将 AD 用户与 Azure B2B 来宾同步?

问题描述 投票:0回答:1

我正在寻找可能的解决方案来处理 Azure AD 中的外部用户,这些用户参与常规 B2B 协作(Teams/SharePoint/等),但也需要访问本地系统,并且已经在 AD 中使用其非托管电子邮件域。传统上,我认为方法是将 AD 帐户同步到 Azure 并让他们使用本文档中概述的本地用户名和密码登录:https://learn.microsoft.com/en-us/azure/活动目录/外部身份/本地到云混合。但是,这些外部用户通常已经拥有自己的 Azure 租户,并且更愿意使用自己的 Microsoft 工作帐户与主机租户协作,因为这使得 M365 应用程序中的帐户管理变得更加容易。

是否可以使用 Azure AD Connect 将 AD 用户与 Azure B2B 来宾同步?

我希望得到一些东西:

  • AD 用户和 Azure B2B 来宾代理地址不应在同步期间发生冲突并导致错误,而应匹配以使用同一用户。
  • 理想情况下,Azure 托管组的组成员身份可以传播到这些外部用户的本地。然后,这可以用于控制对本地资源的访问。
  • 与租户同步配合使用的解决方案也可能不错,用户可以首先通过租户同步进行同步,然后通过 AAD Connect 同步进行匹配。
  • 也许最好的方法是让同步或某个工作邀请用户在第一次从 AD 同步时进行协作。是否有 Powershell/Graph 命令/脚本可以在用户同步后将用户转换为外部用户? (也许模仿 GUI 中的“转换为外部用户”功能?)
  • 外部用户应该能够显示在 Exchange Online GAL 中(其他解决方法包括同步本地用户并允许访客使用两封单独的电子邮件,但两个 GAL 记录会造成混淆)。我知道 powershell 脚本可以关闭来宾的 GAL 隐藏,或者使用租户同步来使他们成为成员,这样他们就不会从 GAL 中隐藏。
azure azure-active-directory active-directory azure-ad-b2b
1个回答
0
投票

您正在寻找紧随您引用的文章之后的文章。

https://learn.microsoft.com/en-us/azure/active-directory/external-identities/hybrid-cloud-to-on-premises#access-to-iwa-and-kcd-apps

本文介绍如何向 Azure AD 中的 B2B 用户授予对本地应用程序的访问权限。您将需要使用 Azure AD 应用代理进行身份验证,并使用 MIM 或 PowerShell 将 Azure AD 来宾用户同步到本地 AD。

© www.soinside.com 2019 - 2024. All rights reserved.