Como faço para alterar (downgrade ou converter) um usuário existente do Office 365 para um usuário convidadocom umexternoidentidade?
Posso alterar o tipo de usuário de um usuário de 'Membro' para 'Convidado' no centro de administração do Azure Active Directory, mas também quero substituir efetivamente a identidade existente do membro pela de um provedor de identidade externo (por exemplo, Google, Facebook ou Outlook).
A título de exemplo, atualmente temos um usuário convidado:
(fingir que contoso.com é nosso domínio)
Agora quero que Alice acesse nosso ambiente Office 365 usando seu[e-mail protegido]identidade, preservando idealmente suas participações em grupos existentes, etc.
Observo que o nome principal do usuário é um campo editável. Observo também que os usuários com uma identidade externa têm um UPN semelhante a este:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
No entanto, novos usuários convidados (usuários externos) recebem um convite por e-mail gerado pelo sistema para ingressar em nosso ambiente e não acho que posso simplesmente modificar o campo UPN - posso?
Alguém pode oferecer alguma orientação para este cenário?
Responder1
Então, acho que o link a seguir sobre os relacionamentos B2B do Azure ajudará:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
Você pode alterar o 'Tipo de usuário' do usuário, mas isso se refere apenas ao relacionamento do usuário com sua organização. Não tem nada a ver com o provedor de identidade do usuário, que é o que você realmente deseja alterar. Provavelmente você não deseja alterar o tipo do usuário, a menos que o relacionamento dele com a sua organização esteja mudando.
Você está solicitando a troca do provedor de identidade de um usuário do diretório do Azure AD da sua organização para um provedor de identidade externo, como google.com, facebook.com ou outro diretório do Azure AD. O fornecedor de identidade é conhecido como 'Emissor' quando olha para o utilizador no Azure AD. Está definido no documento que vinculei acima.
Se bem entendi, seu emissor deve dizer atualmente yourtenant.onmicrosoft.comou algo parecido. Você deseja alterá-lo para google.comou facebook.com. Nesse caso, acredito que você precise atualizar o mailatributo do usuário para defini-lo como o endereço de e-mail externo do usuário. Em seguida, você pode redefinir o status do convite e o usuário receberá um novo convite em seu e-mail externo e poderá resgatar o convite usando o provedor de identidade externo, que atualizará a Issuerpropriedade da conta conforme desejado.
No meu caso de uso, isso funciona, mas não corresponde exatamente ao seu caso de uso. No meu caso, absorvemos outra organização e quando adicionamos seu domínio AD ao nosso AD, ela automaticamente assumiu o controle de suas contas de usuário AD e mudou seu UPN para a #EXT#versão. Portanto, você também pode precisar atualizar o UPN para que corresponda ao formato referenciado: username_externaldomain#EXT#@yourtenantdomainou seja first.last_google.com#EXT#yourorg.onmicrosoft.com, . Atualize também o mailatributo e redefina o convite. No nosso caso, quando redefinimos o convite e eles o resgataram, eles Issuermudaram para External Azure ADindicar que agora foram autenticados pelo nosso Azure AD em vez de pelo seu próprio e agora fazem login usando sua conta organizacional em nosso AD.
Você pode alterar o mailatributo do usuário através doAPI gráfica. O convite pode ser redefinido abrindo as propriedades do usuário no Azure AD e depois usando a manageopção ao lado do status 'Convite aceito'. Escolha Reset invitation status. Ou, talvez, você precise usar a Resend inviteopção. O que estiver disponível considerando o status do usuário.
