如何将 Azure B2B 来宾用户转换为成员，同时保持用户协作

今天的挑战

跨租户迁移和集成项目越来越多地使用 Azure B2B 来宾用户作为 Microsoft 企业对企业 (B2B) 帐户功能的一部分，以便在迁移项目的共存阶段提供更丰富的协作体验。

在并购 (M&A) 活动期间，企业组织将分配一些用户作为 B2B 访客帐户，以便两个组织的团队可以在业务和技术集成期间共享和管理信息。

在这些活动期间，管理员或内部用户将邀请被收购组织中的不同人员参与讨论、安排会议并共享来自 Microsoft Teams、Groups 和 SharePoint 网站的数据。这些现在在其目录中拥有 B2B 来宾帐户的外部用户最终需要迁移。但在此之前，需要许可证才能在 SharePoint 中创建邮箱和 OneDrive 容器，然后才能迁移任何数据。

这对于 B2B 来宾帐户来说是一个问题，因为它们无法识别已获得许可，并且无法在 Exchange Online 中拥有邮箱。 可以删除来宾帐户，并创建一个新帐户并获得许可，但之前分配给文件和共享资源的所有权限都将丢失，这会导致电子邮件回复能力和缓存身份的其他问题。如果重新创建帐户，如果最终用户想要继续与收购组织中的团队成员协作，他们将被迫管理两组凭据，直到完全迁移为止。

那么，在准备用户帐户进行数据迁移时，我们如何保留权限、保持协作而不需要管理两组凭据？

今天的解决方案

简单的答案就是转换！本博客概述了如何将现有受邀来宾帐户转换为标准会员帐户，以维护当前分配的权限、更新 UPN 并许可帐户以准备数据迁移。最后，我将演示用户的访问和协作体验如何在迁移完成之前保持不变。

如何将 Azure B2B 来宾用户转换为 B2B 会员

Microsoft 目前支持邀请内部用户参与 B2B 协作，他们仍作为成员用户类型。本质上，这就是我将在这里演示的内容，但顺序不同。我们不会以会员用户的身份开始，然后发送邀请，而是以来宾受邀用户的身份开始，但最终成为会员用户 > 最初受邀参加B2B合作；我们将此类用户称为B2B 会员。

转换过程是一个可以通过 PowerShell 执行的多步骤过程，您构建的脚本应包含本文其余部分概述的关键操作。以下命令只是如何针对单个用户执行这些操作的示例。确保您拥有适当的权限并已安装适当的 PowerShell 模块、AzureAD 和 MSOnline 来完成这些步骤。

首先使用来宾帐户当前所在的 PowerShell 登录目标 Microsoft 365 租户。在开始之前，您需要获取要转换为 B2B 会员的特定来宾帐户的对象 ID。

获取来宾对象 ID
要查找给定来宾用户的外部目录对象 ID，请运行以下命令：

Get-User -UserPrincipleName 
"JaneDoe_contoso.com#EXT#@contoso.onmicrosoft.com" | select 
ExternalDirectoryObjectId

更新用户类型
要将用户类型从访客修改为会员，请运行以下命令：

Set-AzureADUser -objectid <ExternalDirectoryObjectId> -UserType “Member”

更新 UPN
要将登录 ID 从访客格式修改为标准格式，请运行以下命令：

Set-MsolUserPrincipalName -UserPrincipalName 
"JaneDoe_contoso.com#EXT#@contoso.onmicrosoft.com" -NewUserPrincipalName 
"janedoe@contoso.com"

设置使用位置
在分配订阅计划之前，必须为帐户分配使用位置。为此，请运行以下命令：

Set-MsolUser -UserPrincipalName janedoe@contoso.com -UsageLocation "US"

设置默认密码
要生成随机默认密码并强制用户在下次登录时更改它，请运行以下命令：

Set-MsolUserPassword -UserPrincipalName "janedoe@contoso.com" -
ForceChangePassword $true

*提示 - 如果需要，可以在最终切换事件期间运行此操作。如果您的组织使用混合身份管理，那么我建议您同步您的 Active Directory 密码，以便您的用户在过渡期间更轻松地完成该过程。

许可证帐户
要为用户（在此示例中为 E3 Enterprise Pack）设置订阅计划，请运行此命令。大多数现代迁移解决方案都要求用户在数据迁移之前获得许可，但使用本机工具的情况除外。

Set-MsolUserLicense -UserPrincipalName "janedoe@contoso.com" -AddLicenses 
"contoso:ENTERPRISEPACK"

针对指定用户完成上述操作后，他们就几乎准备好开始迁移了。邮箱必须由 Exchange Online 完成采购，并且必须手动或使用您选择的迁移工具预配 OneDrive 容器。

拍摄前和拍摄后

接下来我们从Azure AD的角度来看一下用户账户的变化。在测试过程中，我使用了仅云的来宾帐户，而不是混合帐户，尽管两种情况下的原理是相同的。

图 1 显示已受邀参与 B2B 协作且邀请已被接受的 Guest 帐户。另请注意，用户类型设置为来宾，并且用户主体名称的格式基于帐户的启动方式：

图 2 显示了运行转换后的同一用户帐户。用户类型已更新，UPN 已标准化，邀请状态保持不变：

用户体验是什么样的？

为了说明在此过程中如何不中断用户对 Microsoft 365 租户之间共享资源的访问，让我们使用在 Teams 中协作的来宾用户的示例。

图 3 显示了我们的示例用户 Jane Doe，无论她的名字在哪里显示，她都以访客身份显示。 Jane 可以轻松地在组织之间切换，如右侧面板所示。目前，她所在的团队位于目标 Microsoft 365 租户中，最终她将迁移到该租户。如果 Jane 想要连接回源 Teams，那么她可以轻松地在组织之间切换回来：

在图 4 中，Jane 已从 Azure B2B 来宾用户转换为 B2B 成员。对她来说没有太大不同，她不会再在她的名字旁边看到“访客”这个词，但除此之外，她不会意识到对她的新目标帐户所做的更改。

Jane 保留了她的所有访问权限、所有聊天记录，并且失去了零功能。事实上，当 Jane 最终迁移到目标时，她的所有访问权限和历史记录都将保持不变，从而使她的迁移体验尽可能顺利，同时保留先前授予的权限。

需要考虑的事情

以下是我经常听到的关于此过程的一些问题以及我的回应：

1. 在迁移最终完成之前，如果用户拥有凭据，是否可以使用新帐户登录目标？

是的，这是可能的。但是，与任何跨租户迁移一样，不建议这样做。在正确的时间之前，请勿与用户沟通或向用户提供这样做的方法。

2.迁移最终完成后，如何阻止源帐户向目标租户进行身份验证？

作为迁移工作流程的一部分，禁用、删除、取消许可或拒绝访问源帐户。您可以使用邮件联系人替换该帐户以用于邮件路由目的，并删除原始帐户（如果可能）。否则，您可能会阻止用户登录，然后决定如何处理 GAL 可见性和邮件路由。

3. 转换并许可目标帐户后，我是否需要为邮件设置邮箱转发以路由到源中的活动邮箱？

是的，在大多数情况下，您需要设置邮箱转发，以便该帐户的任何入站邮件都会传递到源邮箱，而用户在那里仍处于活动状态。

我的结论

Microsoft B2B 功能将继续存在，改变集成迁移项目期间在租户之间设置共存的选项范围。在 B2B 出现之前，为了授予对 Teams 和 SharePoint 中共享资源的访问权限，管理员必须创建一组新的凭据，并且用户必须在需要时管理身份之间的切换，这不是理想的情况。

此外，在迁移之前使用您自己的源凭据访问目标资源对于任何未来的集成项目来说都是一个绝佳的选择，也是一个巨大的好处。

但是，我并不建议您计划以这种方式设置所有 Azure B2B 来宾用户 - 我只会选择性地使用此方法。将其隔离给需要这种级别的丰富协作的高级用户。但很高兴知道当这个用例确实出现时，您现在可以使用一种方法来轻松管理帐户以满足您的需求。