Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется: 
Арендаторы рабочей среды 
Внешние арендаторы (узнайте больше)
Функция однократного секретного кода электронной почты — это способ проверки подлинности пользователей совместной работы B2B, если они не могут проходить проверку подлинности с помощью других средств, таких как идентификатор Microsoft Entra, учетная запись Майкрософт (MSA) или поставщики удостоверений социальных сетей. Когда гостевой пользователь B2B пытается активировать ваше приглашение или войти в общие ресурсы, он может запросить временный секретный код, который отправляется на его адрес электронной почты. Этот код нужно ввести, чтобы войти в систему.
Внимание
- Функция одноразового секретного кода электронной почты теперь включена по умолчанию для всех новых клиентов и для всех существующих клиентов, если вы его не отключили напрямую. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.
Примечание.
В настоящее время нельзя применять политики надежности проверки подлинности с помощью условного доступа к учетным записям однократного секретного кода электронной почты. Вместо этого используйте элемент управления условного доступа "Требовать MFA". Дополнительные сведения см. в разделе "Политики надежности проверки подлинности для внешних пользователей " на странице проверки подлинности и условного доступа для внешнего идентификатора .
Конечные точки входа
Пользователи-гости с одноразовым паролем теперь могут войти в мультитенантные или собственные приложения Microsoft, используя общую точку доступа (другими словами, общий URL-адрес приложения, который не включает контекст вашего клиента). Во время входа гостевой пользователь выбирает параметры входа, а затем выбирает вход в организацию. Далее пользователь вводит название организации и выполняет вход с помощью одноразового секретного кода.
Гостевые пользователи с одноразовым секретным кодом электронной почты могут также использовать конечные точки приложений, содержащие сведения об арендаторе, например:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Вы также можете предоставить гостевым пользователям с одноразовым секретным кодом электронной почты прямую ссылку на приложение или ресурс, если эта ссылка включает сведения об арендаторе, например https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Примечание.
Гостевые пользователи с одноразовым паролем электронной почты могут войти в Microsoft Teams непосредственно из общей конечной точки без выбора параметров входа. Во время входа в Microsoft Teams гостевой пользователь может выбрать ссылку, чтобы отправить одноразовый секретный код.
Применение одноразового секретного кода гостевыми пользователями
Если включена функция однократного секретного кода электронной почты, вновь приглашенные пользователи , которые соответствуют определенным условиям , будут использовать проверку подлинности однократного секретного кода. Гостевые пользователи, которые активировали свои приглашения ранее, будут продолжать использовать свой обычный метод проверки подлинности.
При использовании проверки подлинности на основе одноразового секретного кода гостевой пользователь может активировать ваше приглашение, перейдя по прямой ссылке или используя письмо с приглашением. В обоих случаях в браузере отобразится сообщение о том, что секретный код будет отправлен на адрес электронной почты гостевого пользователя. Гостевой пользователь выбирает код отправки:
Секретный код отправляется на адрес электронной почты пользователя. Пользователь получает секретный код в письме и вводит его в окне браузера:
После проверки подлинности гостевой пользователь может просмотреть общий ресурс или продолжить вход.
Примечание.
Одноразовый секретный код действителен в течение 30 минут. По истечении 30 минут этот одноразовый секретный код станет недействительным, и пользователю придется запросить новый. Сеансы пользователя завершаются через 24 часа. По прошествии этого времени для доступа к ресурсу гостевому пользователю необходимо получить новый секретный код. Срок действия сеанса позволяет повысить уровень безопасности, особенно если гостевой пользователь увольняется из компании или ему больше не нужен доступ к ресурсам.
Когда гостевой пользователь получает одноразовый секретный код?
Когда гостевой пользователь активирует приглашение или использует ссылку на ресурс, к которому был предоставлен общий доступ, он получит одноразовый секретный код, если:
- у него нет учетной записи Microsoft Entra.
- у него нет учетной записи Майкрософт;
- Приглашающий арендатор не настроил федерацию с социальными (например, Google) или другими поставщиками удостоверений.
- у него нет других методов проверки подлинности или учетных записей на основе пароля;
- отправка одноразового секретного кода по электронной почте включена.
Во время отправки приглашения нельзя определить, что приглашаемый пользователь будет применять проверку подлинности на основе одноразового секретного кода. Но если невозможно использовать другие методы проверки подлинности, когда гостевой пользователь входит в систему, в качестве резервного метода применяется проверка подлинности на основе одноразового секретного кода.
Примечание.
Когда пользователь активирует одноразовый секретный код, а затем получает учетную запись MSA, учетную запись Microsoft Entra или другую федеративную учетную запись, они будут продолжать проходить проверку подлинности с помощью однократного секретного кода. Если вы хотите обновить метод проверки подлинности пользователя, можно сбросить состояние активации.
Пример
Гостевой пользователь [email protected] приглашен в компанию Fabrikam, которая не поддерживает настройку федерации Google. У Николя нет учетной записи Майкрософт. Он получит одноразовый секретный код для проверки подлинности.
Включение или отключение одноразовых секретных кодов, отправляемых по электронной почте
Функция отправки одноразового секретного кода по электронной почте теперь включена по умолчанию для всех новых арендаторов и для всех существующих арендаторов, для которых вы не отключили ее явным образом. Эта функция обеспечивает беспрепятственный резервный метод аутентификации для ваших гостевых пользователей. Если вы не хотите использовать эту функцию, ее можно отключить, в этом случае пользователям будет предложено создать учетную запись Майкрософт.
Примечание.
- Параметры секретного кода электронной почты можно также настроить с помощью типа ресурса emailAuthenticationMethodConfiguration в API Microsoft Graph.
- Если функция секретного кода одноразового пароля включена в клиенте и вы ее отключаете, все гостевые пользователи, которые активировали одноразовый секретный код, не смогут войти в систему. Вы можете сбросить состояние активации , чтобы они могли снова войти с помощью другого метода проверки подлинности.
Включение одноразовых секретных кодов, отправляемых по электронной почте
Войдите в Центр администрирования Microsoft Entra как минимум с правами администратора политики проверки подлинности.
Перейдите к Entra ID>Внешние удостоверения личности>Все поставщики удостоверений личности.
На вкладке "Встроенная" рядом с одноразовым секретным кодом электронной почты выберите "Настроено".
В разделе Одноразовый секретный код электронной почты для гостей выберите один из следующих вариантов:
- Да: переключатель имеет значение "Да " по умолчанию, если функция не была явно отключена. Чтобы включить эту функцию, убедитесь, что выбран параметр "Да ".
- Нет. Если вы хотите отключить функцию однократного секретного кода электронной почты, нажмите кнопку "Нет".
- Нажмите кнопку "Сохранить".
Часто задаваемые вопросы
Что происходит с существующими гостевыми пользователями, если включить одноразовый секретный код электронной почты?
Имеющиеся гостевые пользователи не будут затронуты, если включить отправку одноразового секретного кода по электронной почте, так как они уже прошли точку активации. Включение однократного секретного кода электронной почты влияет только на будущие действия процесса активации, в которых новые гостевые пользователи активируются в клиенте.
Что такое взаимодействие с пользователем при отключении однократного секретного кода электронной почты?
Если вы отключили функцию отправки одноразового секретного кода по электронной почте, пользователю будет предложено создать учетную запись Майкрософт.
Если одноразовый секретный код отключен, пользователь может столкнуться с ошибкой входа при активации прямой ссылки на приложение и невозможности добавления заранее в ваш каталог.
Для получения дополнительной информации о различных процессах погашения см. Погашение приглашений на сотрудничество B2B.
Будет ли выводиться сообщение «Нет учетной записи»? Создайте ее!" функции для самостоятельной регистрации больше не будет?
№ Легко спутать самостоятельную регистрацию в контексте внешнего идентификатора с самостоятельной регистрацией для пользователей, прошедших проверку по электронной почте, но это две разные функции. Неуправляемая функция ("вирусная"), которая была исключена, — это самостоятельная регистрация для пользователей с подтверждением по электронной почте, что привело к созданию неуправляемой учетной записи Microsoft Entra. Однако самостоятельная регистрация для внешнего идентификатора будет по-прежнему доступна, что приводит к регистрации гостей в организации с различными поставщиками удостоверений.
Что корпорация Майкрософт рекомендует использовать с существующими учетными записями Майкрософт (MSA)?
Когда будет поддерживаться возможность отключения учетной записи Майкрософт в параметрах поставщиков удостоверений (сейчас недоступна), настоятельно рекомендуется отключить учетную запись Майкрософт и включить отправку одноразового секретного кода по электронной почте. Затем необходимо сбросить статус погашения существующих гостей с учетными записями Майкрософт, чтобы они могли повторно использовать проверку подлинности через одноразовый пароль электронной почты и использовать одноразовый пароль для входа в дальнейшем.
Что касается изменения, чтобы включить одноразовый секретный код электронной почты по умолчанию, это включает интеграцию SharePoint и OneDrive с Microsoft Entra B2B?
Нет, глобальное развертывание изменений для включения по умолчанию одноразового пароля для электронной почты не включает по умолчанию интеграцию SharePoint и OneDrive с Microsoft Entra B2B. Чтобы узнать, как включить или отключить интеграцию SharePoint и OneDrive с Microsoft Entra B2B для безопасной совместной работы, см. в статье Интеграции SharePoint и OneDrive с Microsoft Entra B2B.
Следующие шаги
Узнайте о поставщиках удостоверений для внешнего идентификатора и о том, как сбросить состояние активации для гостевого пользователя.