将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户
使用 Microsoft Entra ID (Microsoft Entra B2B),外部用户可协作处理其标识。 尽管组织可以向外部用户颁发本地用户名和密码,但不建议使用此方法。 与创建本地帐户相比,Microsoft Entra B2B 提高了安全性、降低了成本并降低了复杂性。 此外,如果组织颁发外部用户管理的本地凭据,则可以改用 Microsoft Entra B2B。 使用本文档中的指导实现转变。
了解详情:规划 Microsoft Entra B2B 协作部署
开始之前
本文是 10 篇系列文章中的第 10 篇。 建议按顺序查看文章。 转到“后续步骤”部分查看整个系列。
确定面向外部的应用程序
在将本地帐户迁移到 Microsoft Entra B2B 之前,请确认外部用户可以访问的应用程序和工作负载。 例如,对于本地托管的应用程序,请验证应用程序是否与 Microsoft Entra ID 集成。 本地应用程序是创建本地帐户的一个好理由。
了解详情:向 Microsoft Entra ID 中的 B2B 用户授予对本地应用程序的访问权限
我们建议面向外部的应用程序将单一登录 (SSO) 和预配与 Microsoft Entra ID 集成,以提供最佳的最终用户体验。
确定本地来宾帐户
确定要迁移到 Microsoft Entra B2B 的帐户。 Active Directory 中的外部标识可通过属性-值对进行识别。 例如,为外部用户设置 ExtensionAttribute15 = External。 如果这些用户是使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 云同步设置的,请配置已同步的外部用户,以将 UserType 属性设置为 Guest。 如果用户设置为仅限云的帐户,你可以修改用户属性。 首先,确定要转换为 B2B 的用户。
将本地来宾帐户映射到外部标识
识别用户标识或外部电子邮件。 确认本地帐户 (v-lakshmi@contoso.com) 是具有家庭标识和以下电子邮件地址的用户:lakshmi@fabrikam.com。 若要确定家庭标识:
- 外部用户的发起人提供该信息
- 外部用户提供该信息
- 如果该信息已知并存储,请参考内部数据库
将外部本地帐户映射到标识后,请将外部标识或电子邮件添加到本地帐户上的 user.mail 属性。
最终用户通信
通知外部用户迁移时间。 传达预期,例如,当外部用户必须停止使用当前密码才能通过家庭和公司凭据启用身份验证时。 信息传达方式包括电子邮件活动和公告。
将本地来宾帐户迁移到 Microsoft Entra B2B
在本地帐户具有填充了外部标识和电子邮件的 user.mail 属性后,请通过邀请本地帐户将本地帐户转换为 Microsoft Entra B2B。 可以使用 PowerShell 或 Microsoft Graph API。
了解详细信息:邀请内部用户进行 B2B 协作
迁移后注意事项
如果外部用户本地帐户是从本地同步的,请减少其本地占用空间并使用 B2B 来宾帐户。 你可以:
- 将外部用户本地帐户转换为 Microsoft Entra B2B 并停止创建本地帐户
- 邀请 Microsoft Entra ID 中的外部用户
- 随机化外部用户的本地帐户密码,以防止对本地资源进行身份验证
- 此操作可确保身份验证和用户生命周期连接到外部用户家庭标识
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。