如何將現有 Office 365 使用者變更(降級或轉換)為來賓用戶與外部的身分?
我可以在Azure Active Directory 管理中心將使用者的使用者類型從“成員”更改為“訪客”,但我還希望將成員的現有身分有效地替換為來自外部身分提供者(例如Google、Facebook 或Outlook)的身份。
舉個例子,我們目前有一個訪客使用者:
(假設 contoso.com 是我們的網域)
我現在希望 Alice 使用她來訪問我們的 Office 365 環境[電子郵件受保護]身份,同時最好保留她現有的團體成員資格等。
我注意到用戶主體名稱是一個可編輯欄位。我還注意到具有外部身分的用戶的 UPN 如下所示:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
但是,新來賓使用者(外部使用者)會收到系統產生的電子郵件邀請加入我們的環境,我認為我不能簡單地修改 UPN 欄位 - 可以嗎?
任何人都可以為這種情況提供任何指導嗎?
答案1
因此,我認為以下有關 Azure B2B 關係的連結將會有所幫助:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
您可以變更使用者的“使用者類型”,但這僅涉及使用者與您的組織的關係。它與用戶的身份提供者沒有任何關係,而這正是您真正想要更改的。您可能不想更改使用者的類型,除非他們與您的組織的關係正在改變。
您要求將使用者的身分提供者從組織的 Azure AD 目錄切換到外部身分識別提供者,例如 google.com、facebook.com 或其他 Azure AD 目錄。當您在 Azure AD 中查看使用者時,身分提供者稱為「頒發者」。它在我上面鏈接的文檔中定義。
如果我理解正確的話,您的發行人目前應該說yourtenant.onmicrosoft.com或類似的話。您想將其更改為google.com或facebook.com。在這種情況下,我相信您需要更新使用者的mail屬性以將其設定為使用者的外部電子郵件地址。然後,您可以重設邀請狀態,使用者將收到發送到其外部電子郵件的新邀請,並能夠使用外部身分提供者兌換邀請,這將Issuer根據您的需求更新帳戶屬性。
在我的用例中,這可行,但它與您的用例不完全匹配。就我而言,我們吸收了另一個組織,當我們將他們的 AD 網域新增到我們的 AD 中時,它會自動接管他們的 AD 使用者帳戶並將他們的 UPN 切換到該#EXT#版本。因此,您可能還需要更新 UPN,使其與您引用的格式相符:username_externaldomain#EXT#@yourtenantdomain即first.last_google.com#EXT#yourorg.onmicrosoft.com.也要更新mail屬性並重置邀請。在我們的例子中,當我們重設邀請並且他們兌換了邀請時,更改Issuer為External Azure AD指示他們現在由我們的 Azure AD 而不是他們自己的身份驗證,並且他們現在使用我們 AD 中的組織帳戶進行登入。
您可以透過以下方式變更使用者的mail屬性圖形API。可以透過在 Azure AD 中開啟使用者的屬性來重設邀請,然後使用manage「邀請已接受」狀態旁的選項。選擇Reset invitation status.或者,也許您可能需要使用該Resend invite選項。考慮到使用者的狀態,以可用者為準。
