既存の Office 365 ユーザーをゲスト ユーザーに変更 (ダウングレードまたは変換) するにはどうすればよいですか?と外部の身元?
Azure Active Directory 管理センターでユーザーのユーザー タイプを「メンバー」から「ゲスト」に変更できますが、メンバーの既存の ID を外部 ID プロバイダー (Google、Facebook、Outlook など) の ID に効果的に置き換えることも必要です。
例として、現在ゲストユーザーがいます:
(contoso.com が私たちのドメインであると仮定します)
私はアリスにOffice 365環境にアクセスしてもらいたいのですが[メールアドレス]理想的には、既存のグループメンバーシップなどを維持しながら、アイデンティティを維持します。
ユーザー プリンシパル名は編集可能なフィールドです。また、外部 ID を持つユーザーには次のような UPN があることにも注意してください。
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
ただし、新しいゲスト ユーザー (外部ユーザー) には、環境に参加するためのシステム生成の電子メール招待が送信され、UPN フィールドを単純に変更することはできないと思いますが、できますか?
このシナリオについて何かアドバイスをいただける方はいらっしゃいますか?
答え1
したがって、Azure B2B 関係に関する次のリンクが役立つと思います。https://docs.microsoft.com/ja-jp/azure/active-directory/external-identities/ユーザープロパティ
ユーザーの「ユーザー タイプ」を変更することはできますが、これはユーザーと組織との関係のみに関するものです。実際に変更したいのはユーザーの ID プロバイダーですが、それとは関係ありません。ユーザーと組織との関係が変わらない限り、ユーザーのタイプを変更することはおそらく望ましくありません。
ユーザーの ID プロバイダーを組織の Azure AD ディレクトリから、google.com、facebook.com、または別の Azure AD ディレクトリなどの外部 ID プロバイダーに切り替えるよう要求しています。Azure AD でユーザーを確認する場合、ID プロバイダーは「発行者」と呼ばれます。これは、上記でリンクしたドキュメントで定義されています。
私の理解が正しければ、発行者は現在yourtenant.onmicrosoft.comまたは のようなものを言っているはずです。これをgoogle.comまたはに変更したいfacebook.comとします。この場合、ユーザーのmail属性を更新して、ユーザーの外部メール アドレスに設定する必要があると思います。その後、招待ステータスをリセットすると、ユーザーは外部メールで新しい招待を受け取り、外部 ID プロバイダーを使用して招待を利用できるようになります。これにより、アカウント プロパティがIssuer必要に応じて更新されます。
私のユースケースではこれでうまくいきますが、あなたのユースケースと完全には一致しません。私の場合、別の組織を吸収し、その AD ドメインを当社の AD に追加したときに、その AD ユーザー アカウントが自動的に引き継がれ、UPN が バージョンに切り替わりました。そのため、参照した形式(つまり )#EXT#と一致するように UPN を更新する必要がある場合もあります。また、属性を更新して招待をリセットします。当社の場合、招待をリセットしてユーザーがそれを利用すると、 が、ユーザー自身のアカウントではなく当社の Azure AD によって認証されたことを示すように変わり、ユーザーは当社の AD で組織アカウントを使用してログインするようになりました。username_externaldomain#EXT#@yourtenantdomainfirst.last_google.com#EXT#yourorg.onmicrosoft.commailIssuerExternal Azure AD
ユーザーのmail属性は、グラフAPI招待をリセットするには、Azure AD でユーザーのプロパティを開き、manage「招待を承諾」ステータスの横にあるオプションを使用します。 を選択しますReset invitation status。 または、Resend inviteオプションを使用する必要がある場合もあります。 ユーザーのステータスを考慮して、どちらでも使用できます。
