Im Januar 2019 hat Microsoft die Anmeldung in Azure AD Diensten für externe Gäste per Einmalcode als Public Preview vorgestellt. Die Preview wurde beendet und im März wird es die Standardkonfiguration für alle Tenants. Auf Wunsch können Administratoren vorab die Konfiguration beeinflussen.
Mit der Anmeldung via One-time passcode (kurz OTP) wird einem Gast per E-Mail ein numerischer Code zur kurzzeitigen Verwendung gesendet. Der Code ersetzt ein Passwort, ist pro Antrag 30 Minuten gültig und erlaubt es sich pro Gerät für 24 Stunden anzumelden. Danach wird ein neuer Code versendet. In der Art betrifft es alle Azure und M365 Dienste bei denen jemand mit Gäste zusammenarbeiten kann.
An einem Beispiel mit SharePoint. Ich teile einen SharePoint Inhalt an einen Gast. Dieser möchte sich über die Mailadresse anmelden und erhält bei der Anmeldung einen Code an seine Mailadresse. Der Code ersetzt das übliche Passwort. Der Gast muss somit Zugriff auf seine Mailbox haben. Nach Eingabe des Codes wird er auf den Link seiner Einladung umgeleitet und hat die Berechtigungen wie es von der internen Person vergeben wurde. Wird die Berechtigung entfernt hat der Gast nach kurzer Zeit keinen Zugriff mehr, selbst wenn der Code noch gültig wäre.
 |  |
OTP wird jedoch nicht für alle Gäste angewendet. Die Anmeldung via OTP wird nur für Accounts angewandt die im Microsoft Verzeichnis nicht bekannt sind. Ein paar Beispiele von Accounts bei denen kein OTP eingesetzt wird. Für die Anmeldung übernimmt es in dem Fall das normale Passwort des Accounts.
- Gäste haben über ihre Mailadresse in Azure AD bereits einen “externen AD Account”. Keine Anmeldung via OTP!
Verwendet der Gast selbst geschäftlich einen Azure Tenant, oder wurde in der Vergangenheit in SharePoint, Teams,… ein Gast eingeladen und hat den Einladungsprozess abgeschlossen wurde im Azure AD ein externer Account angelegt. In Azure AD ist die Quelle für die Accounts “External Azure Active Directory”.
Möchte man so einen Account auf OTP umstellen könnte ihn ein Admin in Azure AD löschen. Danach muss die Person neu eingeladen werden. Mit der Methode verliert die Person jedoch den Zugriff auf seine bestehenden Berechtigungen und Freigaben.
- Gäste haben über ihre Mailadresse einen privaten Microsoft Account. Keine Anmeldung via OTP!
Verwendet jemand Outlook.com, OneDrive, Xbox- oder andere Microsoft Dienste hat die Person einen privaten Microsoft Account. In Azure AD ist die Quelle für die Accounts “Microsoft Account”.
- Wurde in Azure AD eine Federation zu Google eingerichtet sind Accounts mit @gmail.com und @googlemail.com von OTP ebenfalls ausgenommen. Wurde keine Federation eingerichtet wird OTP eingesetzt.
Bisher können Administratoren wählen ob sie OTP für Gäste einsetzen wollen. Im März 2021 wird es standardmässig in allen Tenants aktiviert. Administratoren können es vorab beeinflussen ob sie es über den normalen Prozess im März aktivieren lassen, sofort aktivieren oder auf OTP verzichten wollen und mit der alten Methode weiterfahren. Die längere Beschreibung sollte man sich durchlesen.
Hat sich ein Gast via OTP Code angemeldet wird dieser Account in Azure AD mit der Quelle “OTP” erfasst.
Wichtig falls die Public Preview aktiviert wurde. Die Preview konnten Administratoren in bestehenden Tenants manuell aktivieren, oder wie ich in meinem neuen Tenant sah wurde die Konfiguration ohne meiner Aktion standardmässig aktiviert. Der Status lässt sich in Azure AD > External Identities > External collaboration settings sehr einfach überprüfen.
Ist die Einstellung aktiv wurde die OTP Preview aktiviert. In dem Fall werdet ihr die neuen Konfigurationen, die für eine Vorabkonfiguration möglich sind, nicht sehen. Es gilt für den Tenant bereits. Für diese Tenants ändert sich im März nichts.
Solltet ihr die Einstellung deaktivieren werden alle bestehenden OTP Sessions sofort ungültig und Azure greift wieder auf die alte Anmeldemethode zurück. Ihr deaktiviert damit nicht die Preview sondern OTP generell. Falls jemand die Preview zurücksetzen möchte muss es über Microsoft Graph angepasst werden.
