentkezés során a vendégfelhasználó kiválaszthat egy hivatkozást egy egyszeri pin-kód küldéséhez.
Felhasználói élmény egyszeri pin-kód vendégfelhasználók számára
Ha engedélyezve van az egyszeri pin-kód funkció, az újonnan meghívott felhasználók , akik megfelelnek bizonyos feltételeknek , egyszeri pin-kód-hitelesítést fognak használni. Azok a vendégfelhasználók, akik az egyszeri pin-kód engedélyezése előtt beváltottak egy meghívót, továbbra is ugyanazt a hitelesítési módszert fogják használni.
Egyszeri pin-kód-hitelesítéssel a vendégfelhasználó egy közvetlen hivatkozásra vagy a meghívó e-mail-címére kattintva beválthatja a meghívót. A böngészőben lévő üzenet mindkét esetben azt jelzi, hogy a program egy kódot küld a vendégfelhasználó e-mail-címére. A vendégfelhasználó a Küldés kódot választja:
A rendszer pin-kódot küld a felhasználó e-mail-címére. A felhasználó lekéri a pin-kódot az e-mailből, és beírja a böngészőablakba:
A vendégfelhasználó hitelesítése megtörtént, és megtekintheti a megosztott erőforrást, vagy folytathatja a bejelentkezést.
Feljegyzés
Az egyszeri pin-kódok 30 percig érvényesek. 30 perc elteltével az adott egyszeri pin-kód már nem érvényes, és a felhasználónak újat kell kérnie. A felhasználói munkamenetek 24 óra elteltével lejárnak. Ezt követően a vendégfelhasználó új pin-kódot kap, amikor hozzáfér az erőforráshoz. A munkamenet lejárata további biztonságot nyújt, különösen akkor, ha egy vendégfelhasználó elhagyja a vállalatát, vagy már nincs szüksége hozzáférésre.
Mikor kap egy vendégfelhasználó egyszeri jelszót?
Amikor egy vendégfelhasználó bevált egy meghívót, vagy egy vele megosztott erőforrásra mutató linket használ, egyszeri jelszót kap, ha:
- Nincs Microsoft Entra-fiókjuk.
- Nincs Microsoft-fiókjuk.
- A meghívó bérlő nem állított be összevonást a közösségi (például Google) vagy más identitásszolgáltatókkal.
- Nincs más hitelesítési módszerük vagy jelszóval támogatott fiókjuk.
- Az egyszeri e-mailes jelszó engedélyezve van.
A meghíváskor nincs jele annak, hogy a meghívott felhasználó egyszeri pin-kódhitelesítést használ. Amikor azonban a vendégfelhasználó bejelentkezik, az egyszeri pin-kód-hitelesítés lesz a tartalék módszer, ha más hitelesítési módszerek nem használhatók.
Feljegyzés
Ha egy felhasználó egyszer használt pin-kódot vált be, és később egy MSA- vagy Microsoft Entra-fiókot vagy más összevont fiókot szerez be, a rendszer továbbra is egyszeri pin-kóddal hitelesíti őket. Ha frissíteni szeretné a felhasználó hitelesítési módszerét, visszaállíthatja a beváltási állapotukat.
Példa
A vendégfelhasználót nicole@firstupconsultants.com meghívjuk a Fabrikamba, amelyhez nincs beállítva Google-összevonás. Nicole-nak nincs Microsoft-fiókja. Egyszeri pin-kódot kapnak a hitelesítéshez.
Egyszeri pin-kód engedélyezése vagy letiltása
Az egyszeri e-mail pin-kód funkció alapértelmezés szerint be van kapcsolva az összes új bérlő és minden olyan meglévő bérlő esetében, ahol nem kapcsolta ki explicit módon. Ez a funkció zökkenőmentes tartalék hitelesítési módszert biztosít a vendégfelhasználók számára. Ha nem szeretné használni ezt a funkciót, letilthatja azt, ebben az esetben a rendszer kérni fogja a felhasználókat egy Microsoft-fiók létrehozására.
Feljegyzés
- Az egyszeri e-mail pin-kód beállításai az e-mailAuthenticationMethodConfiguration erőforrástípussal is konfigurálhatók a Microsoft Graph API-ban.
- Ha az egyszeri pin-kód funkció engedélyezve van a bérlőben, és Ön kikapcsolja, az egyszeri jelszót beváltó vendégfelhasználók nem fognak tudni bejelentkezni. Visszaállíthatja a beváltási állapotukat , hogy újra bejelentkezhessenek egy másik hitelesítési módszerrel.
Egyszeri pin-kódok engedélyezése vagy letiltása az e-mailekben
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább hitelesítési házirend-rendszergazdaként.
Tallózással keresse meg az >>minden identitásszolgáltatót.
A Beépített lap E-mail egyszeri pin-kódja mellett válassza a Konfigurált lehetőséget.
Az E-mail egyszeri pin-kód a vendégek számára területen válasszon az alábbiak közül:
- Igen: A kapcsoló alapértelmezés szerint Igen értékre van állítva, kivéve, ha a funkció kifejezetten ki van kapcsolva. A funkció engedélyezéséhez győződjön meg arról, hogy az Igen lehetőség van kiválasztva.
- Nem: Ha le szeretné tiltani az egyszeri pin-kód funkciót, válassza a Nem lehetőséget.
- Válassza a Mentés lehetőséget.
Gyakori kérdések
Mi történik a meglévő vendégfelhasználóimmal, ha egyszer engedélyezem az e-maileket?
A meglévő vendégfelhasználókra nem lesz hatással, ha egyszeri pin-kóddal engedélyezi az e-maileket, mivel a meglévő felhasználók már túl vannak a beváltáson. Az egyszeri pin-kód engedélyezése csak azokra a jövőbeli beváltási folyamatokra lesz hatással, amelyekben az új vendégfelhasználók beváltanak a bérlőbe.
Mi a felhasználói élmény, ha az egyszeri pin-kód le van tiltva?
Ha letiltotta az egyszeri pin-kód funkciót, a rendszer kérni fogja a felhasználót, hogy hozzon létre egy Microsoft-fiókot.
Ha az egyszeri pin-kód le van tiltva, a felhasználók bejelentkezési hibát tapasztalhatnak, amikor egy közvetlen alkalmazáshivatkozást váltanak be, és nem lettek előzetesen hozzáadva a címtárhoz.
A beváltási folyamat különböző módjairól további információt a B2B együttműködési meghívás beváltása című témakörben talál.
A "Nincs fiók? Hozzon létre egyet!" lehetőség az önkiszolgáló regisztráció eltűnik?
Szám Az önkiszolgáló regisztrációt egyszerűen lekérheti a külső azonosító kontextusában, amely összekeveri az e-mail-ellenőrzött felhasználók önkiszolgáló regisztrációjával, de két különböző funkcióról van szó. Az elavult nem felügyelt ("vírusos") funkció az e-mail-ellenőrzéssel ellenőrzött felhasználókkal való önkiszolgáló regisztráció, amelynek eredményeként a vendégek nem felügyelt Microsoft Entra-fiókot hoztak létre. A külső azonosítóra való önkiszolgáló regisztráció azonban továbbra is elérhető lesz, ami azt eredményezi, hogy a vendégek különböző identitásszolgáltatókkal regisztrálnak a szervezetre.
Mit javasol a Microsoft a meglévő Microsoft-fiókokkal (MSA)?
Ha támogatjuk a Microsoft-fiók letiltását az identitásszolgáltatók beállításaiban (ma nem érhető el), határozottan javasoljuk, hogy tiltsa le a Microsoft-fiókot, és engedélyezze az egyszeri pin-kód megadását. Ezután alaphelyzetbe kell állítania a meglévő vendégek beváltásának állapotát a Microsoft-fiókokkal, hogy az egyszeri pin-kódos hitelesítéssel újra beválthassák őket, és az egyszeri pin-kód használatával jelentkezzenek be a továbblépéshez.
Az egyszeri pin-kód engedélyezésének módosításával kapcsolatban ez magában foglalja a SharePoint és a OneDrive integrációját a Microsoft Entra B2B-vel?
Nem, az egyszeri jelszó engedélyezésére vonatkozó módosítás globális bevezetése nem foglalja magában a SharePoint és a OneDrive integrációjának engedélyezését a Microsoft Entra B2B-vel alapértelmezés szerint. A SharePoint és a OneDrive és a Microsoft Entra B2B integrációjának engedélyezéséről és letiltásáról a SharePoint és a OneDrive Integráció a Microsoft Entra B2B-vel című témakörben olvashat.
Következő lépések
Ismerje meg a külső azonosító identitásszolgáltatóinak adatait, és hogy miként állíthatja vissza a visszaváltási állapotot egy vendégfelhasználó számára.