Teilen über


Konvertieren externer Benutzer in interne Benutzer (Vorschau)

Unternehmen, die beispielsweise Umstrukturierungen, Fusionen und Akquisitionen durchlaufen, sind möglicherweise gezwungen, die Art und Weise zu ändern, wie sie mit einigen oder allen ihren bestehenden Benutzern arbeiten. In einigen Fällen müssen Administratoren vorhandene externe Benutzer in interne ändern.

Die Konvertierung externer Benutzer verarbeitet die Konvertierung externer Benutzer in interne Benutzer, ohne vorhandene Benutzerobjekte löschen und neue erstellen zu müssen. Durch die Erhaltung der Benutzerobjekte können Benutzer ihr ursprüngliches Konto beibehalten, sodass ihr Zugriff nicht gestört wird. Das Konto eines konvertierten Benutzers behält seinen Verlauf der Aktivitäten bei, wenn sich die Beziehung zur Hostorganisation ändert.

  • Interne Benutzer sind Benutzer , die sich beim lokalen Tenant authentifizieren.
  • Externe Benutzer sind Benutzer, die sich über eine Methode authentifizieren, die nicht von der Hostorganisation verwaltet wird, z. B. die Microsoft Entra-ID, den Google-Partnerverbund oder das Microsoft-Konto einer anderen Organisation. Viele externe Benutzer verfügen über einen userType als guest, aber es gibt keine formale Beziehung zwischen userType der Anmeldung eines Benutzers. Externe Benutzer, die über einen userType als member verfügen, sind eventuell auch zur Konvertierung befugt.

Die Konvertierung externer Benutzer kann mithilfe der Microsoft Graph-API oder des Microsoft Entra ID-Portals ausgeführt werden.

Konvertieren externer Benutzer

Es ist wichtig zu verstehen, dass der userType für member im Vergleich zu guest nicht angibt, wo sich ein Benutzer authentifiziert; stattdessen wird nur die Berechtigungsebene definiert, die ein Benutzer im aktuellen Mandanten hat. Sie können den userType für Ihre Benutzer aktualisieren, aber dies allein ändert nicht den externen bzw. internen Status der Benutzer. Informationen zum Ändern externer Benutzer in interne Benutzer finden Sie unter Synchronisierte Benutzerkonvertierung.

Es gibt zwei Arten externer Benutzer, die Sie in interne konvertieren können:

  • Reine Cloudbenutzer
  • Synchronisierte Benutzer

Cloudbenutzerkonvertierung

Wenn ein Cloudbenutzer von extern in intern konvertiert wird, müssen Administratoren einen UPN und ein Kennwort für den Benutzer angeben. Durch das Konvertieren von Cloudbenutzern in synchronisierte Benutzer wird sichergestellt, dass sich der Benutzer beim aktuellen Mandanten authentifizieren kann.

Synchronisierte Benutzerkonvertierung

Mit der Konvertierung synchronisierter Benutzern können Sie einen Benutzer von extern in intern in Microsoft Entra ID konvertieren. Dies ist nützlich, wenn Sie einen Benutzer von einem Verbundidentitätsanbieter zu Microsoft Entra ID verschieben möchten oder wenn Sie einen Benutzer aus einer reinen Cloudidentität in eine synchronisierte Identität konvertieren möchten.

Sie können Microsoft Entra Connect verwenden, um Ihre lokalen Identitäten zu synchronisieren. Wenn Sie einen Benutzer von einem externen Benutzer in einen internen Benutzer konvertieren, synchronisiert Microsoft Entra Connect die Attribute des Benutzers mit der Microsoft Entra ID, sodass der Benutzer als interner Benutzer in Zukunft verwaltet wird.

Synchronisierter Benutzer bedeutet, dass Benutzer aus einer lokalen Umgebung synchronisiert werden. Da diese Konten an der Quelle verwaltet werden, können Administratoren den UPN für diese Benutzer nicht angeben.

  • Synchronisierte Benutzer, bei denen der Mandant eine Authentifizierung im Verbund verwendet:
    • Wenn die Kennworthashsynchronisierung (Password Hash Sync, PHS) aktiviert ist, werden Administratoren daran gehindert, während der Konvertierung ein neues Kennwort festzulegen.
    • Wenn der Verbundmandant PHS nicht aktiviert hat, haben Administratoren die Möglichkeit, ein Benutzerkennwort festzulegen.
  • In Fällen, in denen der Tenant verwaltet wird, was bedeutet, dass er die Cloudauthentifizierung verwendet, müssen Administratoren während der Konvertierung ein Kennwort angeben.

Hinweis

Um die Synchronisierung eines Benutzers aufzuheben, müssen Sie die Verzeichnissynchronisierung für den Benutzer in Microsoft Entra Connect deaktivieren. Sobald die Verzeichnissynchronisierung für den Benutzer deaktiviert ist, können alle Änderungen, die an den Attributen des Benutzers in Microsoft Entra ID vorgenommen wurden, nicht mehr mit Ihrem lokalen Verzeichnis synchronisiert werden.

Testen der Konvertierungen externer Benutzer

Beim Testen der Konvertierungen externer Benutzer wird empfohlen, Testkonten oder Konten zu verwenden, die keine Unterbrechungen verursachen würden, wenn sie nicht mehr verfügbar wären.

Anforderungen

  • Für das Konvertieren externer Benutzer in interne Benutzer ist ein Konto erforderlich, welchem mindestens die Rolle Benutzeradministrator zugewiesen ist.
  • Nur Benutzer, die mit einer Authentifizierungsmethode außerhalb der Hostorganisation konfiguriert sind, sind zur Konvertierung berechtigt.

Konvertieren eines externen Benutzers

Sie können externe Benutzer, z. B. reine Cloudbenutzer und synchronisierte Benutzer, über das Microsoft Entra Admin Center in interne Benutzer konvertieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie einen externen Benutzer aus.

  4. Wählen Sie die Option In internen Benutzer konvertieren aus.

    Screenshot der Benutzereigenschaften mit einem roten Feld um die Option „In internen Benutzer konvertieren“.

  5. Im Abschnitt "In internen Benutzer konvertieren" müssen Sie einige Schritte durchlaufen:

    1. Geben Sie einen Benutzerprinzipalnamen (UPN) an. Dieser Wert ist der neue UPN-Wert für den Benutzer. Bei reinen Cloudbenutzern muss die UPN-Domäne eine sein, die nicht in einen Verbund gestellt ist. Für lokale synchronisierte Benutzer müssen Sie keinen UPN bereitstellen. Der Benutzer verwendet weiterhin die lokalen Anmeldeinformationen.
    2. Aktivieren Sie das Kontrollkästchen, wenn für Sie ein automatisch generiertes Kennwort angezeigt werden soll.
    3. Aktivieren Sie das Kontrollkästchen für E-Mail-Adresse ändern, um eine optionale neue E-Mail-Adresse für Cloudbenutzer anzugeben.

    Screenshot der letzten Gruppe von Optionen, die vor dem Konvertieren eines externen Benutzers in einen internen Benutzer ausgewählt werden müssen.

  6. Nachdem Sie die Optionen überprüft und Ihre Auswahl getroffen haben, wählen Sie Konvertieren aus.