Wie ändere (downgrade oder konvertiere) ich einen vorhandenen Office 365-Benutzer in einen Gastbenutzer?mit einemexternIdentität?
Ich kann den Benutzertyp eines Benutzers im Azure Active Directory-Verwaltungscenter von „Mitglied“ in „Gast“ ändern, möchte aber auch die vorhandene Identität des Mitglieds effektiv durch die eines externen Identitätsanbieters (z. B. Google, Facebook oder Outlook) ersetzen.
Als Beispiel haben wir derzeit einen Gastbenutzer:
(tun Sie so, als wäre contoso.com unsere Domäne)
Ich möchte nun, dass Alice auf unsere Office 365-Umgebung zugreift mit ihrem[email geschützt]Identität, während im Idealfall ihre bestehenden Gruppenmitgliedschaften usw. erhalten bleiben.
Mir ist aufgefallen, dass der Benutzerprinzipalname ein editierbares Feld ist. Mir ist auch aufgefallen, dass Benutzer mit einer externen Identität einen UPN haben, der wie folgt aussieht:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
Neuen Gastbenutzern (externen Benutzern) wird jedoch eine systemgenerierte E-Mail-Einladung zum Beitritt zu unserer Umgebung gesendet und ich glaube nicht, dass ich das UPN-Feld einfach ändern kann – oder doch?
Kann jemand für dieses Szenario eine Anleitung geben?
Antwort1
Daher denke ich, dass der folgende Link zu Azure B2B-Beziehungen hilfreich sein wird:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
Sie können den „Benutzertyp“ für den Benutzer ändern, dies bezieht sich jedoch nur auf die Beziehung des Benutzers zu Ihrer Organisation. Es hat nichts mit dem Identitätsanbieter des Benutzers zu tun, den Sie eigentlich ändern möchten. Sie möchten den Typ des Benutzers wahrscheinlich nicht ändern, es sei denn, seine Beziehung zu Ihrer Organisation ändert sich.
Sie möchten den Identitätsanbieter eines Benutzers vom Azure AD-Verzeichnis Ihrer Organisation auf einen externen Identitätsanbieter wie google.com, facebook.com oder ein anderes Azure AD-Verzeichnis umstellen. Der Identitätsanbieter wird als „Aussteller“ bezeichnet, wenn Sie den Benutzer in Azure AD betrachten. Er ist in dem oben verlinkten Dokument definiert.
Wenn ich das richtig verstehe, sollte Ihr Aussteller derzeit yourtenant.onmicrosoft.comoder so ähnlich lauten. Sie möchten es in google.comoder ändern facebook.com. In diesem Fall müssen Sie meines Erachtens das mailAttribut des Benutzers aktualisieren, um es auf die externe E-Mail-Adresse des Benutzers festzulegen. Anschließend können Sie den Einladungsstatus zurücksetzen und der Benutzer erhält eine neue Einladung an seine externe E-Mail-Adresse und kann die Einladung mithilfe des externen Identitätsanbieters einlösen, der die Konteneigenschaft Issuerwie gewünscht aktualisiert.
In meinem Anwendungsfall funktioniert das, aber es entspricht nicht genau Ihrem Anwendungsfall. In meinem Fall haben wir eine andere Organisation übernommen und als wir ihre AD-Domäne zu unserem AD hinzugefügt haben, wurden automatisch ihre AD-Benutzerkonten übernommen und ihr UPN auf die #EXT#Version umgestellt. Daher müssen Sie möglicherweise auch den UPN aktualisieren, damit er dem von Ihnen referenzierten Format entspricht: username_externaldomain#EXT#@yourtenantdomaind. h first.last_google.com#EXT#yourorg.onmicrosoft.com. Aktualisieren Sie auch das mailAttribut und setzen Sie die Einladung zurück. In unserem Fall, als wir die Einladung zurückgesetzt und sie eingelöst haben, Issueränderte sich die Anzeige dahingehend External Azure AD, dass sie jetzt von unserem Azure AD und nicht von ihrem eigenen authentifiziert wurden und sich jetzt mit ihrem Organisationskonto in unserem AD anmelden.
Sie können das Attribut des Benutzers ändern mailüberGraph-API. Die Einladung kann zurückgesetzt werden, indem Sie die Eigenschaften des Benutzers in Azure AD öffnen und dann die manageOption neben dem Status „Einladung angenommen“ verwenden. Wählen Sie Reset invitation status. Oder Sie müssen möglicherweise die Resend inviteOption verwenden. Je nachdem, was unter Berücksichtigung des Status des Benutzers verfügbar ist.
