Convertire gli account guest locali in account guest Microsoft Entra B2B

  • Articolo

Con Microsoft Entra ID (Microsoft Entra B2B), gli utenti esterni collaborano con le proprie identità. Anche se le organizzazioni possono emettere nomi utente e password locali agli utenti esterni, questo approccio non è consigliato. Microsoft Entra B2B offre una maggiore sicurezza, un costo inferiore e una minore complessità rispetto alla creazione di account locali. Inoltre, se l'organizzazione rilascia credenziali locali gestite dagli utenti esterni, è possibile usare Microsoft Entra B2B. Usare le indicazioni contenute in questo documento per eseguire la transizione.

Altre informazioni: Pianificare una distribuzione di Collaborazione B2B di Microsoft Entra

Operazioni preliminari

Questo articolo è il numero 10 in una serie di 10 articoli. È consigliabile esaminare gli articoli in ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Identificare le applicazioni esterne

Prima di eseguire la migrazione degli account locali a Microsoft Entra B2B, verificare che le applicazioni e i carichi di lavoro a cui gli utenti esterni possano accedere. Ad esempio, per le applicazioni ospitate in locale, verificare che l'applicazione sia integrata con Microsoft Entra ID. Le applicazioni locali sono un buon motivo per creare account locali.

Altre informazioni: Concedere agli utenti B2B in Microsoft Entra ID l'accesso alle applicazioni locali

È consigliabile che le applicazioni esterne abbiano l'accesso Single Sign-On (SSO) e il provisioning integrati con Microsoft Entra ID per un'esperienza utente finale ottimale.

Identificare gli account guest locali

Identificare gli account di cui eseguire la migrazione a Microsoft Entra B2B. Le identità esterne in Active Directory sono identificabili con una coppia attributo-valore. Ad esempio, l'impostazione di ExtensionAttribute15 = External per gli utenti esterni. Se questi utenti sono configurati con Microsoft Entra Connessione Sync o Microsoft Entra Connessione cloud sync, configurare gli utenti esterni sincronizzati in modo che gli UserType attributi siano impostati su Guest. Se gli utenti sono configurati come account solo cloud, è possibile modificare gli attributi utente. Identificare principalmente gli utenti da convertire in B2B.

Eseguire il mapping degli account guest locali alle identità esterne

Identificare le identità utente o i messaggi di posta elettronica esterni. Verificare che l'account locale (v-lakshmi@contoso.com) sia un utente con l'identità principale e l'indirizzo di posta elettronica: lakshmi@fabrikam.com. Per identificare le identità home:

  • Lo sponsor dell'utente esterno fornisce le informazioni
  • L'utente esterno fornisce le informazioni
  • Fare riferimento a un database interno, se le informazioni sono note e archiviate

Dopo aver eseguito il mapping degli account locali esterni alle identità, aggiungere identità esterne o messaggi di posta elettronica all'attributo user.mail negli account locali.

Comunicazioni dell'utente finale

Notificare agli utenti esterni la tempistica della migrazione. Comunicare le aspettative, ad esempio quando gli utenti esterni devono smettere di usare una password corrente per abilitare l'autenticazione tramite credenziali home e aziendali. Le comunicazioni possono includere campagne di posta elettronica e annunci.

Eseguire la migrazione di account guest locali a Microsoft Entra B2B

Dopo che gli account locali hanno attributi user.mail popolati con l'identità esterna e la posta elettronica, convertire gli account locali in Microsoft Entra B2B invitando l'account locale. È possibile usare PowerShell o l'API Microsoft Graph.

Altre informazioni: Invitare utenti interni alla collaborazione B2B

Considerazioni successive alla migrazione

Se gli account locali degli utenti esterni sono stati sincronizzati da locale, ridurre il footprint locale e usare gli account guest B2B. È possibile:

  • Eseguire la transizione di account locali utente esterni a Microsoft Entra B2B e interrompere la creazione di account locali
    • Invitare utenti esterni in Microsoft Entra ID
  • Randomizzare le password dell'account locale dell'utente esterno per impedire l'autenticazione alle risorse locali
    • Questa azione garantisce che l'autenticazione e il ciclo di vita dell'utente siano connessi all'identità principale dell'utente esterno

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

  1. Determinare il comportamento di sicurezza per l'accesso esterno con Microsoft Entra ID

  2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

  3. Creare un piano di sicurezza per l'accesso esterno alle risorse

  4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

  5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

  6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

  7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

  8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

  9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID (qui)

  10. Convertire gli account guest locali in account guest Microsoft Entra B2B (qui)