Delen via


Synchronisatie tussen tenants

In dit artikel worden de stappen beschreven voor het configureren van synchronisatie tussen tenants met behulp van het Microsoft Entra-beheercentrum. Wanneer deze is geconfigureerd, wordt B2B-gebruikers in uw doeltenant automatisch ingericht en ongedaan maken van de inrichting van B2B-gebruikers door Microsoft Entra ID. Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.

Diagram met synchronisatie tussen meerdere tenants tussen de brontenant en de doeltenant.

Leerdoelen

Aan het einde van dit artikel kunt u het volgende doen:

  • B2B-gebruikers maken in uw doeltenant
  • B2B-gebruikers verwijderen in uw doeltenant
  • Gebruikerskenmerken gesynchroniseerd houden tussen uw bron- en doeltenants

Vereisten

Pictogram voor de brontenant.
Brontenant

Pictogram voor de doeltenant.
Doeltenant

Stap 1: De implementatie van uw inrichting plannen

  1. Definieer hoe u de tenants in uw organisatie wilt structuren.

  2. Lees hoe de inrichtingsservice werkt.

  3. Bepaal wie binnen het bereik voor inrichting valt.

  4. Bepaal welke gegevens moeten worden toegewezen tussen tenants.

Stap 2: Gebruikerssynchronisatie inschakelen in de doeltenant

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Pictogram voor de doeltenant.
Doeltenant

  1. Meld u aan bij het Microsoft Entra-beheercentrum van de doeltenant.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>

  3. Selecteer Organisatie toevoegen op het tabblad Organisatie-instellingen.

  4. Voeg de brontenant toe door de tenant-id of domeinnaam te typen en Toevoegen te selecteren.

    Schermopname van het deelvenster Organisatie toevoegen om de brontenant toe te voegen.

  5. Selecteer onder Binnenkomende toegang van de toegevoegde organisatie de optie Overgenomen van de standaardinstelling.

  6. Selecteer het tabblad Synchronisatie tussen tenants.

  7. Schakel het selectievakje Toestaan dat gebruikers worden gesynchroniseerd met deze tenant in.

    Schermopname van het tabblad Synchronisatie tussen tenants met het selectievakje Toestaan dat gebruikers worden gesynchroniseerd met deze tenant.

  8. Selecteer Opslaan.

  9. Als u een dialoogvenster synchronisatie tussen tenants inschakelen en automatisch inwisselen ziet waarin u wordt gevraagd of u automatisch inwisselen wilt inschakelen, selecteert u Ja.

    Als u Ja selecteert, worden uitnodigingen automatisch ingewisseld in de doeltenant.

    Schermopname van het dialoogvenster Synchronisatie tussen tenants inschakelen en automatisch inwisselen om uitnodigingen automatisch in te wisselen in de doeltenant.

Stap 3: Uitnodigingen automatisch inwisselen in de doeltenant

Pictogram voor de doeltenant.
Doeltenant

In deze stap wisselt u automatisch uitnodigingen in, zodat gebruikers van de brontenant de toestemmingsprompt niet hoeven te accepteren. Deze instelling moet worden gecontroleerd in zowel de brontenant (uitgaand) als de doeltenant (inkomend). Zie De instelling Voor automatisch inwisselen voor meer informatie.

  1. Selecteer in de doeltenant op dezelfde pagina met instellingen voor binnenkomende toegang het tabblad Vertrouwensinstellingen .

  2. Schakel het selectievakje Uitnodigingen automatisch inwisselen in met het selectievakje tenanttenant<>.

    Dit selectievakje is mogelijk al ingeschakeld als u eerder Ja hebt geselecteerd in het dialoogvenster Synchronisatie tussen tenants en automatisch inwisselen.

    Schermopname van het selectievakje Automatisch inwisselen voor inkomend verkeer.

  3. Selecteer Opslaan.

Stap 4: Uitnodigingen automatisch inwisselen in de brontenant

Pictogram voor de brontenant.
Brontenant

In deze stap wisselt u automatisch uitnodigingen in de brontenant in.

  1. Meld u aan bij het Microsoft Entra-beheercentrum van de brontenant.

  2. Blader naar >de toegangsinstellingen voor externe identiteiten voor meerdere tenants.>

  3. Selecteer Organisatie toevoegen op het tabblad Organisatie-instellingen.

  4. Voeg de doeltenant toe door de tenant-id of domeinnaam te typen en Toevoegen te selecteren.

    Schermopname van het deelvenster Organisatie toevoegen om de doeltenant toe te voegen.

  5. Selecteer Onder Uitgaande toegang voor de doelorganisatie de optie Overgenomen van de standaardinstelling.

  6. Selecteer het tabblad Vertrouwensinstellingen.

  7. Schakel het selectievakje Uitnodigingen automatisch inwisselen in met het selectievakje tenanttenant<>.

    Schermopname van het selectievakje Automatisch inwisselen voor uitgaand verkeer.

  8. Selecteer Opslaan.

Stap 5: Een configuratie maken in de brontenant

Pictogram voor de brontenant.
Brontenant

  1. Blader in de brontenant naar Synchronisatie>van externe identiteiten voor meerdere tenants.>

    Schermopname van de navigatie voor synchronisatie tussen tenants in het Microsoft Entra-beheercentrum.

    Als u Azure Portal gebruikt, bladert u naar Microsoft Entra ID>Manage>Cross-tenantsynchronisatie.

    Schermopname van de navigatie voor synchronisatie tussen tenants in Azure Portal.

  2. Selecteer Configuraties.

  3. Selecteer Boven aan de pagina de optie Nieuwe configuratie.

  4. Geef een naam op voor de configuratie en selecteer Maken.

    Het kan tot 15 seconden duren voordat de configuratie die u zojuist hebt gemaakt, wordt weergegeven in de lijst.

Stap 6: De verbinding met de doeltenant testen

Pictogram voor de brontenant.
Brontenant

  1. In de brontenant ziet u de nieuwe configuratie. Zo niet, selecteert u uw configuratie in de configuratielijst.

    Schermopname van de pagina Synchronisatieconfiguraties voor meerdere tenants en een nieuwe configuratie.

  2. Selecteer Aan de slag.

  3. Stel Inrichtingsmodus in op Automatisch.

  4. Wijzig in de sectie Referenties voor beheerder de verificatiemethode in synchronisatiebeleid voor meerdere tenants.

    Schermopname van de pagina Inrichten met het synchronisatiebeleid voor meerdere tenants geselecteerd.

  5. Voer in het vak Tenant-id de tenant-id van de doeltenant in.

  6. Selecteer Verbinding testen om de verbinding te testen.

    U ziet een bericht dat de opgegeven referenties zijn gemachtigd om inrichting in te schakelen. Als de testverbinding mislukt, raadpleegt u tips voor probleemoplossing verderop in dit artikel.

    Schermopname van een melding over de testverbinding.

  7. Selecteer Opslaan.

    Secties toewijzingen en instellingen worden weergegeven.

  8. Sluit de pagina Inrichten .

Stap 7: Definiëren wie het bereik voor inrichting heeft

Pictogram voor de brontenant.
Brontenant

Met de Microsoft Entra-inrichtingsservice kunt u definiëren wie op een of beide van de volgende manieren wordt ingericht:

  • Op basis van toewijzing aan de configuratie
  • Op basis van kenmerken van de gebruiker

Begin klein. Test met een kleine set gebruikers voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers toe te wijzen aan de configuratie. U kunt verder verfijnen wie binnen het bereik voor inrichting valt door bereikfilters op basis van kenmerken te maken, zoals beschreven in de volgende stap.

  1. Selecteer Inrichten in de brontenant en vouw de sectie Instellingen uit.

    Schermopname van de pagina Inrichten met de sectie Instellingen met de opties Bereik en Inrichtingsstatus.

  2. Selecteer in de lijst Bereik of u alle gebruikers in de brontenant wilt synchroniseren of alleen gebruikers die zijn toegewezen aan de configuratie.

    Het is raadzaam om alleen toegewezen gebruikers en groepen sync te selecteren in plaats van alle gebruikers en groepen te synchroniseren. Door het aantal gebruikers in het bereik te verminderen, worden de prestaties verbeterd.

  3. Als u wijzigingen hebt aangebracht, selecteert u Opslaan.

  4. Selecteer gebruikers en groepen op de configuratiepagina.

    Synchronisatie tussen tenants werkt alleen als ten minste één interne gebruiker aan de configuratie is toegewezen.

  5. Selecteer Gebruiker/groep toevoegen.

  6. Selecteer Op de pagina Toewijzing toevoegen onder Gebruikers en groepen de optie Geen geselecteerd.

  7. Zoek en selecteer in het deelvenster Gebruikers en groepen een of meer interne gebruikers of groepen die u wilt toewijzen aan de configuratie.

    Als u een groep selecteert die aan de configuratie moet worden toegewezen, hebben alleen gebruikers die directe leden in de groep zijn binnen het bereik voor inrichting. U kunt een statische groep of een dynamische groep selecteren. De toewijzing wordt niet trapsgewijs toegewezen aan geneste groepen.

  8. Selecteer Selecteren.

  9. Selecteer Toewijzen.

    Schermopname van de pagina Gebruikers en groepen met een gebruiker die is toegewezen aan de configuratie.

    Zie Gebruikers en groepen toewijzen aan een toepassing voor meer informatie.

Stap 8: (Optioneel) Bepalen wie binnen het bereik voor inrichting met bereikfilters valt

Pictogram voor de brontenant.
Brontenant

Ongeacht de waarde die u in de vorige stap hebt geselecteerd voor Bereik , kunt u verder beperken welke gebruikers worden gesynchroniseerd door bereikfilters op basis van kenmerken te maken.

  1. Selecteer inrichten in de brontenant en vouw de sectie Toewijzingen uit.

    Schermopname van de pagina Inrichten met de sectie Toewijzingen uitgevouwen.

  2. Selecteer Microsoft Entra ID-gebruikers inrichten om de pagina Kenmerktoewijzing te openen.

  3. Selecteer onder Bereik van bronobject alle records.

    Schermopname van de pagina Kenmerktoewijzing met het bereik van het bronobject.

  4. Selecteer op de pagina Bereik van bronobject de optie Bereikfilter toevoegen.

  5. Voeg bereikfilters toe om te definiëren welke gebruikers binnen het bereik van inrichting vallen.

    Als u bereikfilters wilt configureren, raadpleegt u de instructies in bereikgebruikers of groepen die moeten worden ingericht met bereikfilters.

    Schermopname van de pagina Bereikfilter toevoegen met voorbeeldfilter.

  6. Selecteer OK en Opslaan om wijzigingen op te slaan.

    Als u een filter hebt toegevoegd, ziet u een bericht dat het opslaan van uw wijzigingen ertoe leidt dat alle toegewezen gebruikers en groepen opnieuw worden gesynchroniseerd. Dit kan lang duren, afhankelijk van de grootte van uw map.

  7. Selecteer Ja en sluit de pagina Kenmerktoewijzing .

Stap 9: Kenmerktoewijzingen controleren

Pictogram voor de brontenant.
Brontenant

Met kenmerktoewijzingen kunt u definiëren hoe gegevens moeten stromen tussen de brontenant en de doeltenant. Zie zelfstudie: kenmerktoewijzingen voor saaS-toepassingen in Microsoft Entra-id aanpassen voor meer informatie over het aanpassen van de standaardkenmerktoewijzingen.

  1. Selecteer inrichten in de brontenant en vouw de sectie Toewijzingen uit.

  2. Selecteer Microsoft Entra ID-gebruikers inrichten.

  3. Schuif op de pagina Kenmerktoewijzing omlaag om de gebruikerskenmerken te controleren die zijn gesynchroniseerd tussen tenants in de sectie Kenmerktoewijzingen .

    Het eerste kenmerk, alternativeSecurityIdentifier, is een intern kenmerk dat wordt gebruikt om de gebruiker uniek te identificeren in tenants, gebruikers in de brontenant te koppelen aan bestaande gebruikers in de doeltenant en ervoor te zorgen dat elke gebruiker slechts één account heeft. Het overeenkomende kenmerk kan niet worden gewijzigd. Als u het overeenkomende kenmerk probeert te wijzigen of extra overeenkomende kenmerken toevoegt, treedt er een schemaInvalid fout op.

    Schermopname van de pagina Kenmerktoewijzing met de lijst met Microsoft Entra-kenmerken.

  4. Selecteer het kenmerk Member (userType) om de pagina Kenmerk bewerken te openen.

  5. Controleer de instelling Constante waarde voor het kenmerk userType .

    Deze instelling definieert het type gebruiker dat wordt gemaakt in de doeltenant en kan een van de waarden in de volgende tabel zijn. Standaard worden gebruikers gemaakt als extern lid (B2B-samenwerkingsgebruikers). Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie.

    Constante waarde Beschrijving
    Lid Standaard. Gebruikers worden gemaakt als extern lid (B2B-samenwerkingsgebruikers) in de doeltenant. Gebruikers kunnen functioneren als een intern lid van de doeltenant.
    Gast Gebruikers worden gemaakt als externe gasten (B2B-samenwerkingsgebruikers) in de doeltenant.

    Notitie

    Als de B2B-gebruiker al bestaat in de doeltenant, wordt Member (userType) niet gewijzigd in Lid, tenzij de instelling Deze toewijzing toepassen is ingesteld op Altijd.

    Het gebruikerstype dat u kiest, heeft de volgende beperkingen voor apps of services (maar zijn niet beperkt tot):

    App of service Beperkingen
    Power BI - Ondersteuning voor UserType Member in Power BI is momenteel in preview. Zie Power BI-inhoud distribueren naar externe gastgebruikers met Microsoft Entra B2B voor meer informatie.
    Azure Virtual Desktop - Extern lid en externe gast worden niet ondersteund in Azure Virtual Desktop.

    Schermopname van de pagina Kenmerk bewerken met het kenmerk Lid.

  6. Als u transformaties wilt definiëren, selecteert u op de pagina Kenmerktoewijzing het kenmerk dat u wilt transformeren, zoals displayName.

  7. Stel het toewijzingstype in op Expressie.

  8. Voer in het vak Expressie de transformatie-expressie in. Met de weergavenaam kunt u bijvoorbeeld het volgende doen:

    • Draai de voornaam en achternaam om en voeg er een komma tussen.
    • Voeg de domeinnaam tussen haakjes toe aan het einde van de weergavenaam.

    Zie Referentie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra-id voor voorbeelden.

    Schermopname van de pagina Kenmerk bewerken met het kenmerk displayName met het vak Expressie.

Tip

U kunt mapextensies toewijzen door het schema van de synchronisatie tussen tenants bij te werken. Zie Map directory-extensies in synchronisatie tussen tenants voor meer informatie.

Stap 10: Aanvullende inrichtingsinstellingen opgeven

Pictogram voor de brontenant.
Brontenant

  1. Selecteer Inrichten in de brontenant en vouw de sectie Instellingen uit.

    Schermopname van de pagina Inrichten met de sectie Instellingen met de opties Bereik en Inrichtingsstatus.

  2. Schakel het selectievakje Een e-mailmelding verzenden in wanneer er een fout optreedt .

  3. Voer in het vak E-mailmelding het e-mailadres in van een persoon of groep die foutmeldingen voor inrichtingsfouten moet ontvangen.

    E-mailmeldingen worden verzonden binnen 24 uur nadat de taak de quarantainestatus heeft ingevoerd. Zie Begrijpen hoe inrichting wordt geïntegreerd met Azure Monitor-logboeken voor aangepaste waarschuwingen.

  4. Als u onbedoeld verwijderen wilt voorkomen, selecteert u Onbedoeld verwijderen voorkomen en geeft u een drempelwaarde op. De drempelwaarde is standaard ingesteld op 500.

    Zie Preventie van onbedoelde verwijderingen inschakelen in de Microsoft Entra-inrichtingsservice voor meer informatie.

  5. Selecteer Opslaan om de wijzigingen op te slaan.

Stap 11: Inrichting op aanvraag testen

Pictogram voor de brontenant.
Brontenant

Nu u een configuratie hebt, kunt u inrichting op aanvraag testen met een van uw gebruikers.

  1. Blader in de brontenant naar Synchronisatie>van externe identiteiten voor meerdere tenants.>

  2. Selecteer Configuraties en selecteer vervolgens uw configuratie.

  3. Selecteer Op aanvraag inrichten.

  4. Zoek en selecteer een van uw testgebruikers in het vak Een gebruiker of groep selecteren.

    Schermopname van de pagina Inrichten op aanvraag waarop een testgebruiker is geselecteerd.

  5. Selecteer Inrichten.

    Na enkele ogenblikken wordt de actiepagina Uitvoeren weergegeven met informatie over het inrichten van de testgebruiker in de doeltenant.

    Schermopname van de actiepagina Uitvoeren met de testgebruiker en de lijst met gewijzigde kenmerken.

    Als de gebruiker niet binnen het bereik valt, ziet u een pagina met informatie over waarom de testgebruiker is overgeslagen.

    Schermopname van de pagina Bepalen of de gebruiker zich op de bereikpagina bevindt met informatie over waarom de testgebruiker is overgeslagen.

    Op de pagina Inrichten op aanvraag kunt u details over de inrichting bekijken en de optie hebben om het opnieuw te proberen.

    Schermopname van de pagina Inrichten op aanvraag met details over de inrichting.

  6. Controleer in de doeltenant of de testgebruiker is ingericht.

    Schermopname van de pagina Gebruikers van de doeltenant waarin de testgebruiker is ingericht.

  7. Als alles werkt zoals verwacht, wijst u extra gebruikers toe aan de configuratie.

    Zie Inrichting op aanvraag in Microsoft Entra-id voor meer informatie.

Stap 12: De inrichtingstaak starten

Pictogram voor de brontenant.
Brontenant

De inrichtingstaak start de eerste synchronisatiecyclus van alle gebruikers die zijn gedefinieerd in het bereik van de sectie Instellingen . De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

  1. Blader in de brontenant naar Synchronisatie>van externe identiteiten voor meerdere tenants.>

  2. Selecteer Configuraties en selecteer vervolgens uw configuratie.

  3. Bekijk de inrichtingsgegevens op de pagina Overzicht .

    Schermopname van de pagina Overzicht van configuraties met inrichtingsgegevens.

  4. Selecteer Inrichting starten om de inrichtingstaak te starten.

Stap 13: Inrichting bewaken

Pictogram voor de brontenant. Pictogram voor de doeltenant.
Bron- en doeltenants

Zodra u een inrichtingstaak hebt gestart, kunt u de status controleren.

  1. Controleer in de brontenant op de pagina Overzicht de voortgangsbalk om de status van de inrichtingscyclus te zien en hoe dicht deze is voltooid. Zie De status van gebruikersinrichting controleren voor meer informatie.

    Als de inrichting een slechte status heeft, wordt de configuratie in quarantaine geplaatst. Zie Toepassingsinrichting in quarantainestatus voor meer informatie.

    Schermopname van de pagina Configuratiesoverzicht met de status van de inrichtingscyclus.

  2. Selecteer Inrichtingslogboeken om te bepalen welke gebruikers zijn ingericht of niet geslaagd. De logboeken worden standaard gefilterd op de service-principal-id van de configuratie. Zie Inrichtingslogboeken in Microsoft Entra-id voor meer informatie.

    Schermopname van de pagina Inrichtingslogboeken waarin de logboekvermeldingen en de status ervan worden vermeld.

  3. Selecteer Auditlogboeken om alle vastgelegde gebeurtenissen in Microsoft Entra-id weer te geven. Zie Auditlogboeken in Microsoft Entra ID voor meer informatie.

    Schermopname van de pagina Auditlogboeken waarin de logboekvermeldingen en hun status worden vermeld.

    U kunt ook auditlogboeken weergeven in de doeltenant.

  4. Selecteer in de doeltenant Auditlogboeken gebruikers>om geregistreerde gebeurtenissen voor gebruikersbeheer weer te geven.

    Schermopname van de pagina Auditlogboeken in de doeltenant waarin de logboekvermeldingen voor gebruikersbeheer worden vermeld.

Stap 14: Instellingen voor verlaten configureren

Pictogram voor de doeltenant.
Doeltenant

Hoewel gebruikers worden ingericht in de doeltenant, kunnen ze zichzelf mogelijk nog steeds verwijderen. Als gebruikers zichzelf verwijderen en ze binnen het bereik vallen, worden ze opnieuw ingericht tijdens de volgende inrichtingscyclus. Als u de mogelijkheid voor gebruikers om zichzelf uit uw organisatie te verwijderen niet wilt toestaan, moet u de instellingen voor verlaten van externe gebruikers configureren.

  1. Blader in de doeltenant naar >instellingen voor externe identiteiten voor externe identiteiten.>

  2. Kies onder Instellingen voor extern gebruikersverlof of externe gebruikers uw organisatie zelf mogen verlaten.

Deze instelling is ook van toepassing op B2B-samenwerking en B2B directe verbinding, dus als u instellingen voor extern gebruikersverlof instelt op Nee, B2B-samenwerkingsgebruikers en B2B-directe verbinding kunnen gebruikers uw organisatie niet zelf verlaten. Zie Een organisatie verlaten als externe gebruiker voor meer informatie.

Tips voor probleemoplossing

Een configuratie verwijderen

Voer deze stappen uit om een configuratie te verwijderen op de pagina Configuraties .

  1. Blader in de brontenant naar Synchronisatie>van externe identiteiten voor meerdere tenants.>

  2. Voeg op de pagina Configuraties een vinkje toe naast de configuratie die u wilt verwijderen.

  3. Selecteer Verwijderen en klik vervolgens op OK om de configuratie te verwijderen.

    Schermopname van de pagina Configuraties waarin wordt getoond hoe u een configuratie verwijdert.

Algemene scenario's en taken

Symptoom: testverbinding mislukt met AzureDirectoryB2BManagementPolicyCheckFailure

Wanneer u synchronisatie tussen tenants configureert in de brontenant en u de verbinding test, mislukt dit met het volgende foutbericht:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Schermopname van de fout wanneer de testverbinding mislukt met AzureDirectoryB2BManagementPolicyCheckFailure.

Oorzaak

Deze fout geeft aan dat het beleid voor het automatisch inwisselen van uitnodigingen in de bron- en doeltenant niet is ingesteld.

Oplossing

Volg de stappen in stap 3: Uitnodigingen automatisch inwisselen in de doeltenant en stap 4: Uitnodigingen automatisch inwisselen in de brontenant.

Symptoom : het selectievakje Automatische inwisseling is uitgeschakeld

Bij het configureren van synchronisatie tussen tenants is het selectievakje Automatisch inwisselen uitgeschakeld.

Schermopname van het selectievakje Automatisch inwisselen als uitgeschakeld.

Oorzaak

Uw tenant heeft geen Licentie voor Microsoft Entra ID P1 of P2.

Oplossing

U moet Microsoft Entra ID P1 of P2 hebben om vertrouwensinstellingen te configureren.

Symptoom: onlangs verwijderde gebruiker in de doeltenant wordt niet hersteld

Nadat een gesynchroniseerde gebruiker in de doeltenant voorlopig is verwijderd, wordt de gebruiker niet hersteld tijdens de volgende synchronisatiecyclus. Als u probeert een gebruiker met inrichting op aanvraag voorlopig te verwijderen en vervolgens de gebruiker te herstellen, kan dit leiden tot dubbele gebruikers.

Oorzaak

Het herstellen van een eerder voorlopig verwijderde gebruiker in de doeltenant wordt niet ondersteund.

Oplossing

Herstel de voorlopig verwijderde gebruiker handmatig in de doeltenant. Zie Een onlangs verwijderde gebruiker herstellen of verwijderen met behulp van Microsoft Entra-id voor meer informatie.

Symptoom: gebruikers worden overgeslagen omdat sms-aanmelding is ingeschakeld voor de gebruiker

Gebruikers worden overgeslagen uit synchronisatie. De bereikstap bevat het volgende filter met de status false: "Filter external users.alternativeSecurityIds EQUALS 'None'"

Oorzaak

Als sms-aanmelding is ingeschakeld voor een gebruiker, worden deze overgeslagen door de inrichtingsservice.

Oplossing

Schakel sms-aanmelding voor de gebruikers uit. In het onderstaande script ziet u hoe u sms-aanmelding kunt uitschakelen met behulp van PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Symptoom: gebruikers kunnen niet inrichten met fout AzureActiveDirectoryForbidden

Gebruikers binnen het bereik kunnen niet worden ingericht. De details van de inrichtingslogboeken bevatten het volgende foutbericht:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Oorzaak

Deze fout geeft aan dat de instellingen voor gastuitnodigingen in de doeltenant zijn geconfigureerd met de meest beperkende instelling: 'Niemand in de organisatie kan gastgebruikers uitnodigen, inclusief beheerders (meest beperkend)'.

Oplossing

Wijzig de instellingen voor gastnodiging in de doeltenant in een minder beperkende instelling. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Symptoom: User Principal Name wordt niet bijgewerkt voor bestaande B2B-gebruikers met de status Acceptatie in behandeling

Wanneer een gebruiker voor het eerst wordt uitgenodigd via handmatige B2B-uitnodiging, wordt de uitnodiging verzonden naar het e-mailadres van de brongebruiker. Als gevolg hiervan wordt de gastgebruiker in de doeltenant gemaakt met een UPN-voorvoegsel (User Principal Name) met behulp van de eigenschap bron-e-mailwaarde. Er zijn omgevingen waarin de eigenschappen van het brongebruikersobject, UPN en Mail, verschillende waarden hebben, bijvoorbeeld Mail == user.mail@domain.com en UPN == user.upn@otherdomain.com. In dit geval wordt de gastgebruiker in de doeltenant gemaakt met de UPN als user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Het probleem doet zich voor wanneer het bronobject binnen het bereik voor synchronisatie tussen tenants wordt geplaatst en de verwachting is dat naast andere eigenschappen het UPN-voorvoegsel van de doelgastgebruiker wordt bijgewerkt om overeen te komen met de UPN van de brongebruiker (met behulp van het bovenstaande voorbeeld is: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Dat gebeurt echter niet tijdens incrementele synchronisatiecycli en de wijziging wordt genegeerd.

Oorzaak

Dit probleem treedt op wanneer de B2B-gebruiker die handmatig is uitgenodigd voor de doeltenant de uitnodiging niet heeft geaccepteerd of ingewisseld, zodat de status in behandeling is. Wanneer een gebruiker wordt uitgenodigd via een e-mailbericht, wordt een object gemaakt met een set kenmerken die zijn ingevuld vanuit de e-mail, een van hen is de UPN, die verwijst naar de e-mailwaarde van de brongebruiker. Als u later besluit om de gebruiker toe te voegen aan het bereik voor synchronisatie tussen tenants, probeert het systeem lid te worden van de brongebruiker met een B2B-gebruiker in de doeltenant op basis van het kenmerk alternativeSecurityIdentifier, maar de eerder gemaakte gebruiker heeft geen alternatieve eigenschapSecurityIdentifier ingevuld omdat de uitnodiging niet is ingewisseld. Het systeem beschouwt dit dus niet als een nieuw gebruikersobject en werkt de UPN-waarde niet bij. De user principal name wordt niet bijgewerkt in de volgende scenario's:

  1. De UPN en e-mail verschillen voor een gebruiker wanneer ze handmatig zijn uitgenodigd.
  2. De gebruiker is uitgenodigd vóór het inschakelen van synchronisatie tussen tenants.
  3. De gebruiker heeft de uitnodiging nooit geaccepteerd, dus ze hebben de status 'Acceptatie in behandeling'.
  4. De gebruiker wordt binnen het bereik gebracht voor synchronisatie tussen tenants.

Oplossing

U kunt het probleem oplossen door inrichting op aanvraag uit te voeren voor de betrokken gebruikers om de UPN bij te werken. U kunt de inrichting ook opnieuw starten om de UPN voor alle betrokken gebruikers bij te werken. Houd er rekening mee dat dit een initiële cyclus activeert, wat lang kan duren voor grote tenants. Zie het onderstaande voorbeeld voor een lijst met handmatig uitgenodigde gebruikers met de status Acceptatie in behandeling.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Vervolgens kunt u provisionOnDemand gebruiken met PowerShell voor elke gebruiker. De frequentielimiet voor deze API is 5 aanvragen per 10 seconden. Zie Bekende beperkingen voor inrichting op aanvraag voor meer informatie.

Volgende stappen