Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
使用 Microsoft Entra ID(Microsoft Entra B2B),外部用户可以使用其身份进行协作。 尽管组织可以向外部用户颁发本地用户名和密码,但不建议使用此方法。 与创建本地帐户相比,Microsoft Entra B2B 提高了安全性、降低成本和复杂性。 此外,如果组织颁发外部用户管理的本地凭据,则可以改用 Microsoft Entra B2B。 使用本文档中的指南进行转换。
了解详细信息:规划Microsoft Entra B2B 协作部署
在您开始之前
本文是 10 篇文章系列中的第 10 个。 建议按顺序查看文章。 转到“后续步骤”部分查看整个系列。
识别面向外部的应用程序
将本地帐户迁移到 Microsoft Entra B2B 之前,请确认外部用户可以访问的应用程序和工作负荷。 例如,对于本地托管的应用程序,请验证应用程序是否与Microsoft Entra ID集成。 本地应用程序是创建本地帐户的一个很好的理由。
了解详细信息:授予 B2B 用户通过 Microsoft Entra ID 访问本地应用程序的权限
我们建议面向外部的应用程序具有单一登录(SSO),并预配与Microsoft Entra ID集成,以获得最佳最终用户体验。
标识本地来宾帐户
识别要迁移到 Microsoft Entra B2B 的帐户。 Active Directory中的外部标识可通过属性值对进行标识。 例如,使 ExtensionAttribute15 = External 用于外部用户。 如果这些用户设置为 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 云同步,请将同步的外部用户配置为将 UserType 属性设置为 Guest。 如果用户设置为仅限云的帐户,则可以修改用户属性。 主要识别需要转换为 B2B 的用户。
将本地来宾帐户映射到外部标识
识别用户身份或外部电子邮件。 请确认本地帐户(v-lakshmi@contoso.com)是否为具有家庭身份和电子邮件地址:lakshmi@fabrikam.com的用户。 若要识别家庭身份,请:
- 外部用户的赞助商提供的信息
- 外部用户提供信息
- 如果信息已知并存储,请参阅内部数据库
将外部本地帐户映射到标识后,将外部标识或电子邮件添加到本地帐户上的 user.mail 属性。
最终用户通信
通知外部用户迁移时间。 例如,当外部用户必须停止使用当前密码才能通过家庭和公司凭据启用身份验证时,传达预期。 通信可以包括电子邮件宣传活动和公告。
将本地来宾帐户迁移到 Microsoft Entra B2B
在本地帐户的 user.mail 属性被填充外部标识和电子邮件后,通过邀请的方式将本地帐户转换为 Microsoft Entra B2B。 可以使用 PowerShell 或Microsoft Graph API。
了解详细信息: 邀请内部用户参与 B2B 协作
迁移后注意事项
验证外部身份验证是否正常工作后,请完成转换:
- 将外部用户本地帐户转换为 Microsoft Entra B2B 并停止创建本地帐户
- 邀请“Microsoft Entra ID”中的外部用户
- 更改或随机化本地帐户密码以逐步淘汰旧式身份验证
- 该操作确保身份验证和用户生命周期与外部用户的主身份相连接。
- 对于本地帐户,请与目录服务团队协调以禁用本地凭据。
重要
在转换过程中,本地凭据和外部凭据同时运作。 此双重身份验证期是必需的,因为外部身份验证在邀请接受之前不可用。
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。
使用 Microsoft Entra ID 和 Microsoft 365 中的组来保证外部访问的安全
使用 Microsoft Entra ID 对 Microsoft Teams、SharePoint 和 OneDrive for Business 进行安全的外部访问(你在这里)