最近,我在尝试邀请访客用户加入我的Azure AD B2C租户时开始遇到错误,该租户仅适用于特定域的用户。我邀请的原因是与指定的用户共享管理过程。
我得到的错误是:用户帐户被禁用
到目前为止,我已经尝试过:
- 在Azure AD刀片中使用用户>新访客用户"UI
- 在Azure AD刀片中使用">组织关系新访客用户"UI
- 在Azure AD B2C刀片中使用用户新访客用户"UI
- 使用图形api邀请端点
观察:仅适用于来自特定域(外部Azure D(的用户,但适用于具有Microsoft帐户的用户。
为了大家的利益,我在咨询了微软支持人员后发布了答案。
有两个可能的问题可能导致您无法邀请访客用户参加Azure AD:
- 未正确删除用户。当您搜索用户电子邮件时,它可能在UI中不可见,但仍然无法邀请。部分原因是UI的搜索功能有限(仅限电子邮件或姓名(
解决方案:您可以使用图形api为用户进行查询。您肯定应该尝试基于OtherMails字段来查找用户。
- 您试图邀请的用户来自Azure AD租户,该租户也是您的Azure AD B2C中受信任的身份提供商之一。这就是我发现的执行问题的原因
当用户使用他们的Azure AD凭据首次登录我的应用程序(Azure AD B2C(时,将在Azure AD B2C中自动创建一个"社交帐户"。此帐户是使用UserPrincipalName创建的,格式为cpim_guid@yourtenant.onmicrosoft.com,AccountEnabled为false(禁用(。他们的Azure AD电子邮件将位于OtherMails属性中。这就是为什么你无法通过用户界面中的电子邮件找到用户,并且你必须知道他们在Azure AD中使用的确切名称才能找到他们
解决方案:如果您可以在UI中找到,通常他们的MemberType是成员Source是External Azure AD,则您可以直接删除该用户。如果没有,请使用图形api在OtherMails属性中查询他们的电子邮件。然后立即邀请用户作为客人。他们再次登录B2C应用程序应该没有问题,因为social account将自动创建。
注意:确保您不使用会为使用社交帐户登录的用户添加附加属性的Azure AD B2C策略。如果是,您需要一些其他策略来删除用户、邀请作为访客、重新创建社交帐户以及恢复其他属性。