我们有一个使用AAD B2B协作来邀请用户的应用程序 . 这些用户在我们的AAD中创建为访客用户 . 一切都很好:
-
拥有AAD / Office 365的用户可以使用其正常凭据登录 .
-
没有AAD / Office 365的用户在邀请兑换过程中创建他们的帐户,并可以使用它来登录.Microsoft将这些帐户存储在外部,对于我们隐藏的AAD .
情况:
组织使用我们的应用程序 . 该组织尚未拥有自己的AAD / Office 365 . 我们使用他们的电子邮件地址邀请我们AAD的一些员工 . 他们在我们的AAD中获得访客帐户 . 过了一段时间,这个组织为自己现有的域名获得了自己的AAD / Office 365 . 此域名以前曾用于邀请兑换流程中的电子邮件地址 .
组织的AAD管理员创建AAD,并立即查看现有用户帐户:已邀请的所有帐户都显示在AAD中 . 在创建一个新的AAD时他没有预料到这一点,他不知道他们来自哪里 . 看来外部,对于我们隐藏的AAD,已经变得对AAD管理员可见 . AAD管理员可能决定删除这些帐户,以空AAD开头 . 因此,员工无法再在我们的申请中登录 .
我们的应用程序使用Microsoft Graph API来邀请用户 . 有没有办法以某种方式标记外部隐藏AAD中的用户,以明确帐户的来源?就像在现有领域提到我们的组织/应用程序一样?
所以要明确:我们不想在来宾帐户上设置属性 . 我们想要在AAD管理员创建AAD时看到的用户帐户上设置属性 . 我们想明确表示他不能删除此用户,因为它是由/为应用程序X创建的 .
1 回答
不,这是Azure AD的一项功能 . 域所有者可以选择接管隐藏的Azure AD,如果他们选择稍后创建一个 . 他们控制域,从而控制用户,因此它取决于他们 .
当然,如果您使用Gmail帐户创建AAD访客用户,他们实际上并未添加到巨大的隐藏Google Azure AD中 . 如果AAD认为该帐户是社交帐户,则目前他们为该用户透明地创建个人Microsoft帐户(因此用户始终控制其帐户) .
因此,如果您邀请用户使用他们的工作电子邮件,您必须希望他们的域所有者能够控制其用户的帐户 .
AFAIK,没有你可以设置的属性 .