Назад | Перейти на главную страницу

Тип гостевого пользователя Azure AD

Есть ли способ узнать, использует ли приглашенный гость для аутентификации одно из перечисленных ниже.

или

Типы счетов

Вы можете получить эту информацию с помощью Powershell, модуля AzureRm и некоторого скрытого API, документацию по которому я нигде не нашел:

Add-AzureRmAccount
$currentAzureContext = Get-AzureRmContext
$tokenCache = $currentAzureContext.TokenCache
$refreshToken = $tokenCache.ReadItems().RefreshToken
$tenantid = $currentAzureContext.Tenant.Id

$body = "grant_type=refresh_token&refresh_token=$($refreshToken)&resource=74658136-14ec-4630-ad9b-26e160ff0fc6"
$tokresponse = Invoke-RestMethod "https://login.windows.net/$tenantid/oauth2/token" -Method POST -Body $body -ContentType 'application/x-www-form-urlencoded'

$headers = @{"Authorization" = "Bearer $($tokresponse.access_token)"}
$objid = "<UserAccountObjId>"
$response = Invoke-RestMethod "https://main.iam.ad.ext.azure.com/api/UserDetails/$objid" -Headers $headers -Method GET

Рабочая и учебная учетная запись считается корпоративной учетной записью, которая хранится где-то в вашей локальной или облачной службе удостоверений Майкрософт (Azure Active Directory). В то время как учетная запись Microsoft (также называемая в контексте MSA) ранее называлась Windows Live ID. Теперь Microsoft объединяет несколько вещей в централизованную систему, включая Outlook.com, XboxLive, Skype, Hotmail и так далее.

Но учтите, что учетная запись Microsoft - это не только Live.com. Его можно даже создать под рабочей учетной записью (см. Изображение ниже, я замаскировал псевдоним, но они такие же). В этом случае рабочая учетная запись управляется Office 365, а личная учетная запись создается под основным именем пользователя.

См. Изображение

Разница в том, что если вы выбрали личную учетную запись (будь то Live или даже то же основное имя пользователя, что и ваша корпоративная учетная запись), вы будете перенаправлены на http://login.live.com/, а URL-адрес для входа в рабочую учетную запись

  • https://login.microsoftonline.com если учетная запись управляется в Azure AD или Office 365
  • URL-адрес для входа в федерацию (например, adfs.corporate.com), если учетная запись не управляется в Azure AD.

На портале Azure AD вы можете только увидеть, какой из них является гостем или участником, но гость не означает, является ли это учетной записью Microsoft или рабочей.

Удостоверение пользователей в Azure AD хранит источник.

  • Azure AD
  • Внешний Azure AD
  • Учетная запись Microsoft

В Azure AD на портале Azure щелкните Пользователи и группы> Все пользователи>. Щелкните одного пользователя, затем щелкните Профиль. Затем в разделе «Информация об удостоверении» отображается источник идентификатора.

Фактически, если вы пригласили гостя в свой каталог, вы использовали совместную работу Azure AD B2B.

Легко узнать, какую конечную точку использует учетная запись для аутентификации:

Если гостевой пользователь является личной учетной записью, это означает, что учетная запись не была создана в другом Azure Active Directory и ее учетная запись электронной почты не заканчивается на .onmicosoft.com. Он должен быть подтвержден Live.com, также называемая учетной записью Microsoft (личная учетная запись).

Если гостевой пользователь уже существует в другом клиенте, это также означает, что его адрес электронной почты заканчивается на .onmicrosoft.com, он аутентифицирован с помощью .microsoftonline.com, также называемый организационной учетной записью (рабочая или учебная учетная запись).