将外部用户转换为内部用户(预览版)
经历重组、合并和收购的企业可能会被迫改变他们与部分或所有现有用户合作的方式。 在某些情况下,管理员需要将现有的外部用户更改为内部用户。
外部用户转换用于处理外部用户到内部用户的转换,而无需删除现有的用户对象和创建新用户对象。 保留用户对象可让用户保留其原始帐户,并且其访问权限不会中断。 用户帐户转换之后,当它与主体机构的关系发生变化时,其活动历史记录保持不变。
- 内部用户是在本地租户进行身份验证的用户。
- 外部用户是通过非主体机构管理的方法(例如其他组织的 Microsoft Entra ID、Google 联合身份验证或 Microsoft 帐户)进行身份验证的用户。 许多外部用户的 userType 为
guest
,但 userType 与用户登录方式之间没有正式关系。 userType 为member
的外部用户也可能有资格进行转换。
可以使用 Microsoft Graph API 或 Microsoft Entra ID 门户执行外部用户转换。
转换外部用户
必须了解的是,userType 为 member
或 guest
并不表示用户在何处进行身份验证;相反,它仅定义用户在当前租户中拥有的权限级别。 可更新用户的 userType,但只这样做不会改变用户的外部与内部状态。 若要将外部用户更改为内部用户,请参阅同步用户转换。
有两种类型的外部用户可以转换为内部用户:
- 仅限云的用户
- 同步用户
云用户转换
将云用户从外部转换为内部用户时,管理员必须为用户指定 UPN 和密码。 将云用户转换为同步用户可确保用户可以向当前租户进行身份验证。
同步用户转换
同步用户转换允许在 Microsoft Entra ID 中将用户从外部转换为内部。 如果你要将用户从联合标识提供者移动到 Microsoft Entra ID 或要将用户从仅限云的标识转换为同步标识,此功能很有用。
可以使用 Microsoft Entra Connect 来同步本地标识。 将用户从外部用户转换为内部用户时,Microsoft Entra Connect 会将用户的属性同步到 Microsoft Entra ID,因此从现在起该用户将作为内部用户进行管理。
同步用户表示用户是从本地同步的。 这些帐户在源管理,因此管理员无法为这些用户指定 UPN。
- 租户使用联合身份验证的同步用户:
- 如果启用了密码哈希同步 (PHS),管理员将被阻止在转换期间设置新密码。
- 如果联合租户未启用 PHS,管理员可以选择设置用户密码。
- 如果租户为托管租户,即其使用云身份验证,则管理员需要在转换期间指定密码。
注意
若要取消同步用户,必须在 Microsoft Entra Connect 中为该用户禁用目录同步。 一旦为用户禁用目录同步,对 Microsoft Entra ID 中的用户属性所做的任何更改都无法再同步到本地目录。
测试外部用户转换
测试外部用户转换时,建议使用测试帐户,或者使用在变为不可用时也不会造成中断的帐户。
要求
- 将外部用户转换为内部用户需要至少分配有用户管理员角色的帐户。
- 只有使用主体机构外部的身份验证方法配置的用户才有资格进行转换。
转换外部用户
可以使用 Microsoft Entra 管理中心将外部用户(例如仅云和同步用户)转换为内部用户。
至少以用户管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“用户”>“所有用户”。
选择外部用户。
选择“转换为内部用户”。
在“转换为内部用户”部分中,需要完成几个步骤:
- 提供用户主体名称 (UPN)。 此值是用户的新 UPN 值。 对于仅限云用户,UPN 域必须是非联合域。 对于本地同步用户,无需提供 UPN。 用户继续使用本地凭据。
- 如果你要自动生成的密码,请选中此框。
- 选中“更改电子邮件地址”复选框,为云用户指定一个可选的新电子邮件地址。
查看选项并做出选择后,选择“转换”。