Skonfiguruj synchronizację między dzierżawcami

W tym artykule opisano kroki konfigurowania synchronizacji międzynajemnej za pomocą centrum administracyjnego Microsoft Entra. Po skonfigurowaniu Microsoft Entra ID automatycznie udostępnia i usuwa użytkowników B2B w docelowej dzierżawie. Aby uzyskać ważne szczegółowe informacje na temat działania tej usługi, sposobu jej działania i często zadawanych pytań, zobacz Automatyzowanie aprowizacji użytkowników i anulowania aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Cele szkolenia

Po zakończeniu tego artykułu będziesz mieć następujące możliwości:

• Utwórz użytkowników B2B w docelowej dzierżawie
• Usuń użytkowników B2B w swojej docelowej dzierżawie
• Utrzymuj synchronizację atrybutów użytkownika między tenantami źródłowym a docelowym.

Wymagania wstępne

Najemca źródłowy

• Licencja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
• Rola administratora zabezpieczeń do konfigurowania ustawień dostępu między dzierżawcami.
• Rola administratora tożsamości hybrydowej do konfigurowania synchronizacji między dzierżawcami.
• Administrator aplikacji w chmurze lub Administrator aplikacji do przypisywania użytkowników do konfiguracji i usuwania konfiguracji.

Dzierżawa docelowa

• Licencja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
• Rola administratora zabezpieczeń do konfigurowania ustawień dostępu między dzierżawcami.

Krok 1: Zaplanuj wdrożenie provisioning

1. Zdefiniuj sposób strukturyzowania najemców w organizacji.

2. Dowiedz się więcej, jak działa usługa aprowizacji.

3. Określ, kto będzie w zakresie przydzielania zasobów.

4. Określ, jakie dane mają być przyporządkowane między najemcami.

Krok 2: Włącz synchronizację użytkowników w dzierżawie docelowej

Dzierżawa docelowa

1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra w dzierżawie docelowej.

2. Przejdź do Tożsamość>Tożsamości Zewnętrzne>Ustawienia dostępu między dzierżawami.

3. Na karcie Ustawienia organizacji wybierz pozycję Dodaj organizację.

4. Dodaj dzierżawcę źródłowego, wpisując identyfikator dzierżawcy lub nazwę domeny i wybierając Dodaj.

   

5. W sekcji Dostęp przychodzący dla dodanej organizacji wybierz pozycję Dziedziczone z domyślnego.

6. Wybierz kartę Synchronizacja międzynajemcowa.

7. Zaznacz pole wyboru Zezwalaj użytkownikom na synchronizację z tym dzierżawcą.

   

8. Wybierz pozycję Zapisz.

9. Jeśli zostanie wyświetlone okno dialogowe Włączanie synchronizacji między dzierżawcami i automatycznego realizowania z pytaniem, czy chcesz włączyć automatyczne realizowanie, kliknij Tak.

   Wybranie opcji Tak spowoduje automatyczne zrealizowanie zaproszeń w docelowym dzierżawcy.

   

Krok 3. Automatyczne realizowanie zaproszeń w dzierżawie docelowej

Dzierżawa docelowa

W tym kroku automatycznie zrealizowasz zaproszenia, aby użytkownicy z dzierżawy źródłowej nie musieli akceptować monitu o wyrażenie zgody. To ustawienie musi być sprawdzone zarówno w tenantcie źródłowym (wychodzącym), jak i w tenantcie docelowym (przychodzącym). Aby uzyskać więcej informacji, zobacz Ustawienia automatycznego wykupu.

1. W docelowej dzierżawie, na tej samej stronie Ustawienia dostępu przychodzącego wybierz zakładkę Ustawienia zaufania.

2. Zaznacz pole wyboru Automatycznie realizuj zaproszenia u dzierżawcy<dzierżawcy>.

   To pole może być już zaznaczone, jeśli wcześniej wybrano opcję Tak w oknie dialogowym Włącz synchronizację między dzierżawami i automatyczne realizowanie.

   

3. Wybierz pozycję Zapisz.

Krok 4. Automatyczne realizowanie zaproszeń w dzierżawie źródłowej

Najemca źródłowy

W tym kroku automatycznie zrealizujesz zaproszenia w dzierżawcy źródłowym.

1. Zaloguj się do centrum administracyjnego Microsoft Entra dzierżawcy źródłowego.

2. Przejdź do Tożsamość>Tożsamości Zewnętrzne>Ustawienia dostępu między dzierżawami.

3. Na karcie Ustawienia organizacji wybierz pozycję Dodaj organizację.

4. Dodaj dzierżawę docelową, wpisując identyfikator dzierżawy lub nazwę domeny i wybierając pozycję Dodaj.

   

5. W obszarze Dostęp wychodzący dla organizacji docelowej wybierz pozycję Dziedziczone z domyślnego.

6. Wybierz kartę Ustawienia zaufania.

7. Zaznacz pole wyboru Automatycznie realizuj zaproszenia u dzierżawcy<dzierżawcy>.

   

8. Wybierz pozycję Zapisz.

Krok 5: Utwórz konfigurację w dzierżawie źródłowej

Najemca źródłowy

1. W dzierżawie źródłowej przejdź do Tożsamości>Tożsamości zewnętrzne>Synchronizacja między dzierżawami.

   

   Jeśli używasz portalu Azure, przejdź do Microsoft Entra ID>Zarządzanie>Synchronizacja międzytenantowa.

   

2. Wybierz pozycję Konfiguracje.

3. W górnej części strony wybierz pozycję Nowa konfiguracja.

4. Podaj nazwę konfiguracji i wybierz pozycję Utwórz.

   Wyświetlenie utworzonej konfiguracji na liście może potrwać do 15 sekund.

Krok 6. Testowanie połączenia z dzierżawcą docelowym

Najemca źródłowy

1. W dzierżawcy źródłowym powinnaś zobaczyć swoją nową konfigurację. Jeśli nie, na liście konfiguracji wybierz konfigurację.

   

2. Wybierz Rozpocznij.

3. Ustaw Tryb konfiguracji na Automatyczny.

4. W sekcji Poświadczenia administratora, zmień Metodę uwierzytelniania na Zasady synchronizacji między dzierżawami.

   

5. W polu Identyfikator dzierżawcy wprowadź docelowy identyfikator dzierżawcy.

6. Wybierz pozycję Testuj połączenie , aby przetestować połączenie.

   Powinien zostać wyświetlony komunikat z informacją, że podane poświadczenia są zatwierdzone w celu umożliwienia aprowizacji. Jeśli połączenie testowe nie powiedzie się, zobacz Porady dotyczące rozwiązywania problemów w dalszej części tego artykułu.

   

7. Wybierz pozycję Zapisz.

   Pojawią się sekcje Mapowania i Ustawienia.

8. Zamknij stronę Konfigurowanie.

Krok 7. Definiuj, kto znajduje się w zakresie dostarczenia.

Najemca źródłowy

Usługa aprowizacji Microsoft Entra umożliwia zdefiniowanie, kto będzie aprowizowany w jeden lub oba z następujących sposobów:

• Na podstawie przypisania do konfiguracji
• Na podstawie atrybutów użytkownika

Zacznij od czegoś małego. Przetestuj mały zestaw użytkowników przed wdrożeniem dla wszystkich użytkowników. Jeśli zakres aprowizacji jest ustawiony na przypisanych użytkowników i grupy, możesz kontrolować go, przypisując jednego lub dwóch użytkowników do konfiguracji. Możesz dodatkowo uściślić, kto znajduje się w zakresie aprowizacji, tworząc filtry określania zakresu oparte na atrybutach opisane w następnym kroku.

1. W tenant źródłowym wybierz pozycję Aprowizowanie i rozwiń sekcję Ustawienia.

   

2. Na liście Zakres wybierz, czy synchronizować wszystkich użytkowników w tenantce źródłowym, czy tylko użytkowników przypisanych do konfiguracji.

   Zaleca się wybranie pozycji Synchronizuj tylko przypisanych użytkowników i grup zamiast synchronizowania wszystkich użytkowników i grup. Zmniejszenie liczby użytkowników branych pod uwagę zwiększa wydajność.

3. Jeśli wprowadzisz jakiekolwiek zmiany, wybierz pozycję Zapisz.

4. Na stronie konfiguracji wybierz pozycję Użytkownicy i grupy.

   Aby synchronizacja międzylokatorska działała, należy przypisać do konfiguracji co najmniej jednego użytkownika wewnętrznego.

5. Wybierz pozycję Dodaj użytkownika/grupę.

6. Na stronie Dodaj przypisanie w obszarze Użytkownicy i grupy wybierz pozycję Nie wybrano.

7. W okienku Użytkownicy i grupy wyszukaj i wybierz jednego lub więcej wewnętrznych użytkowników lub grup, które chcesz przypisać do konfiguracji.

   Jeśli wybierzesz grupę do przypisania do konfiguracji, tylko użytkownicy, którzy są bezpośrednimi członkami grupy, będą objęci procesem aprowizacji. Możesz wybrać grupę statyczną lub grupę dynamiczną. Przypisanie nie jest kaskadowe do grup zagnieżdżonych.

8. Wybierz Wybierz.

9. Wybierz Przypisz.

   

   Aby uzyskać więcej informacji, zobacz Przypisywanie użytkowników i grup do aplikacji.

Krok 8. (Opcjonalnie) Zdefiniuj, kto podlega prowizjonowaniu przy użyciu filtrów zakresu

Najemca źródłowy

Niezależnie od wartości wybranej dla pozycji Zakres w poprzednim kroku można dodatkowo ograniczyć synchronizację użytkowników, tworząc filtry określania zakresu oparte na atrybutach.

1. W dzierżawie źródłowej wybierz Udostępnianie i rozwiń sekcję Mapowania.

   

2. Wybierz Aprowizuj użytkowników Microsoft Entra ID, aby otworzyć stronę Mapowanie atrybutów.

3. W obszarze Zakres obiektu źródłowego wybierz pozycję Wszystkie rekordy.

   

4. Na stronie Zakres obiektu źródłowego wybierz pozycję Dodaj filtr określania zakresu.

5. Dodaj dowolne filtry zakresu, aby określić, którzy użytkownicy są objęci procesem udostępniania.

   Aby skonfigurować filtry określania zakresu, zapoznaj się z instrukcjami podanymi w temacie Filtrowanie użytkowników lub grup do prowizjonowania przy użyciu filtrów zakresu.

   

6. Wybierz przycisk OK i zapisz , aby zapisać zmiany.

   W przypadku dodania filtru zostanie wyświetlony komunikat z informacją, że zapisanie zmian spowoduje ponowne zsynchronizowanie wszystkich przypisanych użytkowników i grup. Może to potrwać długo w zależności od rozmiaru katalogu.

7. Wybierz pozycję Tak i zamknij stronę Mapowanie atrybutów.

Krok 9. Przegląd mapowań atrybutów

Najemca źródłowy

Mapowania atrybutów pozwalają określić, jak dane powinny przepływać między tenantem źródłowym a docelowym. Aby uzyskać informacje na temat dostosowywania domyślnych mapowań atrybutów, zobacz Samouczek: Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w Microsoft Entra ID.

1. W dzierżawie źródłowej wybierz Udostępnianie i rozwiń sekcję Mapowania.

2. Wybierz Udostępnij użytkowników Microsoft Entra ID.

3. Na stronie Mapowanie Atrybutów przewiń w dół, aby przejrzeć atrybuty użytkownika, które są synchronizowane między dzierżawcami w sekcji Mapowanie Atrybutów.

   Pierwszy atrybut, alternativeSecurityIdentifier, jest atrybutem wewnętrznym używanym do unikatowego identyfikowania użytkownika w dzierżawach, dopasowywania użytkowników w dzierżawie źródłowej z istniejącymi użytkownikami w dzierżawie docelowej i zapewnienia, że każdy użytkownik ma tylko jedno konto. Nie można zmienić pasującego atrybutu. Próba zmiany pasującego atrybutu lub dodanie dodatkowych pasujących atrybutów spowoduje schemaInvalid błąd.

   

4. Wybierz atrybut Member (userType), aby otworzyć Stronę edytowania atrybutu.

5. Przejrzyj ustawienie wartości stałej dla atrybutu userType.

   To ustawienie określa typ użytkownika, który zostanie utworzony w dzierżawie docelowej i może być jedną z wartości w poniższej tabeli. Domyślnie użytkownicy zostaną utworzeni jako członkowie zewnętrzni (użytkownicy współpracy B2B). Aby uzyskać więcej informacji, zobacz Właściwości użytkownika współpracy B2B firmy Microsoft.

   Wartość stała	opis
   Członek	Domyślne. Użytkownicy zostaną utworzeni jako zewnętrzni członkowie (użytkownicy współpracy B2B) w docelowym dzierżawcym środowisku. Użytkownicy będą mogli działać jak każdy wewnętrzny członek docelowej jednostki najemczej.
   Gość	Użytkownicy zostaną utworzeni jako goście zewnętrzni (użytkownicy współpracy B2B) w docelowym dzierżawcy.

   Uwaga

   Jeśli użytkownik B2B już istnieje w dzierżawie docelowej, Członek (userType) nie zostanie zmieniony na Członka, chyba że ustawienie 'Zastosuj to mapowanie' jest ustawione na 'Zawsze'.

   Wybrany typ użytkownika ma następujące ograniczenia dotyczące aplikacji lub usług (ale nie są ograniczone do):

   Aplikacja lub usługa	Ograniczenia
   Power BI	— Obsługa typu użytkownika Member w usłudze Power BI jest obecnie dostępna w wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Dystrybucja zawartości usługi Power BI do zewnętrznych użytkowników-gości za pomocą usługi Microsoft Entra B2B.
   Azure Virtual Desktop	— Zewnętrzny członek i zewnętrzny gość nie są obsługiwane w usłudze Azure Virtual Desktop.

   

6. Jeśli chcesz zdefiniować dowolne przekształcenia, na stronie Mapowanie atrybutów wybierz atrybut, który chcesz przekształcić, na przykład displayName.

7. Ustaw wartość Typ mapowania na Wyrażenie.

8. W polu Wyrażenie wprowadź wyrażenie przekształcenia. Na przykład przy użyciu nazwy wyświetlanej można wykonać następujące czynności:

   • Zamień miejscami imię i nazwisko i dodaj przecinek między nimi.
   • Dodaj nazwę domeny w nawiasach na końcu nazwy wyświetlanej.

   Przykłady można znaleźć w temacie Reference for writing expressions for attribute mappings in Microsoft Entra ID (Dokumentacja pisania wyrażeń mapowań atrybutów w identyfikatorze Entra firmy Microsoft).

   

Napiwek

Można mapować rozszerzenia katalogów, aktualizując schemat synchronizacji międzydzierżawowej. Aby uzyskać więcej informacji, sprawdź Mapowanie rozszerzeń katalogu w synchronizacji między dzierżawcami.

Krok 10. Określanie dodatkowych ustawień aprowizacji

Najemca źródłowy

1. W tenant źródłowym wybierz pozycję Aprowizowanie i rozwiń sekcję Ustawienia.

   

2. Zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.

3. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji.

   Powiadomienia e-mail są wysyłane w ciągu 24 godzin od wprowadzenia stanu kwarantanny zadania. Aby uzyskać alerty niestandardowe, zobacz Omówienie sposobu integrowania aprowizacji z dziennikami usługi Azure Monitor.

4. Aby zapobiec przypadkowemu usunięciu, wybierz pozycję Zapobiegaj przypadkowemu usunięciu i określ wartość progową. Domyślnie próg jest ustawiony na 500.

   Aby uzyskać więcej informacji, zobacz Włączanie zapobiegania przypadkowemu usuwaniu w usłudze aprowizacji Microsoft Entra.

5. Wybierz pozycję Zapisz , aby zapisać zmiany.

Krok 11: Testowanie udostępniania na żądanie

Najemca źródłowy

Teraz, gdy masz konfigurację, możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

1. W dzierżawie źródłowej przejdź do Tożsamości>Tożsamości zewnętrzne>Synchronizacja między dzierżawami.

2. Wybierz pozycję Konfiguracje , a następnie wybierz konfigurację.

3. Wybierz pozycję Udostępnianie na żądanie.

4. W polu Wybierz użytkownika lub grupę wyszukaj i wybierz jednego z użytkowników testowych.

   

5. Wybierz Postanowienie.

   Po kilku chwilach zostanie wyświetlona strona Wykonaj akcję z informacjami na temat aprowizacji użytkownika testowego w dzierżawie docelowej.

   

   Jeśli użytkownik nie znajduje się w zakresie, zostanie wyświetlona strona zawierająca informacje o tym, dlaczego użytkownik testowy został pominięty.

   

   Na stronie Dostarczanie na żądanie możesz wyświetlić szczegółowe informacje o dostarczaniu i skorzystać z opcji ponowienia.

   

6. W dzierżawie docelowej sprawdź, czy użytkownik testowy został aprowizowany.

   

7. Jeśli wszystko działa zgodnie z oczekiwaniami, przypisz dodatkowych użytkowników do konfiguracji.

   Aby uzyskać więcej informacji, zobacz Aprowizowanie na żądanie w usłudze Microsoft Entra ID.

Krok 12. Uruchamianie zadania aprowizacji

Najemca źródłowy

Zadanie aprowizacji rozpoczyna początkowy cykl synchronizacji wszystkich użytkowników zdefiniowanych w sekcji Zakres ustawień. Pierwszy cykl trwa dłużej niż kolejne cykle, które występują co około 40 minut, o ile usługa aprowizacji Microsoft Entra jest uruchomiona.

1. W dzierżawie źródłowej przejdź do Tożsamości>Tożsamości zewnętrzne>Synchronizacja między dzierżawami.

2. Wybierz pozycję Konfiguracje , a następnie wybierz konfigurację.

3. Na stronie Przegląd sprawdź szczegóły konfiguracji.

   

4. Wybierz pozycję Rozpocznij aprowizację , aby rozpocząć zadanie aprowizacji.

Krok 13: Monitorowanie aprowizacji

Dzierżawy źródłowe i docelowe

Po rozpoczęciu zadania przydzielania zasobów możesz monitorować stan.

1. W dzierżawie źródłowej, na stronie Przegląd, sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i dowiedzieć się, jak blisko jest do zakończenia. Aby uzyskać więcej informacji, zobacz Sprawdzanie stanu aprowizacji użytkowników.

   Jeśli aprowizacja wydaje się być w złej kondycji, konfiguracja przejdzie do kwarantanny. Aby uzyskać więcej informacji, zobacz Konfigurowanie aplikacji w stanie kwarantanny.

   

2. Wybierz Dzienniki aprowizacji, aby określić, którzy użytkownicy zostali aprowizowani pomyślnie lub niepowodzeniem. Domyślnie dzienniki są filtrowane według identyfikatora głównego usługi konfiguracji. Aby uzyskać więcej informacji, zobacz Dzienniki aprowizacji w Microsoft Entra ID.

   

3. Wybierz pozycję Dzienniki inspekcji , aby wyświetlić wszystkie zarejestrowane zdarzenia w identyfikatorze Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Dzienniki inspekcji w identyfikatorze Entra firmy Microsoft.

   

   Dzienniki audytu można również wyświetlić u docelowego dzierżawcy.

4. W dzierżawie docelowej wybierz Użytkownicy>Dzienniki inspekcji, aby wyświetlić zarejestrowane zdarzenia na potrzeby zarządzania użytkownikami. Synchronizacja między dzierżawami w dzierżawie docelowej zostanie zarejestrowana z aplikacją "Microsoft.Azure.SyncFabric" jako aktorem.

   

Krok 14: Konfigurowanie ustawień urlopów

Dzierżawa docelowa

Mimo że użytkownicy są dodawani do dzierżawy docelowej, nadal mogą być w stanie się usunąć. Jeśli użytkownicy usuną się i znajdują się w zakresie, zostaną oni ponownie przydzieleni podczas następnego cyklu przydzielania. Jeśli chcesz uniemożliwić użytkownikom usunięcie się z organizacji, musisz skonfigurować ustawienia odchodzenia użytkowników zewnętrznych.

1. W docelowym dzierżawcy przejdź do Tożsamość>Zewnętrzne tożsamości>Ustawienia współpracy zewnętrznej.

2. W obszarze Ustawienia opuszczania przez użytkownika zewnętrznego określ, czy zezwalać użytkownikom zewnętrznym na samodzielne opuszczenie organizacji.

To ustawienie dotyczy również współpracy B2B i B2B direct connect, więc jeśli ustawisz Ustawienie opuszczania zewnętrznych użytkowników na Nie, użytkownicy współpracy B2B i użytkownicy B2B direct connect nie mogą sami opuścić organizacji. Aby uzyskać więcej informacji, zobacz Leave an organization as an external user (Pozostawienie organizacji jako użytkownika zewnętrznego).

Wskazówki dotyczące rozwiązywania problemów

Usuwanie konfiguracji

Wykonaj następujące kroki, aby usunąć konfigurację na stronie Konfiguracje .

1. W dzierżawie źródłowej przejdź do Tożsamości>Tożsamości zewnętrzne>Synchronizacja między dzierżawami.

2. Na stronie Konfiguracje dodaj znacznik wyboru obok konfiguracji, którą chcesz usunąć.

3. Wybierz pozycję Usuń , a następnie przycisk OK , aby usunąć konfigurację.

   

Typowe scenariusze i rozwiązania

Objaw — połączenie testowe kończy się niepowodzeniem z usługą AzureDirectoryB2BManagementPolicyCheckFailure

Podczas konfigurowania synchronizacji między dzierżawami w źródłowej dzierżawie, gdy testujesz połączenie, pojawia się następujący komunikat o błędzie:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Przyczyna

Ten błąd wskazuje, że polityka automatycznej realizacji zaproszeń w dzierżawach źródłowych i docelowych nie została skonfigurowana.

Rozwiązanie

Wykonaj kroki opisane w Kroku 3: Automatyczne realizowanie zaproszeń w dzierżawie docelowej i Kroku 4: Automatyczne realizowanie zaproszeń w dzierżawie źródłowej.

Problem — pole wyboru automatycznego wykupu jest wyłączone

Podczas konfigurowania synchronizacji między dzierżawami pole wyboru Automatyczne odkupienie jest wyłączone.

Przyczyna

Twój dzierżawca nie ma licencji na Microsoft Entra ID P1 ani P2.

Rozwiązanie

Aby skonfigurować ustawienia zaufania, musisz mieć identyfikator Entra ID P1 lub P2 firmy Microsoft.

Objaw — ostatnio usunięty użytkownik w dzierżawie docelowej nie został przywrócony

Po tymczasowym usunięciu zsynchronizowanego użytkownika w dzierżawie docelowej, użytkownik nie zostaje przywrócony podczas następnego cyklu synchronizacji. Jeśli spróbujesz miękko usunąć użytkownika z aprowizacją na żądanie, a następnie przywrócić użytkownika, może to spowodować wystąpienie zduplikowanych użytkowników.

Przyczyna

Przywracanie wcześniej miękko usuniętego użytkownika w dzierżawie docelowej nie jest obsługiwane.

Rozwiązanie

Ręcznie przywróć tymczasowo usuniętego użytkownika w docelowej dzierżawie. Aby uzyskać więcej informacji, zobacz Przywracanie lub usuwanie ostatnio usuniętego użytkownika przy użyciu identyfikatora Entra firmy Microsoft.

Objaw — użytkownicy są pomijani, ponieważ logowanie sms jest włączone dla użytkownika

Użytkownicy są pomijani z synchronizacji. Krok określania zakresu zawiera następujący filtr o statusie fałszywym: „Filtr użytkowników zewnętrznych.alternativeSecurityIds RÓWNA SIĘ 'None'”

Przyczyna

Jeśli logowanie sms jest włączone dla użytkownika, zostanie pominięte przez usługę aprowizacji.

Rozwiązanie

Wyłącz logowanie sms dla użytkowników. Poniższy skrypt pokazuje, jak można wyłączyć logowanie sms przy użyciu programu PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Objaw — użytkownicy nie mogą być provisionowani z powodu błędu AzureActiveDirectoryForbidden

Aprowizacja użytkowników objętych zakresem nie powiodła się. Szczegóły dzienników aprowizacji zawierają następujący komunikat o błędzie:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Przyczyna

Ten błąd wskazuje, że ustawienia zaproszenia gościa w dzierżawie docelowej są skonfigurowane z najbardziej restrykcyjnym ustawieniem: "Nikt w organizacji nie może zapraszać użytkowników-gości, w tym administratorów (najbardziej restrykcyjnych)".

Rozwiązanie

Zmień opcje zapraszania gości w organizacji docelowej na mniej restrykcyjne ustawienie. Aby uzyskać więcej informacji, zobacz Konfigurowanie ustawień współpracy zewnętrznej.

Objaw — UserPrincipalName nie jest aktualizowany dla istniejących użytkowników B2B w stanie oczekiwania na akceptację

Po pierwszym zaproszeniu użytkownika za pośrednictwem ręcznego zaproszenia B2B zaproszenie jest wysyłane na adres e-mail użytkownika źródłowego. W efekcie użytkownik-gość w dzierżawie docelowej jest tworzony z prefiksem UserPrincipalName (UPN) opartym na wartości źródłowej adresu e-mail. Istnieją środowiska, w których właściwości obiektu użytkownika źródłowego, nazwy UPN i poczty mają różne wartości, na przykład Mail == user.mail@domain.com i UPN == user.upn@otherdomain.com. W takim przypadku użytkownik-gość w dzierżawie docelowej zostanie utworzony przy użyciu nazwy UPN jako user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Problem pojawia się, gdy obiekt źródłowy jest umieszczany w zakresie synchronizacji między dzierżawcami i oczekuje się, że poza innymi właściwościami prefiks UPN docelowego użytkownika-gościa zostanie zaktualizowany, aby pasował do UPN użytkownika źródłowego (zgodnie z powyższym przykładem wartość będzie wynosić: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Nie dzieje się to jednak podczas cykli synchronizacji przyrostowej, a zmiana jest ignorowana.

Przyczyna

Problem ten pojawia się, gdy użytkownik B2B, który został ręcznie zaproszony do dzierżawy docelowej, nie zaakceptował ani nie odebrał zaproszenia, więc jego stan jest w trakcie oczekiwania na akceptację. Gdy użytkownik jest zapraszany za pośrednictwem wiadomości e-mail, obiekt jest tworzony z zestawem atrybutów wypełnionych pocztą, jedną z nich jest nazwa UPN, która wskazuje wartość poczty użytkownika źródłowego. Jeśli później zdecydujesz się dodać użytkownika do zakresu synchronizacji między dzierżawami, system spróbuje powiązać użytkownika źródłowego z użytkownikiem B2B w dzierżawie docelowej na podstawie alternatywnego atrybutu alternativeSecurityIdentifier, ale wcześniej utworzony użytkownik nie ma wypełnionej właściwości alternativeSecurityIdentifier, ponieważ zaproszenie nie zostało zrealizowane. Dlatego system nie rozważy tego jako nowego obiektu użytkownika i nie zaktualizuje wartości nazwy UPN. Nazwa UserPrincipalName nie jest aktualizowana w następujących scenariuszach:

1. UPN i poczta są różne dla użytkownika, gdy został on ręcznie zaproszony.
2. Użytkownik został zaproszony przed włączeniem synchronizacji między dzierżawcami.
3. Użytkownik nigdy nie zaakceptował zaproszenia, więc jest w stanie "oczekiwania na akceptację".
4. Użytkownik zostaje objęty zakresem synchronizacji między dzierżawami.

Rozwiązanie

Aby rozwiązać ten problem, uruchom aprowizację na żądanie dla użytkowników, których dotyczy problem, w celu aktualizacji UPN. Możesz również ponownie uruchomić aprowizację, aby zaktualizować UPN dla wszystkich dotkniętych użytkowników. Należy pamiętać, że wyzwala to cykl startowy, który w przypadku dużych najemców może zająć dużo czasu. Aby uzyskać listę ręcznie zaproszonych użytkowników w stanie oczekujących akceptacji, możesz użyć skryptu, zobacz poniższy przykład.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Następnie możesz użyć provisionOnDemand w PowerShell dla każdego użytkownika. Limit szybkości dla tego interfejsu API wynosi 5 żądań na 10 sekund. Aby uzyskać więcej informacji, zobacz Znane ograniczenia aprowizacji na żądanie.

Następne kroki

• Samouczek: raportowanie automatycznego tworzenia kont użytkowników
• Zarządzanie aprowizowaniem kont użytkowników dla aplikacji dla przedsiębiorstw w witrynie Azure Portal
• Co to jest logowanie jednokrotne w usłudze Microsoft Entra ID?