Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B

С помощью идентификатора Microsoft Entra (Microsoft Entra B2B) внешние пользователи взаимодействуют со своими удостоверениями. Хотя организации могут выдавать локальные имена пользователей и пароли внешним пользователям, этот подход не рекомендуется. Microsoft Entra B2B улучшила безопасность, снижение затрат и меньшую сложность по сравнению с созданием локальных учетных записей. Кроме того, если ваша организация выдает локальные учетные данные, которыми управляют внешние пользователи, вместо этого можно использовать Microsoft Entra B2B. Используйте инструкции в этом документе для перехода.

Дополнительные сведения. Планирование развертывания совместной работы Microsoft Entra B2B

Подготовка к работе

Эта статья имеет номер 10 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Определение внешних приложений

Перед переносом локальных учетных записей в Microsoft Entra B2B убедитесь, что приложения и рабочие нагрузки внешних пользователей могут получить доступ. Например, для приложений, размещенных в локальной среде, убедитесь, что приложение интегрировано с идентификатором Microsoft Entra. Локальные приложения являются хорошей причиной для создания локальных учетных записей.

Дополнительные сведения. Предоставление пользователям B2B доступа к локальным приложениям в Microsoft Entra ID

Рекомендуется, чтобы внешние приложения имели единый вход (SSO) и подготовку, интегрированную с Идентификатором Microsoft Entra для лучшего взаимодействия с конечным пользователем.

Определение локальных гостевых учетных записей

Определите учетные записи, которые необходимо перенести в Microsoft Entra B2B. Внешние удостоверения в Active Directory идентифицируются с помощью пары "атрибут-значение". Например, создание ExtensionAttribute15 = External для внешних пользователей. Если эти пользователи настроены с помощью синхронизации Microsoft Entra Подключение или Microsoft Entra Подключение облачной синхронизации, настройте синхронизированных внешних пользователей для UserType задания Guestатрибутов. Если пользователи настроены как облачные учетные записи, можно изменить атрибуты пользователей. В первую очередь определите пользователей для преобразования в B2B.

Сопоставление локальных гостевых учетных записей с внешними удостоверениями

Определение удостоверений пользователей или внешних сообщений электронной почты. Убедитесь, что локальная учетная запись (v-lakshmi@contoso.com) является пользователем с домашним удостоверением и адресом электронной почты: lakshmi@fabrikam.com Чтобы определить удостоверения дома, выполните приведенные ниже действия.

• Спонсор внешнего пользователя предоставляет сведения
• Внешний пользователь предоставляет сведения
• Обратитесь к внутренней базе данных, если информация известна и хранится

После сопоставления внешних локальных учетных записей с удостоверениями добавьте внешние удостоверения или электронную почту в атрибут user.mail в локальных учетных записях.

Взаимодействие конечных пользователей

Уведомляйте внешних пользователей о времени миграции. Сообщите ожидания, например, если внешние пользователи должны прекратить использование текущего пароля, чтобы включить проверку подлинности по домашним и корпоративным учетным данным. Сообщения могут включать кампании электронной почты и объявления.

Перенос локальных гостевых учетных записей в Microsoft Entra B2B

После того как локальные учетные записи имеют атрибуты user.mail, заполненные внешним удостоверением и электронной почтой, преобразуйте локальные учетные записи в Microsoft Entra B2B, пригласив локальную учетную запись. Вы можете использовать PowerShell или API Microsoft Graph.

Дополнительные сведения: приглашение внутренних пользователей в совместную работу B2B

Соображения после миграции

Если локальные учетные записи внешних пользователей были синхронизированы из локальной среды, уменьшите их локальный объем и используйте гостевые учетные записи B2B. Вы можете:

• Переход локальных учетных записей внешних пользователей в Microsoft Entra B2B и прекращение создания локальных учетных записей
  • Приглашение внешних пользователей в идентификаторе Microsoft Entra
• Случайный выбор паролей локальной учетной записи внешнего пользователя, чтобы предотвратить проверку подлинности в локальных ресурсах.
  • Это действие гарантирует, что проверка подлинности и жизненный цикл пользователя подключены к внешнему удостоверению домашнего пользователя.

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

2. Обнаружение текущего состояния внешней совместной работы в организации

3. Создание плана безопасности для внешнего доступа к ресурсам

4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

5. Переход к управляемой совместной работе с Microsoft Entra B2B

6. Управление внешним доступом с помощью управления правами Microsoft Entra

7. Управление внешним доступом к ресурсам с помощью политик условного доступа

8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra (здесь)

10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B (здесь)