Udostępnij za pośrednictwem


Rozwiązywanie typowych problemów z funkcją współpracy B2B firmy Microsoft

Dotyczy:Zielony okrąg z białym symbolem znacznika wyboru. Dzierżawcy siły roboczej — dzierżawcy zewnętrzni Biały okrąg z szarym symbolem X. (dowiedz się więcej)

Poniżej przedstawiono niektóre środki zaradcze dotyczące typowych problemów ze współpracą firmy Microsoft Entra B2B.

Logowanie gościa kończy się niepowodzeniem z kodem błędu AADSTS50020

Gdy użytkownik-gość od dostawcy tożsamości (IdP) nie może zalogować się do dzierżawy zasobów w usłudze Microsoft Entra ID i otrzymuje kod błędu AADSTS50020, istnieje kilka możliwych przyczyn. Zobacz artykuł dotyczący rozwiązywania problemów, aby uzyskać AADSTS50020 błędów.

Użytkownik połączenia bezpośredniego B2B nie może uzyskać dostępu do udostępnionego kanału (błąd AADSTS90071)

Gdy połączenie bezpośrednie B2B widzi następujący komunikat o błędzie podczas próby uzyskania dostępu do udostępnionego kanału usługi Teams innej organizacji, ustawienia zaufania uwierzytelniania wieloskładnikowego nie zostały skonfigurowane przez organizację zewnętrzną:

Organizacja, którą próbujesz osiągnąć, musi zaktualizować ich ustawienia, aby umożliwić logowanie.

AADSTS90071: administrator z <organizacji> musi zaktualizować ustawienia dostępu, aby akceptowały uwierzytelnianie wieloskładnikowe dla ruchu przychodzącego.

Organizacja hostująca udostępniony kanał usługi Teams musi włączyć ustawienie zaufania dla uwierzytelniania wieloskładnikowego, aby zezwolić na dostęp do bezpośrednich użytkowników B2B. Ustawienia zaufania można konfigurować w ustawieniach dostępu między dzierżawami w organizacji.

Podczas konfigurowania ustawień dostępu między dzierżawami pojawia się błąd podobny do "Niepowodzenie aktualizacji zasad z powodu limitu obiektów"

Podczas konfigurowania ustawień dostępu między dzierżawami, jeśli zostanie wyświetlony komunikat o błędzie "Niepowodzenie aktualizacji zasad z powodu limitu obiektów", osiągnięto limit obiektów zasad 25 KB. Pracujemy nad zwiększeniem tego limitu. Jeśli musisz mieć możliwość obliczenia, jak blisko bieżących zasad jest to limit, wykonaj następujące czynności:

  1. Otwórz Eksploratora programu Microsoft Graph i uruchom następujące polecenie:

    GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy

  2. Skopiuj całą odpowiedź JSON i zapisz ją jako plik txt, na przykład policyobject.txt.

  3. Otwórz program PowerShell i uruchom następujący skrypt, podstawiając lokalizację pliku w pierwszym wierszu pliku tekstowego:

$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25 
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy) 
write-host "Remaining Bytes available in policy object" 
$maxSize - $size 
write-host "Is current policy within limits?" 
if ($size -le $maxSize) { return “valid” }; else { return “invalid” } 

Użytkownicy nie mogą już odczytywać wiadomości e-mail zaszyfrowanych za pomocą usługi Microsoft Rights Management (OME)

Podczas konfigurowania ustawień dostępu między dzierżawami, jeśli domyślnie zablokujesz dostęp do wszystkich aplikacji, użytkownicy nie będą mogli odczytywać wiadomości e-mail zaszyfrowanych za pomocą usługi Microsoft Rights Management (znanej również jako OME). Aby uniknąć tego problemu, zalecamy skonfigurowanie ustawień ruchu wychodzącego, aby umożliwić użytkownikom dostęp do tego identyfikatora aplikacji: 00000012-0000-0000-c000-000000000000000000000. Jeśli jest to jedyna dozwolona aplikacja, dostęp do wszystkich innych aplikacji zostanie domyślnie zablokowany.

Dodano użytkownika zewnętrznego, ale nie widzę ich w globalnej książce adresowej lub w selektorze osób

W przypadkach, gdy użytkownicy zewnętrzni nie są wypełniani na liście, replikacja obiektu może potrwać kilka minut.

Użytkownik-gość B2B nie jest wyświetlany w selektorze osób usługi SharePoint Online/OneDrive

Możliwość wyszukiwania istniejących użytkowników-gości w selektorze osób usługi SharePoint Online (SPO) jest domyślnie wyłączona, aby dopasować starsze zachowanie.

Tę funkcję można włączyć przy użyciu ustawienia "ShowPeoplePickerSuggestionsForGuestUsers" na poziomie dzierżawy i zbioru witryn. Tę funkcję można ustawić przy użyciu poleceń cmdlet Set-SPOTenant i Set-SPOSite, które umożliwiają członkom wyszukiwanie wszystkich istniejących użytkowników-gości w katalogu. Zmiany w zakresie dzierżawy nie mają wpływu na jeszcze aprowizowane witryny spo.

Ustawienia zaproszenia gościa i ograniczenia domeny nie są przestrzegane przez usługę SharePoint Online/OneDrive

Domyślnie usługi SharePoint Online i OneDrive mają własny zestaw opcji użytkownika zewnętrznego i nie używają ustawień z identyfikatora Entra firmy Microsoft. Należy włączyć integrację programów SharePoint i OneDrive z firmą Microsoft Entra B2B , aby upewnić się, że opcje są spójne między tymi aplikacjami.

Zaproszenia zostały wyłączone dla katalogu

Jeśli otrzymasz powiadomienie, że nie masz uprawnień do zapraszania użytkowników, sprawdź, czy twoje konto użytkownika ma uprawnienia do zapraszania użytkowników zewnętrznych w obszarze Microsoft Entra ID > Użytkownicy > ustawienia użytkownicy > zewnętrzni Zarządzaj ustawieniami > współpracy zewnętrznej:

Zrzut ekranu przedstawiający ustawienia użytkownika zewnętrznego.

Jeśli ostatnio zmodyfikowano te ustawienia lub przypisano użytkownikowi rolę osoba zapraszania gościa, może wystąpić 15–60 minutowe opóźnienie przed wprowadzeniem zmian.

Zaproszony użytkownik otrzymuje błąd podczas procesu realizacji

Typowe błędy obejmują:

Administrator osoby zapraszanej nie ma niedozwolonych wiadomości e-mailZweryfikowanych użytkowników z tworzenia w dzierżawie

W przypadku zapraszania użytkowników, których organizacja korzysta z identyfikatora Microsoft Entra ID, ale gdy konto określonego użytkownika nie istnieje (na przykład użytkownik nie istnieje w usłudze Microsoft Entra contoso.com). Administrator contoso.com może mieć zasady uniemożliwiające tworzenie użytkowników. Użytkownik musi sprawdzić się z administratorem, aby określić, czy użytkownicy zewnętrzni są dozwolone. Administrator użytkownika zewnętrznego może wymagać zezwolenia użytkownikom zweryfikowanych pocztą e-mail w swojej domenie (zobacz ten artykuł dotyczący zezwalania na zweryfikowanych użytkowników poczty e-mail).

Zrzut ekranu przedstawiający błąd informujący, że dzierżawa nie zezwala na zweryfikowanych użytkowników poczty e-mail.

Użytkownik zewnętrzny nie istnieje jeszcze w domenie federacyjnej

Jeśli używasz uwierzytelniania federacyjnego, a użytkownik jeszcze nie istnieje w identyfikatorze Microsoft Entra ID, nie można zaprosić użytkownika.

Aby rozwiązać ten problem, administrator użytkownika zewnętrznego musi zsynchronizować konto użytkownika z identyfikatorem Microsoft Entra.

Użytkownik zewnętrzny ma adres proxyAddress, który powoduje konflikt z serwerem proxyAddress istniejącego użytkownika lokalnego

Gdy sprawdzimy, czy użytkownik może zostać zaproszony do Twojej dzierżawy, jedną z rzeczy, które sprawdzamy, jest kolizja w proxyAddress. Obejmuje to wszystkie adresy proxy dla użytkownika w dzierżawie głównej i wszystkie adresy proxy dla użytkowników lokalnych w dzierżawie. W przypadku użytkowników zewnętrznych dodamy wiadomość e-mail do serwera proxyAddress istniejącego użytkownika B2B. W przypadku użytkowników lokalnych możesz poprosić ich o zalogowanie się przy użyciu już posiadanego konta.

Nie mogę zaprosić adresu e-mail z powodu konfliktu w adresie proxyAddresses

Dzieje się tak, gdy inny obiekt w katalogu ma ten sam zaproszony adres e-mail co jeden z jego adresów proxyAddresses. Innym obiektem powodującym konflikt może być użytkownik, grupa lub kontakt platformy Microsoft 365.

Aby rozwiązać ten konflikt, wyszukaj adres e-mail w Centrum administracyjne platformy Microsoft 365, aby znaleźć obiekt powodujący konflikt. Adres e-mail należy usunąć przy użyciu interfejsu API programu Microsoft Graph.

Aby rozwiązać ten konflikt:

  1. Zaloguj się w Centrum administracyjnym Microsoft 365.
  2. Przejdź do pozycji Użytkownicy>Wszyscy użytkownicy i wyszukaj adres e-mail, który próbujesz zaprosić.
  3. Usuń wiadomość e-mail z obiektu użytkownika programu Microsoft Graph.
  4. Przejdź do pozycji Kontakty użytkowników>, aby sprawdzić, czy istnieje kontakt przy użyciu tego adresu e-mail.
  5. Usuń skojarzony obiekt kontaktowy programu Microsoft Graph.
  6. Przejdź do pozycji Zespoły i grupy>Aktywne zespoły i grupy i wyszukaj adres e-mail, który próbujesz zaprosić, i zmień adres e-mail, jeśli zostanie znaleziony.

Po usunięciu powodującego konflikt adresu e-mail możesz zaprosić użytkownika.

W obiekcie użytkownika-gościa atrybut proxyAddresses lub e-mail nie jest wypełniany

Po dodaniu lub zaproszeniu gościa z wiadomością e-mail zgodną z istniejącym obiektem Contact w katalogu właściwość proxyAddresses obiektu użytkownika-gościa nie zostanie wypełniona. Ponadto podczas synchronizowania obiektów kontaktów z lokalnej usługi AD, jeśli użytkownik-gość ma zgodną właściwość proxyAddresses, właściwość proxyAddresses powodująca konflikt jest usuwana z istniejącego użytkownika-gościa.

Proces realizacji zaproszenia został zaktualizowany tak, aby ten scenariusz nie powodował problemów z jednorazowym uwierzytelnianiem kodu dostępu typu just-in-time lub wiadomością e-mail. Wcześniej identyfikator zewnętrzny przeszukał tylko właściwość proxyAddresses, więc realizacja z bezpośrednim linkiem lub jednorazowym kodem dostępu nie powiodła się, gdy nie może odnaleźć dopasowania. Teraz identyfikator zewnętrzny wyszukuje właściwości proxyAddresses i zaproszonych wiadomości e-mail.

Jeśli chcesz zidentyfikować obiekty użytkownika powodujące konflikt w katalogu, wykonaj następujące kroki programu PowerShell:

  1. Otwórz moduł Programu PowerShell programu Microsoft Graph i uruchom polecenie Connect-MgGraph.
  2. Zaloguj się jako co najmniej czytelnik katalogu do dzierżawy firmy Microsoft Entra, dla której chcesz sprawdzić zduplikowane obiekty kontaktu.
  3. Uruchom polecenie Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}programu PowerShell .

W jaki sposób element "#", który nie jest zwykle prawidłowym znakiem, synchronizuje się z identyfikatorem Entra firmy Microsoft?

"#" to zastrzeżony znak w nazwach UPN na potrzeby współpracy microsoft Entra B2B lub użytkowników zewnętrznych, ponieważ zaproszone konto user@contoso.com staje się user_contoso.com#EXT#@fabrikam.onmicrosoft.com. W związku z tym liczba w nazwach UPN pochodzących ze środowiska lokalnego nie może zalogować się do centrum administracyjnego firmy Microsoft Entra.

Otrzymuję błąd podczas dodawania użytkowników zewnętrznych do zsynchronizowanej grupy

Użytkownicy zewnętrzni mogą być dodawani tylko do grup "przypisanych" lub "zabezpieczeń", a nie do grup, które są opanowane lokalnie.

Mój użytkownik zewnętrzny nie otrzymał wiadomości e-mail w celu realizacji

Zaproszenie powinno sprawdzić ich usługodawcę internetowy lub filtr spamu, aby upewnić się, że następujący adres jest dozwolony: Invites@microsoft.com.

Uwaga

  • W przypadku usługi platformy Azure obsługiwanej przez firmę 21Vianet w Chinach adres nadawcy to Invites@oe.21vianet.com.
  • W przypadku chmury Microsoft Entra Government adres nadawcy to invites@azuread.us.

Zauważam, że komunikat niestandardowy nie jest dołączany do wiadomości z zaproszeniem czasami

Aby zachować zgodność z przepisami dotyczącymi prywatności, nasze interfejsy API nie zawierają niestandardowych wiadomości w zaproszeniu e-mail, gdy:

  • Zaproszenie nie ma adresu e-mail w dzierżawie zapraszania
  • Gdy jednostka usługi appservice wysyła zaproszenie

Jeśli ten scenariusz jest dla Ciebie ważny, możesz pominąć wiadomość e-mail z zaproszeniem interfejsu API i wysłać ją za pośrednictwem wybranego mechanizmu poczty e-mail. Skontaktuj się z radcą prawnym organizacji, aby upewnić się, że wszelkie wysyłane wiadomości e-mail w ten sposób również są zgodne z przepisami dotyczącymi ochrony prywatności.

Podczas próby zalogowania się do zasobu platformy Azure zostanie wyświetlony błąd "AADSTS65005"

Użytkownik, który ma konto gościa, nie może się zalogować i otrzymuje następujący komunikat o błędzie:

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

Użytkownik ma konto użytkownika platformy Azure i jest dzierżawą wirusową, która została porzucona lub niezarządzana. Ponadto w dzierżawie nie ma administratorów.

Aby rozwiązać ten problem, musisz przejąć opuszczoną dzierżawę. Zapoznaj się z artykułem Przejmowanie niezarządzanego katalogu jako administrator w identyfikatorze Entra firmy Microsoft. Należy również uzyskać dostęp do systemu DNS dostępnego z Internetu dla sufiksu domeny, którego dotyczy problem, aby zapewnić bezpośrednie dowody kontroli nad przestrzenią nazw. Po powrocie dzierżawy do stanu zarządzanego należy omówić z klientem, czy pozostawienie użytkowników i zweryfikowanej nazwy domeny jest najlepszą opcją dla swojej organizacji.

Użytkownik-gość z dzierżawą just-in-time lub "wirusową" nie może zresetować hasła

Jeśli dzierżawa tożsamości jest dzierżawą typu just in time (JIT) lub dzierżawą wirusową (co oznacza, że jest to oddzielna, niezarządzana dzierżawa platformy Azure), tylko użytkownik-gość może zresetować swoje hasło. Czasami organizacja przejmie zarządzanie wirusowymi dzierżawami , które są tworzone, gdy pracownicy używają służbowych adresów e-mail w celu zarejestrowania się w usługach. Gdy organizacja przejmie dzierżawę wirusową, tylko administrator w tej organizacji może zresetować hasło użytkownika lub włączyć samoobsługowe resetowanie hasła. Jeśli to konieczne, jako organizacja zapraszania, możesz usunąć konto użytkownika-gościa z katalogu i wysłać ponownie zaproszenie.

Użytkownik-gość nie może użyć modułu Programu PowerShell w wersji 1 usługi Azure AD

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Od 18 listopada 2019 r. użytkownicy-goście w katalogu (zdefiniowani jako konta użytkowników, na których właściwość userType jest równa Gość) nie mogą korzystać z modułu programu Azure AD PowerShell w wersji 1. W przyszłości użytkownik musi być użytkownikiem członkowskim (gdzie userType to Member) lub użyć modułu Azure AD PowerShell V2.

W dzierżawie usługi Azure US Government nie mogę zaprosić użytkownika-gościa współpracy B2B

W chmurze Azure US Government współpraca B2B jest włączona między dzierżawami, które znajdują się zarówno w chmurze Azure US Government, jak i obsługują współpracę B2B. Jeśli zaprosisz użytkownika w dzierżawie, który nie obsługuje jeszcze współpracy B2B, zostanie wyświetlony błąd. Aby uzyskać szczegółowe informacje i ograniczenia, zobacz Odmiany microsoft Entra ID P1 i P2.

Jeśli musisz współpracować z organizacją firmy Microsoft Entra, która znajduje się poza chmurą Azure US Government, możesz użyć ustawień chmury firmy Microsoft, aby włączyć współpracę B2B.

Zaproszenie jest zablokowane z powodu zasad dostępu między dzierżawami

Podczas próby zaproszenia użytkownika współpracy B2B może zostać wyświetlony następujący komunikat o błędzie: "To zaproszenie jest blokowane przez ustawienia dostępu między dzierżawami. Administratorzy zarówno w organizacji, jak i organizacji zaproszonego użytkownika muszą skonfigurować ustawienia dostępu między dzierżawami, aby zezwolić na zaproszenie". Ten komunikat o błędzie zostanie wyświetlony, jeśli współpraca B2B jest obsługiwana, ale jest blokowany przez ustawienia dostępu między dzierżawami. Sprawdź ustawienia dostępu między dzierżawami i upewnij się, że ustawienia zezwalają na współpracę B2B z użytkownikiem. Podczas próby współpracy z inną organizacją firmy Microsoft Entra w oddzielnej chmurze platformy Microsoft Azure możesz użyć ustawień chmury firmy Microsoft, aby włączyć współpracę firmy Microsoft Entra B2B.

Zaproszenie jest zablokowane z powodu wyłączenia aplikacji Microsoft B2B Cross Cloud Worker

Rzadko pojawia się następujący komunikat: "Nie można ukończyć tej akcji, ponieważ aplikacja Microsoft B2B Cross Cloud Worker została wyłączona w dzierżawie zaproszonego użytkownika. Poproś administratora zaproszonego użytkownika o ponowne włączenie go, a następnie spróbuj ponownie". Ten błąd oznacza, że aplikacja Microsoft B2B Cross Cloud Worker została wyłączona w dzierżawie głównej użytkownika współpracy B2B. Ta aplikacja jest zwykle włączona, ale mogła zostać wyłączona przez administratora w dzierżawie głównej użytkownika za pośrednictwem programu PowerShell lub centrum administracyjnego firmy Microsoft Entra (zobacz Wyłączanie sposobu logowania użytkownika). Administrator w dzierżawie głównej użytkownika może ponownie włączyć aplikację za pomocą programu PowerShell lub centrum administracyjnego firmy Microsoft Entra. W centrum administracyjnym wyszukaj ciąg "Microsoft B2B Cross Cloud Worker", aby znaleźć aplikację, wybrać ją, a następnie ponownie ją włączyć.

Otrzymuję błąd, że identyfikator Entra firmy Microsoft nie może znaleźć aad-extensions-app elementu w mojej dzierżawie

Jeśli używasz funkcji rejestracji samoobsługowej, takich jak niestandardowe atrybuty użytkownika lub przepływy użytkownika, aplikacja o nazwie aad-extensions-app. Do not modify. Used by AAD for storing user data. jest tworzona automatycznie. Jest on używany przez Tożsamość zewnętrzna Microsoft Entra do przechowywania informacji o użytkownikach, którzy tworzą konto i zbierane atrybuty niestandardowe.

Jeśli przypadkowo usuniesz aplikację aad-extensions-app, masz 30 dni na jej odzyskanie. Aplikację można przywrócić przy użyciu modułu Microsoft Graph PowerShell.

  1. Uruchom moduł Microsoft Graph PowerShell i uruchom polecenie Connect-MgGraph.
  2. Zaloguj się jako co najmniej administrator aplikacji do dzierżawy firmy Microsoft Entra, dla której chcesz odzyskać usuniętą aplikację.
  3. Uruchom polecenie Get-MgDirectoryDeletedItem -DirectoryObjectId {id}programu PowerShell . Przykład:
Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id                                   DeletedDateTime
--                                   ---------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 8/30/2021 7:37:37 AM
  1. Uruchom polecenie Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}programu PowerShell . Zastąp {id} część polecenia elementem DirectoryObjectId z poprzedniego kroku.

Powinna zostać wyświetlona przywrócona aplikacja w centrum administracyjnym firmy Microsoft Entra.

Dostęp zewnętrzny zablokowany przez błąd zasad na ekranie logowania

Podczas próby zalogowania się do dzierżawy może zostać wyświetlony następujący komunikat o błędzie: "Administrator sieci ograniczył dostęp do organizacji. Skontaktuj się z działem IT, aby odblokować dostęp". Ten błąd jest związany z ustawieniami ograniczeń dzierżawy. Aby rozwiązać ten problem, poproś zespół IT o wykonanie instrukcji opisanych w tym artykule.

Użytkownicy uzyskują pętlę podczas próby dodania klucza dostępu w aplikacji Authenticator

Organizacje, które wdrażają klucze dostępu i mają zasady dostępu warunkowego, które wymagają uwierzytelniania odpornego na wyłudzanie informacji podczas uzyskiwania dostępu do wszystkich zasobów (dawniej "Wszystkie aplikacje w chmurze") mogą napotkać problem z zapętowaniem, gdy użytkownicy próbują dodać klucz dostępu do aplikacji Microsoft Authenticator. Aby uzyskać więcej informacji i możliwych obejść, zobacz Obejścia dotyczące pętli zasad dostępu warunkowego siły uwierzytelniania.

Zaproszenie zostało zablokowane z powodu braku ustawień dostępu między dzierżawami

Może zostać wyświetlony następujący komunikat: "To zaproszenie jest blokowane przez ustawienia dostępu między dzierżawami w organizacji. Aby zezwolić na to zaproszenie, administrator musi skonfigurować ustawienia dostępu między dzierżawami". W takim przypadku poproś administratora o sprawdzenie ustawień dostępu między dzierżawami.

Następny krok