Partilhar via


Configurar a sincronização entre entidades

Este artigo descreve as etapas para configurar a sincronização entre locatários usando o centro de administração do Microsoft Entra. Quando configurado, o Microsoft Entra ID provisiona e desprovisiona automaticamente os usuários B2B em seu locatário de destino. Para obter detalhes importantes sobre o que esse serviço faz, como funciona e perguntas frequentes, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com o Microsoft Entra ID.

Diagrama que mostra a sincronização inter-locatários entre o locatário de origem e o locatário de destino.

Objetivos de aprendizagem

Ao final deste artigo, você será capaz de:

  • Criar usuários B2B em seu locatário de destino
  • Remover usuários B2B em seu locatário de destino
  • Mantenha os atributos do usuário sincronizados entre os locatários de origem e de destino

Pré-requisitos

Ícone para o inquilino de origem.
Locatário de origem

Ícone para o locatário de destino.
Inquilino alvo

Etapa 1: Planear a implantação de provisionamento

  1. Defina como você gostaria de estruturar os locatários em sua organização.

  2. Saiba como funciona o serviço de aprovisionamento.

  3. Determine quem estará incluído no Escopo para provisionamento.

  4. Determinar os dados a mapear entre locatários.

Passo 2: Ativar a sincronização de utilizadores no inquilino de destino

Ícone para o locatário de destino.
Locatário de destino

  1. Entre no centro de administração do Microsoft Entra do inquilino de destino.

  2. Navegue para Identidade>Identidades Externas>Configurações de acesso entre locatários.

  3. Na guia Configurações da organização, selecione Adicionar organização.

  4. Adicione o locatário de origem digitando o ID do locatário ou nome de domínio e selecionando Adicionar.

    Captura de ecrã que mostra o painel Adicionar organização para adicionar o inquilino de origem.

  5. Em Acesso de entrada da organização adicionada, selecione Herdado do padrão.

  6. Selecione a Sincronização entre Locatários.

  7. Marque a caixa de seleção Permitir que os utilizadores possam sincronizar com este locatário.

    Captura de tela que mostra a guia Sincronização entre locatários com a caixa de seleção Permitir que os usuários sincronizem com este locatário.

  8. Selecione Guardar.

  9. Se aparecer uma caixa de diálogo Ativar sincronização entre locatários e resgate automático que pergunta se deseja ativar o resgate automático, selecione Sim.

    Selecionar Sim resgatará automaticamente convites no inquilino de destino.

    Captura de ecrã que mostra a caixa de diálogo para habilitar a sincronização entre inquilinos e o resgate automático de convites no inquilino de destino.

Etapa 3: resgatar convites automaticamente no locatário de destino

Ícone para o locatário de destino.
Inquilino alvo

Nesta etapa, você resgata automaticamente os convites para que os usuários do locatário de origem não precisem aceitar o prompt de consentimento. Essa configuração deve ser verificada no locatário de origem (saída) e no locatário de destino (entrada). Para obter mais informações, consulte Configuração de resgate automático.

  1. No locatário de destino, na mesma página de Configurações de Acesso de Entrada, selecione o separador Configurações de Confiança.

  2. Assinale a caixa de seleção Resgatar automaticamente os convites com o locatário<locatário>.

    Essa caixa já pode estar marcada se você tiver selecionado Sim anteriormente na caixa de diálogo Habilitar sincronização entre locatários e resgate automático.

    Captura de ecrã que mostra a caixa de seleção Resgate automático.

  3. Selecione Guardar.

Etapa 4: Resgatar automaticamente convites no locatário de origem

Ícone para o inquilino de origem.
Entidade de origem

Nesta etapa, você resgata automaticamente os convites no locatário de origem.

  1. Inicie sessão no Centro de Administração do Microsoft Entra do locatário de origem.

  2. Navegue para Identidade>Identidades Externas>Configurações de acesso entre locatários.

  3. Na guia Configurações da organização, selecione Adicionar organização.

  4. Adicione o locatário de destino digitando o ID do locatário ou nome de domínio e selecionando Adicionar.

    Captura de tela que mostra o painel Adicionar organização para adicionar o locatário de destino.

  5. Em Acesso de saída da organização de destino, selecione Herdado do padrão.

  6. Selecione a guia Configurações de confiança .

  7. Assinale a caixa de seleção Resgatar automaticamente os convites com o locatário<locatário>.

    Captura de ecrã que mostra a caixa de seleção Resgate Automático - Saída.

  8. Selecione Guardar.

Etapa 5: Crie uma configuração no inquilino de origem

Ícone para o inquilino de origem.
Locatário de origem

  1. No tenant de origem, navegue até Identidade>Identidades Externas>Sincronização entre tenants.

    Captura de ecrã que mostra a navegação de sincronização entre inquilinos no centro de administração do Microsoft Entra.

    Se estiver a usar o portal do Azure, vá até Microsoft Entra ID>Gerir>Sincronização entre locatários.

    Captura de ecrã que mostra a navegação de sincronização entre inquilinos no portal do Azure.

  2. Selecione Configurações.

  3. Na parte superior da página, selecione Nova configuração.

  4. Forneça um nome para a configuração e selecione Criar.

    Pode levar até 15 segundos para que a configuração que você acabou de criar apareça na lista.

Etapa 6: Testar a conexão com o locatário de destino

Ícone para o inquilino de origem.
Locatário de origem

  1. No locatário de origem, você verá sua nova configuração. Caso contrário, na lista de configurações, selecione sua configuração.

    Captura de tela que mostra a página Configurações de sincronização entre locatários e uma nova configuração.

  2. Selecione Introdução.

  3. Defina o Modo de Aprovisionamento como Automático.

  4. Na seção Credenciais do Administrador, altere o Método de autenticação para Política de Sincronização entre Locatários.

    Captura de tela que mostra a página Provisionamento com a Política de Sincronização entre Locatários selecionada.

  5. Na caixa ID do Locatário, insira o ID do locatário de destino.

  6. Selecione Testar conexão para testar a conexão.

    Você verá uma mensagem informando que as credenciais fornecidas estão autorizadas a habilitar o provisionamento. Se a conexão de teste falhar, consulte Dicas de solução de problemas mais adiante neste artigo.

    Captura de tela que mostra uma notificação de conexão de teste.

  7. Selecione Guardar.

    As seções Mapeamentos e Configurações são exibidas.

  8. Feche a página Provisionamento .

Etapa 7: Definir quem está no escopo do provisionamento

Ícone para o inquilino de origem.
Inquilino de origem

O serviço de provisionamento do Microsoft Entra permite definir quem será provisionado de uma ou ambas as seguintes maneiras:

  • Com base na atribuição à configuração
  • Com base nos atributos do usuário

Comece pequeno. Teste com um pequeno conjunto de usuários antes de distribuir para todos. Quando o escopo para provisionamento é definido como usuários e grupos atribuídos, você pode controlá-lo atribuindo um ou dois usuários à configuração. Você pode refinar ainda mais quem está no escopo para provisionamento criando filtros de escopo baseados em atributos, descritos na próxima etapa.

  1. No locatário de origem, selecione Provisionamento e expanda a seção Configurações .

    Captura de tela da página Provisionamento que mostra a seção Configurações com as opções Escopo e Status de Provisionamento.

  2. Na lista Escopo, escolha entre sincronizar todos os utilizadores no locatário de origem ou apenas os utilizadores atribuídos para a configuração.

    É recomendável selecionar Sincronizar apenas usuários e grupos atribuídos em vez de Sincronizar todos os usuários e grupos. Reduzir o número de usuários no escopo melhora o desempenho.

  3. Se você fez alguma alteração, selecione Salvar.

  4. Na página de configuração, selecione Usuários e grupos.

    Para que a sincronização entre locatários funcione, pelo menos um usuário interno deve ser atribuído à configuração.

  5. Selecione Adicionar usuário/grupo.

  6. Na página Adicionar Atribuição, em Usuários e grupos, selecione Nenhum Selecionado.

  7. No painel Usuários e grupos, procure e selecione um ou mais usuários ou grupos internos que você deseja atribuir à configuração.

    Se você selecionar um grupo para atribuir à configuração, somente os usuários que são membros diretos do grupo estarão no escopo para provisionamento. Você pode selecionar um grupo estático ou um grupo dinâmico. A atribuição não se propaga para grupos aninhados.

  8. Selecione Selecionar.

  9. Selecione Atribuir.

    Captura de tela que mostra a página Usuários e grupos com um usuário atribuído à configuração.

    Para obter mais informações, consulte Atribuir usuários e grupos a um aplicativo.

Etapa 8: (Opcional) Definir os utilizadores incluídos no alcance do provisionamento com filtros de segmentação

Ícone para o inquilino de origem.
Locatário de origem

Independentemente do valor selecionado para Escopo na etapa anterior, você pode limitar ainda mais quais usuários são sincronizados criando filtros de escopo baseados em atributos.

  1. No locatário de origem, selecione Provisionamento e expanda a secção Mapeamentos.

    Captura de tela que mostra a página Provisionamento com a seção Mapeamentos expandida.

  2. Selecione Provisionar utilizadores do Microsoft Entra ID para abrir a página de Mapeamento de Atributos.

  3. Em Escopo do objeto de origem, selecione Todos os registros.

    Captura de tela que mostra a página Mapeamento de Atributos com o Escopo do Objeto de Origem.

  4. Na página Escopo do Objeto de Origem , selecione Adicionar filtro de escopo.

  5. Adicione quaisquer filtros de escopo para definir quais usuários estão no escopo para provisionamento.

    Para configurar filtros de escopo, consulte as instruções fornecidas em Definindo escopo de utilizadores ou grupos a serem provisionados com filtros de escopo.

    Captura de tela que mostra a página Adicionar Filtro de Escopo com filtro de exemplo.

  6. Selecione Ok e Salvar para salvar as alterações.

    Se você adicionou um filtro, verá uma mensagem informando que salvar as alterações resultará na ressincronização de todos os usuários e grupos atribuídos. Isso pode levar muito tempo, dependendo do tamanho do seu diretório.

  7. Selecione Sim e feche a página Mapeamento de Atributos.

Etapa 9: Revisar mapeamentos de atributos

Ícone para o inquilino de origem.
Locatário de origem

Os mapeamentos de atributos permitem definir como os dados devem fluir entre o locatário de origem e o locatário de destino. Para obter informações sobre como personalizar os mapeamentos de atributos padrão, consulte Tutorial - Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID.

  1. No locatário de origem, selecione Provisionamento e expanda a Secção de Mapeamentos.

  2. Selecione Provisionar Utilizadores do Microsoft Entra ID.

  3. Na página de Mapeamento de Atributos, desça para revisar os atributos de utilizador sincronizados entre inquilinos na seção de Mapeamentos de Atributos.

    O primeiro atributo, alternativeSecurityIdentifier, é um atributo interno usado para identificar exclusivamente o usuário entre locatários, fazer a correspondência entre usuários no locatário de origem com os usuários existentes no locatário de destino e garantir que cada usuário tenha apenas uma conta. O atributo correspondente não pode ser alterado. Tentar alterar o atributo correspondente ou adicionar atributos correspondentes adicionais resultará em um schemaInvalid erro.

    Captura de ecrã da página Mapeamento de Atributos que mostra a lista de atributos do Microsoft Entra.

  4. Selecione o atributo Member (userType) para abrir a página de Editar Atributo.

  5. Reveja a configuração de valor constante para o atributo userType.

    Essa configuração define o tipo de usuário que será criado no locatário de destino e pode ser um dos valores na tabela a seguir. Por padrão, os usuários serão criados como membros externos (usuários de colaboração B2B). Para obter mais informações, consulte Propriedades de um usuário de colaboração B2B do Microsoft Entra.

    Valor constante Descrição
    Membro Predefinição. Os usuários serão criados como membros externos (usuários de colaboração B2B) no locatário de destino. Os usuários poderão funcionar como qualquer membro interno do locatário de destino.
    Convidado Os usuários serão criados como convidados externos (usuários de colaboração B2B) no locatário de destino.

    Nota

    Se o utilizador B2B já existir no tenant de destino, Member (userType) não será alterado para Member, a menos que a configuração Apply this mapping esteja definida como Always.

    O tipo de usuário escolhido tem as seguintes limitações para aplicativos ou serviços (mas não estão limitados a):

    Aplicação ou serviço Limitações
    Power BI - O suporte para o tipo de utilizador "Member" no Power BI encontra-se atualmente em fase de pré-visualização. Para obter mais informações, consulte Distribuir conteúdo do Power BI para usuários convidados externos com o Microsoft Entra B2B.
    Azure Virtual Desktop - Membro externo e convidado externo não são suportados na Área de Trabalho Virtual do Azure.

    Captura de ecrã da página Editar Atributo que mostra o atributo Membro.

  6. Se quiser definir quaisquer transformações, na página Mapeamento de Atributos, selecione o atributo que deseja transformar, como displayName.

  7. Defina o tipo de mapeamento como Expressão.

  8. Na caixa Expressão, insira a expressão de transformação. Por exemplo, com o nome de exibição, é possível fazer o seguinte:

    • Inverta o nome e o sobrenome e adicione uma vírgula no meio.
    • Adicione o nome de domínio entre parênteses no final do nome para exibição.

    Para obter exemplos, consulte Referência para escrever expressões para mapeamentos de atributos no Microsoft Entra ID.

    Captura de ecrã da página Editar Atributo que mostra o atributo displayName com a caixa de expressão.

Gorjeta

Você pode mapear extensões de diretório atualizando o esquema da sincronização entre inquilinos. Para obter mais informações, consulte Mapear extensões de diretório na sincronização entre locatários.

Etapa 10: Especificar configurações de provisionamento adicionais

Ícone para o inquilino de origem.
Locatário de origem

  1. No locatário de origem, selecione Provisionamento e expanda a seção Configurações .

    Captura de tela da página Provisionamento que mostra a seção Configurações com as opções Escopo e Status de Provisionamento.

  2. Marque a caixa de seleção Enviar uma notificação por e-mail quando ocorrer uma falha.

  3. Na caixa Email de notificação, digite o endereço de e-mail de uma pessoa ou grupo que deve receber notificações de erro de provisionamento.

    As notificações por e-mail são enviadas dentro de 24 horas após o trabalho entrar no estado de quarentena. Para alertas personalizados, consulte Compreender como o provisionamento se integra aos logs do Azure Monitor.

  4. Para evitar a exclusão acidental, selecione Impedir exclusão acidental e especifique um valor limite. Por padrão, o limite é definido como 500.

    Para obter mais informações, consulte Habilitar a prevenção de exclusões acidentais no serviço de provisionamento do Microsoft Entra.

  5. Selecione Salvar para salvar as alterações.

Etapa 11: Fornecimento de teste sob demanda

Ícone para o inquilino de origem.
Locatário de origem

Agora que você tem uma configuração, pode testar o provisionamento sob demanda com um de seus usuários.

  1. No locatário de origem, navegue até Identidade>Identidades Externas>Sincronização entre locatários.

  2. Selecione Configurações e, em seguida, selecione sua configuração.

  3. Selecione Provisão sob demanda.

  4. Na caixa Selecione um usuário ou grupo, procure e selecione um de seus usuários de teste.

    Captura de tela da página Provisão sob demanda que mostra um usuário de teste selecionado.

  5. Selecione Provision.

    Após alguns momentos, a página Executar ação aparece com informações sobre o provisionamento do usuário de teste no locatário de destino.

    Captura de tela da página Executar ação que mostra o usuário de teste e a lista de atributos modificados.

    Se o usuário não estiver no escopo, você verá uma página com informações sobre por que o usuário de teste foi ignorado.

    Captura de tela da página Determinar se o usuário está no escopo que mostra informações sobre por que o usuário de teste foi ignorado.

    Na página Provisão sob demanda, você pode exibir detalhes sobre a provisão e ter a opção de tentar novamente.

    Captura de tela da página Provisão sob demanda que mostra detalhes sobre a provisão.

  6. No locatário de destino, verifique se o utilizador de teste foi aprovisionado.

    Captura de ecrã da página Utilizadores do inquilino de destino que mostra o utilizador de teste provisionado.

  7. Se tudo estiver funcionando conforme o esperado, atribua usuários adicionais à configuração.

    Para obter mais informações, consulte Provisionamento sob demanda no Microsoft Entra ID.

Etapa 12: Iniciar o trabalho de provisionamento

Ícone para o inquilino de origem.
Locatário de origem

O trabalho de provisionamento inicia o ciclo de sincronização inicial de todos os usuários definidos na seção Escopo das Configurações . O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes, que ocorrem aproximadamente a cada 40 minutos, enquanto o serviço de provisionamento do Microsoft Entra estiver em execução.

  1. No inquilino de origem, navegue até Identidade>Identidades Externas>Sincronização entre inquilinos.

  2. Selecione Configurações e, em seguida, selecione sua configuração.

  3. Na página Visão geral, revise os detalhes de provisionamento.

    Captura de tela da página Visão geral das configurações que lista os detalhes de provisionamento.

  4. Selecione Iniciar provisionamento para iniciar o trabalho de provisionamento.

Etapa 13: Monitorar o provisionamento

Ícone para o locatário de origem. Ícone para o locatário de destino.
Locatários de origem e de destino

Depois de iniciar um trabalho de provisionamento, você pode monitorar o status.

  1. No locatário de origem, na página Visão geral, verifique a barra de progresso para ver o estado do processo de provisionamento e quão próximo está de ser concluído. Para obter mais informações, consulte Verificar o status do provisionamento de usuários.

    Se o provisionamento parecer estar num estado insalubre, a configuração entrará em quarentena. Para obter mais informações, consulte Provisionamento de aplicativos no status de quarentena.

    Captura de tela da página Visão geral das configurações que mostra o status do ciclo de provisionamento.

  2. Selecione Logs de provisionamento para determinar quais usuários foram provisionados com ou sem êxito. Por predefinição, os logs são filtrados pelo ID principal de serviço da configuração. Para obter mais informações, consulte Registos de provisionamento no Microsoft Entra ID.

    Captura de ecrã da página de Registos de provisionamento que lista as entradas de registo e o seu estado.

  3. Selecione Logs de auditoria para exibir todos os eventos registrados no Microsoft Entra ID. Para obter mais informações, consulte Logs de auditoria no Microsoft Entra ID.

    Captura de ecrã da página de Registos de auditoria que lista as entradas de registo e o seu estado.

    Você também pode visualizar os registos de auditoria no locatário de destino.

  4. No locatário de destino, selecione Utilizadores>Logs de auditoria para ver os eventos registados no âmbito da gestão de utilizadores. A sincronização entre locatários no locatário de destino será registrada como o ator sendo o aplicativo "Microsoft.Azure.SyncFabric".

    Captura de ecrã da página de Logs de Auditoria no inquilino de destino que lista as entradas de log para a gestão de utilizadores.

Etapa 14: Definir configurações de férias

Ícone para o locatário de destino.
Entidade de destino

Mesmo que os utilizadores estejam a ser provisionados no locatário de destino, ainda podem ser capazes de se remover. Se os usuários se removerem e estiverem no escopo, eles serão provisionados novamente durante o próximo ciclo de provisionamento. Se quiser impedir que os utilizadores se removam da sua organização, deve definir as configurações de saída de utilizador externo.

  1. No locatário de destino, navegue até Identidade>Identidades Externas>Configurações de colaboração externa.

  2. Em Configurações de saída do utilizador externo, escolha se deseja permitir que os utilizadores externos saiam da sua organização por si próprios.

Essa configuração também se aplica à colaboração B2B e à conexão direta B2B, portanto, se você definir as configurações de saída de usuário externo como Não, os usuários de colaboração B2B e os usuários de conexão direta B2B não poderão sair da sua organização. Para obter mais informações, consulte Sair de uma organização como um usuário externo.

Sugestões de resolução de problemas

Excluir uma configuração

Siga estas etapas para excluir uma configuração na página Configurações .

  1. No inquilino de origem, navegue até Identidade>Identidades Externas>Sincronização entre inquilinos.

  2. Na página Configurações, adicione uma marca de seleção ao lado da configuração que você deseja excluir.

  3. Selecione Excluir e, em seguida, OK para excluir a configuração.

    Captura de tela da página Configurações mostrando como excluir uma configuração.

Cenários comuns e soluções

Sintoma - Falha na tentativa de conexão de teste com AzureDirectoryB2BManagementPolicyCheckFailure

Ao configurar a sincronização cruzada de locatários no locatário de origem e ao testar a conexão, ocorre uma falha com a seguinte mensagem de erro:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Captura de tela que mostra o erro quando a conexão de teste falha com AzureDirectoryB2BManagementPolicyCheckFailure.

Motivo

Esse erro indica que a política para resgatar convites automaticamente nos locatários de origem e de destino não foi configurada.

Solução

Siga as etapas em Etapa 3: resgatar convites automaticamente no locatário de destino e Etapa 4: resgatar convites automaticamente no locatário de origem.

Sintoma - A caixa de seleção de resgate automático está desativada

Ao configurar a sincronização entre locatários, a caixa de seleção de Resgate automático está desativada.

Captura de ecrã que mostra a caixa de verificação Resgate automático como desativada.

Motivo

O seu inquilino não tem uma licença do Microsoft Entra ID P1 ou P2.

Solução

Você deve ter o Microsoft Entra ID P1 ou P2 para definir as configurações de confiança.

Sintoma - O usuário excluído recentemente no locatário de destino não foi restaurado

Depois de excluir suavemente um usuário sincronizado no locatário de destino, o usuário não é restaurado durante o próximo ciclo de sincronização. Se você tentar excluir suavemente um usuário com provisionamento sob demanda e, em seguida, restaurar o usuário, isso pode resultar em usuários duplicados.

Motivo

Não há suporte para a restauração de um usuário excluído anteriormente no locatário de destino.

Solução

Restaure manualmente o usuário excluído automaticamente no locatário de destino. Para obter mais informações, consulte Restaurar ou remover um usuário excluído recentemente usando a ID do Microsoft Entra.

Sintoma - Os usuários são ignorados porque a entrada por SMS está habilitada no usuário

Os utilizadores são ignorados na sincronização. A etapa de escopo inclui o seguinte filtro com status false: "Filtrar usuários externos.alternativeSecurityIds EQUALS 'None'"

Motivo

Se o login por SMS estiver habilitado para um utilizador, ele será ignorado pelo serviço de provisionamento.

Solução

Desative o SMS Sign-in para os usuários. O script abaixo mostra como você pode desabilitar o SMS Sign-in usando o PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Sintoma - Os utilizadores não conseguem efetuar o aprovisionamento com erro AzureActiveDirectoryForbidden

Os usuários no escopo não provisionam. Os detalhes dos logs de provisionamento incluem a seguinte mensagem de erro:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Motivo

Este erro indica que as configurações de convite convidado no locatário de destino estão configuradas com a configuração mais restritiva: "Ninguém na organização pode convidar usuários convidados, incluindo administradores (mais restritivos)".

Solução

Altere as configurações de convite convidado no locatário de destino para uma configuração menos restritiva. Para obter mais informações, veja Configurar as definições de colaboração externa.

Sintoma - UserPrincipalName não atualiza para usuários B2B existentes em estado de aceitação pendente

Quando um usuário é convidado pela primeira vez por meio de convite B2B manual, o convite é enviado para o endereço de e-mail do usuário de origem. Como resultado, o utilizador convidado no inquilino de destino é criado com um prefixo UPN (UserPrincipalName) usando a propriedade de valor de e-mail de origem. Existem ambientes onde as propriedades do objeto de usuário de origem, UPN e Mail, têm valores diferentes, por exemplo, Mail == user.mail@domain.com e UPN == user.upn@otherdomain.com. Nesse caso, o usuário convidado no locatário de destino será criado com o UPN da seguinte forma: user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

A questão surge quando o objeto de origem é colocado no âmbito para sincronização entre inquilinos e a expectativa é que, além de outras propriedades, o prefixo UPN do utilizador convidado de destino seja atualizado para corresponder ao UPN do utilizador de origem (usando o exemplo acima, o valor seria: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). No entanto, isso não está acontecendo durante os ciclos de sincronização incremental e a alteração é ignorada.

Motivo

Esse problema acontece quando o usuário B2B que foi convidado manualmente para o locatário de destino não aceitou ou resgatou o convite, portanto, seu estado está em aceitação pendente. Quando um usuário é convidado por meio de um e-mail, um objeto é criado com um conjunto de atributos que são preenchidos a partir do email, um deles é o UPN, que está apontando para o valor de email do usuário de origem. Se, posteriormente, você decidir adicionar o usuário ao escopo para sincronização entre locatários, o sistema tentará unir o usuário de origem a um usuário B2B no locatário de destino com base no atributo alternativeSecurityIdentifier, mas o usuário criado anteriormente não tem uma propriedade alternativeSecurityIdentifier preenchida porque o convite não foi resgatado. Portanto, o sistema não considerará isso como um novo objeto de usuário e não atualizará o valor UPN. O UserPrincipalName não é atualizado nos seguintes cenários:

  1. O UPN e o e-mail são diferentes para um usuário quando foi convidado manualmente.
  2. O utilizador foi convidado antes de ativar a sincronização entre inquilinos.
  3. O utilizador nunca aceitou o convite, pelo que se encontra em "estado de aceitação pendente".
  4. O utilizador é incluído no processo de sincronização entre locatários.

Solução

Para resolver o problema, execute o provisionamento sob demanda para que os usuários afetados atualizem o UPN. Você também pode reiniciar o provisionamento para atualizar o UPN para todos os usuários afetados. Por favor, note que isso desencadeia um ciclo inicial, que pode levar muito tempo para grandes inquilinos. Para obter uma lista de usuários convidados manuais em estado de aceitação pendente, você pode usar um script, consulte o exemplo abaixo.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Em seguida, você pode usar provisionOnDemand com PowerShell para cada usuário. O limite de taxa para esta API é de 5 solicitações por 10 segundos. Para mais informações, consulte Limitações conhecidas para o provisionamento sob demanda.

Próximos passos