Konfigurowanie synchronizacji między dzierżawami przy użyciu programu PowerShell lub interfejsu API programu Microsoft Graph

W tym artykule opisano kluczowe kroki konfigurowania synchronizacji między dzierżawami przy użyciu programu Microsoft Graph PowerShell lub interfejsu API programu Microsoft Graph. Po skonfigurowaniu identyfikator Entra firmy Microsoft automatycznie aprowizuje i anuluje aprowizowanie użytkowników B2B w dzierżawie docelowej. Aby uzyskać szczegółowe instrukcje dotyczące korzystania z centrum administracyjnego firmy Microsoft Entra, zobacz Konfigurowanie synchronizacji między dzierżawcami.

Wymagania wstępne

Dzierżawa źródłowa

• Licencja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
• Rola administratora bezpieczeństwa do konfigurowania ustawień dostępu międzysesyjnego.
• Rola administratora tożsamości hybrydowej do konfigurowania synchronizacji między dzierżawcami.
• Administrator aplikacji w chmurze lub administrator aplikacji, aby przypisać użytkowników do konfiguracji i usunąć konfigurację.
• rola Administratora Ról Uprzywilejowanych do wyrażenia zgody na wymagane uprawnienia.

Dzierżawa docelowa

• Licencja microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Wymagania licencyjne.
• Rola administratora zabezpieczeń do konfigurowania ustawień dostępu między dzierżawami.
• Administrator uprzywilejowanych ról, aby wyrazić zgodę na wymagane uprawnienia.

Krok 1. Logowanie do dzierżawy docelowej

Dzierżawa docelowa

PowerShell

1. Uruchom program PowerShell.

2. W razie potrzeby zainstaluj zestaw MICROSOFT Graph PowerShell SDK.

3. Pobierz identyfikator dzierżawcy dzierżawcy źródłowego i docelowego oraz zainicjuj zmienne.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Użyj polecenia Connect-MgGraph, aby zalogować się do docelowego dzierżawcy i wyrazić zgodę na następujące wymagane uprawnienia.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

W tych krokach opisano sposób korzystania z Eksploratora programu Microsoft Graph, ale można również użyć innego klienta interfejsu API REST.

1. Uruchom narzędzie Microsoft Graph Explorer.

2. Zaloguj się do dzierżawy docelowej.

3. Wybierz swój profil, a następnie wybierz pozycję Zgoda na uprawnienia.

   

4. Wyrażanie zgody na następujące wymagane uprawnienia.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Pobierz identyfikator najemców źródłowego i docelowego. Przykładowa konfiguracja opisana w tym artykule używa następujących identyfikatorów dzierżawy.

   • Identyfikator dzierżawy źródłowej: {sourceTenantId}
   • Identyfikator dzierżawy docelowej: {targetTenantId}

Krok 2: Włącz synchronizację użytkowników w dzierżawie docelowej

Dzierżawa docelowa

PowerShell

1. W dzierżawie docelowej użyj polecenia New-MgPolicyCrossTenantAccessPolicyPartner , aby utworzyć nową konfigurację partnera w zasadach dostępu między dzierżawą docelową a dzierżawą źródłową. Użyj identyfikatora dzierżawy źródłowej w żądaniu.

   Jeśli wystąpi błąd New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, być może masz już istniejącą konfigurację. Aby uzyskać więcej informacji, zobacz Symptom - błąd New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Użyj polecenia Invoke-MgGraphRequest, aby włączyć synchronizację użytkowników w dzierżawie docelowej.

   Jeśli wystąpi Request_MultipleObjectsWithSameKeyValue błąd, być może masz już istniejące zasady. Aby uzyskać więcej informacji, zobacz Symptom - błąd Request_MultipleObjectsWithSameKeyValue.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Użyj polecenia Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, aby sprawdzić, czy IsSyncAllowed ustawiono wartość True.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. W dzierżawie docelowej użyj interfejsu API Create crossTenantAccessPolicyConfigurationPartner, aby utworzyć nową konfigurację partnera w zasadach dostępu między dzierżawą docelową a dzierżawą źródłową. Użyj identyfikatora dzierżawy źródłowej w żądaniu.

   Jeśli wystąpi Request_MultipleObjectsWithSameKeyValue błąd, być może masz już istniejącą konfigurację. Aby uzyskać więcej informacji, zobacz Symptom — błąd Request_MultipleObjectsWithSameKeyValue.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Użyj Create identitySynchronization API, aby włączyć synchronizację użytkowników w docelowej dzierżawie.

   Jeśli wystąpi Request_MultipleObjectsWithSameKeyValue błąd, być może masz już istniejące zasady. Aby uzyskać więcej informacji, zobacz Symptom - błąd Request_MultipleObjectsWithSameKeyValue.

   Zażądaj

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Krok 3. Automatyczne realizowanie zaproszeń w dzierżawie docelowej

Dzierżawa docelowa

PowerShell

1. W dzierżawie docelowej użyj polecenia Update-MgPolicyCrossTenantAccessPolicyPartner, aby automatycznie przyjąć zaproszenia i pominąć prośby o wyrażenie zgody dla dostępu przychodzącego.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. W dzierżawie docelowej użyj interfejsu API Update crossTenantAccessPolicyConfigurationPartner, aby automatycznie zrealizować zaproszenia i pominąć monity o wyrażenie zgody dla przychodzącego dostępu.

   Zażądaj

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Krok 4: Zaloguj się do źródłowej dzierżawy

Dzierżawa źródłowa

PowerShell

1. Uruchom instancję programu PowerShell.

2. Pobierz identyfikator dzierżawców źródłowych i celowych oraz zainicjuj zmienne.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Użyj polecenia Connect-MgGraph, aby zalogować się do dzierżawy źródłowej i wyrazić zgodę na następujące wymagane uprawnienia.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Uruchom narzędzie Microsoft Graph Explorer.

2. Zaloguj się na konto źródłowe.

3. Wyrażanie zgody na następujące wymagane uprawnienia.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Jeśli zostanie wyświetlona strona Wymagane zatwierdzenie przez administratora, musisz zalogować się na konto użytkownika, któremu przypisano co najmniej rolę Administratora ról uprzywilejowanych, aby wyrazić zgodę.

Krok 5. Automatyczne realizowanie zaproszeń w dzierżawie źródłowej

Dzierżawa źródłowa

PowerShell

1. W dzierżawie źródłowej użyj polecenia New-MgPolicyCrossTenantAccessPolicyPartner , aby utworzyć nową konfigurację partnera w zasadach dostępu między dzierżawą źródłową a dzierżawą docelową. Użyj identyfikatora najemcy docelowego w żądaniu.

   Jeśli wystąpi błąd New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, być może masz już istniejącą konfigurację. Aby uzyskać więcej informacji, zobacz Symptom - błąd New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Użyj polecenia Update-MgPolicyCrossTenantAccessPolicyPartner, aby automatycznie zrealizować zaproszenia i pominąć monity o wyrażenie zgody dla dostępu wychodzącego.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. W dzierżawie źródłowej użyj interfejsu API Create crossTenantAccessPolicyConfigurationPartner , aby utworzyć nową konfigurację partnera w zasadach dostępu między dzierżawą źródłową a dzierżawą docelową. Użyj identyfikatora dzierżawy docelowej w żądaniu.

   Jeśli wystąpi Request_MultipleObjectsWithSameKeyValue błąd, być może masz już istniejącą konfigurację. Aby uzyskać więcej informacji, zobacz Objaw — błąd Request_MultipleObjectsWithSameKeyValue.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Użyj interfejsu API Update crossTenantAccessPolicyConfigurationPartner , aby automatycznie zrealizować zaproszenia i pominąć monity o wyrażenie zgody dla dostępu wychodzącego.

   Zażądaj

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Krok 6. Tworzenie aplikacji konfiguracji w dzierżawie źródłowej

Najemca źródłowy

PowerShell

1. W źródłowej dzierżawie użyj polecenia Invoke-MgInstantiateApplicationTemplate, aby dodać konkretny przykład aplikacji konfiguracyjnej z galerii aplikacji Entra firmy Microsoft do swojej dzierżawy.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Użyj polecenia Get-MgServicePrincipal, aby uzyskać identyfikator jednostki usługi i identyfikator roli aplikacji.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Zainicjuj zmienną dla identyfikatora jednostki usługi.

   Pamiętaj, aby użyć identyfikatora jednostki usługi zamiast identyfikatora aplikacji.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Zainicjuj zmienną dla identyfikatora roli aplikacji.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. W dzierżawie źródłowej użyj interfejsu API applicationTemplate: instantiate, aby dodać wystąpienie aplikacji konfiguracji z galerii aplikacji Microsoft Entra do swojej dzierżawy.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Zapisz identyfikator servicePrincipalId.

   Pamiętaj, aby użyć identyfikatora jednostki usługi zamiast identyfikatora aplikacji.

3. Zapisz identyfikator appRoleId.

Krok 7. Testowanie połączenia z dzierżawą docelową

Dzierżawa źródłowa

PowerShell

1. W dzierżawie źródłowej użyj polecenia Invoke-MgGraphRequest do przetestowania połączenia z dzierżawą docelową i zweryfikowania poświadczeń.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. W dzierżawie źródłowej użyj interfejsu API synchronizationJob: validateCredentials, aby przetestować połączenie z dzierżawą docelową i zweryfikować poświadczenia.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Krok 8: Utwórz zadanie aprowizacji w dzierżawie źródłowej

Najemca źródłowy

Aby włączyć udostępnianie w dzierżawie źródłowej, utwórz zadanie udostępniania.

PowerShell

1. Określ szablon synchronizacji do użycia, taki jak Azure2Azure.

   Szablon ma wstępnie skonfigurowane ustawienia synchronizacji.

2. W dzierżawie źródłowej użyj polecenia New-MgServicePrincipalSynchronizationJob, aby utworzyć zadanie udostępniania na podstawie szablonu.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Zainicjuj zmienną dla identyfikatora zadania.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Określ szablon synchronizacji do użycia, taki jak Azure2Azure.

   Szablon ma wstępnie skonfigurowane ustawienia synchronizacji.

2. W dzierżawie źródłowej użyj interfejsu API Create synchronizationJob do utworzenia zadania zarządzania na podstawie szablonu.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Zapisz identyfikator zadania.

Krok 9. Zapisz swoje poświadczenia

Jednostka źródłowa

PowerShell

1. W dzierżawie źródłowej użyj polecenia Invoke-MgGraphRequest, aby zapisać poświadczenia.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. W dzierżawie źródłowej użyj interfejsu API Dodaj sekrety synchronizacji, aby zapisać swoje poświadczenia.

   Zażądaj

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Krok 10. Przypisywanie użytkownika do konfiguracji

Źródłowy najemca

Aby synchronizacja między dzierżawami mogła działać, co najmniej jeden użytkownik wewnętrzny musi być przypisany do konfiguracji.

PowerShell

1. W dzierżawie źródłowej, skorzystaj z polecenia New-MgServicePrincipalAppRoleAssignedTo, aby przypisać użytkownika wewnętrznego do konfiguracji.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. W dzierżawie źródłowej użyj atrybutu AppRoleAssignment dla jednostki usługi, aby przypisać użytkownika wewnętrznego do konfiguracji.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

Krok 11: Testowanie konfiguracji na żądanie

Dzierżawa źródłowa

Teraz, gdy masz konfigurację, możesz przetestować aprowizację na żądanie przy użyciu jednego z użytkowników.

PowerShell

1. W dzierżawie źródłowej użyj polecenia Get-MgServicePrincipalSynchronizationJobSchema, aby pobrać identyfikator reguły schematu.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Zainicjuj zmienną dla identyfikatora reguły.

   $RuleId = "<RuleId>"
   

3. Użyj polecenia New-MgServicePrincipalSynchronizationJobOnDemand, aby aprowizować użytkownika testowego na żądanie.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. W dzierżawie źródłowej użyj interfejsu API Pobierz schemat synchronizacji, aby uzyskać identyfikator reguły schematu.

   Zażądaj

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. W dzierżawie źródłowej użyj API synchronizationJob: provisionOnDemand, aby utworzyć użytkownika testowego na żądanie.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

Krok 12: Uruchom zadanie aprowizacji

Klient źródłowy

PowerShell

1. Po skonfigurowaniu zadania aprowizacji w dzierżawie źródłowej użyj polecenia Start-MgServicePrincipalSynchronizationJob, aby uruchomić zadanie aprowizacji.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Po skonfigurowaniu zadania aprowizacji w dzierżawie źródłowej użyj API Start synchronizationJob, aby uruchomić zadanie aprowizacji.

   Zażądaj

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Response

   HTTP/1.1 204 No Content
   

Krok 13: Monitorowanie procesu aprowizacji

Najemca źródłowy

PowerShell

1. Teraz, gdy zadanie aprowizacji jest uruchomione, w dzierżawie źródłowej użyj polecenia Get-MgServicePrincipalSynchronizationJob aby monitorować postęp bieżącego cyklu aprowizacji oraz statystyki, takie jak liczba użytkowników i grup utworzonych w systemie docelowym.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Oprócz monitorowania stanu zadania aprowizacji użyj polecenia Get-MgAuditLogProvisioning , aby pobrać dzienniki aprowizacji i pobrać wszystkie zdarzenia aprowizacji, które występują. Na przykład wykonaj zapytanie dotyczące określonego użytkownika i ustal, czy został on pomyślnie przydzielony.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Teraz, gdy zadanie prowizjonowania jest uruchomione, użyj w dzierżawie źródłowej interfejsu Get synchronizationJob API, aby monitorować postępy bieżącego cyklu prowizjonowania oraz statystyki do tej pory, takie jak liczba użytkowników i grup utworzonych w systemie docelowym.

   Zażądaj

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Response

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Oprócz monitorowania stanu zadania aprowizacji użyj interfejsu API List provisioningObjectSummary , aby pobrać dzienniki aprowizacji i pobrać wszystkie zdarzenia aprowizacji, które występują. Na przykład wykonaj zapytanie dotyczące określonego użytkownika i ustal, czy zostały one pomyślnie aprowidowane.

   Zażądaj

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Response

   Obiekt odpowiedzi pokazany tutaj został skrócony pod kątem czytelności.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Wskazówki dotyczące rozwiązywania problemów

PowerShell

Objaw — błąd: niewystarczające uprawnienia

Podczas próby wykonania akcji zostanie wyświetlony komunikat o błędzie podobny do następującego:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Przyczyna

Zalogowany użytkownik nie ma wystarczających uprawnień lub musisz wyrazić zgodę na jedno z wymaganych uprawnień.

Rozwiązanie

1. Upewnij się, że masz przypisane wymagane role. Zobacz Wymagania wstępne we wcześniejszej sekcji tego artykułu.

2. Po zalogowaniu się za pomocą Connect-MgGraph, upewnij się, że określono wymagane zakresy. Zobacz Krok 1: Zaloguj się do dzierżawy docelowej i Krok 4: Zaloguj się do dzierżawy źródłowej we wcześniejszej sekcji tego artykułu.

Objaw — błąd w new-MgPolicyCrossTenantAccessPolicyPartner_Create

Podczas próby utworzenia nowej konfiguracji partnera zostanie wyświetlony komunikat o błędzie podobny do następującego:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Przyczyna

Prawdopodobnie próbujesz utworzyć konfigurację lub obiekt, który już istnieje, prawdopodobnie z poprzedniej konfiguracji.

Rozwiązanie

1. Sprawdź składnię oraz upewnij się, że używasz poprawnego identyfikatora dzierżawy.

2. Użyj polecenia Get-MgPolicyCrossTenantAccessPolicyPartner, aby wyświetlić istniejący obiekt.

3. Jeśli masz istniejący obiekt, może być konieczne wprowadzenie aktualizacji przy użyciu polecenia Update-MgPolicyCrossTenantAccessPolicyPartner

Objaw — błąd Request_MultipleObjectsWithSameKeyValue

Podczas próby włączenia synchronizacji użytkowników zostanie wyświetlony komunikat o błędzie podobny do następującego:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Przyczyna

Prawdopodobnie próbujesz utworzyć zasady, które już istnieją, prawdopodobnie z poprzedniej konfiguracji.

Rozwiązanie

1. Sprawdź składnię i czy używasz poprawnego identyfikatora dzierżawy.

2. Użyj polecenia Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, aby wyświetlić ustawienieIsSyncAllowed.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Jeśli masz istniejące zasady, może być konieczne wprowadzenie aktualizacji przy użyciu polecenia Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization , aby włączyć synchronizację użytkowników.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Objaw: Błąd niewystarczających uprawnień

Podczas próby wykonania akcji zostanie wyświetlony komunikat o błędzie podobny do następującego:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Przyczyna

Zalogowany użytkownik nie ma wystarczających uprawnień lub musisz wyrazić zgodę na jedno z wymaganych uprawnień.

Rozwiązanie

1. Upewnij się, że masz przypisane wymagane role. Zobacz Wymagania wstępne we wcześniejszej sekcji tego artykułu.

2. W narzędziu Microsoft Graph Explorer upewnij się, że wyrażasz zgodę na wymagane uprawnienia. Zobacz Krok 1: Zaloguj się do dzierżawy docelowej oraz Krok 4: Zaloguj się do dzierżawy źródłowej wcześniej w tym artykule.

Objaw — błąd Request_MultipleObjectsWithSameKeyValue

Podczas próby wywołania interfejsu API programu Microsoft Graph zostanie wyświetlony komunikat o błędzie podobny do następującego:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Przyczyna

Prawdopodobnie próbujesz utworzyć konfigurację lub obiekt, który już istnieje, prawdopodobnie z poprzedniej konfiguracji.

Rozwiązanie

1. Sprawdź składnię żądania i czy używasz poprawnego identyfikatora dzierżawy.

2. GET Złóż żądanie, aby wymienić istniejące obiekty.

3. Jeśli masz istniejący obiekt, zamiast tworzyć żądanie tworzenia przy użyciu polecenia POST lub PUT, może być konieczne utworzenie żądania aktualizacji przy użyciu polecenia PATCH, na przykład:

   • Zaktualizuj crossTenantAccessPolicyConfigurationPartner
   • Zaktualizuj crossTenantIdentitySyncPolicyPartner

Objaw — błąd Directory_ObjectNotFound

Podczas próby wywołania interfejsu API programu Microsoft Graph zostanie wyświetlony komunikat o błędzie podobny do następującego:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Przyczyna

Prawdopodobnie próbujesz zaktualizować obiekt, który nie istnieje przy użyciu polecenia PATCH.

Rozwiązanie

1. Sprawdź składnię żądania i czy używasz poprawnego identyfikatora dzierżawy.

2. GET Prześlij żądanie, aby sprawdzić, czy obiekt nie istnieje.

3. Jeśli obiekt nie istnieje, zamiast wykonywać żądanie aktualizacji przy użyciu polecenia PATCH, może być konieczne utworzenie żądania przy użyciu polecenia POST lub PUT, na przykład:

   • Tworzenie funkcji identitySynchronization

Następne kroki

• Omówienie interfejsu API synchronizacji entra firmy Microsoft
• Przewodnik: opracowanie i zaplanowanie konfiguracji punktu SCIM w usłudze Microsoft Entra ID