Konfigurera synkronisering mellan klienter
I den här artikeln beskrivs stegen för att konfigurera synkronisering mellan klientorganisationer med hjälp av administrationscentret för Microsoft Entra. När det är konfigurerat etablerar och avreglerar Microsoft Entra-ID automatiskt B2B-användare i målklientorganisationen. Viktig information om vad den här tjänsten gör, hur den fungerar och vanliga frågor finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID.
Utbildningsmål
I slutet av den här artikeln kommer du att kunna:
- Skapa B2B-användare i målklientorganisationen
- Ta bort B2B-användare i målklientorganisationen
- Behåll användarattribut synkroniserade mellan dina käll- och målklientorganisationer
Förutsättningar
Källklientorganisation
- Microsoft Entra ID P1- eller P2-licens. Mer information finns i Licenskrav.
- Rollen Säkerhetsadministratör för att konfigurera åtkomstinställningar mellan klientorganisationer.
- Rollen Hybrididentitetsadministratör för att konfigurera synkronisering mellan klientorganisationer.
- Rollen Molnprogramadministratör eller programadministratör för att tilldela användare till en konfiguration och ta bort en konfiguration.
Målklientorganisation
- Microsoft Entra ID P1- eller P2-licens. Mer information finns i Licenskrav.
- Rollen Säkerhetsadministratör för att konfigurera åtkomstinställningar mellan klientorganisationer.
Steg 1: Planera etableringsdistributionen
Definiera hur du vill strukturera klientorganisationer i din organisation.
Lär dig mer om hur etableringstjänsten fungerar.
Ta reda på vem som ska ingå i omfånget för etablering.
Steg 2: Aktivera användarsynkronisering i målklientorganisationen
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Målklientorganisation
Logga in på administrationscentret för Microsoft Entra för målklientorganisationen.
Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.
På fliken Organisationsinställningar väljer du Lägg till organisation.
Lägg till källklientorganisationen genom att skriva klientorganisations-ID:t eller domännamnet och välja Lägg till.
Under Inkommande åtkomst för den tillagda organisationen väljer du Ärvd från standard.
Välj fliken Synkronisering mellan klientorganisationer.
Markera kryssrutan Tillåt användare att synkronisera i den här klientorganisationen .
Välj Spara.
Om du ser dialogrutan Aktivera synkronisering mellan klientorganisationer och automatisk inlösning där du frågar om du vill aktivera automatisk inlösen väljer du Ja.
Om du väljer Ja löses inbjudningar in automatiskt i målklientorganisationen.
Steg 3: Lös in inbjudningar automatiskt i målklientorganisationen
Målklientorganisation
I det här steget löser du in inbjudningar automatiskt så att användare från källklientorganisationen inte behöver acceptera medgivandeprompten. Den här inställningen måste kontrolleras i både källklientorganisationen (utgående) och målklientorganisationen (inkommande). Mer information finns i inställningen Automatisk inlösen.
I målklientorganisationen går du till samma inställningssida för inkommande åtkomst och väljer fliken Förtroendeinställningar .
Markera kryssrutan Lös in inbjudningar automatiskt med klientorganisationen><.
Den här rutan kanske redan är markerad om du tidigare har valt Ja i dialogrutan Aktivera synkronisering mellan klientorganisationer och automatisk inlösning .
Välj Spara.
Steg 4: Lös in inbjudningar automatiskt i källklientorganisationen
Källklientorganisation
I det här steget löser du in inbjudningar automatiskt i källklientorganisationen.
Logga in på administrationscentret för Microsoft Entra för källklientorganisationen.
Bläddra till Inställningar för identitetsåtkomst>för externa identiteter>mellan klientorganisationer.
På fliken Organisationsinställningar väljer du Lägg till organisation.
Lägg till målklientorganisationen genom att skriva klientorganisations-ID:t eller domännamnet och välja Lägg till.
Under Utgående åtkomst för målorganisationen väljer du Ärvd från standard.
Välj fliken Förtroendeinställningar .
Markera kryssrutan Lös in inbjudningar automatiskt med klientorganisationen><.
Välj Spara.
Steg 5: Skapa en konfiguration i källklientorganisationen
Källklientorganisation
I källklientorganisationen bläddrar du till Identitet>externa identiteter>Synkronisering mellan klientorganisationer.
Om du använder Azure Portal bläddrar du till Microsoft Entra ID>Hantera>synkronisering mellan klientorganisationer.
Välj Konfigurationer.
Längst upp på sidan väljer du Ny konfiguration.
Ange ett namn för konfigurationen och välj Skapa.
Det kan ta upp till 15 sekunder innan konfigurationen som du nyss skapade visas i listan.
Steg 6: Testa anslutningen till målklientorganisationen
Källklientorganisation
I källklientorganisationen bör du se den nya konfigurationen. Om inte väljer du din konfiguration i konfigurationslistan.
Välj Komma igång.
Ange Etableringsläge som Automatiskt.
Under avsnittet Administratörsautentiseringsuppgifter ändrar du autentiseringsmetoden till synkroniseringsprincip för flera klientorganisationer.
I rutan Klientorganisations-ID anger du klientorganisations-ID för målklientorganisationen.
Välj Testa anslutning för att testa anslutningen.
Du bör se ett meddelande om att de angivna autentiseringsuppgifterna har behörighet att aktivera etablering. Om testanslutningen misslyckas kan du läsa Felsökningstips senare i den här artikeln.
Välj Spara.
Avsnitten Mappningar och inställningar visas.
Stäng sidan Etablering .
Steg 7: Definiera vem som är i omfånget för etablering
Källklientorganisation
Med Microsoft Entra-etableringstjänsten kan du definiera vem som ska etableras på ett eller båda av följande sätt:
- Baserat på tilldelning till konfigurationen
- Baserat på användarens attribut
Starta i liten skala. Testa med en liten uppsättning användare innan du distribuerar till alla. När omfånget för etablering är inställt på tilldelade användare och grupper kan du styra det genom att tilldela en eller två användare till konfigurationen. Du kan ytterligare förfina vem som är i omfånget för etablering genom att skapa attributbaserade omfångsfilter, som beskrivs i nästa steg.
I källklientorganisationen väljer du Etablering och expanderar avsnittet Inställningar .
I listan Omfång väljer du om du vill synkronisera alla användare i källklientorganisationen eller endast användare som har tilldelats konfigurationen.
Vi rekommenderar att du väljer Synkronisera endast tilldelade användare och grupper i stället för Synkronisera alla användare och grupper. Att minska antalet användare i omfånget förbättrar prestandan.
Om du har gjort några ändringar väljer du Spara.
På konfigurationssidan väljer du Användare och grupper.
För att synkronisering mellan klientorganisationer ska fungera måste minst en intern användare tilldelas till konfigurationen.
Välj Lägg till användare/grupp.
På sidan Lägg till tilldelning går du till Användare och grupper och väljer Ingen markerad.
I fönstret Användare och grupper söker du efter och väljer en eller flera interna användare eller grupper som du vill tilldela till konfigurationen.
Om du väljer en grupp som ska tilldelas till konfigurationen är det bara användare som är direkta medlemmar i gruppen som är i omfånget för etablering. Du kan välja en statisk grupp eller en dynamisk grupp. Tilldelningen överlappar inte kapslade grupper.
Välj Välj.
Välj Tilldela.
Mer information finns i Tilldela användare och grupper till ett program.
Steg 8: (Valfritt) Definiera vem som är i omfånget för etablering med omfångsfilter
Källklientorganisation
Oavsett vilket värde du valde för Omfång i föregående steg kan du ytterligare begränsa vilka användare som synkroniseras genom att skapa attributbaserade omfångsfilter.
I källklientorganisationen väljer du Etablering och expanderar avsnittet Mappningar .
Välj Etablera Microsoft Entra-ID-användare för att öppna sidan Attributmappning .
Under Källobjektomfång väljer du Alla poster.
På sidan Omfång för källobjekt väljer du Lägg till omfångsfilter.
Lägg till eventuella omfångsfilter för att definiera vilka användare som ska etableras.
Om du vill konfigurera omfångsfilter läser du anvisningarna i Omfångsanvändare eller grupper som ska etableras med omfångsfilter.
Välj Ok och Spara för att spara eventuella ändringar.
Om du har lagt till ett filter visas ett meddelande om att om du sparar ändringarna kommer alla tilldelade användare och grupper att synkroniseras om. Det kan ta lång tid beroende på katalogens storlek.
Välj Ja och stäng sidan Attributmappning .
Steg 9: Granska attributmappningar
Källklientorganisation
Med attributmappningar kan du definiera hur data ska flöda mellan källklientorganisationen och målklientorganisationen. Information om hur du anpassar standardattributmappningar finns i Självstudie – Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID.
I källklientorganisationen väljer du Etablering och expanderar avsnittet Mappningar .
Välj Etablera Microsoft Entra-ID-användare.
På sidan Attributmappning rullar du ned för att granska de användarattribut som synkroniseras mellan klienter i avsnittet Attributmappningar .
Det första attributet, alternativeSecurityIdentifier, är ett internt attribut som används för att unikt identifiera användaren mellan klienter, matcha användare i källklientorganisationen med befintliga användare i målklientorganisationen och se till att varje användare bara har ett konto. Det går inte att ändra matchande attribut. Om du försöker ändra det matchande attributet eller lägga till ytterligare matchande attribut uppstår ett
schemaInvalidfel.
Välj attributet Medlem (userType) för att öppna sidan Redigera attribut.
Granska inställningen Konstant värde för attributet userType.
Den här inställningen definierar vilken typ av användare som ska skapas i målklientorganisationen och kan vara ett av värdena i följande tabell. Som standard skapas användare som extern medlem (B2B-samarbetsanvändare). Mer information finns i Egenskaper för en Microsoft Entra B2B-samarbetsanvändare.
Konstant värde beskrivning Medlem Standard. Användare skapas som extern medlem (B2B-samarbetsanvändare) i målklientorganisationen. Användarna kommer att kunna fungera som alla interna medlemmar i målklientorganisationen. Gäst Användare skapas som externa gäster (B2B-samarbetsanvändare) i målklientorganisationen. Kommentar
Om B2B-användaren redan finns i målklientorganisationen ändras inte Medlemmen (userType) till Medlem, såvida inte inställningen Tillämpa den här mappningen är inställd på Alltid.
Den användartyp du väljer har följande begränsningar för appar eller tjänster (men är inte begränsade till):
App eller tjänst Begränsningar Power BI – Stöd för UserType Member i Power BI är för närvarande i förhandsversion. Mer information finns i Distribuera Power BI-innehåll till externa gästanvändare med Microsoft Entra B2B. Azure Virtual Desktop – Extern medlem och extern gäst stöds inte i Azure Virtual Desktop. 
Om du vill definiera transformeringar går du till sidan Attributmappning och väljer det attribut som du vill transformera, till exempel displayName.
Ange mappningstypen till Uttryck.
I rutan Uttryck anger du transformeringsuttrycket. Med visningsnamnet kan du till exempel göra följande:
- Vänd förnamnet och efternamnet och lägg till ett kommatecken däremellan.
- Lägg till domännamnet i parenteser i slutet av visningsnamnet.
Exempel finns i Referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.
Dricks
Du kan mappa katalogtillägg genom att uppdatera schemat för synkronisering mellan klientorganisationer. Mer information finns i Mappa katalogtillägg i synkronisering mellan klientorganisationer.
Steg 10: Ange ytterligare etableringsinställningar
Källklientorganisation
I källklientorganisationen väljer du Etablering och expanderar avsnittet Inställningar .
Markera kryssrutan Skicka ett e-postmeddelande när ett fel inträffar .
I rutan E-postavisering anger du e-postadressen till en person eller grupp som ska få meddelanden om etableringsfel.
E-postaviseringar skickas inom 24 timmar efter att jobbet har angett karantäntillstånd. Anpassade aviseringar finns i Förstå hur etablering integreras med Azure Monitor-loggar.
Om du vill förhindra oavsiktlig borttagning väljer du Förhindra oavsiktlig borttagning och anger ett tröskelvärde. Som standard är tröskelvärdet inställt på 500.
Mer information finns i Aktivera förebyggande av oavsiktliga borttagningar i Microsoft Entra-etableringstjänsten.
Spara eventuella ändringar genom att välja Spara .
Steg 11: Testa etablering på begäran
Källklientorganisation
Nu när du har en konfiguration kan du testa etablering på begäran med en av dina användare.
I källklientorganisationen bläddrar du till Identitet>externa identiteter>Synkronisering mellan klientorganisationer.
Välj Konfigurationer och välj sedan din konfiguration.
Välj Etablera på begäran.
I rutan Välj en användare eller grupp söker du efter och väljer en av dina testanvändare.
Välj Etablera.
Efter en liten stund visas åtgärdssidan Utför med information om etableringen av testanvändaren i målklientorganisationen.
Om användaren inte finns i omfånget visas en sida med information om varför testanvändaren hoppades över.
På sidan Etablera på begäran kan du visa information om etableringen och ha möjlighet att försöka igen.
I målklientorganisationen kontrollerar du att testanvändaren har etablerats.
Om allt fungerar som förväntat tilldelar du ytterligare användare till konfigurationen.
Mer information finns i Etablering på begäran i Microsoft Entra-ID.
Steg 12: Starta etableringsjobbet
Källklientorganisation
Etableringsjobbet startar den inledande synkroniseringscykeln för alla användare som definierats i avsnittet Inställningars omfång. Den inledande cykeln tar längre tid att utföra än efterföljande cykler, som inträffar ungefär var 40:e minut så länge Microsoft Entra-etableringstjänsten körs.
I källklientorganisationen bläddrar du till Identitet>externa identiteter>Synkronisering mellan klientorganisationer.
Välj Konfigurationer och välj sedan din konfiguration.
På sidan Översikt granskar du etableringsinformationen.
Välj Starta etablering för att starta etableringsjobbet.
Steg 13: Övervaka etablering
Käll- och målklientorganisationer
När du har startat ett etableringsjobb kan du övervaka statusen.
I källklientorganisationen går du till sidan Översikt och kontrollerar förloppsindikatorn för att se status för etableringscykeln och hur nära den är att slutföras. Mer information finns i Kontrollera status för användaretablering.
Om etableringen verkar vara i ett feltillstånd hamnar konfigurationen i karantän. Mer information finns i Programetablering i karantänstatus.
Välj Etableringsloggar för att avgöra vilka användare som har etablerats eller misslyckats. Som standard filtreras loggarna efter tjänstens huvudnamns-ID för konfigurationen. Mer information finns i Etableringsloggar i Microsoft Entra-ID.
Välj Granskningsloggar för att visa alla loggade händelser i Microsoft Entra-ID. Mer information finns i Granskningsloggar i Microsoft Entra-ID.
Du kan också visa granskningsloggar i målklientorganisationen.
I målklientorganisationen väljer du Användare>Granskningsloggar för att visa loggade händelser för användarhantering.
Steg 14: Konfigurera inställningar för ledighet
Målklientorganisation
Även om användarna etableras i målklientorganisationen kanske de fortfarande kan ta bort sig själva. Om användarna tar bort sig själva och de är i omfånget etableras de igen under nästa etableringscykel. Om du inte vill tillåta möjligheten för användare att ta bort sig själva från din organisation måste du konfigurera inställningarna för extern användares ledighet.
I målklientorganisationen bläddrar du till Inställningar för extern identitetsidentitet>>externt samarbete.
Under Inställningar för extern användares ledighet väljer du om externa användare ska kunna lämna organisationen själva.
Den här inställningen gäller även för B2B-samarbete och B2B-direktanslutning, så om du anger Inställningar för extern användares ledighet till Nej, kan B2B-samarbetsanvändare och B2B-direktanslutningsanvändare inte lämna organisationen själva. Mer information finns i Lämna en organisation som extern användare.
Felsökningstips
Ta bort en konfiguration
Följ dessa steg för att ta bort en konfiguration på sidan Konfigurationer .
I källklientorganisationen bläddrar du till Identitet>externa identiteter>Synkronisering mellan klientorganisationer.
På sidan Konfigurationer lägger du till en bockmarkering bredvid den konfiguration som du vill ta bort.
Välj Ta bort och sedan OK för att ta bort konfigurationen.
Vanliga scenarier och lösningar
Symptom – Testanslutningen misslyckas med AzureDirectoryB2BManagementPolicyCheckFailure
När du konfigurerar synkronisering mellan klientorganisationer i källklientorganisationen och du testar anslutningen misslyckas det med följande felmeddelande:
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.
Orsak
Det här felet anger principen för att automatiskt lösa in inbjudningar i både käll- och målklientorganisationer som inte har konfigurerats.
Lösning
Följ stegen i Steg 3: Lös in inbjudningar automatiskt i målklientorganisationen och steg 4: Lös in inbjudningar automatiskt i källklientorganisationen.
Symptom – kryssrutan Automatisk inlösen är inaktiverad
När du konfigurerar synkronisering mellan klientorganisationer inaktiveras kryssrutan Automatisk inlösen.
Orsak
Din klientorganisation har ingen Microsoft Entra ID P1- eller P2-licens.
Lösning
Du måste ha Microsoft Entra ID P1 eller P2 för att konfigurera förtroendeinställningar.
Symptom – Nyligen borttagen användare i målklientorganisationen återställs inte
Efter mjuk borttagning av en synkroniserad användare i målklientorganisationen återställs inte användaren under nästa synkroniseringscykel. Om du försöker ta bort en användare med etablering på begäran och sedan återställa användaren kan det resultera i duplicerade användare.
Orsak
Det går inte att återställa en tidigare mjukt borttagen användare i målklientorganisationen.
Lösning
Återställ den mjukt borttagna användaren i målklientorganisationen manuellt. Mer information finns i Återställa eller ta bort en nyligen borttagen användare med hjälp av Microsoft Entra-ID.
Symptom – Användarna hoppas över eftersom SMS-inloggning är aktiverat på användaren
Användarna hoppas över från synkroniseringen. Omfångssteget innehåller följande filter med statusen false: "Filter external users.alternativeSecurityIds EQUALS 'None'"
Orsak
Om SMS-inloggning är aktiverat för en användare hoppas de över av etableringstjänsten.
Lösning
Inaktivera SMS-inloggning för användarna. Skriptet nedan visar hur du kan inaktivera SMS-inloggning med Hjälp av PowerShell.
##### Disable SMS Sign-in options for the users
#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"
##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7
$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"
#### Get the User Details
$userId = "objectid_of_the_user_in_Entra_ID"
#### validate the value for SmsSignInState
$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId
if($smssignin.SmsSignInState -eq "ready"){
#### Disable Sms Sign-In for the user is set to ready
Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
}
else{
Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
}
##### End the script
Symptom – Användare kan inte etablera med felet AzureActiveDirectoryForbidden
Användare i omfånget kan inte etableras. Information om etableringsloggar innehåller följande felmeddelande:
Guest invitations not allowed for your company. Contact your company administrator for more details.
Orsak
Det här felet anger att inställningarna för gästbjudning i målklientorganisationen har konfigurerats med den mest restriktiva inställningen: "Ingen i organisationen kan bjuda in gästanvändare, inklusive administratörer (mest restriktiva)".
Lösning
Ändra inställningarna för gästbjudning i målklientorganisationen till en mindre restriktiv inställning. Mer information finns i Konfigurera inställningar för externt samarbete.
Symptom – Användarens huvudnamn uppdateras inte för befintliga B2B-användare i väntande godkännandetillstånd
När en användare först bjuds in via en manuell B2B-inbjudan skickas inbjudan till källanvändarens e-postadress. Det innebär att gästanvändaren i målklientorganisationen skapas med ett UPN-prefix (user principal name) med hjälp av egenskapen för källans e-postvärde. Det finns miljöer där egenskaperna för källanvändarobjektet, UPN och Mail, har olika värden, till exempel Mail == user.mail@domain.com och UPN == user.upn@otherdomain.com. I det här fallet skapas gästanvändaren i målklientorganisationen med UPN som user.mail_domain.com#EXT#@contoso.onmicrosoft.com.
Problemet uppstår när källobjektet placeras i omfånget för synkronisering mellan klientorganisationer och förväntningarna är att förutom andra egenskaper uppdateras UPN-prefixet för målgästanvändaren så att det matchar källanvändarens UPN (med exemplet ovan skulle värdet vara: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Det sker dock inte under inkrementella synkroniseringscykler och ändringen ignoreras.
Orsak
Det här problemet uppstår när B2B-användaren som manuellt bjöds in till målklientorganisationen inte accepterade eller löste in inbjudan, så dess tillstånd väntar på godkännande. När en användare bjuds in via ett e-postmeddelande skapas ett objekt med en uppsättning attribut som fylls i från e-postmeddelandet, en av dem är UPN, som pekar på källanvändarens e-postvärde. Om du senare bestämmer dig för att lägga till användaren i omfånget för synkronisering mellan klientorganisationer försöker systemet ansluta källanvändaren till en B2B-användare i målklientorganisationen baserat på attributet alternativeSecurityIdentifier, men den tidigare skapade användaren har ingen alternativSecurityIdentifier-egenskap ifylld eftersom inbjudan inte löstes in. Systemet anser därför inte att detta är ett nytt användarobjekt och uppdaterar inte UPN-värdet. Användarens huvudnamn uppdateras inte i följande scenarier:
- UPN och e-post skiljer sig åt för en användare när de bjöds in manuellt.
- Användaren bjöds in innan synkronisering mellan klientorganisationer aktiverades.
- Användaren accepterade aldrig inbjudan, så de är i "väntande godkännandetillstånd".
- Användaren tas med i omfånget för synkronisering mellan klientorganisationer.
Lösning
Lös problemet genom att köra etablering på begäran för de berörda användarna för att uppdatera UPN. Du kan också starta om etableringen för att uppdatera UPN för alla berörda användare. Observera att detta utlöser en inledande cykel, vilket kan ta lång tid för stora klienter. Om du vill få en lista över manuella inbjudna användare i väntande godkännandetillstånd kan du använda ett skript. Se exemplet nedan.
Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'"
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"
Sedan kan du använda provisionOnDemand med PowerShell för varje användare. Hastighetsgränsen för det här API:et är 5 begäranden per 10 sekunder. Mer information finns i Kända begränsningar för etablering på begäran.