如何将外部用户转换为内部用户

您是否曾经遇到过需要将组织中的现有外部用户更改为内部用户的情况？这可能是由于多种原因造成的，例如协作、重组、合并和收购的改善。将 Microsoft 365 外部用户转换为内部用户的一种值得注意的方法是 Entra ID 中的外部用户转换功能，该功能目前处于预览版状态。借助此功能，管理员不再需要删除现有用户对象并创建新用户对象。

让我们深入了解本质！?

Microsoft 365 中外部用户和内部用户之间的差异

内部用户

• 通过本地租户进行身份验证的用户。

外部用户

• 通过不受托管组织控制的方法进行身份验证的用户，例如使用其他组织的 Microsoft Entra ID、Google 联合或个人帐户。
• 虽然许多外部用户被归类为“访客”，但 userType 名称不一定与登录方法相关。标记为“会员”的外部用户也可能有资格进行转换。

在 Microsoft 365 中外部用户转换为内部用户期间会发生什么？

将外部用户转换为内部成员会保留用户对象、权限和组成员身份。因此，保留他们的原始帐户而不影响他们现有的访问权限。因此，用户可以作为内部用户登录到主机租户并作为成员访问资源。另外，值得注意的是，您看到的member vs guest的userType仅控制当前租户中用户的权限。虽然您可以更改他们的权限级别，但这不会影响他们是内部用户还是外部用户。

通常可以进行两种类型的用户转化：

云用户转换：将云用户从外部状态转换为内部状态时，管理员需要为该用户指定用户主体名称（UPN）和密码。对于纯云用户，用户主体名称应该是非联合的。

同步用户转换：如果用户的帐户与本地系统同步（例如，如果他们对工作计算机和云服务使用相同的登录名），管理员无需担心这一点因为他们将继续使用现有的凭据。

• 同步用户和联合身份验证：

• • 如果启用密码哈希同步 (PHS)，则管理员无法在转换期间设置新密码。
• 如果联合租户未启用 PHS，管理员可以设置密码。

• 在处理使用云身份验证的托管租户时，管理员必须在转换过程中提供密码。

如何将 Microsoft 365 外部用户转换为内部用户？

可以通过 Microsoft Entra ID 门户并利用 MS Graph API 将用户从外部转换为内部。

1. 使用 Microsoft Entra ID 转换外部用户
2. 使用 MS Graph API 进行外部用户转换

要使用 Microsoft Entra ID 将外部用户加入为内部用户，请确保满足以下要求。

• 您至少分配有一个用户管理员角色。
• 只有通过组织外部身份验证的人员才有资格进行转换。

⚠️警告：测试外部用户转换过程时，请选择在用户无法访问时不会中断用户的帐户。

1.使用 Microsoft Entra ID 转换外部用户

要使用 Microsoft Entra ID 将外部用户转换为组织用户，请按照以下步骤操作。

第 1 步：登录 Microsoft Entra 管理中心。
第 2 步：在身份下，选择“用户”->“所有用户”。
第 3 步： 选择您想要转换的外部 Entra ID 用户。如果您想要识别所有 Office 365 外部用户，您可以使用 PowerShell 轻松实现。
第 4 步： 点击“B2B 协作”选项卡下的“转换为内部用户”。将出现一个弹出页面。

第 5 步：为用户提供新的用户主体名称并选择域。
第 6 步：输入新密码或选择使用自动生成的密码。
第 7 步：“更改电子邮件地址”允许您为云用户定义可选的邮件地址。
第 8 步：检查所做的更改后，单击“转换”将外部用户升级为内部用户。

2.使用 MS Graph API 进行外部用户转换

要使用 MS Graph API 将外部身份验证的用户转换为内部用户，

第 1 步：使用 Microsoft 365 帐户登录 Microsoft Graph Explorer。
步骤2：在HTTP请求栏中，将HTTP方法设置为“POST”，并选择版本为“beta”。
步骤 3： 在“修改权限”选项卡中，同意 User-ConvertToInternal.ReadWrite.All 权限。
步骤 4： 在 HTTP 请求栏中，通过将用户 ID 替换为外部用户 ID 来输入请求。

https://graph.microsoft.com/beta/users/{userid}/convertExternalToInternalMemberUser

第 5 步：要转换云用户并要求他们在下次登录时重置密码，请在“请求正文”中输入给定的查询。

{
“userPrincipalName”: “ally.com#EXT#@contoso.onmicrosoft.com“,
“passwordProfile”: {
“password”: “Zdi087#2jhkahf”,
“forceChangePasswordNextSignIn”: “true”
}
}

第 6 步：将上述脚本中的 UserPrincipalName 替换为外部 UserPrincipalName，然后单击“运行查询”。响应对象显示以下内容。如果执行返回200 OK响应码，则表明该用户已成功转换为内部用户。

要通过更改邮件地址来转换云用户，请根据请求输入以下查询。

{
“userPrincipalName”: ” ally.com#EXT#@contoso.onmicrosoft.com “,
“passwordProfile”: {
“password”: “Zdi087#2jhkahf”,
“forceChangePasswordNextSignIn”: “true”
},
“mail”: “[email protected]“
}

现在外部用户已经加入，让我们通过最佳实践巩固 Microsoft 365 安全性。

我们希望本指南能够帮助您将外部身份验证的用户转换为内部用户。谢谢阅读！如果您有任何疑问，请随时通过评论部分与我们联系。