Převod místních účtů hostů na účty hosta Microsoft Entra B2B

Článek
02/25/2024

S Microsoft Entra ID (Microsoft Entra B2B) spolupracují externí uživatelé se svými identitami. I když organizace můžou externím uživatelům vydávat místní uživatelská jména a hesla, tento přístup se nedoporučuje. Microsoft Entra B2B má ve srovnání s vytvářením místních účtů lepší zabezpečení, nižší náklady a menší složitost. Kromě toho, pokud vaše organizace vydává místní přihlašovací údaje, které spravují externí uživatelé, můžete místo toho použít Microsoft Entra B2B. K provedení přechodu použijte doprovodné materiály v tomto dokumentu.

Další informace: Plánování nasazení spolupráce Microsoft Entra B2B

Než začnete

Tento článek je číslo 10 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .

Identifikace externích aplikací

Před migrací místních účtů do Microsoft Entra B2B ověřte, že k aplikacím a úlohám mají externí uživatelé přístup. Například u aplikací hostovaných místně ověřte, že je aplikace integrovaná s ID Microsoft Entra. Místní aplikace jsou dobrým důvodem pro vytvoření místních účtů.

Další informace: Udělení přístupu uživatelům B2B v Microsoft Entra ID k místním aplikacím

Doporučujeme, aby externí aplikace měly jednotné přihlašování (SSO) a zřizují se s Microsoft Entra ID, aby bylo co nejlepší prostředí pro koncové uživatele.

Identifikace místních účtů hostů

Identifikujte účty, které se mají migrovat do Microsoft Entra B2B. Externí identity ve službě Active Directory jsou identifikovatelné pomocí páru atribut-hodnota. Například rozšíření ExtensionAttribute15 = External pro externí uživatele. Pokud jsou tito uživatelé nastaveni pomocí Microsoft Entra Připojení Sync nebo Microsoft Entra Připojení cloud synchronizace, nakonfigurujte synchronizované externí uživatele tak, aby měly UserType atributy nastavené na Guest. Pokud jsou uživatelé nastaveni jako účty jen pro cloud, můžete upravit atributy uživatele. Primárně identifikujte uživatele, kteří se mají převést na B2B.

Mapování místních účtů hostů na externí identity

Identifikace identit uživatelů nebo externích e-mailů Ověřte, že místní účet (v-lakshmi@contoso.com) je uživatel s domovskou identitou a e-mailovou adresou: lakshmi@fabrikam.com. Identifikace domovských identit:

Sponzor externího uživatele poskytuje informace
Externí uživatel poskytuje informace.
Pokud jsou informace známé a uložené, projděte si interní databázi.

Po mapování externích místních účtů na identity přidejte externí identity nebo e-mail do atributu user.mail v místních účtech.

Komunikace koncových uživatelů

Upozorněte externí uživatele na načasování migrace. Komunikujte očekávání, například když externí uživatelé musí přestat používat aktuální heslo, aby bylo možné povolit ověřování pomocí přihlašovacích údajů pro domácnosti a firmy. Komunikace může zahrnovat e-mailové kampaně a oznámení.

Migrace místních účtů hostů do Microsoft Entra B2B

Jakmile mají místní účty atributy user.mail naplněné externí identitou a e-mailem, převeďte místní účty na Microsoft Entra B2B pozváním místního účtu. Můžete použít PowerShell nebo rozhraní Microsoft Graph API.

Další informace: Pozvání interních uživatelů ke spolupráci B2B

Předpoklady po migraci

Pokud se místní účty externích uživatelů synchronizovaly z místního prostředí, snižte jejich místní nároky a použijte účty hostů B2B. Můžete provádět následující akce:

Přechod místních účtů externích uživatelů na Microsoft Entra B2B a zastavení vytváření místních účtů
- Pozvání externích uživatelů v Microsoft Entra ID
Randomizace hesel místního účtu externího uživatele, aby se zabránilo ověřování u místních prostředků
- Tato akce zajišťuje, že se ověřování a životní cyklus uživatele připojí k identitě domovského externího uživatele.

Další kroky

V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.