我们有一个使用AAD B2B协作来邀请用户的应用程序。这些用户在我们的AAD中创建为访客用户。这一切都很有效:
情况:
组织使用我们的应用程序。该组织尚未拥有自己的AAD / Office 365。我们使用他们的电子邮件地址邀请我们AAD的一些员工。他们在我们的AAD中获得访客帐户。 过了一段时间,这个组织为自己现有的域名获得了自己的AAD / Office 365。此域名以前曾用于邀请兑换流程中的电子邮件地址。
组织的AAD管理员创建AAD,并立即看到现有的用户帐户:已邀请的所有帐户都显示在AAD中。在创建一个新的AAD时他没有预料到这一点,他不知道他们来自哪里。 看来外部,对于我们隐藏的AAD,已经变得对AAD管理员可见。 AAD管理员可能决定删除这些帐户,以空AAD开头。因此,员工无法再在我们的申请中登录。
我们的应用程序使用Microsoft Graph API来邀请用户。 有没有办法以某种方式标记外部隐藏AAD中的用户,以明确帐户的来源?就像在现有领域提到我们的组织/应用程序一样?
所以要明确:我们不想在来宾帐户上设置属性。我们想要在AAD管理员创建AAD时看到的用户帐户上设置属性。我们想明确表示他不能删除此用户,因为它是由/为应用程序X创建的。
答案 0 :(得分:1)
不,这是Azure AD的一项功能。 域所有者可以选择接管隐藏的Azure AD,如果他们选择稍后创建一个。 他们控制域,从而控制用户,因此由他们决定。
现在当然如果您使用Gmail帐户创建AAD来宾用户,他们实际上并没有被添加到巨大的隐藏Google Azure AD中。 如果AAD认为该帐户是社交帐户,则目前他们会为该用户透明地创建个人Microsoft帐户(因此用户始终可以控制其帐户)。
因此,如果您邀请用户使用他们的工作电子邮件,您必须期望他们的域名所有者能够控制他们的用户。帐户。
AFAIK,没有你可以设置的属性。