Tipo de usuário convidado do Azure AD

Navegue suas respostas
3

Existe alguma maneira de saber se um usuário convidado está usando uma das opções abaixo para autenticar.

  • Conta da Microsoft (conta pessoal)

ou

  • Conta organizacional (conta de trabalho ou escola)

Tipos de conta

    
por RickWeb 07.02.2018 / 19:21

3 respostas

1

Conta do Work and School é considerada uma conta corporativa armazenada em algum lugar no serviço de identidade na nuvem local ou Microsoft (Azure Active Directory). Enquanto a conta da Microsoft (também conhecida como MSA no contexto) é chamada anteriormente de Windows Live ID. Agora, a Microsoft combina várias coisas em um sistema centralizado, incluindo Outlook.com, XboxLive, Skype, Hotmail ou assim por diante.

Mas observe que a conta da Microsoft não é apenas o Live.com. Ele pode ser criado mesmo sob uma conta de trabalho (veja a imagem abaixo, eu mascarei o alias, mas eles são os mesmos). Nesse caso real, a conta de trabalho é gerenciada pelo Office 365 enquanto a conta pessoal é criada com o nome principal do usuário.

Veja a imagem

A diferença é que, se você escolheu a conta Pessoal (seja o Live ou até mesmo o mesmo nome principal do usuário com sua conta corporativa), você será redirecionado para link , enquanto o URL de login da conta do Work é

  • link se a conta for gerenciada no Azure AD ou no Office 365
  • URL de login da federação (por exemplo, adfs.corporate.com), se a conta não for gerenciada no AD do Azure.

No portal do Azure AD, você só pode ver qual deles é Convidado ou Membro, mas Convidado não significa se é a conta da Microsoft ou o Trabalho.

A identidade dos usuários no seu Azure AD armazena a origem.

  • AD do Azure
  • AD externo do Azure
  • Conta da Microsoft

Do Azure AD no Portal do Azure, clique em Usuários e grupos > Todos os usuários > . Clique em um usuário e, em seguida, clique em Perfil. Em Informações de identidade, você tem a origem da identidade.

    
por 08.02.2018 / 11:05
3

Você pode recuperar essas informações usando o Powershell, o módulo do AzureRm e algumas APIs ocultas que não consegui encontrar em nenhuma parte da documentação: 

Add-AzureRmAccount
$currentAzureContext = Get-AzureRmContext
$tokenCache = $currentAzureContext.TokenCache
$refreshToken = $tokenCache.ReadItems().RefreshToken
$tenantid = $currentAzureContext.Tenant.Id

$body = "grant_type=refresh_token&refresh_token=$($refreshToken)&resource=74658136-14ec-4630-ad9b-26e160ff0fc6"
$tokresponse = Invoke-RestMethod "https://login.windows.net/$tenantid/oauth2/token" -Method POST -Body $body -ContentType 'application/x-www-form-urlencoded'

$headers = @{"Authorization" = "Bearer $($tokresponse.access_token)"}
$objid = "<UserAccountObjId>"
$response = Invoke-RestMethod "https://main.iam.ad.ext.azure.com/api/UserDetails/$objid" -Headers $headers -Method GET
    
por 20.03.2018 / 14:13
-1

Na verdade, se você convidou um usuário convidado para o seu diretório, está usando a colaboração B2B do Azure AD.

É simples saber se a conta está usando o endpoint para autenticar:

Se um usuário convidado for uma conta pessoal, isso significa que a conta não foi criada em outro Azure Active Directory e sua conta de e-mail não termina com .onmicosoft.com . Ele deve ser autenticado com Live.com , também chamado de Conta da Microsoft (Conta pessoal).

Se um usuário convidado já existir em outro locatário, isso também significa que o email da sua conta termina com .onmicrosoft.com , é autenticado com .microsoftonline.com , também chamado de Conta organizacional (Conta do trabalho ou da escola).

    
por 08.02.2018 / 02:45

Tags

Alterar senha postgres usando ssh remoto Conexão de rede do Windows - bytes ou pacotes?