將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶
有了 Microsoft Entra ID (Microsoft Entra B2B),外部使用者會與其身分識別共同作業。 雖然組織可以向外部使用者發出本機使用者名稱和密碼,但不建議使用此方法。 相較於建立本機帳戶,Microsoft Entra B2B 已改善安全性、降低成本和較不複雜。 此外,如果您的組織發出外部使用者管理的本機認證,您可以改用 Microsoft Entra B2B。 使用本文件中的指導進行轉換。
深入了解:規劃 Microsoft Entra B2B 共同作業部署
開始之前
本文是 10 篇文章系列中的第 10 篇。 建議您依序檢閱文章。 移至 [後續步驟] 一節,以查看整個系列。
識別對外的應用程式
將本機帳戶移轉至 Microsoft Entra B2B 之前,請先確認外部使用者可以存取的應用程式和工作負載。 例如,針對裝載於內部部署的應用程式,確定應用程式已與 Microsoft Entra ID 進行整合。 內部部署應用程式是建立本機帳戶的好理由。
深入了解:授與 Microsoft Entra ID 中的 B2B 使用者您內部部署應用程式的存取權
建議所有對外的應用程式都應具有已與 Microsoft Entra ID 整合的單一登入 (SSO) 和佈建,以獲得最佳使用者體驗。
識別本機來賓帳戶
識別要移轉至 Microsoft Entra B2B 的帳戶。 Active Directory 中的外部身分識別可使用屬性值組來識別。 例如,針對所有外部使用者,讓 ExtensionAttribute15 = External。 如果這些使用者是使用 Microsoft Entra Connect Sync 或 Microsoft Entra Connect 雲端同步進行設定,請將同步的外部使用者設定為將 UserType 屬性設定為 Guest。 如果使用者設定為僅限雲端的帳戶,您可以修改使用者屬性。 主要是識別要轉換成 B2B 的使用者。
將本機來賓帳戶對應至外部身分識別
識別使用者身分識別或外部電子郵件。 確認本機帳戶 (v-lakshmi@contoso.com) 是具有住家身分識別和電子郵件地址的使用者:lakshmi@fabrikam.com。 若要識別住家身分識別:
- 外部使用者的贊助者會提供資訊
- 外部使用者會提供資訊
- 如果已知並儲存資訊,請參閱內部資料庫
將外部本機帳戶對應至身分識別之後,請將外部身分識別或電子郵件新增至本機帳戶上的user.mail 屬性。
與終端使用者溝通
通知外部用戶移轉時間。 例如在外部使用者必須停止使用目前的密碼以啟用住家和公司認證的驗證時,溝通期望。 溝通方式可以包含電子郵件行銷活動和公告。
將本機來賓帳戶移轉至 Microsoft Entra B2B
在本機帳戶具有填入外部身分識別和電子郵件的 user.mail 屬性之後,請邀請本機帳戶,以將本機帳戶轉換成 Microsoft Entra B2B。 您可以使用 PowerShell 或 Microsoft Graph API。
深入了解:邀請內部使用者加入 B2B 共同作業
移轉後考量
如果外部使用者本機帳戶已從內部部署同步處理,請減少其內部部署磁碟使用量,並使用 B2B 來賓帳戶。 您可以:
- 將外部使用者本機帳戶轉換為 Microsoft Entra B2B,並停止建立本機帳戶。
- 在 Microsoft Entra ID 中邀請外部使用者
- 隨機化外部使用者的本機帳戶密碼,以防止對內部部署資源的驗證
- 此動作可確保驗證和使用者生命週期已連線到外部使用者住家身分識別
下一步
使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。