Konfigurace synchronizace mezi klienty

Tento článek popisuje postup konfigurace synchronizace mezi tenanty pomocí Centra pro správu Microsoft Entra. Při konfiguraci microsoft Entra ID automaticky zřídí a zruší zřídí uživatele B2B ve vašem cílovém tenantovi. Důležité podrobnosti o tom, co tato služba dělá, jak funguje, a nejčastější dotazy najdete v tématu Automatizace zřizování a rušení zřizování uživatelů pro aplikace SaaS pomocí Microsoft Entra ID.

Cíle výuky

Na konci tohoto článku budete umět:

• Vytvoření uživatelů B2B v cílovém tenantovi
• Odebrání uživatelů B2B v cílovém tenantovi
• Zachování synchronizace atributů uživatele mezi zdrojovými a cílovými tenanty

Požadavky

Zdrojový tenant

• Licence Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Licenční požadavky.
• Role Správce zabezpečení pro konfiguraci nastavení přístupu mezi tenanty
• Role Správce hybridní identity pro konfiguraci synchronizace mezi tenanty
• Role Správce cloudových aplikací nebo Správce aplikací pro přiřazení uživatelů ke konfiguraci a odstranění konfigurace.

Cílový tenant

• Licence Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Licenční požadavky.
• Role Správce zabezpečení pro konfiguraci nastavení přístupu mezi tenanty

Krok 1: Plánování nasazení zřizování

1. Definujte, jak chcete tenanty ve vaší organizaci strukturovat.

2. Seznamte se s fungováním služby zřizování.

3. Určete, kdo bude v oboru zřizování.

4. Určete, jaká data se mají mapovat mezi tenanty.

Krok 2: Povolení synchronizace uživatelů v cílovém tenantovi

Cílový tenant

1. Přihlaste se do Centra pro správu Microsoft Entra cílového tenanta.

2. Přejděte k >nastavení přístupu externích identit mezi tenanty.>

3. Na kartě Nastavení organizace vyberte Přidat organizaci.

4. Přidejte zdrojového tenanta zadáním ID tenanta nebo názvu domény a výběrem možnosti Přidat.

   

5. V části Příchozí přístup přidané organizace vyberte zděděný z výchozího nastavení.

6. Vyberte kartu Synchronizace mezi tenanty.

7. Zaškrtněte políčko Povolit uživatelům synchronizaci s tímto tenantem.

   

8. Zvolte Uložit.

9. Pokud se zobrazí dialogové okno Povolit synchronizaci mezi tenanty a automatické uplatnění, ve které se zobrazí dotaz, jestli chcete povolit automatické uplatnění, vyberte Ano.

   Když vyberete Ano , automaticky uplatníte pozvánky v cílovém tenantovi.

   

Krok 3: Automatické uplatnění pozvánek v cílovém tenantovi

Cílový tenant

V tomto kroku automaticky uplatníte pozvánky, aby uživatelé ze zdrojového tenanta nemuseli výzvu k vyjádření souhlasu přijmout. Toto nastavení musí být vráceno se změnami ve zdrojovém (odchozím) i cílovém tenantovi (příchozím). Další informace najdete v tématu Nastavení automatického uplatnění.

1. V cílovém tenantovi na stejné stránce nastavení příchozího přístupu vyberte kartu Nastavení důvěryhodnosti.

2. < >.

   Toto políčko už může být zaškrtnuté, pokud jste dříve v dialogovém okně Povolit synchronizaci mezi tenanty a automatické uplatnění zaškrtnuté políčko Ano.

   

3. Zvolte Uložit.

Krok 4: Automatické uplatnění pozvánek ve zdrojovém tenantovi

Zdrojový tenant

V tomto kroku automaticky uplatníte pozvánky ve zdrojovém tenantovi.

1. Přihlaste se do Centra pro správu Microsoft Entra zdrojového tenanta.

2. Přejděte k >nastavení přístupu externích identit mezi tenanty.>

3. Na kartě Nastavení organizace vyberte Přidat organizaci.

4. Přidejte cílového tenanta zadáním ID tenanta nebo názvu domény a výběrem možnosti Přidat.

   

5. V části Odchozí přístup pro cílovou organizaci vyberte zděděný z výchozího nastavení.

6. Vyberte kartu Nastavení důvěryhodnosti.

7. < >.

   

8. Zvolte Uložit.

Krok 5: Vytvoření konfigurace ve zdrojovém tenantovi

Zdrojový tenant

1. Ve zdrojovém tenantovi přejděte k >synchronizaci externích identit identit mezi tenanty.>

   

   Pokud používáte Azure Portal, přejděte na web Microsoft Entra ID>Spravovat>synchronizaci mezi tenanty.

   

2. Vyberte Konfigurace.

3. V horní části stránky vyberte Nová konfigurace.

4. Zadejte název konfigurace a vyberte Vytvořit.

   Může trvat až 15 sekund, než se konfigurace, kterou jste právě vytvořili, zobrazí v seznamu.

Krok 6: Otestování připojení k cílovému tenantovi

Zdrojový tenant

1. Ve zdrojovém tenantovi by se měla zobrazit nová konfigurace. Pokud ne, vyberte v seznamu konfigurace svoji konfiguraci.

   

2. Vyberte Začínáme.

3. Nastavte Režim zřizování na hodnotu Automaticky.

4. V části Přihlašovací údaje správce změňte metodu ověřování na zásady synchronizace mezi tenanty.

   

5. Do pole ID tenanta zadejte ID tenanta cílového tenanta.

6. Výběrem možnosti Test připojení otestujte připojení.

   Měla by se zobrazit zpráva, že zadané přihlašovací údaje mají oprávnění k povolení zřizování. Pokud testovací připojení selže, podívejte se na tipy pro řešení potíží dál v tomto článku.

   

7. Zvolte Uložit.

   Zobrazí se oddíly Mapování a Nastavení.

8. Zavřete stránku Zřizování.

Krok 7: Definujte, kdo má obor zřizování

Zdrojový tenant

Služba zřizování Microsoft Entra umožňuje definovat, kdo bude zřízen jedním nebo oběma způsoby:

• Na základě přiřazení ke konfiguraci
• Na základě atributů uživatele

Začněte v malém. Před zavedením pro všechny otestujte malou sadu uživatelů. Pokud je obor zřizování nastavený na přiřazené uživatele a skupiny, můžete ho řídit přiřazením jednoho nebo dvou uživatelů ke konfiguraci. Dále můžete upřesnit, kdo je v oboru zřizování, vytvořením filtrů oborů založených na atributech, které jsou popsány v dalším kroku.

1. Ve zdrojovém tenantovi vyberte Zřizování a rozbalte oddíl Nastavení .

   

2. V seznamu Oborů vyberte, jestli se mají synchronizovat všichni uživatelé ve zdrojovém tenantovi, nebo jenom uživatelé přiřazení ke konfiguraci.

   Doporučujeme vybrat možnost Synchronizovat pouze přiřazené uživatele a skupiny místo synchronizace všech uživatelů a skupin. Snížení počtu uživatelů v oboru zlepšuje výkon.

3. Pokud jste provedli nějaké změny, vyberte Uložit.

4. Na stránce konfigurace vyberte Uživatelé a skupiny.

   Aby synchronizace mezi tenanty fungovala, musí být ke konfiguraci přiřazen alespoň jeden interní uživatel.

5. Vyberte Přidat uživatele nebo skupinu.

6. Na stránce Přidat přiřazení v části Uživatelé a skupiny vyberte Možnost Žádná vybrána.

7. V podokně Uživatelé a skupiny vyhledejte a vyberte jednoho nebo více interních uživatelů nebo skupin, které chcete přiřadit ke konfiguraci.

   Pokud vyberete skupinu, která se má přiřadit ke konfiguraci, budou v oboru zřizování pouze uživatelé, kteří jsou přímí členové skupiny. Můžete vybrat statickou skupinu nebo dynamickou skupinu. Přiřazení se kaskádově nespadá do vnořených skupin.

8. Zvolte Zvolit.

9. Vyberte Přiřadit.

   

   Další informace najdete v tématu Přiřazení uživatelů a skupin k aplikaci.

Krok 8: (Volitelné) Definujte, kdo je v oboru pro zřizování s filtry oborů

Zdrojový tenant

Bez ohledu na hodnotu, kterou jste vybrali pro obor v předchozím kroku, můžete dále omezit, kteří uživatelé se synchronizují, vytvořením filtrů oborů založených na atributech.

1. Ve zdrojovém tenantovi vyberte Zřizování a rozbalte oddíl Mapování .

   

2. Výběrem možnosti Zřídit uživatele Microsoft Entra ID otevřete stránku Mapování atributů.

3. V části Obor zdrojového objektu vyberte Všechny záznamy.

   

4. Na stránce Obor zdrojového objektu vyberte Přidat filtr oborů.

5. Přidejte všechny filtry oborů, které definují, kteří uživatelé mají obor pro zřizování.

   Pokud chcete nakonfigurovat filtry oborů, projděte si pokyny uvedené v nastavení oborů uživatelů nebo skupin, které se mají zřídit s filtry oborů.

   

6. Kliknutím na ok a Uložit uložte všechny změny.

   Pokud jste přidali filtr, zobrazí se zpráva, že uložení změn způsobí opětovnou synchronizaci všech přiřazených uživatelů a skupin. V závislosti na velikosti adresáře to může trvat delší dobu.

7. Vyberte Ano a zavřete stránku Mapování atributů.

Krok 9: Kontrola mapování atributů

Zdrojový tenant

Mapování atributů umožňuje definovat, jak mají data proudit mezi zdrojovým tenantem a cílovým tenantem. Informace o tom, jak přizpůsobit výchozí mapování atributů, naleznete v tématu Kurz – Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID.

1. Ve zdrojovém tenantovi vyberte Zřizování a rozbalte oddíl Mapování .

2. Vyberte Zřídit uživatele Microsoft Entra ID.

3. Na stránce Mapování atributů se posuňte dolů a zkontrolujte atributy uživatele, které jsou synchronizovány mezi tenanty v části Mapování atributů.

   První atribut, alternativníSecurityIdentifier, je interní atribut sloužící k jedinečné identifikaci uživatele napříč tenanty, odpovídá uživatelům ve zdrojovém tenantovi se stávajícími uživateli v cílovém tenantovi a ujistěte se, že každý uživatel má jenom jeden účet. Odpovídající atribut nelze změnit. Při pokusu o změnu odpovídajícího atributu nebo přidání dalších odpovídajících atributů dojde k schemaInvalid chybě.

   

4. Výběrem atributu Member (userType) otevřete stránku Upravit atribut .

5. Zkontrolujte nastavení Konstantní hodnota pro atribut userType.

   Toto nastavení definuje typ uživatele, který se vytvoří v cílovém tenantovi, a může to být jedna z hodnot v následující tabulce. Ve výchozím nastavení se uživatelé vytvoří jako externí člen (uživatelé spolupráce B2B). Další informace naleznete v tématu Vlastnosti uživatele spolupráce Microsoft Entra B2B.

   Konstantní hodnota	Popis
   Člen	Výchozí. Uživatelé se v cílovém tenantovi vytvoří jako externí člen (uživatelé spolupráce B2B). Uživatelé budou moct fungovat jako jakýkoli interní člen cílového tenanta.
   Host	Uživatelé se vytvoří jako externí hosté (uživatelé spolupráce B2B) v cílovém tenantovi.

   Poznámka:

   Pokud již uživatel B2B v cílovém tenantovi existuje, člen (userType) se nezmění na Člen, pokud není nastavení Použít toto mapování nastaveno na Vždy.

   Typ uživatele, který zvolíte, má pro aplikace nebo služby následující omezení (ale neomezuje se):

   Aplikace nebo služba	Omezení
   Power BI	- Podpora pro člena UserType v Power BI je aktuálně ve verzi Preview. Další informace naleznete v tématu Distribuce obsahu Power BI externím uživatelům typu host pomocí Microsoft Entra B2B.
   Azure Virtual Desktop	– Externí člen a externí host se ve službě Azure Virtual Desktop nepodporují.

   

6. Pokud chcete definovat jakékoli transformace, na stránce Mapování atributů vyberte atribut, který chcete transformovat, například displayName.

7. Nastavte typ mapování na Výraz.

8. Do pole Výraz zadejte transformační výraz. Pomocí zobrazovaného názvu můžete například provést následující akce:

   • Překlopte jméno a příjmení a přidejte mezi nimi čárku.
   • Přidejte název domény do závorek na konec zobrazovaného názvu.

   Příklady naleznete v tématu Referenční informace k zápisu výrazů pro mapování atributů v Microsoft Entra ID.

   

Tip

Rozšíření adresářů můžete mapovat aktualizací schématu synchronizace mezi tenanty. Další informace najdete v tématu Mapování rozšíření adresářů v synchronizaci mezi tenanty.

Krok 10: Zadání dalších nastavení zřizování

Zdrojový tenant

1. Ve zdrojovém tenantovi vyberte Zřizování a rozbalte oddíl Nastavení .

   

2. Zaškrtněte políčko Odeslat e-mailové oznámení, když dojde k chybě.

3. Do pole E-mail s oznámením zadejte e-mailovou adresu osoby nebo skupiny, která by měla dostávat oznámení o chybách zřizování.

   E-mailová oznámení se odesílají do 24 hodin od zadání stavu karantény. Informace o vlastních upozorněních najdete v tématu Vysvětlení toho, jak se zřizování integruje s protokoly služby Azure Monitor.

4. Chcete-li zabránit náhodnému odstranění, vyberte Možnost Zabránit náhodnému odstranění a zadejte prahovou hodnotu. Ve výchozím nastavení je prahová hodnota nastavená na 500.

   Další informace naleznete v tématu Povolení prevence náhodného odstranění ve službě Microsoft Entra provisioning.

5. Výběrem možnosti Uložit uložte všechny změny.

Krok 11: Testování zřízení na vyžádání

Zdrojový tenant

Teď, když máte konfiguraci, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.

1. Ve zdrojovém tenantovi přejděte k >synchronizaci externích identit identit mezi tenanty.>

2. Vyberte Konfigurace a pak vyberte svoji konfiguraci.

3. Vyberte Zřídit na vyžádání.

4. V poli Vybrat uživatele nebo skupinu vyhledejte a vyberte jednoho z testovacích uživatelů.

   

5. Vyberte Zřídit.

   Po chvíli se zobrazí stránka akce Provést s informacemi o zřízení testovacího uživatele v cílovém tenantovi.

   

   Pokud uživatel není v oboru, zobrazí se stránka s informacemi o tom, proč byl testovací uživatel vynechán.

   

   Na stránce Zřizování na vyžádání můžete zobrazit podrobnosti o zřízení a můžete to zkusit znovu.

   

6. V cílovém tenantovi ověřte, že byl testovací uživatel zřízený.

   

7. Pokud vše funguje podle očekávání, přiřaďte ke konfiguraci další uživatele.

   Další informace naleznete v tématu Zřizování na vyžádání v Microsoft Entra ID.

Krok 12: Spuštění úlohy zřizování

Zdrojový tenant

Úloha zřizování spustí počáteční synchronizační cyklus všech uživatelů definovanýchv části Nastavení. Počáteční cyklus trvá déle než následné cykly, ke kterým dochází přibližně každých 40 minut, pokud je spuštěná služba zřizování Microsoft Entra.

1. Ve zdrojovém tenantovi přejděte k >synchronizaci externích identit identit mezi tenanty.>

2. Vyberte Konfigurace a pak vyberte svoji konfiguraci.

3. Na stránce Přehled zkontrolujte podrobnosti o zřizování.

   

4. Výběrem možnosti Zahájit zřizování spusťte úlohu zřizování.

Krok 13: Monitorování zřizování

Zdrojové a cílové tenanty

Jakmile spustíte úlohu zřizování, můžete stav monitorovat.

1. Ve zdrojovém tenantovi na stránce Přehled zkontrolujte indikátor průběhu a podívejte se na stav cyklu zřizování a na jeho blízkosti. Další informace najdete v tématu Kontrola stavu zřizování uživatelů.

   Pokud se zdá, že zřizování není v pořádku, konfigurace přejde do karantény. Další informace najdete v tématu Zřizování aplikací ve stavu karantény.

   

2. Vyberte Protokoly zřizování a určete, kteří uživatelé byli úspěšně nebo neúspěšně zřízeni. Ve výchozím nastavení se protokoly filtrují podle ID instančního objektu konfigurace. Další informace naleznete v tématu Zřizovací protokoly v Microsoft Entra ID.

   

3. Výběrem protokolů auditu zobrazíte všechny protokolované události v Microsoft Entra ID. Další informace naleznete v protokolech auditu v Microsoft Entra ID.

   

   Protokoly auditu můžete zobrazit také v cílovém tenantovi.

4. V cílovém tenantovi vyberte Protokoly auditu uživatelů>a zobrazte protokolované události pro správu uživatelů.

   

Krok 14: Konfigurace nastavení opuštění

Cílový tenant

I když se uživatelé zřizují v cílovém tenantovi, můžou se i nadále sami odebrat. Pokud se uživatelé odeberou sami a jsou v oboru, zřídí se znovu během dalšího cyklu zřizování. Pokud chcete zakázat uživatelům odebrat sami sebe z vaší organizace, musíte nakonfigurovat nastavení opuštění externího uživatele.

1. V cílovém tenantovi přejděte do nastavení externí spolupráce Identita>externích>identit.

2. V části Nastavení pro opuštění externího uživatele zvolte, jestli chcete externím uživatelům povolit, aby opustili vaši organizaci sami.

Toto nastavení platí také pro spolupráci B2B a přímé připojení B2B, takže pokud nastavíte nastaveníexterního uživatele na Ne, uživatelé spolupráce B2B a uživatelé přímého připojení B2B nemůžou opustit vaši organizaci sami. Další informace najdete v tématu Opuštění organizace jako externího uživatele.

Rady pro řešení potíží

Odstranění konfigurace

Pomocí těchto kroků odstraníte konfiguraci na stránce Konfigurace .

1. Ve zdrojovém tenantovi přejděte k >synchronizaci externích identit identit mezi tenanty.>

2. Na stránce Konfigurace přidejte značku zaškrtnutí vedle konfigurace, kterou chcete odstranit.

3. Konfiguraci odstraníte tak, že vyberete Odstranit a pak OK .

   

Běžné scénáře a jejich řešení

Příznak – Test připojení selže s AzureDirectoryB2BManagementPolicyCheckFailure

Při konfiguraci synchronizace mezi tenanty ve zdrojovém tenantovi a otestování připojení selže s následující chybovou zprávou:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Příčina

Tato chyba značí, že zásada automaticky uplatní pozvánky ve zdrojovém i cílovém tenantovi, nebyla nastavena.

Řešení

Postupujte podle kroků v kroku 3: Automaticky uplatnit pozvánky v cílovém tenantovi a krok 4: Automaticky uplatnit pozvánky ve zdrojovém tenantovi.

Příznak – Zaškrtávací políčko automatického uplatnění je zakázané

Při konfiguraci synchronizace mezi tenanty je zaškrtávací políčko Automatické uplatnění zakázané.

Příčina

Váš tenant nemá licenci Microsoft Entra ID P1 nebo P2.

Řešení

Ke konfiguraci nastavení důvěryhodnosti musíte mít Microsoft Entra ID P1 nebo P2.

Příznak – Nedávno odstraněný uživatel v cílovém tenantovi se neobnoví

Po obnovitelném odstranění synchronizovaného uživatele v cílovém tenantovi se uživatel během dalšího cyklu synchronizace neobnoví. Pokud se pokusíte obnovit obnovitelné odstranění uživatele se zřizováním na vyžádání a pak ho obnovíte, může to vést k duplicitním uživatelům.

Příčina

Obnovení dříve obnovitelně odstraněného uživatele v cílovém tenantovi se nepodporuje.

Řešení

Obnovitelně odstraněného uživatele v cílovém tenantovi ručně obnovte. Další informace naleznete v tématu Obnovení nebo odebrání nedávno odstraněného uživatele pomocí Microsoft Entra ID.

Příznak – Uživatelé se přeskočí, protože pro uživatele je povolené přihlášení přes SMS

Uživatelé se přeskočí ze synchronizace. Krok rozsahu obsahuje následující filtr se stavem false: Filtrování externích uživatelů.alternativeSecurityIds EQUALS None

Příčina

Pokud je pro uživatele povolené přihlášení přes SMS, služba zřizování ho přeskočí.

Řešení

Zakažte přihlášení sms pro uživatele. Následující skript ukazuje, jak pomocí PowerShellu zakázat přihlášení k serveru SMS.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Příznak – Uživatelům se nedaří zřídit chybu AzureActiveDirectoryForbidden

Uživatelům v oboru se nedaří zřídit. Podrobnosti o protokolech zřizování zahrnují následující chybovou zprávu:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Příčina

Tato chyba značí, že nastavení pozvání hosta v cílovém tenantovi je nakonfigurované s nejvíce omezujícím nastavením: Nikdo v organizaci nemůže zvát uživatele typu host, včetně správců (nejvíce omezujících).

Řešení

Změňte nastavení pozvání hosta v cílovém tenantovi na méně omezující nastavení. Další informace najdete v článku Konfigurace nastavení externí spolupráce.

Příznak – Hlavní název uživatele se neaktualizuje pro stávající uživatele B2B ve stavu čekání na přijetí

Když je uživatel poprvé pozván prostřednictvím ruční pozvánky B2B, pozvánka se odešle na zdrojovou e-mailovou adresu uživatele. V důsledku toho se uživatel typu host v cílovém tenantovi vytvoří s předponou hlavního názvu uživatele (UPN) pomocí vlastnosti hodnoty zdrojové pošty. Existují prostředí, ve kterých vlastnosti zdrojového objektu uživatele, hlavní název uživatele (UPN) a Pošta mají různé hodnoty, například Mail == user.mail@domain.com a UPN == user.upn@otherdomain.com. V takovém případě se uživatel typu host v cílovém tenantovi vytvoří s hlavním hlavním názvu uživatele (UPN) jako user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Problém se vyvolá, když se zdrojový objekt umístí do oboru synchronizace mezi tenanty a očekává se, že kromě jiných vlastností se předpona hlavního názvu uživatele typu host cílového uživatele typu host aktualizuje tak, aby odpovídala hlavnímu názvu uživatele zdroje (pomocí příkladu nad hodnotou by bylo: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). To se ale neděje během přírůstkových synchronizačních cyklů a změna se ignoruje.

Příčina

K tomuto problému dochází, když uživatel B2B, který byl ručně pozván do cílového tenanta, nepřijal nebo uplatnil pozvánku, takže jeho stav čeká na přijetí. Když je uživatel pozván prostřednictvím e-mailu, vytvoří se objekt se sadou atributů naplněných z pošty, jeden z nich je hlavní název uživatele (UPN), který odkazuje na hodnotu pošty zdrojového uživatele. Pokud se později rozhodnete přidat uživatele do oboru synchronizace mezi tenanty, systém se pokusí připojit zdrojového uživatele s uživatelem B2B v cílovém tenantovi na základě atributu alternativeSecurityIdentifier, ale dříve vytvořený uživatel nemá vyplněnou vlastnost alternativeSecurityIdentifier, protože pozvánka nebyla uplatněna. Systém tedy nebude považovat za nový objekt uživatele a neaktualizuje hodnotu hlavního názvu uživatele ( UPN). Hlavní název uživatele se neaktualizuje v následujících scénářích:

1. Hlavní název uživatele (UPN) a pošta se liší, když byl uživatel pozván ručně.
2. Uživatel byl pozván před povolením synchronizace mezi tenanty.
3. Uživatel pozvánku nikdy nepřijal, takže je ve stavu čekání na přijetí.
4. Uživatel je převeden do oboru pro synchronizaci mezi tenanty.

Řešení

Pokud chcete tento problém vyřešit, spusťte zřizování na vyžádání, aby ovlivnění uživatelé aktualizovali hlavní název uživatele (UPN). Můžete také restartovat zřizování pro aktualizaci hlavního názvu uživatele (UPN) pro všechny ovlivněné uživatele. Upozorňujeme, že to aktivuje počáteční cyklus, který může u velkých tenantů trvat delší dobu. Pokud chcete získat seznam ručně pozvaných uživatelů ve stavu čekání na přijetí, můžete použít skript, projděte si následující ukázku.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Pak můžete pro každého uživatele použít provisionOnDemand s PowerShellem . Limit rychlosti pro toto rozhraní API je 5 požadavků za 10 sekund. Další informace najdete v tématu Známá omezení zřizování na vyžádání.

Další kroky

• Kurz: Vytváření sestav o automatickém zřizování uživatelských účtů
• Správa zřizování uživatelských účtů pro podnikové aplikace na webu Azure Portal
• Co je jednotné přihlašování ve službě Microsoft Entra ID?