Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: 
Locatários da força de trabalho (saiba mais)
O recurso de senha de uso único por email é uma maneira de autenticar usuários de colaboração B2B quando eles não podem ser autenticados por outros meios, como o Microsoft Entra ID, a MSA (conta Microsoft) ou provedores de identidade social. Quando um usuário convidado B2B tenta resgatar seu convite ou entrar em seus recursos compartilhados, ele pode solicitar uma senha temporária, que é enviada para seu endereço de email. Em seguida, ele digita essa senha para continuar o processo de entrada.
Important
- O recurso de senha de uso único de email agora fica ativado por padrão para todos os novos locatários e para os locatários existentes em que você não o desativou explicitamente. Esse recurso fornece um método de autenticação de fallback contínuo para seus usuários convidados. Se você não quiser usar esse recurso, poderá desabilitá-lo, caso em que os usuários serão solicitados a criar uma conta da Microsoft.
Note
Atualmente, você não pode aplicar políticas de força de autenticação por meio do Acesso Condicional a contas de senha de uso único por email. Em vez disso, use o controle de concessão de acesso condicional 'Exigir MFA'. Para obter mais informações, consulte a seção Políticas de força de autenticação para usuários externos da página Autenticação e Acesso Condicional para ID Externa .
Pontos de extremidade de login
Os usuários convidados de senha de uso único por email agora podem entrar em seus aplicativos multilocatário ou de primeira parte da Microsoft usando um ponto de extremidade comum (em outras palavras, uma URL geral do aplicativo que não inclui o contexto do locatário). Durante o processo de entrada, o usuário convidado escolhe as opções de entrada e, em seguida, seleciona Entrar em uma organização. Depois, o usuário digita o nome da organização e continua a entrada usando a senha de uso único.
Os usuários convidados com a senha de uso único por email também podem usar pontos de extremidade do aplicativo que incluem as informações do locatário, por exemplo:
https://myapps.microsoft.com/?tenantid=<your tenant ID>https://myapps.microsoft.com/<your verified ___domain>.onmicrosoft.comhttps://portal.azure.com/<your tenant ID>
Você também pode fornecer aos usuários convidados com senha de uso único por email um link direto para um aplicativo ou um recurso incluindo as informações do locatário, por exemplo, https://myapps.microsoft.com/signin/X/<application ID?tenantId=<your tenant ID>.
Note
Os usuários convidados com senha única de email podem entrar no Microsoft Teams diretamente do ponto de extremidade comum sem escolher as Opções de entrada. Durante o processo de entrada no Microsoft Teams, o usuário convidado pode selecionar um link para enviar uma senha de uso único.
Experiência do usuário para usuários convidados com senha avulsa
Quando o recurso de senha única de email estiver habilitado, os usuários recém-convidados que atenderem a determinadas condições usarão a autenticação de senha única. Os usuários convidados que resgataram um convite antes da habilitação da senha de uso único por email continuarão a usar o mesmo método de autenticação.
Com a autenticação por senha avulsa, o usuário convidado pode resgatar seu convite clicando em um link direto ou usando o email de convite. Em ambos os casos, uma mensagem no navegador indica que um código será enviado ao endereço de email do usuário convidado. O usuário convidado seleciona Enviar código:
Uma senha é enviada ao endereço de email do usuário. O usuário recupera a senha de email e insere-a na janela do navegador:
O usuário convidado está agora autenticado e pode ver o recurso compartilhado ou continuar o processo de entrada.
Note
Senhas de uso único são válidas por 30 minutos. Após 30 minutos, essa senha avulsa específica não é mais válida e o usuário precisa solicitar uma nova. Sessões de usuário expiram após 24 horas. Após esse tempo, o usuário convidado recebe uma nova senha quando acessa o recurso. A expiração de sessão fornece maior segurança, especialmente quando um usuário convidado deixa a empresa ou não precisa mais de acesso.
Quando um usuário convidado obtém uma senha avulsa?
Quando um usuário convidado resgata um convite ou usa um link para um recurso que foi compartilhado consigo, ele recebe uma senha avulsa se:
- Ele não tem uma conta Microsoft Entra.
- Ele não tem uma conta Microsoft.
- O locatário que está convidando não configurou a federação com o provedor de identidade social (como o Google) ou outros provedores de identidade.
- Ele não tem nenhum outro método de autenticação ou contas com backup de senha.
- A senha de uso único por email está habilitada.
No momento do convite, não há nenhuma indicação de que o usuário que você está convidando usará a autenticação de senha avulsa. Mas quando o usuário convidado entrar, a autenticação de senha avulsa será o método de fallback se nenhum outro método de autenticação puder ser usado.
Note
Quando um usuário resgatar uma senha avulsa e, posteriormente, obtém uma MSA, conta do Microsoft Entra ou outra conta federada, ele continuará a ser autenticado usando uma senha avulsa. Se você quiser atualizar o método de autenticação do usuário, poderá redefinir seu status de resgate.
Example
O usuário convidado nicole@firstupconsultants.com é convidado para a Fabrikam, que não tem a federação do Google configurada. Nicole não tem uma conta Microsoft. Receberemos uma senha avulsa para autenticação.
Habilitar ou desabilitar senhas de uso único por email
O recurso de senha de uso único de email agora fica ativado por padrão para todos os novos locatários e para os locatários existentes em que você não o desativou explicitamente. Esse recurso fornece um método de autenticação de fallback contínuo para seus usuários convidados. Se você não quiser usar esse recurso, desabilite-o e, nesse caso, será solicitado que os usuários criem uma conta Microsoft.
Note
- As configurações de senha única por email também podem ser configuradas com o tipo de recurso emailAuthenticationMethodConfiguration na API do Microsoft Graph.
- Se o recurso de senha de uso único por email tiver sido habilitado em seu locatário e você desabilitá-lo, todos os usuários convidados que tiverem resgatado uma senha de uso único não poderão entrar. Você pode redefinir o status de resgate para que eles possam entrar novamente usando outro método de autenticação.
Para habilitar ou desabilitar senhas de uso único por email
Entre no Centro de administração do Microsoft Entra como pelo menos um Administrador de Política de Autenticação.
Navegue até Entra ID>Identidades Externas>Todos os provedores de identidade.
Na guia Integrado, ao lado da senha de uso único por email, selecione Configurado.
Em Email, senha única para convidados, selecione um dos seguintes:
- Sim: a alternância é definida como Sim por padrão, a menos que o recurso tenha sido explicitamente desativado. Para habilitar o recurso, verifique se Sim está selecionado.
- Não: se você quiser desabilitar o recurso de senha única de email, selecione Não.
- Clique em Salvar.
Perguntas frequentes
O que acontece com meus usuários convidados existentes se eu habilitar a senha única por email?
Os usuários convidados existentes não serão afetados se você habilitar a senha de uso único de email, pois os usuários existentes já estão além do ponto de resgate. A ativação da senha de uso único por email afetará apenas as atividades futuras do processo de resgate em que novos usuários convidados estejam resgatando no locatário.
Qual é a experiência do usuário quando a senha única do email está desabilitada?
Se você desabilitou o recurso de senha de uso único por email, o usuário será solicitado a criar uma conta Microsoft.
Além disso, quando a senha de uso único de email está desabilitada, os usuários podem ver um erro de conexão ao resgatar um link de aplicativo direto quando ele não foi adicionado ao diretório com antecedência.
Para saber mais sobre os diferentes caminhos do processo de resgate, confira Resgate do convite de colaboração B2B.
A opção "Não tem uma conta? Criar um!" de inscrição de autoatendimento vai desaparecer?
No. É fácil confundir a inscrição de autoatendimento no contexto de ID Externa com a inscrição de autoatendimento para usuários com verificação por e-mail, mas são dois recursos diferentes. O recurso não gerenciado ("viral") que foi preterido é a inscrição por autoatendimento com usuários verificados por email, o que resultou na criação de uma conta não gerenciada do Microsoft Entra. No entanto, a inscrição de autoatendimento para ID externa continuará disponível, o que resulta em seus convidados se inscrevendo em sua organização com uma variedade de provedores de identidade.
O que a Microsoft recomenda que façamos com as contas existentes da Microsoft (MSA)?
Quando damos suporte à capacidade de desabilitar a conta da Microsoft nas configurações dos provedores de Identidade (não disponíveis hoje), é altamente recomendável desabilitar a conta da Microsoft e habilitar a senha de uso único por email. Em seguida, você deve redefinir o status de resgate de convidados existentes com contas da Microsoft para que eles possam resgatar novamente usando a autenticação de senha única por email e usar a senha única de email para entrar daqui para frente.
Próximas etapas
Saiba mais sobre provedores de identidade para ID externa e como redefinir o status de resgate para um usuário convidado.