Nettoyer les comptes Microsoft Entra non managés
Avant août 2022, Microsoft Entra B2B prenait en charge l'inscription en libre-service des utilisateurs vérifiés par e-mail. Grâce à cette fonctionnalité, les utilisateurs peuvent créer des comptes Microsoft Entra dès lors qu'ils attestent de la propriété de leur adresse e-mail. Ces comptes ont été créés dans des locataires non managés (ou viraux) : les utilisateurs ont créé des comptes avec un domaine organisation, et non sous gestion de l’équipe informatique. L’accès persiste une fois que les utilisateurs ont quitté le organisation.
Pour plus d'informations, consultez la section Qu'est-ce que l'inscription en libre-service pour Microsoft Entra ID ?
Remarque
Les comptes Microsoft Entra non managés via Microsoft Entra B2B ont été supprimés. Depuis août 2022, les nouvelles invitations B2B ne peuvent pas être échangées. Toutefois, les invitations antérieures à août 2022 pouvaient être acceptées avec des comptes Microsoft Entra non managés.
Supprimer les comptes de Microsoft Entra non managés
Suivez les instructions ci-dessous pour supprimer les comptes Microsoft Entra non managés des locataires Microsoft Entra. Les fonctionnalités de l'outil permettent d'identifier les utilisateurs viraux dans le locataire Microsoft Entra. Vous pouvez réinitialiser le statut d’acceptation de l’utilisateur.
- Utilisez l’exemple d’application dans Azure-samples/Remove-unmanaged-guests.
- Utiliser des cmdlets PowerShell dans
MSIdentityTools.
Accepter les invitations
Après avoir exécuté un outil, les utilisateurs disposant de comptes Microsoft Entra non managés accèdent au locataire et ré-acceptent leurs invitations. Toutefois, Microsoft Entra ID empêche les utilisateurs d'accepter des invitations avec un compte Microsoft Entra non managé. Ils peuvent échanger avec un autre type de compte. Google Federation et SAML/WS-Federation ne sont pas activés par défaut. Par conséquent, les utilisateurs échangent avec un compte Microsoft (MSA) ou un mot de passe à usage unique (OTP). MSA est recommandé.
Pour en savoir plus : Flux d’acceptation d’invitation
Prise de contrôle de locataires et de domaines
Il est possible de convertir certains locataires non managés en locataires managés.
En savoir plus : Prendre le contrôle d'un annuaire non managé en tant qu'administrateur dans Microsoft Entra ID
Certains domaines dépassés peuvent ne pas être mis à jour. Par exemple, un enregistrement TXT DNS manquant indique un état non managé. Les implications sont les suivantes :
- Pour les utilisateurs invités de locataires non managés, le statut d’acceptation est réinitialisée. Une invite de consentement s’affiche.
- L’acceptation se produit avec le même compte
- L’outil peut identifier les utilisateurs non managés en tant que faux positifs après avoir réinitialisé le stat d’acceptation non géré par l’utilisateur
Réinitialiser l’acceptation avec un exemple d’application
Utilisez l’exemple d’application sur Azure-Samples/Remove-Unmanaged-Guests.
Réinitialiser l’acceptation en utilisant le module PowerShell MSIdentityTools
Le module PowerShell MSIdentityTools est une collection de cmdlets et de scripts à utiliser sur les plateformes d’identité Microsoft et Microsoft Entra ID. Utilisez les applets de commande et les scripts pour augmenter les fonctionnalités du Kit de développement logiciel (SDK) PowerShell. Voir, microsoftgraph/msgraph-sdk-powershell.
Exécutez les applets de commande suivantes :
Install-Module Microsoft.Graph -Scope CurrentUserInstall-Module MSIdentityToolsImport-Module msidentitytools,microsoft.graph
Pour identifier les comptes Microsoft Entra non managés, exécutez :
Connect-MgGraph -Scope User.Read.AllGet-MsIdUnmanagedExternalUser
Pour réinitialiser l'état d'acceptation d'un compte Microsoft Entra non géré, exécutez :
Connect-MgGraph -Scopes User.ReadWriteAllGet-MsIdUnmanagedExternalUser | Reset-MsIdExternalUser
Pour supprimer des comptes Microsoft Entra non managés, exécutez :
Connect-MgGraph -Scopes User.ReadWriteAllGet-MsIdUnmanagedExternalUser | Remove-MgUser
Ressource
L’outil suivant retourne une liste d’utilisateurs externes non gérés, ou d’utilisateurs viraux, dans le locataire.
Découvrir Get-MSIdUnmanagedExternalUser.