【问题标题】:AAD B2B collaboration: mark users in external hidden AAD with additional infoAAD B2B 协作:使用附加信息标记外部隐藏 AAD 中的用户
【发布时间】:2018-06-12 09:12:59
【问题描述】:

我们有一个使用 AAD B2B 协作来邀请用户的应用程序。这些用户在我们的 AAD 中创建为来宾用户。这一切都很好:

  • 拥有 AAD/Office 365 的用户可以使用其普通凭据登录。
  • 没有 AAD/Office 365 的用户在邀请兑换过程中创建他们的帐户,并可以使用它来登录。Microsoft 将这些帐户存储在外部,为我们隐藏 AAD。

情况:

一个组织使用我们的应用程序。该组织还没有自己的 AAD/Office 365。我们使用他们的电子邮件地址邀请该组织的一些员工加入我们的 AAD。他们在我们的 AAD 中获得来宾帐户。 一段时间后,该组织为其现有域名获得了自己的 AAD/Office 365。此域名之前在邀请兑换过程中的电子邮件地址中使用过。

组织的 AAD 管理员创建 AAD,并立即看到现有的用户帐户:所有被邀请的帐户都显示在 AAD 中。他在创建新的 AAD 时没有预料到这一点,他也不知道它们来自哪里。 对我们来说,隐藏的 AAD 似乎对 AAD 管理员可见。 AAD 管理员可能决定删除这些帐户,以从空 AAD 开始。因此,员工无法再在我们的应用程序中登录。

我们的应用程序使用 Microsoft Graph API 来邀请用户。 有没有办法以某种方式标记外部隐藏 AAD 中的用户,以明确帐户来自何处?喜欢在现有领域提及我们的组织/应用程序?

所以要明确一点:我们不想在来宾帐户上设置属性。我们想要设置 AAD 管理员在创建 AAD 时看到的用户帐户的属性。我们要明确他不能删除这个用户,因为它是由应用程序 X 创建的。

【问题讨论】:

    标签: azure-active-directory azure-ad-b2b


    【解决方案1】:

    不,这是 Azure AD 的一项功能。 如果域所有者选择稍后创建一个,则可以选择接管隐藏的 Azure AD。 他们控制域,从而控制用户,这取决于他们。

    当然,如果您使用 Gmail 帐户创建 AAD 来宾用户,他们实际上并不会被添加到巨大的隐藏 Google Azure AD 中。 如果 AAD 认为该帐户是社交帐户,则目前他们会为该用户透明地创建个人 Microsoft 帐户(因此用户始终可以控制他们的帐户)。

    因此,如果您使用他们的工作电子邮件邀请用户,您必须期望他们的域所有者能够控制他们用户的帐户。

    AFAIK,没有可以设置的属性。

    【讨论】:

      猜你喜欢
      • 2019-04-06
      • 1970-01-01
      • 2015-01-08
      • 2017-06-09
      • 1970-01-01
      • 2023-04-04
      • 2021-08-07
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多