问题标签 [azure-ad-b2b]

我们有一个使用 AAD B2B 协作来邀请用户的应用程序。这些用户在我们的 AAD 中创建为来宾用户。这一切都很好：

• 拥有 AAD/Office 365 的用户可以使用其正常凭据登录。
• 没有 AAD/Office 365 的用户在邀请兑换过程中创建他们的帐户，并可以使用它来登录。Microsoft 将这些帐户存储在外部，为我们隐藏 AAD。

情况：

一个组织使用我们的应用程序。该组织还没有自己的 AAD/Office 365。我们使用他们的电子邮件地址邀请该组织的一些员工加入我们的 AAD。他们在我们的 AAD 中获得来宾帐户。一段时间后，该组织为其现有域名获得了自己的 AAD/Office 365。此域名之前在邀请兑换过程中的电子邮件地址中使用。

组织的 AAD 管理员创建 AAD，并立即看到现有的用户帐户：所有被邀请的帐户都显示在 AAD 中。他在创建新的 AAD 时没有预料到这一点，他也不知道它们来自哪里。对我们来说，隐藏的 AAD 似乎对 AAD 管理员可见。AAD 管理员可能决定删除这些帐户，以从空 AAD 开始。结果，员工无法再在我们的应用程序中登录。

我们的应用程序使用 Microsoft Graph API 来邀请用户。有没有办法以某种方式标记外部隐藏 AAD 中的用户，以明确帐户来自何处？喜欢在现有领域提及我们的组织/应用程序？

所以要明确一点：我们不想在来宾帐户上设置属性。我们想要设置 AAD 管理员在创建 AAD 时看到的用户帐户的属性。我们要明确他不能删除这个用户，因为它是由应用程序 X 创建的。

在 Azure Active Directory 管理中心，您可以控制外部用户/来宾可以执行的操作。

其中一项设置允许您确保来宾用户权限受到限制。

描述说：

“是”表示来宾没有某些目录任务的权限，例如枚举用户、组或其他目录资源，并且不能分配给您目录中的管理角色。

“否”表示访客对目录数据的访问权限与普通用户在您目录中的访问权限相同。

但问题是管理员可以转到 Azure AD 并为来宾分配管理角色，即使您对来宾用户说“是”权限是有限的。

您可以在这里看到另一个人的帖子：https ://feedback.azure.com/forums/169401-azure-active-directory/suggestions/32832913--guest-users-limited-permission-setting-descripti

如果您能为我澄清这种情况，我将不胜感激。

谢谢！

我邀请了一些客人进入我的域。他们已成功添加，但当他们确认邀请时，用户从invitations.microsoft.com 收到 503 网关错误

https://docs.microsoft.com/en-us/azure/active-directory/active-directory-configurable-token-lifetimes

从上面的链接，我看到了以下内容：

在预览期间听取客户的意见后，我们计划用 Azure Active Directory 条件访问中的新功能替换此功能。新功能完成后，此功能最终将在通知期后被弃用。如果您使用 Configurable Token Lifetime 策略，请准备好在新的条件访问功能可用后切换到它。

我的问题是：

1. 条件访问功能是否完成并发布？
2. 如何使用 Azure Active Directory 条件访问配置令牌生命周期？
3. 要启用 Azure Active Directory 条件访问，必须使用 AD Premium 许可证吗？
4. 我们不能在没有 O365 订阅的情况下使用 AD 高级试用版吗？

我正在为用户登录和注册使用 azure ad b2c 自定义策略。我正在尝试将用户的电子邮件作为输出声明的一部分，但遗憾的是无法在输出声明中获取电子邮件。我在模板策略中使用 SignUpOrSignIn 用户旅程

TrustFrameworkBase.xml

模板政策

我试图找到所有其他已回答的问题，但未能成功。非常感谢任何方向和帮助。

提前致谢。

登录 azure Ad Web API 后我无法获取 ClaimsPrincipal，下面是我在 startup.auth.cs 中添加的代码

我得到了访问令牌

但无法获得 ClaimsPrincipal。我得到 AuthenticationType = null，IsAuthenticated = null，Name = null。

我的应用程序使用 adal.js 作为 UI 端获取用户信息，并成功获取用户信息。

我们正在使用 B2C 自定义策略。我们有一个验证函数，在用户浏览完自我声明页面后在注册时调用。如果电子邮件与本地用户数据库匹配，这将返回扩展声明已验证。此时它还会返回用户的手机号码。

如果电子邮件不匹配，我们将进行 PhoneFactor 代码验证。

我现在想更新 extension_Verified 标志，但我找不到这样做的方法。

我可以创建一个新声明，但我无法根据这两个声明设置登录的先决条件（如果 Verified 为 false，则希望验证移动设备）。

我尝试过使用声明转换，但这些似乎只适用于字符串声明（extension_Verified 是布尔值）。

我曾尝试使用 PartnerClaimType="extension_MobileVerified" 但它似乎没有得到更新。

这确实会显示手机号码而不允许输入并返回新的索赔。

如何更新现有的索赔？

我们有一个拥有两个独立 Azure 云租户的客户端：ACloud 和 BCloud。

ACloud 包含使用 userName@clientACloud.onmicrosoft.com 登录的常规 SaaS 和 Azure AD 用户 BCloud 仅包含管理云 PaaS 资源的 IT/sysadmin 用户，并且用户使用 userName@clientBCloud.onmicrosoft.com 登录

我们已将 API 部署到需要 Azure AD 身份验证的 BCloud。该 API 是从一个用 React 编写的移动应用程序调用的。在那里，用户会看到一个登录屏幕，并且必须使用 username@clientBCloud.onmicrosoft.com 登录。但是，我们希望用户能够使用他们的正常 userName@clientACloud.onmicrosoft.com 登录

有没有办法在 BCloud 中配置 API 以使用 ACloud 的 Azure AD 对 BCloud 中托管的 API 进行身份验证？

Microsoft 的一项资源建议使用图形 API。我认为图形 API 将允许移动应用程序对用户的 ACloud 帐户进行身份验证，但该 SAML 令牌不适用于 BCloud 的 API。我们正在寻找某种方式让 BCloud 中的 API 可以接受来自 ACloud 的用户令牌，所以我怀疑我们需要在 BCloud 中进行一些配置以信任 ACloud 的 Azure AD。

提前致谢！

现在 spfx 1.6 已经启动，我们支持调用 Azure 广告安全 API，例如 Microsoft Graph 和 Azure Functions。

我使用了来自https://docs.microsoft.com/en-us/sharepoint/dev/spfx/use-aadhttpclient的示例来创建一个调用图表的简单页面。

我已经稍微扩展了这个示例，以调用一个本身通过 Azure AD 保护的 Azure 函数。

spfx webpart 调用以下图形 api：

https://graph.microsoft.com/v1.0/users ?$select=displayName,mail,userPrincipalName&$filter=(givenName%20eq%20%27Sender%27)%20or%20(surname%20eq%20%27Sender %27)%20 或%20(显示名称%20eq%20%27发件人%27)

天蓝色的功能很简单：

https://.azurewebsites.net/api/GetUserDetails?name=Sender

如果我以租户的普通用户身份登录，我可以成功调用图形 api 和 azure 函数。

如果我尝试以 Azure AD B2B 用户身份浏览该页面，我可以成功调用 azure 函数，但对图形的调用会遇到以下响应：

现在我确实知道 Azure AD B2B 用户在调用某些图形 API 时会遇到问题，也许 /users 就是这样一个 API - 但我想知道是否有任何文档可以告诉我 B2B 用户可以使用哪些图形 API称呼？

例如，我可以向 B2B 用户提供他们在我的租户中所属的所有 Microsoft 团队的列表吗？

作为记录，我已经尝试过两种类型的 B2B 用户。第一个是沼泽标准@outlook.com Microsoft 帐户，第二个是来自另一个 Office 365 租户的组织帐户。两个用户都从图形 api 调用中获得相同的返回值。

如果用户登录了与一个 Azure AD 1 关联的 APP，如何确保用户自动登录到与 Azure AD 2 关联的另一个 APP？

谢谢！