Freigeben über

Zurücksetzen des Einlösungsstatus für einen Gastbenutzer in Microsoft Entra External ID

  • Artikel

Gilt für: Grüner Kreis mit weißem Häkchen. Mitarbeitermandanten Weißer Kreis mit grauem X. Externe Mandanten (weitere Informationen)

In diesem Artikel erfahren Sie, wie Sie die Anmeldeinformationen des Gastbenutzers aktualisieren, nachdem er Ihre Einladung zur B2B-Zusammenarbeit eingelöst hat. Es kann vorkommen, dass Sie seine Anmeldeinformationen aktualisieren müssen, z. B. in den folgenden Fällen:

  • Der Benutzer möchte sich mit einer anderen E-Mail-Adresse und einem anderen Identitätsanbieter anmelden.
  • Das Konto des Benutzers im Privatmandanten wurde gelöscht und neu erstellt.
  • Der Benutzer ist zu einem anderen Unternehmen gewechselt, benötigt aber trotzdem weiterhin denselben Zugriff auf Ihre Ressourcen.
  • Die Zuständigkeiten des Benutzers wurden auf einen anderen Benutzer übertragen.

Früher mussten Sie zum Verwalten dieser Szenarios das Konto des Gastbenutzers manuell aus Ihrem Verzeichnis löschen und den Benutzer erneut einladen. Nun können Sie den Einlösungsstatus des Benutzers mit dem Microsoft Entra Admin Center, PowerShell oder der Einladungs-API von Microsoft Graph zurücksetzen und den Benutzer erneut einladen und gleichzeitig die Objekt-ID, Gruppenmitgliedschaften und App-Zuweisungen des Benutzers beibehalten. Wenn der Benutzer die neue Einladung einlöst, ändert sich der Benutzerprinzipalname (UserPrincipalName, UPN) des Benutzers nicht. Der Anmeldename des Benutzers wird jedoch in die neue E-Mail-Adresse geändert. Der Benutzer kann sich dann mithilfe der neuen E-Mail-Adresse oder einer E-Mail-Adresse anmelden, die Sie der Eigenschaft otherMails des Benutzerobjekts hinzugefügt haben.

Microsoft Entra-Rollen erforderlich

Damit Sie den Einlösungsstatus eines Benutzers zurückzusetzen können, muss Ihnen eine der folgenden Rollen im Geltungsbereich des Verzeichnisses zugewiesen werden:

Verwenden des Microsoft Entra Admin Center, um den Einlösestatus zurückzusetzen

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.

  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.

  3. Wählen Sie in der Liste den Namen des Benutzers aus, um das zugehörige Benutzerprofil zu öffnen.

  4. (Optional) Wenn sich der Benutzer mit einer anderen E-Mail-Adresse anmelden möchte:

    1. Wählen Sie das Symbol Eigenschaften bearbeiten aus.
    2. Scrollen Sie zu E-Mail, und geben Sie die neue E-Mail-Adresse ein.
    3. Wählen Sie neben Andere E-Mail-Adresse die Option E-Mail-Adresse hinzufügen aus. Wählen Sie Hinzufügen aus, geben Sie die neue E-Mail-Adresse ein, und wählen Sie Speichern aus.
    4. Wählen Sie unten auf der Seite die Schaltfläche Speichern aus, um alle Änderungen zu speichern.

  5. Wählen Sie auf der Registerkarte Übersicht unter Mein Feed den Link Einlösungsstatus zurücksetzen auf der Kachel B2B-Zusammenarbeit aus.

    Screenshot: Link zum Zurücksetzen des Status in der Kachel für die B2B-Zusammenarbeit.

  6. Wählen Sie unter Einlösungsstatus zurücksetzen die Option Zurücksetzen aus.

    Screenshot: Einstellung zum Zurücksetzen des Einladungsstatus.

Zurücksetzen des Einlösungsstatus mit PowerShell oder der Microsoft Graph-API

Zurücksetzen der für die Anmeldung verwendeten E-Mail-Adresse

Wenn ein Benutzer sich mit einer anderen E-Mail-Adresse anmelden möchte:

  1. Stellen Sie sicher, dass die neue E-Mail-Adresse der mail- oder otherMails-Eigenschaft des Benutzerobjekts hinzugefügt wird.
  2. Ersetzen Sie die E-Mail-Adresse der InvitedUserEmailAddress-Eigenschaft durch die neue E-Mail-Adresse.
  3. Verwenden Sie eine der folgenden Methoden, um den Einlösestatus des Benutzers zurückzusetzen.

Hinweis

  • Wenn Sie die E-Mail-Adresse des Benutzers auf eine neue Adresse zurücksetzen, sollten Sie die mail-Eigenschaft festlegen. Auf diese Weise kann der Benutzer die Einladung einlösen, indem er sich zusätzlich zur Verwendung des Einlösungslinks in der Einladung bei Ihrem Verzeichnis anmeldet.
  • Bei reinen App-Aufrufen kann der Status der Einlösung nicht zurückgesetzt werden, wenn dem Zielbenutzerkonto Rollen zugewiesen sind.

Zurücksetzen des Einlösestatus mithilfe von PowerShell

Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "User.ReadWrite.All"

$user = Get-MgUser -Filter "startsWith(mail, 'john.doe@fabrikam.net')"
New-MgInvitation `
    -InvitedUserEmailAddress $user.Mail `
    -InviteRedirectUrl "https://myapps.microsoft.com" `
    -ResetRedemption `
    -SendInvitationMessage `
    -InvitedUser $user

Zurücksetzen des Einlösestatus mithilfe der Microsoft Graph-API

Legen Sie mithilfe der Microsoft Graph-Einladungs-API die Eigenschaft resetRedemption auf true fest, und geben Sie die neue E-Mail-Adresse in der Eigenschaft invitedUserEmailAddress an.

POST https://graph.microsoft.com/v1.0/invitations  
Authorization: Bearer eyJ0eX...  
ContentType: application/json  
{  
   "invitedUserEmailAddress": "<<external email>>",  
   "sendInvitationMessage": true,  
   "invitedUserMessageInfo": {  
      "messageLanguage": "en-US",  
      "ccRecipients": [  
         {  
            "emailAddress": {  
               "name": null,  
               "address": "<<optional additional notification email>>"  
            }  
         } 
      ],  
      "customizedMessageBody": "<<custom message>>"  
},  
"inviteRedirectUrl": "https://myapps.microsoft.com?tenantId=",  
"invitedUser": {  
   "id": "<<ID for the user you want to reset>>"  
}, 
"resetRedemption": true 
}

Nächster Schritt