将邮件联系人迁移到 Azure AD 来宾帐户

Azure AD 来宾帐户是更好的选择吗？

关于删除过时的 Azure AD 来宾帐户和未兑换的讨论引发了一个断言（不是我提出的）：如果 Microsoft 365 组织用来宾帐户替换 Exchange Online 使用的邮件联系人对象，情况会更好。其逻辑是，Microsoft 投入了大量的工程工作来开发和维护来宾帐户，作为 Azure AD 外部身份的一部分。租户受益于 Microsoft 对外部身份的功能和生命周期管理所做的改进，而不是接受简单对象的邮件联系人（我在另一篇文章中比较了邮件对象和来宾帐户）。

如果您接受访客帐户是更好选择的建议，那么下一个问题是如何将邮件联系人迁移到访客帐户。 Microsoft 不提供迁移选项，而且我在其他地方找不到合适的实用程序，因此唯一的选择是使用 PowerShell 构建自己的实用程序。

从概念上讲，这项工作并不困难。该脚本必须找到邮件联系人来处理并使用这些数据来创建新的来宾帐户。这就是我所做的。

按需迁移

使用一种全面的 Office 365 租户到租户迁移解决方案迁移所有工作负载和 Active Directory。

查找联系数据

您可以使用 Get-MailContact cmdlet 查找邮件联系人（逻辑选择），但 Get-ExoRecipient cmdlet 返回其他组织信息，帮助构建邮件联系人的属性访客帐户。这可能会令人困惑，但可以通过以下方式解释：

• Exchange Online 和 Azure AD 都存储联系人对象。 Exchange 和 Azure AD 同步对象设置。
• Get-MailContact cmdlet 返回 Exchange 联系人的属性。
• Get-ExoRecipient cmdlet 返回来自 Azure AD 联系人的属性以及一些电子邮件属性。

Microsoft 365 管理中心和 Exchange 管理中心的 UI 掩盖了存在两个不同对象的事实。图 1 显示了 Microsoft 365 管理中心显示的联系人示例。 “设置”选项卡允许管理员更新 Exchange 对象的电子邮件属性，而“常规”选项卡允许访问存储在 Azure AD 中的组织信息。

创建 Azure AD 来宾帐户

找到联系人后，脚本会循环遍历该组以创建访客帐户。首先，它检查邮件联系人使用的电子邮件地址是否已存在于访客帐户中。通常，Exchange Online 不允许多个启用邮件的收件人共享同一电子邮件地址。来宾帐户是一个例外，因为 Exchange Online 会为来宾帐户创建特殊的邮件用户对象（有关详细信息，请参阅本文）。

接下来，该脚本组装新来宾帐户的属性。请注意，Microsoft Graph PowerShell SDK 中的 cmdlet 有一些需要考虑的有趣缺陷（有些人会说是无法解释的错误）。例如，您不能使用 PowerShell $Null 变量作为空值写入属性，因为 SDK cmdlet 仅接受空格字符。

来宾帐户有密码，因此脚本需要创建一个密码（即使没有人登录过来宾帐户）。我使用与本文中介绍的有关创建新 Azure AD 用户帐户的例程类似的例程。

为了创建新的来宾帐户，该脚本运行 New-MgUser cmdlet 并传递从源邮件联系人填充的属性哈希表。然后，它运行 Update-MgUser cmdlet 以确保来宾帐户（或者更确切地说，Exchange Online 为来宾帐户创建的来宾邮件用户）出现在 Exchange 地址列表（如 OAB 和 GAL）中。该脚本通过为源邮件联系人分配一个虚拟电子邮件地址并将其隐藏在 Exchange 地址列表中，将其置于未使用状态。它还将联系人标记为已迁移。

  # Populate hash table with properties for the new account 
  $NewUserProperties = @{
    UserType = "Guest"
    GivenName = $FirstName
    Surname = $LastName
    DisplayName = $DisplayName
    JobTitle = $JobTitle
    Department = $Department
    MailNickname = $NickName
    Mail = $Contact.PrimarySmtpAddress
    UserPrincipalName = $UPN
    Country = $Country
    City  = $City
    PostalCode = $PostalCode
    OfficeLocation = $Office
    Company = $Company
    UsageLocation = $UsageLocation
    PasswordProfile = $NewPasswordProfile
    AccountEnabled = $true }

 # Try to create new guest account
 Try { 
    $NewGuestAccount = New-MgUser @NewUserProperties }
 Catch {
    Write-Host ("Couldn't create new Guest account using these properties")
    Write-Host $NewUserProperties 
    Break }

  # Let the new guest appear in Exchange address lists
  Update-MgUser -UserId $NewGuestAccount.Id -ShowInAddressList
  # Hide the mail contact and keep a record of the old email address (that the guest account now has
  Set-MailContact -Identity $Contact.Alias -HiddenFromAddressListsEnabled $True -CustomAttribute1 $Contact.PrimarySmtpAddress -CustomAttribute2 "Migrated"

新的来宾帐户需要大约一天的时间才会显示在 OAB 中。这是因为 Exchange 必须生成更改文件供客户端处理以使更改可见。发生这种情况后，通过 Outlook（图 1）或 OWA（显示照片（如果有））查看时，从迁移的联系人创建的来宾帐户看起来就像任何其他联系人。

使用 Azure AD 来宾帐户更新通讯组列表

许多邮件联系人都是通讯组列表的成员。为了替换列表成员资格中的联系人，该脚本会查找每个邮件联系人所属的通讯组列表集，并将此信息写入列表。最好立即更新通讯组列表，但这需要 Exchange Online 为来宾帐户创建的特殊来宾用户对象。 Exchange Online 将来宾邮件用户识别为有效的电子邮件收件人，因此它是添加到通讯组列表中的对象。

然而，访客邮件用户对象的创建不是立即的。这取决于后台进程，最多可能需要五分钟。这就是脚本将有关成员身份的信息写入列表的原因：

$DN = $Contact.DistinguishedName
  [array]$DLs = Get-ExoRecipient -ResultSize Unlimited -Filter "Members -eq '$DN'" -RecipientTypeDetails MailUniversalDistributionGroup -ErrorAction SilentlyContinue
  If ($DLs) {
   Write-Host ("User is a member of {0} groups" -f $DLs.count)
   ForEach ($DL in $DLs) {
    $DataLine  = [PSCustomObject] @{
     DLName      = $DL.DisplayName
     DLAlias     = $DL.Alias
     DLId        = $DL.ExternalDirectoryObjectId
     DLOldMember = $DN
     DLNewMember = $NewGuestAccount.Id }
   $DLUpdates.Add($Dataline) }
  } #End If $DLs

处理完所有联系人后，脚本会将通讯组列表更新写入 CSV 文件。稍后，一个单独的脚本可以从 CSV 文件导入详细信息，并通过从通讯组列表中删除源联系人并将其替换为来宾邮件用户来处理更新：

[array]$DLUpdatesToProcess = Import-CSV c:\temp\DLUpdateToProcess.csv
ForEach ($Update in $DLUpdatesToProcess) {
     Remove-DistributionGroupMember -Identity $Update.DLAlias -Member $Update.DLOldMember -Confirm:$False
     Add-DistributionGroupMember -Identity $Update.DLAlias -Member $Update.DLNewMember
}

联系清理

稍后，我们应该通过删除迁移的联系人来进行清理，尤其是最好管理一个联系人实例。如图 3 所示，如果不这样做，Exchange 管理中心和其他管理界面在查看联系人时将同时包含旧的源邮件联系人和新的来宾邮件用户对象。

宾客账户的维护和管理

我确信我已经忘记了脚本可以执行的一些步骤，但是上面列出的步骤足以创建来宾帐户，以证明它们可以达到与邮件联系人相同的目的。重要的是要认识到，一旦您切换到来宾帐户，Microsoft Entra 管理中心将成为您未来维护联系人的支点。 Exchange 管理中心可以显示访客邮件用户对象，但无法更新它们。

图 4 显示了从迁移的联系人创建的访客帐户。我已将照片添加到帐户中。这是您从来宾帐户获得的附加值，因为 Exchange Online 不允许您将照片添加到邮件联系人。

如果用来宾帐户替换邮件联系人，需要立即处理的一个问题是 Azure AD 管理中心无法在不向来宾电子邮件地址发送邀请的情况下创建来宾帐户。这是自然而然且有意为之的。管理中心支持 Azure B2B 协作，邀请兑换是来宾证明其身份并访问存储在 Teams、SharePoint Online 和 OneDrive for Business 中的租户资源的机制。

但是，如果我要创建新的来宾帐户而不是邮件联系人，并且来宾帐户要用作通过电子邮件进行协作的指针，而不是 Teams 和 SharePoint Online 支持的类型，那么我不一定要发送邀请。如果来宾收到邀请，他们可以回复以兑换邀请，但他们将无法访问任何租户资源，因此这在某种程度上是无操作的。如果 Azure AD 管理中心支持在没有邀请的情况下创建基本来宾帐户，那就太好了，因为我怀疑每个人都会乐意运行 New-MgUser cmdlet 来创建新的来宾帐户。

Microsoft 平台迁移规划和整合

简化迁移规划，克服迁移挑战，更快地完成项目，同时最大限度地降低成本、风险和对用户的干扰。

转移到访客帐户

可以从邮件联系人转移到来宾帐户（您可以从 GitHub 下载脚本来看看我是如何做到的）。这是一个手动过程，并不困难，但需要小心。没有通过管理中心的邀请而无法创建来宾帐户是一个小麻烦，这证明微软尚未完成准备基础架构的工作，以允许组织从以电子邮件为中心的邮件联系人转移到以电子邮件为中心的对象。更符合 Microsoft 365 生态系统。也许这项工作会随着时间的推移而实现。