У нас есть приложение, которое использует сотрудничество AAD B2B для приглашения пользователей.Эти пользователи создаются как гостевые пользователи в нашей AAD.Все это прекрасно работает:
- Пользователи, имеющие AAD / Office 365, могут использовать свои обычные учетные данные для входа в систему.
- Пользователи, не имеющие AAD / Office 365, создают своиучетная запись в процессе погашения приглашения и может использовать ее для входа. Microsoft сохраняет эти учетные записи во внешней, скрытой для нас AAD.
Ситуация:
Организация использует наше приложение,Эта организация еще не имеет собственного AAD / Office 365.Мы приглашаем некоторых сотрудников этой организации в нашу AAD, используя их адреса электронной почты.Они получают гостевые аккаунты в нашем AAD.Через некоторое время эта организация получает свой собственный AAD / Office 365 для существующего доменного имени.Это доменное имя ранее использовалось в адресах электронной почты в процессе погашения приглашения.
Администратор AAD организации создает AAD и сразу видит существующие учетные записи пользователей: все приглашенные учетные записи отображаются в AAD,Он не ожидал этого при создании нового AAD, и он не знает, откуда они берутся.Похоже, что внешний, для нас скрытый AAD, стал видимым для администратора AAD.Администратор AAD может решить удалить эти учетные записи, чтобы начать с пустой AAD.В результате сотрудники больше не могут входить в наше приложение.
Наше приложение использует Microsoft Graph API для приглашения пользователей.Есть ли способ пометить пользователей во внешнем скрытом AAD каким-либо образом, чтобы было ясно, откуда поступают учетные записи?Как упоминание нашей организации / приложения в существующей области?
Итак, чтобы быть ясным: мы не хотим устанавливать свойства для гостевой учетной записи.Мы хотим установить свойства учетной записи пользователя, которую видит администратор AAD при создании AAD.Мы хотим дать понять, что он не должен удалять этого пользователя, потому что он создан / для приложения X.