Автоматически изменять тип учетной записи в Azure AD с гостя на пользователя на основе домена электронной почты

Question

В VSTS (Visual Studio Team Services), когда мы приглашаем пользователя, он становится гостем в поддержке AzureAD.Это означает, что пользователь не может выполнять задачи, связанные с AzureAD.Несмотря на то, что он является администратором проектов VSTS, он не может приглашать новых членов в проект, потому что у него нет разрешения приглашать кого-либо на поддержку AzureAD.

Можем ли мы создать, например, политику, которая даст "Приглашающий гость "роль для всех пользователей, которые имеют адрес электронной почты нашей компании.Это позволило бы всем сотрудникам нашей компании добавлять новых пользователей в свой проект, но если они пригласили клиента, заказчик не сможет приглашать больше людей.

Еще лучшим способом было бы измениться.все пользователи от гостевых пользователей до членов.

Answer 1

Для меня это звучит как обходной путь , потому что VSTS должен быть связан с вашей организацией Active Directory. Однако я не понимаю ваших опасений по поводу существующих проектов и пользователей (даже есть руководство по миграции ).

Вы можете использовать правила на основе атрибутов для динамических групп , чтобы добавить всех пользователей с определенным доменом / почтой в определенную группу. Затем можно назначить необходимые права на VSTS (права администратора коллекции проектов VSTS или владельца учетной записи) и AAD (я не знаю наименее требуемых привилегий здесь) для группы.

Примечание: Если вам нужно добавить пользователей, которые являются внешними по отношению к вашей Azure AD, вы должны сначала добавить их в свою Azure AD.

См .: Создание основанных на атрибутах правил для членства в динамических группах в Azure Active Directory