¿Cómo cambio (bajo de categoría o convierto) un usuario existente de Office 365 a un usuario invitado?con unexternoidentidad?
Puedo cambiar el tipo de usuario de un usuario de 'Miembro' a 'Invitado' en el centro de administración de Azure Active Directory, pero también quiero reemplazar de manera efectiva la identidad existente del miembro con la de un proveedor de identidad externo (por ejemplo, Google, Facebook o Outlook).
A modo de ejemplo, actualmente tenemos un usuario invitado:
[correo electrónico protegido]
(supongamos que contoso.com es nuestro dominio)
Ahora quiero que Alice acceda a nuestro entorno de Office 365 usando su[correo electrónico protegido]identidad, preservando idealmente sus membresías grupales existentes, etc.
Observo que el nombre principal del usuario es un campo editable. También observo que los usuarios con una identidad externa tienen un UPN similar a este:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
Sin embargo, a los nuevos usuarios invitados (usuarios externos) se les envía una invitación por correo electrónico generada por el sistema para unirse a nuestro entorno y no creo que pueda simplemente modificar el campo UPN, ¿puedo?
¿Alguien puede ofrecer alguna orientación para este escenario?
Respuesta1
Entonces, creo que el siguiente enlace sobre las relaciones B2B de Azure será de ayuda:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
Puede cambiar el 'Tipo de usuario' del usuario, pero esto es solo en referencia a la relación del usuario con su organización. No tiene nada que ver con el proveedor de identidad del usuario, que es lo que realmente desea cambiar. Probablemente no desee cambiar el tipo de usuario, a menos que su relación con su organización esté cambiando.
Está solicitando cambiar el proveedor de identidad de un usuario del directorio de Azure AD de su organización a un proveedor de identidad externo, como google.com, facebook.com u otro directorio de Azure AD. El proveedor de identidad se conoce como "Emisor" cuando se mira al usuario en Azure AD. Está definido en el documento que vinculé arriba.
Si entiendo correctamente, su emisor debería decir actualmente yourtenant.onmicrosoft.comalgo así. Quieres cambiarlo a google.como facebook.com. En este caso, creo que es necesario actualizar el mailatributo del usuario para configurarlo en la dirección de correo electrónico externa del usuario. Luego, puede restablecer el estado de la invitación y el usuario recibirá una nueva invitación en su correo electrónico externo y podrá canjear la invitación utilizando el proveedor de identidad externo, que actualizará la Issuerpropiedad de la cuenta como desee.
En mi caso de uso, esto funciona, pero no coincide exactamente con su caso de uso. En mi caso, absorbimos otra organización y cuando agregamos su dominio AD a nuestro AD, automáticamente se hizo cargo de sus cuentas de usuario de AD y cambió su UPN a la #EXT#versión. Por lo tanto, es posible que también deba actualizar el UPN para que coincida con el formato al que hizo referencia: username_externaldomain#EXT#@yourtenantdomaines decir first.last_google.com#EXT#yourorg.onmicrosoft.com, . También actualice el mailatributo y restablezca la invitación. En nuestro caso, cuando restablecimos la invitación y la canjearon, Issuercambió para External Azure ADindicar que ahora estaban autenticados por nuestro Azure AD en lugar de por el suyo propio y que ahora inician sesión usando su cuenta organizacional en nuestro AD.
Puede cambiar el mailatributo del usuario a través delAPI gráfica. La invitación se puede restablecer abriendo las propiedades del usuario en Azure AD y luego use la manageopción junto al estado "Invitación aceptada". Elegir Reset invitation status. O quizás necesites utilizar la Resend inviteopción. El que esté disponible considerando el estado del usuario.
