Azure AD B2C 邀请作为来宾进行管理

Question

最近，在尝试邀请来宾用户加入我的 Azure AD B2C 租户时，我开始遇到错误，仅限来自特定域的用户。我邀请的原因是与指定用户共享管理过程。

我得到的错误是：用户帐户被禁用

到目前为止，我已经尝试过：

1. 在 Azure AD 刀片中使用 用户 > 新来宾用户" UI。
2. 在 Azure AD 刀片中使用“组织关系 > 新来宾用户”UI。
3. 在 Azure AD B2C 刀片中使用 用户 > 新来宾用户" UI。
4. 使用图形 api invitations 端点。

观察：仅适用于来自特定域（外部 Azure D）的用户，但适用于拥有 Microsoft 帐户的用户。

Answer 1

为了每个人的利益，我在咨询 Microsoft 支持后发布答案。

有 2 个可能的问题可能导致您无法邀请来宾用户加入 Azure AD：

1. 未正确删除用户。当您搜索用户电子邮件时，它可能在 UI 中不可见，但仍无法邀请。部分原因是 UI 具有一些有限的搜索功能（精确/仅以电子邮件或姓名开头）。

解决方案：可以使用graph api来查询用户。您绝对应该尝试根据OtherMails 字段查找用户。

1. 您尝试邀请的用户来自 Azure AD 租户，该租户也是您的 Azure AD B2C 中受信任的身份提供者之一。这就是我发现的实现问题的原因。
   当用户第一次使用他们的 Azure AD 凭据登录我的应用程序 (Azure AD B2C) 时，会在 Azure AD B2C 中自动创建一个“社交帐户”。此帐户使用UserPrincipalName 格式创建，cpim_guid@yourtenant.onmicrosoft.com 和AccountEnabled false（禁用）。他们的 Azure AD 电子邮件将位于 OtherMails 属性中。这就是为什么您无法在 UI 中通过他们的电子邮件找到用户，并且您必须知道他们在 Azure AD 中使用的确切名称才能找到他们。

解决方案：如果你可以在 UI 中找到，通常他们的MemberType 是 Member Source 是 External Azure AD，你可以删除用户。如果没有，请使用 graph api 在OtherMails 属性中查询他们的电子邮件。然后立即邀请用户作为访客。他们再次登录 B2C 应用程序应该没有问题，因为 social account 将自动创建。

注意：确保不使用向使用社交帐户登录的用户添加其他属性的 Azure AD B2C 策略。如果是，您需要一些其他策略来删除用户、以访客身份邀请、重新创建社交帐户以及恢复其他属性。