Dela via


Konfigurera synkronisering mellan klienter

I den här artikeln beskrivs stegen för att konfigurera synkronisering mellan klientorganisationer med hjälp av administrationscentret för Microsoft Entra. När den har konfigurerats tilldelar och avetablerar Microsoft Entra ID automatiskt B2B-användare i målkundmiljön. Viktig information om vad den här tjänsten gör, hur den fungerar och vanliga frågor finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID.

Diagram som visar synkronisering mellan källtenant och måltentant.

Utbildningsmål

I slutet av den här artikeln kommer du att kunna:

  • Skapa B2B-användare i målklientorganisationen
  • Ta bort B2B-användare i målklientorganisationen
  • Håll användarattribut synkroniserade mellan dina källa och målobjekt

Förutsättningar

Ikon för källanvändaren.
Källklient

Ikon för målhyresgästen.
Målklientorganisation

Steg 1: Planera din tillhandahållandeimplementation

  1. Definiera hur du vill strukturera hyresgästerna i din organisation.

  2. Lär dig mer om hur försörjningstjänsten fungerar.

  3. Ta reda på vem som ska ingå i omfånget för tillhandahållande.

  4. Ta reda på vilka data som ska mappas mellan hyresgäster.

Steg 2: Aktivera användarsynkronisering i målklientorganisationen

Ikon för målhyresgästen.
Målklientorganisation

  1. Logga in på administrationscentret för Microsoft Entra för målklientorganisationen.

  2. Bläddra till Identitet>Externa identiteter>inställningar för åtkomst mellan klienter.

  3. På fliken Organisationsinställningar väljer du Lägg till organisation.

  4. Lägg till källklientorganisationen genom att skriva klientorganisations-ID:t eller domännamnet och välja Lägg till.

    Skärmdump som visar panelen Lägg till organisation för att lägga till källklientorganisationen.

  5. Under Inkommande åtkomst för den tillagda organisationen väljer du Ärvd från standard.

  6. Välj fliken Övergripande synkronisering.

  7. Markera kryssrutan Tillåt användare att synkronisera i den här klientorganisationen .

    Skärmbild som visar fliken Synkronisering mellan klientorganisationer med kryssrutan Tillåt användare att synkronisera till den här klientorganisationen.

  8. Välj Spara.

  9. Om du ser dialogrutan Aktivera synkronisering mellan klientorganisationer och automatisk inlösning där det frågas om du vill aktivera automatisk inlösen, välj Ja.

    Om du väljer Ja kommer inbjudningar att lösas in automatiskt i målklientorganisationen.

    Skärmbild som visar dialogrutan Aktivera synkronisering mellan klientorganisationer och automatisk inlösen för att automatiskt lösa in inbjudningar i målklientorganisationen.

Steg 3: Lös in inbjudningar automatiskt i målklienten

Ikon för målhyresgästen.
Målklientorganisation

I det här steget löser du in inbjudningar automatiskt så att användare från källklientorganisationen inte behöver acceptera medgivandeprompten. Den här inställningen måste kontrolleras i både källklientorganisationen (utgående) och målklientorganisationen (inkommande). För mer information, se Automatisk inlösen inställning.

  1. I målklientorganisationen går du till samma inställningssida för inkommande åtkomst och väljer fliken Förtroendeinställningar .

  2. Markera kryssrutan Automatiskt lösa in inbjudningar med hyresgästen<hyresgäst>.

    Den här rutan kanske redan är markerad om du tidigare har valt Ja i dialogrutan Aktivera synkronisering mellan klientorganisationer och automatisk inlösning.

    Skärmbild som visar kryssrutan för inkommande automatisk inlösen.

  3. Välj Spara.

Steg 4: Utlös inbjudningar automatiskt i ursprungsklienten

Ikon för källanvändaren.
Källklient

I det här steget löser du in inbjudningar automatiskt i källtenant.

  1. Logga in på Microsoft Entra administratörscenter för källklientorganisationen.

  2. Bläddra till Identitet>Externa identiteter>inställningar för åtkomst mellan klienter.

  3. På fliken Organisationsinställningar väljer du Lägg till organisation.

  4. Lägg till målklientorganisationen genom att skriva klientorganisations-ID:t eller domännamnet och välja Lägg till.

    Skärmbild som visar fönstret Lägg till organisation för att lägga till målklientorganisationen.

  5. Under Utgående åtkomst för målorganisationen väljer du Ärvd från standard.

  6. Välj fliken Förtroendeinställningar .

  7. Markera kryssrutan Automatiskt lösa in inbjudningar med hyresgästen<hyresgäst>.

    Skärmbild som visar kryssrutan för automatisk inlösen av utgående transaktioner.

  8. Välj Spara.

Steg 5: Skapa en konfiguration i källklient

Ikon för källanvändaren.
Källklient

  1. I källklientorganisationen bläddrar du till Identitet>Externa Identiteter>Synkronisering mellan klientorganisationer.

    Skärmbild som visar navigeringen för synkronisering mellan klientorganisationer i administrationscentret för Microsoft Entra.

    Om du använder Azure-portalen bläddra till Microsoft Entra ID>Hantera>synkronisering mellan klientorganisationer.

    Skärmbild som visar navigeringen för synkronisering mellan klientorganisationer i Azure Portal.

  2. Välj Konfigurationer.

  3. Längst upp på sidan väljer du Ny konfiguration.

  4. Ange ett namn för konfigurationen och välj Skapa.

    Det kan ta upp till 15 sekunder innan konfigurationen som du nyss skapade visas i listan.

Steg 6: Testa anslutningen till måltenanten

Ikon för källanvändaren.
Källklient

  1. I source-klienten bör du se din nya konfiguration. Om inte väljer du din konfiguration i konfigurationslistan.

    Skärmbild som visar sidan Konfigurationer för synkronisering mellan klientorganisationer och en ny konfiguration.

  2. Välj Komma igång.

  3. Ange Etableringsläge som Automatiskt.

  4. Under avsnittet Administratörsautentiseringsuppgifter ändrar du autentiseringsmetoden till gränsöverskridande klient-synkroniseringsprincip.

    En skärmbild som visar sidan Etablering med synkroniseringspolicyn mellan klientorganisationer markerad.

  5. I rutan Klientorganisations-ID anger du klientorganisations-ID för målklientorganisationen.

  6. Välj Testa anslutning för att testa anslutningen.

    Du bör se ett meddelande om att de angivna autentiseringsuppgifterna har behörighet för att möjliggöra provisionering. Om testanslutningen misslyckas kan du läsa Felsökningstips senare i den här artikeln.

    Skärmbild som visar ett meddelande om att testa anslutningen.

  7. Välj Spara.

    Avsnitten Mappningar och inställningar visas.

  8. Stäng sidan Provisionering .

Steg 7: Definiera vem som är inom räckvidden för tilldelning

Ikon för källanvändaren.
Källklient

Med Microsoft Entra-etableringstjänsten kan du definiera vem som ska etableras på ett eller båda av följande sätt:

  • Baserat på tilldelning till konfigurationen
  • Baserat på användarens attribut

Starta i liten skala. Testa med en liten uppsättning användare innan du distribuerar till alla. När omfånget för etablering är inställt på tilldelade användare och grupper kan du styra det genom att tilldela en eller två användare till konfigurationen. Du kan ytterligare förfina vem som ingår i omfånget för tillhandahållande genom att skapa attributbaserade omfångsfilter, som beskrivs i nästa steg.

  1. I källutrymmet väljer du Etablering och expanderar Inställningar-avsnittet.

    Skärmbild av sidan Etablering som visar avsnittet Inställningar med alternativen Omfång och Etableringsstatus.

  2. I listan Omfång väljer du om du vill synkronisera alla användare i källklientorganisationen eller endast användare som har tilldelats konfigurationen.

    Vi rekommenderar att du väljer Synkronisera endast tilldelade användare och grupper i stället för Synkronisera alla användare och grupper. Att minska antalet användare i omfånget förbättrar prestandan.

  3. Om du har gjort några ändringar väljer du Spara.

  4. På konfigurationssidan väljer du Användare och grupper.

    För att synkronisering mellan klientorganisationer ska fungera måste minst en intern användare tilldelas till konfigurationen.

  5. Välj Lägg till användare/grupp.

  6. På sidan Lägg till tilldelning går du till Användare och grupper och väljer Ingen markerad.

  7. I fönstret Användare och grupper söker du efter och väljer en eller flera interna användare eller grupper som du vill tilldela till konfigurationen.

    Om du väljer en grupp som ska tilldelas till konfigurationen är det bara användare som är direkta medlemmar i gruppen som är aktuella för provisioning. Du kan välja en statisk grupp eller en dynamisk grupp. Tilldelningen propagaras inte till kapslade grupper.

  8. Välj Välj.

  9. Välj Tilldela.

    Skärmbild som visar sidan Användare och grupper med en användare tilldelad till konfigurationen.

    Mer information finns i Tilldela användare och grupper till ett program.

Steg 8: (Valfritt) Definiera vem som omfattas för tillhandahållning med omfångsfilter

Ikon för källanvändaren.
Källklient

Oavsett vilket värde du valde för Omfång i föregående steg kan du ytterligare begränsa vilka användare som synkroniseras genom att skapa attributbaserade omfångsfilter.

  1. I källklientorganisationen väljer du Provisioning och expanderar avsnittet Mappningar.

    Skärmbild som visar sidan Etablering med avsnittet Mappningar expanderat.

  2. Välj Provisionera Microsoft Entra ID-användare för att öppna Attributmappningssidan.

  3. Under Källobjektomfång väljer du Alla poster.

    Skärmbild som visar sidan Attributmappning med källobjektomfånget.

  4. På sidan Omfång för källobjekt väljer du Lägg till omfångsfilter.

  5. Lägg till eventuella omfångsfilter för att definiera vilka användare som omfattas av provisioneringen.

    Om du vill konfigurera omfångsfilter, läs instruktionerna i Att använda omfångsfilter för att konfigurera användare eller grupper.

    Skärmbild som visar sidan Lägg till omfångsfilter med exempelfilter.

  6. Välj Ok och Spara för att spara eventuella ändringar.

    Om du har lagt till ett filter visas ett meddelande om att om du sparar ändringarna kommer alla tilldelade användare och grupper att synkroniseras om. Det kan ta lång tid beroende på katalogens storlek.

  7. Välj Ja och stäng sidan Attributmappning .

Steg 9: Granska attributmappningar

Ikon för källanvändaren.
Källklient

Med attributmappningar kan du definiera hur data ska flöda mellan källklientorganisationen och målklientorganisationen. Information om hur du anpassar standardattributmappningar finns i Självstudie – Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID.

  1. I källklientorganisationen väljer du Provisioning och expanderar avsnittet Mappningar.

  2. Välj Tilldela Microsoft Entra ID-användare.

  3. På sidan Attributmappning rullar du ned för att granska de användarattribut som synkroniseras mellan klienter i avsnittet Attributmappningar .

    Det första attributet, alternativeSecurityIdentifier, är ett internt attribut som används för att unikt identifiera användaren mellan klienter, matcha användare i källklientorganisationen med befintliga användare i målklientorganisationen och se till att varje användare bara har ett konto. Det går inte att ändra matchande attribut. Om du försöker ändra det matchande attributet eller lägga till ytterligare matchande attribut uppstår ett schemaInvalid fel.

    Skärmbild av sidan Attributmappning som visar listan över Microsoft Entra-attribut.

  4. Välj attributet Medlem (userType) för att öppna sidan Redigera attribut.

  5. Granska inställningen för konstantvärde av attributet userType.

    Den här inställningen definierar vilken typ av användare som ska skapas i målklientorganisationen och kan vara ett av värdena i följande tabell. Som standard skapas användare som extern medlem (B2B-samarbetsanvändare). Mer information finns i Egenskaper för en Microsoft Entra B2B-samarbetsanvändare.

    Konstant värde beskrivning
    Medlem Standardinställning. Användare skapas som extern medlem (B2B-samarbetsanvändare) i målklientorganisationen. Användarna kommer att kunna fungera som vilken intern medlem som helst i målklientorganisationen.
    Gäst Användare skapas som externa gäster (B2B-samarbetsanvändare) i målklientorganisationen.

    Anteckning

    Om B2B-användaren redan finns i målklientorganisationen ändras inte Medlemmen (userType) till Medlem, såvida inte inställningen Tillämpa den här mappningen är inställd på Alltid.

    Den användartyp du väljer har följande begränsningar för appar eller tjänster (men är inte begränsade till):

    App eller tjänst Begränsningar
    Power BI – Stöd för UserType Member i Power BI är för närvarande i förhandsversion. Mer information finns i Distribuera Power BI-innehåll till externa gästanvändare med Microsoft Entra B2B.
    Azure Virtual Desktop – Extern medlem och extern gäst stöds inte i Azure Virtual Desktop.

    Skärmbild av sidan Redigera attribut som visar attributet Medlem.

  6. Om du vill definiera transformeringar går du till sidan Attributmappning och väljer det attribut som du vill transformera, till exempel displayName.

  7. Ange mappningstypen till Uttryck.

  8. I rutan Uttryck anger du transformeringsuttrycket. Med visningsnamnet kan du till exempel göra följande:

    • Vänd förnamnet och efternamnet och lägg till ett kommatecken däremellan.
    • Lägg till domännamnet i parenteser i slutet av visningsnamnet.

    Exempel finns i Referens för att skriva uttryck för attributmappningar i Microsoft Entra-ID.

    Skärmbild av sidan Redigera attribut som visar attributet displayName med rutan Uttryck.

Tips

Du kan mappa katalogtillägg genom att uppdatera schemat för synkronisering mellan olika klienter. För mer information, se Mappa katalogtillägg i synkronisering mellan klientorganisationer.

Steg 10: Ange ytterligare etableringsinställningar

Ikon för källanvändaren.
Källklient

  1. I källutrymmet väljer du Etablering och expanderar Inställningar-avsnittet.

    Skärmbild av sidan Etablering som visar avsnittet Inställningar med alternativen Omfång och Etableringsstatus.

  2. Markera kryssrutan Skicka ett e-postmeddelande när ett fel inträffar .

  3. I rutan E-postavisering anger du e-postadressen till en person eller grupp som ska få meddelanden om etableringsfel.

    E-postaviseringar skickas inom 24 timmar efter att jobbet har angett karantäntillstånd. För anpassade aviseringar, se Förstå hur provisionering integreras med Azure Monitor-loggar.

  4. Om du vill förhindra oavsiktlig borttagning väljer du Förhindra oavsiktlig borttagning och anger ett tröskelvärde. Som standard är tröskelvärdet inställt på 500.

    Mer information finns i Aktivera förebyggande av oavsiktliga borttagningar i Microsoft Entra-etableringstjänsten.

  5. Spara eventuella ändringar genom att välja Spara .

Steg 11: Testa tillhandahållande på begäran

Ikon för källanvändaren.
Källklient

Nu när du har en konfiguration kan du testa etablering på begäran med en av dina användare.

  1. I källklientorganisationen bläddrar du till Identitet>Externa Identiteter>Synkronisering mellan klientorganisationer.

  2. Välj Konfigurationer och välj sedan din konfiguration.

  3. Välj Tillhandahåll på begäran.

  4. I rutan Välj en användare eller grupp söker du efter och väljer en av dina testanvändare.

    Skärmbild av sidan Etablera på begäran som visar en testanvändare vald.

  5. Välj Provision.

    Efter några ögonblick visas sidan Utför åtgärd med information om hanteringen av testanvändaren i målhyraren.

    Skärmbild av sidan Utför åtgärd som visar testanvändaren och listan över ändrade attribut.

    Om användaren inte finns i omfånget visas en sida med information om varför testanvändaren hoppades över.

    Skärmbild av sidan Kontrollera om användaren finns på omfångssidan som visar information om varför testanvändaren hoppades över.

    På sidan Etablera på begäran kan du visa information om etableringen och ha möjlighet att försöka igen.

    Skärmbild av sidan Tillhandahållande på begäran som visar information om tillhandahållandet.

  6. I målhyresgästen kontrollerar du att testanvändaren har provisionerats.

    Skärmbild av sidan Användare i målklientorganisationen där testanvändaren är konfigurerad.

  7. Om allt fungerar som förväntat tilldelar du ytterligare användare till konfigurationen.

    För mer information, se Tilldelning på begäran i Microsoft Entra ID.

Steg 12: Starta etableringsjobbet

Ikon för källanvändaren.
Källklient

Etableringsjobbet startar den inledande synkroniseringscykeln för alla användare som definierats i avsnittet Inställningars omfång. Den inledande cykeln tar längre tid att utföra än efterföljande cykler, som inträffar ungefär var 40:e minut så länge Microsoft Entra-etableringstjänsten körs.

  1. I källklientorganisationen bläddrar du till Identitet>Externa Identiteter>Synkronisering mellan klientorganisationer.

  2. Välj Konfigurationer och välj sedan din konfiguration.

  3. På sidan Översikt granskar du tilldelningsinformation.

    Skärmbild av sidan Översikt över konfigurationer med information om etablering.

  4. Välj Starta etablering för att starta etableringsjobbet.

Steg 13: Övervaka tilldelning

Ikon för källklientorganisationen. Ikon för målklientorganisationen.
Käll- och målinstanser

När du har startat ett provisioneringsjobb kan du övervaka dess status.

  1. I den ursprungliga klienten, på sidan Översikt, kontrollerar du förloppsindikatorn för att se statusen för provisioneringscykeln och hur nära den är till slutförande. För mer information, se Kontrollera status för användarprovisionering.

    Om försörjningen tycks vara i ett ohälsosamt tillstånd, kommer konfigurationen att hamna i karantänläge. För mer information, se Applikationshantering i karantän.

    Skärmbild av sidan Konfigurationsöversikt som visar status för etableringscykeln.

  2. Välj Provisioneringsloggar för att avgöra vilka användare som har provisionerats framgångsrikt eller misslyckats. Som standard filtreras loggarna efter tjänstens huvudnamns-ID för konfigurationen. För mer information, se Tilldelningsloggar i Microsoft Entra ID.

    Skärmbild av sidan Provisioneringsloggar som visar loggposterna och deras status.

  3. Välj Granskningsloggar för att visa alla loggade händelser i Microsoft Entra-ID. Mer information finns i Granskningsloggar i Microsoft Entra-ID.

    Skärmbild av sidan Granskningsloggar som visar loggposterna och deras status.

    Du kan också visa granskningsloggar i målklientorganisationen.

  4. I målorganisationen väljer du Användare>Granskningsloggar för att visa loggade händelser för användarhantering. Synkronisering mellan klientorganisationer i målklientorganisationen kommer att loggas med "Microsoft.Azure.SyncFabric"-applikationen som aktör.

    Skärmbild av sidan Granskningsloggar i målklientorganisationen som visar loggposterna för användarhantering.

Steg 14: Konfigurera inställningar för ledighet

Ikon för målhyresgästen.
Målklientorganisation

Även om användarna läggs till som användare i målklientorganisationen kan de fortfarande ta bort sig själva. Om användare tar bort sig själva och omfattas, kommer de att provisioneras igen under nästa försörjningscykel. Om du inte vill tillåta möjligheten för användare att ta bort sig själva från din organisation måste du konfigurera inställningarna för extern användares ledighet.

  1. I målklientorganisationen navigerar du till Identitet>Externa identiteter>Inställningar för externt samarbete.

  2. Under Inställningar för extern användares ledighet väljer du om externa användare ska kunna lämna organisationen själva.

Den här inställningen gäller även för B2B-samarbete och B2B-direktanslutning, så om du anger Inställningar för extern användares ledighet till Nej, kan B2B-samarbetsanvändare och B2B-direktanslutningsanvändare inte lämna organisationen själva. Mer information finns i Lämna en organisation som extern användare.

Felsökningstips

Ta bort en konfiguration

Följ dessa steg för att ta bort en konfiguration på sidan Konfigurationer .

  1. I källklientorganisationen bläddrar du till Identitet>Externa Identiteter>Synkronisering mellan klientorganisationer.

  2. På sidan Konfigurationer lägger du till en bockmarkering bredvid den konfiguration som du vill ta bort.

  3. Välj Ta bort och sedan OK för att ta bort konfigurationen.

    Skärmbild av sidan Konfigurationer som visar hur du tar bort en konfiguration.

Vanliga scenarier och lösningar

Symptom – Testanslutningen misslyckas med AzureDirectoryB2BManagementPolicyCheckFailure

När du konfigurerar synkronisering mellan klientorganisationer i källklientorganisationen och du testar anslutningen misslyckas det med följande felmeddelande:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Skärmbild som visar felet när testanslutningen misslyckas med AzureDirectoryB2BManagementPolicyCheckFailure.

Orsak

Det här felet indikerar att policyn för att automatiskt reda ut inbjudningar i både käll- och målklientorganisationer inte har konfigurerats.

Lösning

Följ stegen i Steg 3: Lös in inbjudningar automatiskt i målklientorganisationen och steg 4: Lös in inbjudningar automatiskt i källklientorganisationen.

Symptom – kryssrutan Automatisk inlösen är inaktiverad

När du konfigurerar synkronisering mellan klientorganisationer inaktiveras kryssrutan Automatisk inlösen.

Skärmbild som visar kryssrutan Automatisk inlösen som inaktiverad.

Orsak

Din klientorganisation har ingen Microsoft Entra ID P1- eller P2-licens.

Lösning

Du måste ha Microsoft Entra ID P1 eller P2 för att konfigurera förtroendeinställningar.

Symptom – Nyligen borttagen användare i målklientorganisationen återställs inte

Efter mjuk borttagning av en synkroniserad användare i målklientorganisationen återställs inte användaren under nästa synkroniseringscykel. Om du försöker mjukta bort en användare med on-demand-etablering och sedan återställa användaren kan det resultera i duplicerade användare.

Orsak

Det går inte att återställa en tidigare mjukt borttagen användare i målklientorganisationen.

Lösning

Återställ den mjukt borttagna användaren i målklientorganisationen manuellt. Mer information finns i Återställa eller ta bort en nyligen borttagen användare med hjälp av Microsoft Entra-ID.

Symptom – Användarna hoppar över eftersom SMS-inloggning är aktiverat för användaren

Användarna utelämnas från synkroniseringen. Omfångssteget innehåller följande filter med statusen falsk: "Filtrera externa användare.alternativeSecurityIds EQUALS 'None'"

Orsak

Om SMS-inloggning är aktiverad för en användare, kommer de att hoppas över av etableringstjänsten.

Lösning

Inaktivera SMS-inloggning för användarna. Skriptet nedan visar hur du kan inaktivera SMS-inloggning med Hjälp av PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Symptom – Användare kan inte tilldela resurser på grund av felet AzureActiveDirectoryForbidden

Användare som omfattas misslyckas att provisioneras. Informationen i etableringsloggarna innehåller följande felmeddelande:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Orsak

Det här felet anger att inställningarna för gästbjudning i målklientorganisationen har konfigurerats med den mest restriktiva inställningen: "Ingen i organisationen kan bjuda in gästanvändare, inklusive administratörer (mest restriktiva)".

Lösning

Ändra inställningarna för gästbjudning i målklientorganisationen till en mindre restriktiv inställning. Mer information finns i Konfigurera inställningar för externt samarbete.

Symptom – UserPrincipalName uppdateras inte för befintliga B2B-användare i vänteläge för godkännande

När en användare först bjuds in via en manuell B2B-inbjudan skickas inbjudan till källanvändarens e-postadress. Därför skapas gästanvändaren i målklientorganisationen med ett UserPrincipalName-prefix (UPN) med hjälp av egenskapsvärdet för käll-e-post. Det finns miljöer där egenskaperna för källanvändarobjektet, UPN och Mail, har olika värden, till exempel Mail == user.mail@domain.com och UPN == user.upn@otherdomain.com. I det här fallet kommer gästanvändaren i målklientorganisationen att skapas med UPN som user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Problemet uppstår när källobjektet placeras i omfånget för synkronisering mellan klientorganisationer och förväntningarna är att förutom andra egenskaper uppdateras UPN-prefixet för målgästanvändaren så att det matchar källanvändarens UPN (med exemplet ovan skulle värdet vara: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Det sker dock inte under inkrementella synkroniseringscykler och ändringen ignoreras.

Orsak

Det här problemet uppstår när B2B-användaren som manuellt bjöds in till målklientorganisationen inte accepterade eller löste in inbjudan, och dess status är i väntan på godkännande. När en användare bjuds in via ett e-postmeddelande skapas ett objekt med en uppsättning attribut som fylls i från e-postmeddelandet, en av dem är UPN, som pekar på källanvändarens e-postvärde. Om du senare bestämmer dig för att lägga till användaren i omfånget för synkronisering mellan klientorganisationer försöker systemet ansluta källanvändaren till en B2B-användare i målklientorganisationen baserat på attributet alternativeSecurityIdentifier, men den tidigare skapade användaren har ingen alternativSecurityIdentifier-egenskap ifylld eftersom inbjudan inte löstes in. Systemet anser därför inte att detta är ett nytt användarobjekt och uppdaterar inte UPN-värdet. UserPrincipalName uppdateras inte i följande scenarier:

  1. UPN och e-post skiljer sig åt för en användare när de bjöds in manuellt.
  2. Användaren bjöds in innan synkronisering mellan klientorganisationer aktiverades.
  3. Användaren accepterade aldrig inbjudan, så de är i "väntande godkännandetillstånd".
  4. Användaren tas med i omfånget för synkronisering mellan olika klientorganisationer.

Lösning

Lös problemet genom att köra tilldelning på begäran för de berörda användarna för att uppdatera UPN. Du kan också starta om försörjning på nytt för att uppdatera UPN för alla berörda användare. Observera att detta utlöser en inledande cykel som kan ta lång tid för stora hyresgäster. Om du vill få en lista över manuella inbjudna användare i väntande godkännandetillstånd kan du använda ett skript. Se exemplet nedan.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Sedan kan du använda provisionOnDemand med PowerShell för varje användare. Hastighetsgränsen för det här API:et är 5 begäranden per 10 sekunder. För mer information, se Kända begränsningar för etablering på begäran.

Nästa steg