Compartilhar via

Limpar contas não gerenciadas do Microsoft Entra

  • Artigo

Antes de agosto de 2022, o Microsoft Entra B2B tinha suporte para inscrição de autoatendimento para usuários verificados por email. Com esse recurso, os usuários criam contas do Microsoft Entra quando verificam que o email lhes pertence. Essas contas foram criadas em locatários não gerenciados (ou virais): os usuários criaram contas com um domínio da organização, não sob gerenciamento da equipe de TI. O acesso persiste depois que os usuários saem da organização.

Para saber mais, confira O que é cadastramento por autoatendimento no Microsoft Entra ID?

Observação

As contas do Microsoft Entra não gerenciadas por meio do Microsoft Entra B2B foram preteridas. A partir de agosto de 2022, novos convites B2B passaram a não poder ser resgatados. No entanto, os convites anteriores a agosto de 2022 eram resgatados com contas não gerenciadas do Microsoft Entra.

Remover contas não gerenciadas do Microsoft Entra

Use as diretrizes a seguir para remover contas não gerenciadas do Microsoft Entra pertencentes a locatários do Microsoft Entra. Os recursos da ferramenta ajudam a identificar usuários virais no locatário do Microsoft Entra. Você pode redefinir o status de resgate do usuário.

Resgatar convites

Após você executar uma ferramenta, os usuários com contas não gerenciadas do Microsoft Entra acessam o locatário e resgatam seus convites novamente. No entanto, o Microsoft Entra ID impede que os usuários os resgatem com uma conta não gerenciada do Microsoft Entra. Eles podem resgatar com outro tipo de conta. A Federação do Google e o SAML/Web Services Federation não estão habilitados por padrão. Portanto, os usuários efetuam resgates com uma conta Microsoft (MSA) ou uma senha de uso único por email (OTP). A MSA é recomendada.

Saiba mais: Fluxo de resgate de convite

Locatários e domínios assumidos

É possível converter alguns locatários não gerenciados em locatários gerenciados.

Para saber mais: Assumir um diretório não gerenciado como administrador no Microsoft Entra ID

Alguns domínios ultrapassados podem não estar atualizados. Por exemplo, um registro TXT DNS ausente indica um estado não gerenciado. As implicações são:

  • Para usuários convidados de locatários não gerenciados, o status de resgate é redefinido. Um prompt de consentimento é exibido.
    • O resgate ocorre com a mesma conta
  • A ferramenta pode identificar usuários não gerenciados como falsos positivos depois que você redefinir o status de resgate de usuário não gerenciado

Redefinir o resgate usando um aplicativo de exemplo

Use o aplicativo de exemplo em Azure-Samples/Remove-Unmanaged-Guests.

Redefinir o resgate usando o MSIdentityTools módulo do PowerShell

O MSIdentityTools módulo do PowerShell é uma coleção de cmdlets e scripts que você usa no plataforma de identidade da Microsoft e na ID do Microsoft Entra. Use os cmdlets e scripts para aumentar os recursos do SDK do PowerShell. Confira microsoftgraph/msgraph-sdk-powershell.

Execute os seguintes cmdlets:

  • Install-Module Microsoft.Graph -Scope CurrentUser
  • Install-Module MSIdentityTools
  • Import-Module msidentitytools,microsoft.graph

Para identificar contas não gerenciadas do Microsoft Entra, execute o seguinte:

  • Connect-MgGraph -Scope User.Read.All
  • Get-MsIdUnmanagedExternalUser

Para redefinir o status de resgate de uma conta não gerenciada do Microsoft Entra, execute o seguinte:

  • Connect-MgGraph -Scopes User.ReadWriteAll
  • Get-MsIdUnmanagedExternalUser | Reset-MsIdExternalUser

Para excluir contas não gerenciadas do Microsoft Entra, execute o seguinte:

  • Connect-MgGraph -Scopes User.ReadWriteAll
  • Get-MsIdUnmanagedExternalUser | Remove-MgUser

Recurso

A ferramenta a seguir retorna uma lista de usuários externos não gerenciados, ou usuários virais, no locatário.
Consulte Get-MSIdUnmanagedExternalUser.