Kann ein Gast nicht mehr auf Inhalte von SharePoint oder Teams zugreifen war es bisher oft eine Lösung das Gastkonto aus Azure AD zu löschen. Statt es zu löschen gibt es seit Februar 2021 die Möglichkeit die erstmalige Registrierung für das Konto zurückzusetzen.
War es notwendig ein Gastkonto in Azure AD zurückzusetzen musste das Konto in der Vergangenheit gelöscht und neu eingeladen werden. Ein Problem an der Löschmethode ist der betroffene Gast verliert dadurch all seine bestehenden Zugriffe, Gruppenmitgliedschaften oder andere Azure AD Objekte im betroffenen, externen Tenant. Interne Personen müssen den Gast wieder für die Teams, auf SharePoint Inhalte und weitere Dienste mit der Möglichkeit von Gastzugriff berechtigen. Hatte der Gast Zugriff auf viele Inhalte eine mühsame und meist zeitaufwendige Sache.
Statt das Gastkonto zu löschen bietet Azure AD seit Februar 2021 die Möglichkeit die erstmalige Registrierung von dem Konto zurückzusetzen. Microsoft nennt es “Reset redemption status for a guest user” und die Funktion ist weiterhin im Preview Status. Damit forciert ein Administrator für das Gastkonto eine Neuregistration. Nimmt der Gast die Registration vor übernimmt Azure AD die Konfigurationen aus dem alten Konto.
Microsoft listet Beispiele wann so etwas notwendig sein kann:
- The user wants to sign in using a different email and identity provider
- The account for the user in their home tenant has been deleted and re-created
- The user has moved to a different company, but they still need the same access to your resources
- The user’s responsibilities have been passed along to another user
Da ich das Problem in mehrfacher Form aus SharePoint kenne simulierte ich ein Beispiel zwischen zwei Tenants.
- Wird ein Gast in SharePoint oder ein Team eingeladen erstellt es in Azure AD ein Gastkonto. In meinem Beispiel fügte ich eine Kollegin als Gast in ein Team ein.
Nach der Einladung erstellte es in Azure AD das Gastkonto.
- Tanja nimmt die Einladung an und führt die erstmalige Registrierung über die Bestätigung durch. Die Bestätigung der Berechtigungen ist für den Zugriff als Gast in einem externen Tenant erforderlich.
- Die Einladung wurde damit abgeschlossen und Tanja kann in Teams den Org-Switcher einsetzen um auf das geteilte Team zuzugreifen. Ebenfalls hat sie auf die Teaminhalte in SharePoint Zugriff. Für Tanja ist damit alles in Ordnung.
- Tanja entscheidet sich das externe Unternehmen zu verlassen. Der Administrator des Unternehmens löscht das Benutzerkonto von Tanja. Davon bekommt mein Tenant nichts mit. In meinem Tenant ist weiterhin das Gastkonto von Tanja aktiv, solange ich oder eine Guest Access Review Policy es nicht lösche.
- Tanja kehrt zum externen Unternehmen zurück. Für sie wird ein neues Benutzerkonto erstellt. Der UserPrincipalName (UPN) ist identisch zum alten Konto. Der UPN kann nun zum Konflikt in externen Tenants führen.
- Tanja möchte wieder auf mein Team zugreifen. Ich lade sie erneut ein. Tanja erhält die Einladung per Email und möchte auf das Team zugreifen. Es funktioniert nicht. In Teams zeigt es den Fehler nur sehr kurz, fast nicht erkennbar. Tanja wird nicht in das Team des externen Tenants wechseln können. Der Org-Switcher ist ebenfalls nicht vorhanden.
- Tanja versucht die SharePoint Seite des Teams aufzurufen. SharePoint wird ihr mitteilen es findet das Konto in Azure AD nicht.
- Eine Kontrolle in Azure AD wird zeigen das Konto von Tanja ist weiterhin als externes Konto vorhanden. Es scheint zumindest so.
- Da das alte Konto von Tanja in ihrem Haupttenant gelöscht und mit dem identischen UPN neu angelegt wurde kann Azure AD in einem externen Tenant das Konto nicht mehr richtig zuordnen. Das Problem tritt auf, wenn für die Person in der Vergangenheit bereits ein Gastkonto mit dem UPN erstellt wurde. In so einem Fall war die Löschung von dem alten, externen Konto eine Lösung.
- Der Reset Redemption Status zeigt sich im Gastkonto unter Invitation accepted > Manage. Wie mir aufgefallen ist wird die Möglichkeit nicht bei allen Gastkonten gezeigt. Je älter das Konto desto eher fehlt die Option.
- Hier bietet es als zweite Option den Redemption Status. Von Bedeutung ist dabei der Kommentar über re-consent. Der Consent wurde für das erste Konto im 2. Schritt durchgeführt. Für das neue Konto wurde bisher kein Consent abgefragt. Die in Schritt 6 und 7 erwähnten Probleme treten durch den fehlenden Consent auf.
- Wird Redemption Status auf Yes gestellt ändert es im Gastkonto den Einladungsstatus von angenommen auf nicht angenommen.
Im selben Moment sendet Azure AD Tanja eine Email zur neuen Aktivierung von ihrem Gastkonto.
In Azure AD protokolliert es den Vorgang über einen Logeintrag.
- Tanja vergibt mit ihrem neuen Konto erneut den Consent aus Schritt 2 und wird wieder auf die Inhalte aus ihrem alten Konto Zugriff erhalten.
- Ein Test zeigt sie hat Zugriff auf das Team…
…und SharePoint erkennt das Konto ebenfalls wieder.