Очистка неуправляемых учетных записей Microsoft Entra

До августа 2022 года Microsoft Entra B2B поддерживает самостоятельную регистрацию для проверенных пользователей электронной почты. С помощью этой функции пользователи создают учетные записи Microsoft Entra при проверке владения электронной почтой. Эти учетные записи были созданы в неуправляемых (или вирусных) клиентах: пользователи создали учетные записи с доменом организации, а не под управлением ИТ-отделов. Доступ сохраняется после того, как пользователи покидают организацию.

Дополнительные сведения см. в статье " Что такое самостоятельная регистрация для идентификатора Microsoft Entra ID?

Примечание.

Неуправляемые учетные записи Microsoft Entra через Microsoft Entra B2B устарели. По состоянию на август 2022 г. новые приглашения B2B не могут быть активированы. Однако приглашения до августа 2022 года были активированы с неуправляемыми учетными записями Microsoft Entra.

Удаление неуправляемых учетных записей Microsoft Entra

Используйте следующее руководство, чтобы удалить неуправляемые учетные записи Microsoft Entra из клиентов Microsoft Entra. Функции инструментов помогают определить вирусных пользователей в клиенте Microsoft Entra. Вы можете сбросить состояние активации пользователя.

• Используйте пример приложения в Azure-samples/Remove-unmanaged-guest.
• Использование командлетов PowerShell в MSIdentityTools.

Активация приглашений

После запуска средства пользователи с неуправляемыми учетными записями Microsoft Entra получают доступ к клиенту и повторно активируют приглашения. Однако идентификатор Microsoft Entra запрещает пользователям активировать неуправляемую учетную запись Microsoft Entra. Они могут активироваться с другим типом учетной записи. Федерация Google и SAML/WS-Federation не включены по умолчанию. Таким образом, пользователи активирует учетную запись Майкрософт (MSA) или одноразовый пароль электронной почты (OTP). Рекомендуется использовать MSA.

Дополнительные сведения: поток активации приглашений

Замещаемые арендаторы и домены

Можно преобразовать некоторые неуправляемые клиенты в управляемые клиенты.

Дополнительные сведения. Использование неуправляемого каталога в качестве администратора в идентификаторе Microsoft Entra

Некоторые домены переполнения могут не обновляться. Например, отсутствующие записи DNS TXT указывают на неуправляемое состояние. Последствия:

• Для гостевых пользователей из неуправляемых клиентов состояние активации сбрасывается. Появится запрос на согласие.
  • Активация выполняется с той же учетной записью
• Средство может определить неуправляемых пользователей как ложные срабатывания после сброса состояния активации неуправляемых пользователей.

Сброс активации с помощью примера приложения

Используйте пример приложения в Azure-Samples/Remove-Unmanaged-Guests.

Сброс активации с помощью MSIdentityTools модуля PowerShell

MSIdentityTools Модуль PowerShell — это коллекция командлетов и скриптов, которые используются в платформа удостоверений Майкрософт и идентификаторе Microsoft Entra. Используйте командлеты и скрипты для расширения возможностей пакета SDK PowerShell. См. microsoftgraph/msgraph-sdk-powershell.

Выполните следующие командлеты.

• Install-Module Microsoft.Graph -Scope CurrentUser
• Install-Module MSIdentityTools
• Import-Module msidentitytools,microsoft.graph

Чтобы определить неуправляемые учетные записи Microsoft Entra, выполните следующую команду:

• Connect-MgGraph -Scope User.Read.All
• Get-MsIdUnmanagedExternalUser

Чтобы сбросить состояние активации неуправляемой учетной записи Microsoft Entra, выполните следующую команду:

• Connect-MgGraph -Scopes User.ReadWriteAll
• Get-MsIdUnmanagedExternalUser | Reset-MsIdExternalUser

Чтобы удалить неуправляемые учетные записи Microsoft Entra, выполните следующую команду:

• Connect-MgGraph -Scopes User.ReadWriteAll
• Get-MsIdUnmanagedExternalUser | Remove-MgUser

Ресурс

Следующее средство возвращает список внешних неуправляемых пользователей или вирусных пользователей в клиенте.
См. get-MSIdUnmanagedExternalUser.