AAD B2B协作:使用附加信息在外部隐藏的AAD中标记用户

Question

我们有一个应用程序，它使用AAD B2B协作来邀请用户。这些用户是在我们的AAD中作为来宾用户创建的。这一切都很好：

• 拥有AAD/Office 365的用户可以使用其正常凭据登录。
• 没有AAD/Office 365的用户可以在invite赎回过程中创建他们的帐户，并可以使用它登录。微软将这些积木存储在外部，以供我们隐藏AAD。

情况：

一个组织使用我们的应用程序。这个组织还没有自己的AAD/Office 365。我们邀请本组织的一些员工使用他们的电子邮件地址在我们的AAD。他们在我们的AAD里有客人账户。过了一段时间，这个组织就会得到它自己的AAD/Office 365，作为它们现有的域名。此域名以前在“邀请赎回”过程中的电子邮件地址中使用过。

组织的AAD管理员创建AAD，并立即查看现有的用户帐户:所有已被邀请的帐户都显示在AAD中。他在创建新的AAD时并没有预料到这一点，他也不知道他们从哪里来。似乎外部的，对我们隐藏的AAD，已经成为可见的AAD管理员。AAD管理员可能决定删除这些帐户，从空的AAD开始。因此，员工在我们的申请中不能再注册了。

我们的应用程序使用Microsoft来邀请用户。有没有办法以某种方式标记外部隐藏的AAD中的用户，以明确帐户的来源？比如在现有的领域中提到我们的组织/应用程序？

所以要明确一点:我们不想在来宾帐户上设置属性。我们希望在AAD管理员创建AAD时看到的用户帐户上设置属性。我们想说明他不能删除这个用户，因为它是由/为应用程序X创建的。

Answer 1

不，这是Azure广告的一个特点。一个域名所有者可以选择接管隐藏的Azure广告，如果他们选择创建一个以后。他们控制域，从而控制用户，因此这取决于他们。

当然，如果您创建一个带有Gmail帐户的AAD来宾用户，他们实际上不会被添加到一个巨大的隐藏Google广告中。如果AAD认为该帐户是一个社会帐户，目前他们会透明地为该用户创建一个个人Microsoft帐户(因此用户总是控制他们的帐户)。

因此，如果你邀请用户使用他们的工作电子邮件，你必须期待他们的域名所有者对他们的用户帐户有控制权。

AFAIK，没有您可以设置的属性。