La fonctionnalité de code secret à usage unique envoyé par courriel est un moyen d’authentifier les utilisateurs B2B Collaboration lorsqu’ils ne peuvent pas être authentifiés par d’autres moyens, par exemple Microsoft Entra ID, un compte Microsoft (MSA) ou des fournisseurs d’identité sociale (Facebook etc.)
Autrement dit, quand un utilisateur invité accepte une invitation ou utilise un lien vers une ressource qui a été partagée depuis une ressource liée au Tenant de votre entreprise, il va recevoir un code secret à usage unique dans les cas suivants :
- Il n’a pas de compte Microsoft Entra.
- Il n’a pas de compte Microsoft.
- Le Tenant qui invite n’a pas configuré de fédération avec des fournisseurs d’identité sociale (comme Google) ou d’autres fournisseurs d’identité.
- Il n’a pas d’autre méthode d’authentification ou de compte authentifié par mot de passe.
- Le code secret à usage unique envoyé par courriel est activé.
Si le processus fonctionne correctement, l’utilisateur invité semble garder de facon permanente son accés à la ressource désirée. la question est donc de savoir si il existe un moyen de forcer ces utilisateurs externes à se réauthentifier aprés une période donnée.
Pour plus d’explication regarder la section Example 2: Authentication flow and token for one-time passcode user dans le lien suivant :
https://learn.microsoft.com/en-us/entra/external-id/authentication-conditional-access
SOLUTION
J’ai donc demandé au support Microsoft (TrackingID#2501080050004126) pour savoir si il était possible de réduire la durée du Ticket et donc voic la réponse
« Après avoir discuté avec discussion avec notre équipe interne, il m’a été confirmé qu’il n’est pas possible de définir une date d’expiration pour le jeton d’accès. »
****************************
The one-time secret code functionality sent by e-mail is a means of authenticating B2B Collaboration users when they cannot be authenticated by other means, e.g. Microsoft Entra ID, a Microsoft account (MSA) or social identity providers (Facebook etc.).
In other words, when a guest user accepts an invitation or uses a link to a resource that has been shared from a resource linked to your company’s Tenant, they will receive a one-time secret code in the following cases:
They do not have a Microsoft Entra account.
He does not have a Microsoft account.
The inviting Tenant has not set up a federation with social identity providers (such as Google) or other identity providers.
It has no other authentication method or password-authenticated account.
The one-time secret code sent by e-mail is activated.
If the process works correctly, the guest user seems to retain permanent access to the desired resource.
the question is whether there’s a way to force these external users to re-authenticate after a given period.
For more information, see Example 2: Authentication flow and token for one-time passcode user in the following link:
https://learn.microsoft.com/en-us/entra/external-id/authentication-conditional-access
SOLUTION
So I asked Microsoft support (TrackingID#2501080050004126) if it was possible to reduce the duration of the Ticket, and here’s the answer
“After discussion with our internal team, it has been confirmed to me that it is not possible to set an expiration date for the access token.”
Laurent TERUIN | MVP | https://workingtogether.fun/ | @workingtogether.bsky.social |contact@workingtogether.fun
Travailler ensemble 