Convertire gli account guest locali in account guest Microsoft Entra B2B

Con Microsoft Entra ID (Microsoft Entra B2B), gli utenti esterni collaborano con le proprie identità. Sebbene le organizzazioni possano emettere nomi utente e password locali ad utenti esterni, questo approccio non è consigliato. Microsoft Entra B2B offre maggiore sicurezza, un costo inferiore e una minore complessità rispetto alla creazione di account locali. Inoltre, se la propria l'organizzazione rilascia credenziali locali gestite da utenti esterni, è possibile usare invece Microsoft Entra B2B. Seguire le indicazioni contenute in questo documento per eseguire la transizione.

Ulteriori informazioni: Pianificare una distribuzione di Collaborazione B2B di Microsoft Entra

Operazioni preliminari

Questo articolo è il numero 10 in una serie di 10 articoli. È consigliabile consultare gli articoli seguendo il loro ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Identificare applicazioni esterne

Prima di eseguire la migrazione degli account locali a Microsoft Entra B2B, confermare le applicazioni e i carichi di lavoro a cui gli utenti esterni possano accedere. Ad esempio, per applicazioni ospitate in locale, convalidare che l'applicazione sia integrata con Microsoft Entra ID. Le applicazioni locali sono una buona motivazione per creare account locali.

Altre informazioni: Concedere agli utenti B2B in Microsoft Entra ID l'accesso alle applicazioni locali

È consigliabile che le applicazioni esterne abbiano Single Sign-On (SSO) e provisioning integrati con Microsoft Entra ID per un'esperienza utente finale ottimale.

Identificare account guest locali

Identificare gli account di cui eseguire la migrazione a Microsoft Entra B2B. Le identità esterne in Active Directory sono identificabili tramite una coppia attributo-valore. Ad esempio, l'impostazione di ExtensionAttribute15 = External per gli utenti esterni. Se questi utenti sono configurati con la sincronizzazione Microsoft Entra Connect o la sincronizzazione cloud Microsoft Entra Connect, configurare gli utenti esterni sincronizzati in modo che gli attributi UserType siano impostati su Guest. Se gli utenti sono configurati come account esclusivamente cloud, è possibile modificare gli attributi utente. Prima di tutto, identificare gli utenti da convertire in B2B.

Eseguire il mapping degli account guest locali ad identità esterne

Identificare identità utente o messaggi di posta elettronica esterni. Verificare che l'account locale (v-lakshmi@contoso.com) sia un utente con l'identità principale e l'indirizzo di posta elettronica: lakshmi@fabrikam.com. Per identificare le identità home:

• Lo sponsor dell'utente esterno fornisce le informazioni
• L'utente esterno fornisce le informazioni
• Se le informazioni sono note e archiviate, fare riferimento a un database interno.

Dopo aver eseguito il mapping degli account locali esterni alle identità, aggiungere identità esterne o messaggi di posta elettronica all'attributo user.mail negli account locali.

Comunicazioni dell'utente finale

Notificare la tempistica della migrazione agli utenti esterni. Comunicare le proprie aspettative, ad esempio quando gli utenti esterni debbano smettere di usare una password corrente per abilitare l'autenticazione tramite credenziali home e aziendali. Le comunicazioni possono includere campagne di posta elettronica e annunci.

Eseguire la migrazione di account guest locali a Microsoft Entra B2B

Dopo che gli account locali hanno attributi user.mail popolati con l'identità e l’indirizzo e-mail esterni, convertire gli account locali in Microsoft Entra B2B invitando l'account locale. È possibile usare PowerShell o l'API Microsoft Graph.

Altre informazioni: Invitare utenti interni alla collaborazione B2B

Considerazioni successive alla migrazione

Se gli account locali degli utenti esterni sono stati sincronizzati da locale, ridurre il footprint locale e usare gli account guest B2B. È possibile:

• Eseguire la transizione di account locali utente esterni a Microsoft Entra B2B e interrompere la creazione di account locali
  • Invitare utenti esterni in Microsoft Entra ID
• Randomizzare le password dell'account locale dell'utente esterno per impedire l'autenticazione alle risorse locali
  • Questa azione garantisce che l'autenticazione e il ciclo di vita dell'utente siano connessi all'identità home dell'utente esterno

Passaggi successivi

Usare la serie di articoli seguente per informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine elencato.

1. Determinare la propria postura di sicurezza per l'accesso esterno con Microsoft Entra ID

2. Individuare lo stato corrente di collaborazione esterna nella propria organizzazione

3. Creare un piano di sicurezza per l'accesso esterno alle risorse

4. Proteggere l'accesso esterno con gruppi in Microsoft Entra ID e Microsoft 365

5. Transizione alla collaborazione regolamentata con Microsoft Entra B2B Collaboration

6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

7. Gestire l'accesso esterno alle risorse con criteri di accesso condizionale

8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con etichette di riservatezza

9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive for Business con Microsoft Entra ID (qui)

10. Convertire gli account guest locali in account guest Microsoft Entra B2B (qui)