Synchronisatie tussen tenants configureren met Behulp van PowerShell of Microsoft Graph API

In dit artikel worden de belangrijkste stappen beschreven voor het configureren van synchronisatie tussen tenants met behulp van Microsoft Graph PowerShell of Microsoft Graph API. Wanneer deze is geconfigureerd, wordt B2B-gebruikers in uw doeltenant automatisch ingericht en ongedaan maken van de inrichting van B2B-gebruikers door Microsoft Entra ID. Zie Synchronisatie tussen tenants configureren voor gedetailleerde stappen met behulp van het Microsoft Entra-beheercentrum.

Vereisten

Brontenant

• Licentie voor Microsoft Entra ID P1 of P2. Zie Licentievereisten voor meer informatie.
• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.
• De rol Hybride identiteitsbeheerder voor het configureren van synchronisatie tussen tenants.
• De rol Van cloudtoepassingsbeheerder of toepassingsbeheerder om gebruikers toe te wijzen aan een configuratie en om een configuratie te verwijderen.
• Rol van globale beheerder om toestemming te geven voor vereiste machtigingen.

Doeltenant

• Licentie voor Microsoft Entra ID P1 of P2. Zie Licentievereisten voor meer informatie.
• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.
• Rol van globale beheerder om toestemming te geven voor vereiste machtigingen.

Stap 1: Aanmelden bij de doeltenant

Doeltenant

Powershell

1. Start PowerShell.

2. Installeer zo nodig de Microsoft Graph PowerShell SDK.

3. Haal de tenant-id van de bron- en doeltenants op en initialiseer variabelen.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Gebruik de opdracht Connect-MgGraph om u aan te melden bij de doeltenant en toestemming te geven voor de volgende vereiste machtigingen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

In deze stappen wordt beschreven hoe u Microsoft Graph Explorer gebruikt, maar u kunt ook een andere REST API-client gebruiken.

1. Start het hulpprogramma Microsoft Graph Explorer.

2. Meld u aan bij de doeltenant.

3. Selecteer uw profiel en selecteer vervolgens Toestemming voor machtigingen.

   

4. Geef toestemming voor de volgende vereiste machtigingen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Haal de tenant-id van de bron- en doeltenants op. In de voorbeeldconfiguratie die in dit artikel wordt beschreven, worden de volgende tenant-id's gebruikt.

   • Id van brontenant: {sourceTenantId}
   • Doeltenant-id: {targetTenantId}

Stap 2: Gebruikerssynchronisatie inschakelen in de doeltenant

Doeltenant

Powershell

1. Gebruik in de doeltenant de opdracht New-MgPolicyCrossTenantAccessPolicyPartner om een nieuwe partnerconfiguratie te maken in een beleid voor toegang tussen meerdere tenants tussen de doeltenant en de brontenant. Gebruik de brontenant-id in de aanvraag.

   Als u de fout New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existskrijgt, hebt u mogelijk al een bestaande configuratie. Zie Symptom - New-MgPolicyCrossTenantAccessPolicyPartner_Create error voor meer informatie.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Gebruik de opdracht Invoke-MgGraphRequest om gebruikerssynchronisatie in te schakelen in de doeltenant.

   Als er een Request_MultipleObjectsWithSameKeyValue fout optreedt, hebt u mogelijk al een bestaand beleid. Zie Symptoom - Request_MultipleObjectsWithSameKeyValue fout voor meer informatie.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Gebruik de opdracht Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization om te controleren of IsSyncAllowed deze is ingesteld op True.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. Gebruik in de doeltenant de API CrossTenantAccessPolicyConfigurationPartner maken om een nieuwe partnerconfiguratie te maken in een toegangsbeleid tussen de doeltenant en de brontenant. Gebruik de brontenant-id in de aanvraag.

   Als er een Request_MultipleObjectsWithSameKeyValue fout optreedt, hebt u mogelijk al een bestaande configuratie. Zie Symptoom - Request_MultipleObjectsWithSameKeyValue fout voor meer informatie.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Gebruik de API IdentitySynchronization maken om gebruikerssynchronisatie in te schakelen in de doeltenant.

   Als er een Request_MultipleObjectsWithSameKeyValue fout optreedt, hebt u mogelijk al een bestaand beleid. Zie Symptoom - Request_MultipleObjectsWithSameKeyValue fout voor meer informatie.

   Aanvragen

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Stap 3: Uitnodigingen automatisch inwisselen in de doeltenant

Doeltenant

Powershell

1. Gebruik in de doeltenant de opdracht Update-MgPolicyCrossTenantAccessPolicyPartner om uitnodigingen automatisch in te wisselen en toestemmingsprompts voor binnenkomende toegang te onderdrukken.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Gebruik in de doeltenant de API Update crossTenantAccessPolicyConfigurationPartner om uitnodigingen automatisch in te wisselen en toestemmingsprompts voor binnenkomende toegang te onderdrukken.

   Aanvragen

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Stap 4: Aanmelden bij de brontenant

Brontenant

Powershell

1. Start een exemplaar van PowerShell.

2. Haal de tenant-id van de bron- en doeltenants op en initialiseer variabelen.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Gebruik de opdracht Connect-MgGraph om u aan te melden bij de brontenant en toestemming te geven voor de volgende vereiste machtigingen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Start een exemplaar van het microsoft Graph Explorer-hulpprogramma.

2. Meld u aan bij de brontenant.

3. Geef toestemming voor de volgende vereiste machtigingen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Als u de pagina Goedkeuring van beheerder nodig ziet, moet u zich aanmelden met een gebruiker waaraan de rol globale beheerder is toegewezen om toestemming te geven.

Stap 5: Uitnodigingen automatisch inwisselen in de brontenant

Brontenant

Powershell

1. Gebruik in de brontenant de opdracht New-MgPolicyCrossTenantAccessPolicyPartner om een nieuwe partnerconfiguratie te maken in een beleid voor meerdere tenants tussen de brontenant en de doeltenant. Gebruik de tenant-id van het doel in de aanvraag.

   Als u de fout New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existskrijgt, hebt u mogelijk al een bestaande configuratie. Zie Symptom - New-MgPolicyCrossTenantAccessPolicyPartner_Create error voor meer informatie.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Gebruik de opdracht Update-MgPolicyCrossTenantAccessPolicyPartner om uitnodigingen automatisch in te wisselen en toestemmingsprompts voor uitgaande toegang te onderdrukken.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Gebruik in de brontenant crossTenantAccessPolicyConfigurationPartner-API maken om een nieuwe partnerconfiguratie te maken in een beleid voor meerdere tenants tussen de brontenant en de doeltenant. Gebruik de tenant-id van het doel in de aanvraag.

   Als er een Request_MultipleObjectsWithSameKeyValue fout optreedt, hebt u mogelijk al een bestaande configuratie. Zie Symptoom - Request_MultipleObjectsWithSameKeyValue fout voor meer informatie.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Gebruik de API CrossTenantAccessPolicyConfigurationPartner bijwerken om uitnodigingen automatisch in te wisselen en toestemmingsprompts voor uitgaande toegang te onderdrukken.

   Aanvragen

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Stap 6: Een configuratietoepassing maken in de brontenant

Brontenant

Powershell

1. Gebruik in de brontenant de opdracht Invoke-MgInstantiateApplicationTemplate om een exemplaar van een configuratietoepassing vanuit de Microsoft Entra-toepassingsgalerie toe te voegen aan uw tenant.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Gebruik de opdracht Get-MgServicePrincipal om de service-principal-id en de rol-id van de app op te halen.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Initialiseer een variabele voor de service-principal-id.

   Zorg ervoor dat u de service-principal-id gebruikt in plaats van de toepassings-id.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Initialiseer een variabele voor de app-rol-id.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Gebruik in de brontenant de applicationTemplate: instantieer api om een exemplaar van een configuratietoepassing vanuit de Microsoft Entra-toepassingsgalerie toe te voegen aan uw tenant.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Sla de servicePrincipalId op.

   Zorg ervoor dat u de service-principal-id gebruikt in plaats van de toepassings-id.

3. Sla de appRoleId op.

Stap 7: De verbinding met de doeltenant testen

Brontenant

Powershell

1. Gebruik in de brontenant de opdracht Invoke-MgGraphRequest om de verbinding met de doeltenant te testen en de referenties te valideren.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Gebruik in de brontenant de synchronizationJob: validateCredentials-API om de verbinding met de doeltenant te testen en de referenties te valideren.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Stap 8: Een inrichtingstaak maken in de brontenant

Brontenant

Maak in de brontenant een inrichtingstaak om inrichting in te schakelen.

Powershell

1. Bepaal de synchronisatiesjabloon die moet worden gebruikt, zoals Azure2Azure.

   Een sjabloon heeft vooraf geconfigureerde synchronisatie-instellingen.

2. Gebruik in de brontenant de opdracht New-MgServicePrincipalSynchronizationJob om een inrichtingstaak te maken op basis van een sjabloon.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Initialiseer een variabele voor de taak-id.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Bepaal de synchronisatiesjabloon die moet worden gebruikt, zoals Azure2Azure.

   Een sjabloon heeft vooraf geconfigureerde synchronisatie-instellingen.

2. Gebruik in de brontenant de API Synchronisatietaak maken om een inrichtingstaak te maken op basis van een sjabloon.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Sla de jobId op.

Stap 9: Uw referenties opslaan

Brontenant

Powershell

1. Gebruik in de brontenant de opdracht Invoke-MgGraphRequest om uw referenties op te slaan.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Gebruik in de brontenant de API Synchronisatiegeheimen toevoegen om uw referenties op te slaan.

   Aanvragen

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Stap 10: Een gebruiker toewijzen aan de configuratie

Brontenant

Synchronisatie tussen tenants werkt alleen als ten minste één interne gebruiker aan de configuratie is toegewezen.

Powershell

1. Gebruik in de brontenant de opdracht New-MgServicePrincipalAppRoleAssignedTo om een interne gebruiker toe te wijzen aan de configuratie.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Gebruik in de brontenant het verlenen van een appRoleAssignment voor een service-principal-API om een interne gebruiker toe te wijzen aan de configuratie.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

Stap 11: Inrichting op aanvraag testen

Brontenant

Nu u een configuratie hebt, kunt u inrichting op aanvraag testen met een van uw gebruikers.

Powershell

1. Gebruik in de brontenant de opdracht Get-MgServicePrincipalSynchronizationJobSchema om de schemaregel-id op te halen.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Initialiseer een variabele voor de regel-id.

   $RuleId = "<RuleId>"
   

3. Gebruik de opdracht New-MgServicePrincipalSynchronizationJobOnDemand om een testgebruiker op aanvraag in te richten.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Gebruik in de brontenant de API Get synchronizationSchema om de schemaregel-id op te halen.

   Aanvragen

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Gebruik in de brontenant de synchronizationJob: provisionOnDemand-API om een testgebruiker op aanvraag in te richten.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

Stap 12: De inrichtingstaak starten

Brontenant

Powershell

1. Nu de inrichtingstaak is geconfigureerd, gebruikt u in de brontenant de opdracht Start-MgServicePrincipalSynchronizationJob om de inrichtingstaak te starten.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Nu de inrichtingstaak is geconfigureerd, gebruikt u in de brontenant de API Synchronisatietaak starten om de inrichtingstaak te starten.

   Aanvragen

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Response

   HTTP/1.1 204 No Content
   

Stap 13: Inrichting bewaken

Brontenant

Powershell

1. Nu de inrichtingstaak wordt uitgevoerd, gebruikt u in de brontenant de opdracht Get-MgServicePrincipalSynchronizationJob om de voortgang van de huidige inrichtingscyclus en statistieken tot op heden te controleren, zoals het aantal gebruikers en groepen dat in het doelsysteem is gemaakt.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Naast het bewaken van de status van de inrichtingstaak, gebruikt u de opdracht Get-MgAuditLogProvisioning om de inrichtingslogboeken op te halen en alle inrichtingsgebeurtenissen op te halen die zich voordoen. Voer bijvoorbeeld een query uit voor een bepaalde gebruiker en bepaal of deze zijn ingericht.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Nu de inrichtingstaak wordt uitgevoerd, gebruikt u in de brontenant de API Synchronisatietaak ophalen om de voortgang van de huidige inrichtingscyclus en statistieken tot op heden te controleren, zoals het aantal gebruikers en groepen dat in het doelsysteem is gemaakt.

   Aanvragen

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Response

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Naast het bewaken van de status van de inrichtingstaak, gebruikt u de List provisioningObjectSummary-API om de inrichtingslogboeken op te halen en alle inrichtingsgebeurtenissen op te halen die zich voordoen. Voer bijvoorbeeld een query uit voor een bepaalde gebruiker en bepaal of deze zijn ingericht.

   Aanvragen

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Response

   Het antwoordobject dat hier wordt weergegeven, is ingekort voor leesbaarheid.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Tips voor probleemoplossing

Powershell

Symptoom : fout met onvoldoende bevoegdheden

Wanneer u een actie probeert uit te voeren, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Oorzaak

De aangemelde gebruiker heeft onvoldoende bevoegdheden of u moet toestemming geven voor een van de vereiste machtigingen.

Oplossing

1. Zorg ervoor dat u de vereiste rollen hebt toegewezen. Zie Vereisten eerder in dit artikel.

2. Wanneer u zich aanmeldt met Connect-MgGraph, moet u de vereiste bereiken opgeven. Zie stap 1: Meld u aan bij de doeltenant en stap 4: Meld u eerder in dit artikel aan bij de brontenant .

Symptoom - Fout met nieuwe MgPolicyCrossTenantAccessPolicyPartner_Create

Wanneer u probeert een nieuwe partnerconfiguratie te maken, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Oorzaak

U probeert waarschijnlijk een configuratie of object te maken dat al bestaat, mogelijk op basis van een eerdere configuratie.

Oplossing

1. Controleer uw syntaxis en of u de juiste tenant-id gebruikt.

2. Gebruik de opdracht Get-MgPolicyCrossTenantAccessPolicyPartner om het bestaande object weer te geven.

3. Als u een bestaand object hebt, moet u mogelijk een update uitvoeren met update-MgPolicyCrossTenantAccessPolicyPartner

Symptoom - Request_MultipleObjectsWithSameKeyValue fout

Wanneer u gebruikerssynchronisatie probeert in te schakelen, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Oorzaak

Waarschijnlijk probeert u een beleid te maken dat al bestaat, mogelijk op basis van een eerdere configuratie.

Oplossing

1. Controleer uw syntaxis en of u de juiste tenant-id gebruikt.

2. Gebruik de opdracht Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization om de IsSyncAllowed instelling weer te geven.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Als u een bestaand beleid hebt, moet u mogelijk een update uitvoeren met de opdracht Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization om gebruikerssynchronisatie in te schakelen.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Symptoom : fout met onvoldoende bevoegdheden

Wanneer u een actie probeert uit te voeren, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Oorzaak

De aangemelde gebruiker heeft onvoldoende bevoegdheden of u moet toestemming geven voor een van de vereiste machtigingen.

Oplossing

1. Zorg ervoor dat u de vereiste rollen hebt toegewezen. Zie Vereisten eerder in dit artikel.

2. Zorg ervoor dat u in het hulpprogramma Microsoft Graph Explorer akkoord gaat met de vereiste machtigingen. Zie stap 1: Meld u aan bij de doeltenant en stap 4: Meld u eerder in dit artikel aan bij de brontenant .

Symptoom - Request_MultipleObjectsWithSameKeyValue fout

Wanneer u een Microsoft Graph API-aanroep probeert te maken, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Oorzaak

U probeert waarschijnlijk een configuratie of object te maken dat al bestaat, mogelijk op basis van een eerdere configuratie.

Oplossing

1. Controleer de syntaxis van uw aanvraag en of u de juiste tenant-id gebruikt.

2. GET Een aanvraag indienen om het bestaande object weer te geven.

3. Als u een bestaand object hebt, in plaats van een aanvraag te maken met behulp POST van of PUT, moet u mogelijk een updateaanvraag indienen met behulp van PATCH, zoals:

   • CrossTenantAccessPolicyConfigurationPartner bijwerken
   • CrossTenantIdentitySyncPolicyPartner bijwerken

Symptoom - Directory_ObjectNotFound fout

Wanneer u een Microsoft Graph API-aanroep probeert te maken, wordt er een foutbericht weergegeven dat er ongeveer als volgt uitziet:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Oorzaak

U probeert waarschijnlijk een object bij te werken dat niet bestaat met behulp van PATCH.

Oplossing

1. Controleer de syntaxis van uw aanvraag en of u de juiste tenant-id gebruikt.

2. GET Een aanvraag indienen om te controleren of het object niet bestaat.

3. Als het object niet bestaat, in plaats van een updateaanvraag te maken met behulp PATCHvan, moet u mogelijk een aanvraag maken met behulp POST van of PUT, zoals:

   • IdentitySynchronization maken

Volgende stappen

• Overzicht van synchronisatie-API voor Microsoft Entra
• Zelfstudie: Inrichting ontwikkelen en plannen voor een SCIM-eindpunt in Microsoft Entra-id