Как изменить (понизить или преобразовать) существующего пользователя Office 365 в гостевого пользователя?свнешнийличность?
Я могу изменить тип пользователя с «Участник» на «Гость» в центре администрирования Azure Active Directory, но я также хочу фактически заменить существующую идентификацию участника на идентификацию от внешнего поставщика удостоверений (например, Google, Facebook или Outlook).
В качестве примера, в настоящее время у нас есть гостевой пользователь:
(представьте, что contoso.com — это наш домен)
Теперь я хочу, чтобы Алиса получила доступ к нашей среде Office 365, используя ее[email protected]идентичность, в идеале сохраняя при этом свое существующее членство в группах и т. д.
Я отмечаю, что User Principal Name — это редактируемое поле. Я также отмечаю, что пользователи с внешним идентификатором имеют UPN, который выглядит следующим образом:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
Однако новым гостевым пользователям (внешним пользователям) отправляется сгенерированное системой электронное письмо с приглашением присоединиться к нашей среде, и я не думаю, что я могу просто изменить поле UPN. Могу ли я?
Может ли кто-нибудь дать какие-либо рекомендации по этому сценарию?
решение1
Поэтому я думаю, что следующая ссылка о взаимоотношениях Azure B2B будет вам полезна:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
Вы можете изменить «Тип пользователя» для пользователя, но это касается только отношения пользователя к вашей организации. Это не имеет никакого отношения к поставщику удостоверений пользователя, который вы на самом деле хотите изменить. Вы, вероятно, не захотите менять тип пользователя, если только его отношение к вашей организации не меняется.
Вы просите переключить поставщика удостоверений пользователя с каталога Azure AD вашей организации на внешнего поставщика удостоверений, например google.com, facebook.com или другой каталог Azure AD. Поставщик удостоверений называется «Издатель», когда вы смотрите на пользователя в Azure AD. Он определен в документе, ссылку на который я привел выше.
Если я правильно понимаю, ваш эмитент должен сейчас сказать yourtenant.onmicrosoft.comили что-то в этом роде. Вы хотите изменить его на google.comили facebook.com. В этом случае, я полагаю, вам нужно обновить атрибут пользователя, mailчтобы установить его на внешний адрес электронной почты пользователя. Затем вы можете сбросить статус приглашения, и пользователь получит новое приглашение на свой внешний адрес электронной почты и сможет выкупить приглашение с помощью внешнего поставщика удостоверений, который обновит Issuerсвойство учетной записи так, как вам нужно.
В моем случае это работает, но не совсем соответствует вашему варианту использования. В моем случае мы поглотили другую организацию, и когда мы добавили их домен AD в наш AD, он автоматически взял на себя их учетные записи пользователей AD и переключил их UPN на версию #EXT#. Поэтому вам также может потребоваться обновить UPN, чтобы он соответствовал формату, на который вы ссылались: username_externaldomain#EXT#@yourtenantdomainт. е first.last_google.com#EXT#yourorg.onmicrosoft.com. Также обновите mailатрибут и сбросьте приглашение. В нашем случае, когда мы сбросили приглашение, и они его активировали, Issuerизменилось на External Azure ADуказание того, что теперь они прошли аутентификацию с помощью нашего Azure AD, а не своего собственного, и теперь они входят в систему, используя свою организационную учетную запись в нашем AD.
Вы можете изменить атрибут пользователя mailчерезAPI графиков. Приглашение можно сбросить, открыв свойства пользователя в Azure AD, а затем используя опцию manageрядом со статусом «Приглашение принято». Выберите Reset invitation status. Или, возможно, вам придется использовать опцию Resend invite. В зависимости от того, какой вариант доступен с учетом статуса пользователя.
