如何将现有 Office 365 用户更改(降级或转换)为来宾用户与外部的身份?
我可以在 Azure Active Directory 管理中心将用户的用户类型从“成员”更改为“访客”,但我还想用外部身份提供商(例如 Google 或 Facebook 或 Outlook)的身份有效地替换成员的现有身份。
举例来说,我们目前有一位访客用户:
(假设 contoso.com 是我们的域名)
我现在希望 Alice 使用她的[电子邮件保护]身份,同时理想地保留她现有的团体成员身份等。
我注意到用户主体名称是一个可编辑字段。我还注意到具有外部身份的用户的 UPN 如下所示:
alice4522_hotmail.com#EXT#@contoso.onmicrosoft.com
但是,新的来宾用户(外部用户)会收到系统生成的电子邮件邀请,邀请他们加入我们的环境,但我认为我不能简单地修改 UPN 字段——可以吗?
有人能针对这种情况提供任何指导吗?
答案1
因此,我认为以下有关 Azure B2B 关系的链接会有所帮助:https://docs.microsoft.com/en-us/azure/active-directory/external-identities/user-properties
您可以更改用户的“用户类型”,但这仅指用户与您的组织的关系。它与您真正想要更改的用户身份提供者无关。您可能不想更改用户的类型,除非他们与您的组织的关系发生变化。
您要求将用户的身份提供者从组织的 Azure AD 目录切换到外部身份提供者,例如 google.com、facebook.com 或其他 Azure AD 目录。当您在 Azure AD 中查看用户时,身份提供者称为“颁发者”。它在上面链接的文档中定义。
如果我理解正确,您的发行人目前应该说yourtenant.onmicrosoft.com
或 类似的东西。您想将其更改为google.com
或facebook.com
。在这种情况下,我认为您需要更新用户的mail
属性以将其设置为用户的外部电子邮件地址。然后,您可以重置邀请状态,用户将收到发送到其外部电子邮件的新邀请,并能够使用外部身份提供者兑换邀请,这将Issuer
根据需要更新帐户属性。
在我的用例中,这有效,但它与您的用例不完全匹配。在我的例子中,我们吸收了另一个组织,当我们将他们的 AD 域添加到我们的 AD 时,它会自动接管他们的 AD 用户帐户并将他们的 UPN 切换为版本#EXT#
。因此,您可能还需要更新 UPN,以便它与您引用的格式匹配:username_externaldomain#EXT#@yourtenantdomain
即first.last_google.com#EXT#yourorg.onmicrosoft.com
。还要更新mail
属性并重置邀请。在我们的例子中,当我们重置邀请并且他们兑换时,更改Issuer
为External Azure AD
表明他们现在已通过我们的 Azure AD 而不是他们自己的身份验证,并且他们现在使用他们在我们的 AD 中的组织帐户登录。
您可以更改用户的mail
通过图形 API。可以通过在 Azure AD 中打开用户的属性来重置邀请,然后使用manage
“邀请已接受”状态旁边的选项。选择Reset invitation status
。或者,也许您可能需要使用该Resend invite
选项。无论哪种方式都应考虑用户的状态。