Pulire gli account Microsoft Entra non gestiti
Prima dell'agosto 2022, l'iscrizione self-service supportata da Microsoft Entra B2B per gli utenti verificati tramite posta elettronica. Con questa funzionalità, gli utenti creano account Microsoft Entra, quando verificano la proprietà della posta elettronica. Questi account sono stati creati in tenant non gestiti (o virali): gli utenti hanno creato account con un dominio dell'organizzazione, non sotto la gestione del team IT. L'accesso persiste dopo che gli utenti lasciano l'organizzazione.
Per altre informazioni, vedere Che cos'è l'iscrizione self-service per Microsoft Entra ID?
Nota
Gli account Microsoft Entra non gestiti tramite Microsoft Entra B2B sono stati deprecati. A partire da agosto 2022, i nuovi inviti B2B non possono essere riscattati. Tuttavia, gli inviti precedenti ad agosto 2022 erano riscattabili con account Microsoft Entra non gestiti.
Rimuovere gli account Microsoft Entra non gestiti
Usare le indicazioni seguenti per rimuovere gli account Microsoft Entra non gestiti dai tenant di Microsoft Entra. Le funzionalità degli strumenti consentono di identificare gli utenti virali nel tenant di Microsoft Entra. È possibile reimpostare lo stato di riscatto dell'utente.
- Usare l'applicazione di esempio in Azure-samples/Remove-unmanaged-guests.
- Usare i cmdlet di PowerShell in
MSIdentityTools.
Riscattare gli inviti
Dopo aver eseguito uno strumento, gli utenti con account Microsoft Entra non gestiti accedono al tenant e riscattano nuovamente gli inviti. Tuttavia, Microsoft Entra ID impedisce agli utenti di riscattare con un account Microsoft Entra non gestito. Possono riscattarsi con un altro tipo di account. La federazione Di Google e SAML/WS-Federation non sono abilitate per impostazione predefinita. Pertanto, gli utenti riscattino con un account Microsoft (MSA) o una password monouso (OTP). L'account del servizio gestito è consigliato.
Altre informazioni: Flusso di riscatto degli inviti
Tenant e domini overtaken
È possibile convertire alcuni tenant non gestiti in tenant gestiti.
Altre informazioni: Acquisire la proprietà di una directory non gestita come amministratore in Microsoft Entra ID
Alcuni domini di cui è stato eseguito l'overtaken potrebbero non essere aggiornati. Ad esempio, un record TXT DNS mancante indica uno stato non gestito. Le implicazioni sono:
- Per gli utenti guest da tenant non gestiti, lo stato di riscatto viene reimpostato. Viene visualizzata una richiesta di consenso.
- Il riscatto si verifica con lo stesso account
- Lo strumento potrebbe identificare gli utenti non gestiti come falsi positivi dopo aver reimpostato lo stato di riscatto dell'utente non gestito
Reimpostare il riscatto con un'applicazione di esempio
Usare l'applicazione di esempio in Azure-Samples/Remove-Unmanaged-Guests.
Reimpostare il riscatto usando MSIdentityTools il modulo PowerShell
Il MSIdentityTools modulo PowerShell è una raccolta di cmdlet e script, usati in Microsoft Identity Platform e microsoft Entra ID. Usare i cmdlet e gli script per aumentare le funzionalità di PowerShell SDK. Vedere microsoftgraph /msgraph-sdk-powershell.
Eseguire i cmdlet seguenti:
Install-Module Microsoft.Graph -Scope CurrentUserInstall-Module MSIdentityToolsImport-Module msidentitytools,microsoft.graph
Per identificare gli account Microsoft Entra non gestiti, eseguire:
Connect-MgGraph -Scope User.Read.AllGet-MsIdUnmanagedExternalUser
Per reimpostare lo stato di riscatto dell'account Microsoft Entra non gestito, eseguire:
Connect-MgGraph -Scopes User.ReadWriteAllGet-MsIdUnmanagedExternalUser | Reset-MsIdExternalUser
Per eliminare gli account Microsoft Entra non gestiti, eseguire:
Connect-MgGraph -Scopes User.ReadWriteAllGet-MsIdUnmanagedExternalUser | Remove-MgUser
Risorsa
Lo strumento seguente restituisce un elenco di utenti esterni non gestiti o utenti virali nel tenant.
Vedere Get-MSIdUnmanagedExternalUser.