共用方式為

設定跨租用戶同步處理

  • 發行項

本文說明使用 Microsoft Entra 系統管理中心設定跨租用戶同步處理的步驟。 設定時,Microsoft Entra ID 會自動佈建和取消佈建目標租用戶中的 B2B 使用者。 如需此服務的用途、運作方式和常見問題等重要詳細資訊,請參閱使用 Microsoft Entra ID 自動對 SaaS 應用程式進行使用者佈建和取消佈建

此圖顯示來源租用戶與目標租用戶之間的跨租用戶同步處理。

學習目標

本文結束時,您將能夠:

  • 在您的目標租用戶中建立 B2B 使用者
  • 在您的目標租用戶中移除 B2B 使用者
  • 讓來源與目標租用戶之間的使用者屬性保持同步

必要條件

來源租用戶的圖示。
來源租用戶

目標租用戶的圖示。
目標租用戶

步驟 1:規劃佈建部署

  1. 定義您要如何在組織中構建租用戶

  2. 了解佈建服務的運作方式 \(部分機器翻譯\)。

  3. 判斷誰會在佈建範圍內。

  4. 判斷租用戶之間對應的資料。

步驟 2:在目標租用戶中啟用使用者同步處理

提示

本文中的步驟可能會依據您開始的入口網站而稍有不同。

目標租用戶的圖示。
目標租用戶

  1. 登入目標租用戶的 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 在 [組織設定] 索引標籤上,選取 [新增組織]

  4. 輸入租用戶識別碼或功能變數名稱,然後選取 [新增]來新增來源租用戶。

    顯示 [新增組織] 窗格以新增來源租用戶的螢幕擷取畫面。

  5. 在新增組織的 [輸入存取]下,選取 [繼承自預設]

  6. 選取 [跨租用戶同步] 索引標籤。

  7. 選取 [允許使用者同步至此租用戶] 核取方塊。

    此螢幕擷取畫面顯示 [跨租用戶同步處理] 索引標籤,其中包含 [允許使用者同步至此租用戶] 核取方塊。

  8. 選取 [儲存]。

  9. 如果您看到 [啟用跨租用戶同步處理和自動兌換] 對話方塊,詢問您是否要啟用自動兌換,請選取 [是]

    選取 [是] 會自動兌換目標租用戶中的邀請。

    此螢幕擷取畫面顯示 [啟用跨租用戶同步處理和自動兌換] 對話方塊,以自動兌換目標租用戶中的邀請。

步驟 3:在目標租用戶中自動兌換邀請

目標租用戶的圖示。
目標租用戶

在此步驟中,您會自動兌換邀請,讓來源租用戶中的使用者不需要接受同意提示。 此設定必須同時簽入來源租用戶 (輸出) 和目標租用戶 (輸入)。 如需詳細資訊,請參閱自動兌換設定

  1. 在目標租用戶中,在相同 [輸入存取設定] 頁面上,選取 [信任設定] 索引標籤。

  2. 核取 [使用租用戶自動兌換邀請][租用戶]<> 核取方塊。

    如果您先前在 [啟用跨租用戶同步處理和自動兌換] 對話方塊中選取 [是],可能已經核取此方塊。

    顯示 [輸入自動兌換] 核取方塊的螢幕擷取畫面。

  3. 選取 [儲存]。

步驟 4:在來源租用戶中自動兌換邀請

來源租用戶的圖示。
來源租用戶

在此步驟中,您會在來源租用戶中自動兌換邀請。

  1. 登入來源租用戶的 Microsoft Entra 系統管理中心

  2. 瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶存取設定]

  3. 在 [組織設定] 索引標籤上,選取 [新增組織]

  4. 輸入租用戶識別碼或功能變數名稱,然後選取 [新增]來新增目標租用戶。

    顯示 [新增組織] 窗格以新增目標租用戶的螢幕擷取畫面。

  5. 在目標組織的 [輸出存取] 下,選取 [繼承自預設]

  6. 選取 [信任設定] 索引標籤。

  7. 核取 [使用租用戶自動兌換邀請][租用戶]<> 核取方塊。

    顯示 [輸出自動兌換] 核取方塊的螢幕擷取畫面。

  8. 選取 [儲存]。

步驟 5:在來源租用戶中建立設定

來源租用戶的圖示。
來源租用戶

  1. 在來源租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶同步處理]

    顯示 Microsoft Entra 系統管理中心內跨租使用者同步處理瀏覽的螢幕快照。

    如果您使用 Azure 入口網站,請流覽至 Microsoft Entra ID>Manage>Cross-tenant synchronization。

    顯示 Azure 入口網站 中跨租使用者同步處理瀏覽的螢幕快照。

  2. 選取組態

  3. 在頁面頂端,選取 [新增設定]

  4. 提供設定的名稱,然後選取 [建立]

    您剛建立的設定最多可能需要 15 秒的時間才會出現在清單中。

步驟 6:測試與目標租用戶的連線

來源租用戶的圖示。
來源租用戶

  1. 在來源租用戶中,您應該會看到新的設定。 如果沒有,請在設定清單中選取您的設定。

    顯示 [跨租用戶同步處理設定] 頁面和新設定的螢幕擷取畫面。

  2. 選取開始使用

  3. 將 [佈建模式] 設定為 [自動]

  4. 在 [系統管理員認證] 區段底下,將 [驗證方法] 變更為 [跨租用戶同步處理原則]

    顯示 [佈建] 頁面的螢幕擷取畫面,其中包含已選取 [跨租用戶同步處理原則]。

  5. 在 [租用戶識別碼] 方塊中,輸入目標租用戶的租用戶識別碼。

  6. 選取 [測試連線] 以測試連線。

    您應該會看到一則訊息,指出提供的認證已獲授權啟用佈建。 如果測試連線失敗,請參閱本文稍後的疑難排解提示

    顯示測試連線通知的螢幕擷取畫面。

  7. 選取 [儲存]。

    [對應] 和 [設定] 區段隨即出現。

  8. 關閉 [佈建] 頁面。

步驟 7:定義佈建範圍內的人員

來源租用戶的圖示。
來源租用戶

Microsoft Entra 佈建服務可讓您定義將透過下列其中一種或兩種方式佈建的人員:

  • 根據設定的指派
  • 根據使用者的屬性

從小規模開始。 在推出給所有人之前,先使用一小部分的使用者進行測試。 當佈建範圍設定為指派的使用者和群組時,您可以將一或兩個使用者指派給設定來控制它。 您可以藉由建立以屬性為基礎的範圍篩選,進一步精簡誰在佈建範圍內,如下一個步驟中所述。

  1. 在來源租用戶中,選取 [佈建],然後展開 [設定] 區段。

    [佈建] 頁面的螢幕擷取畫面,其中顯示 [設定] 區段的 [範圍] 和 [佈建狀態] 選項。

  2. 在 [範圍] 清單中,選取是否要同步處理來源租用戶中的所有使用者,或只同步指派給設定的使用者。

    建議您選取 [只同步指派的使用者和群組],而不是 [同步所有使用者和群組]。 減少範圍中的使用者數目可改善效能。

  3. 如果您進行任何變更,請選取 [儲存]

  4. 在設定頁面上,選取 [使用者和群組]

    若要讓跨租用戶同步處理能夠運作,至少必須指派一個內部使用者給設定。

  5. 選取 [新增使用者/群組]

  6. 在 [新增工作分派] 頁面上,於 [使用者和群組] 底下,選取 [未選取]

  7. 在 [使用者和群組] 窗格中,搜尋並選取您要指派給設定的一或多個內部使用者或群組。

    如果您選取要指派給設定的群組,則只有群組中直接成員的使用者才會處於佈建範圍。 您可以選取靜態群組或動態群組。 指派不會串聯成巢狀群組。

  8. 選取選取

  9. 選取指派

    顯示 [使用者和群組] 頁面的螢幕擷取畫面,其中包含指派給設定的使用者。

    如需詳細資訊,請參閱 將使用者和群組指派給應用程式

步驟 8:(選擇性) 定義使用範圍篩選器佈建的人員

來源租用戶的圖示。
來源租用戶

無論您在上一個步驟中針對範圍選取的值為何,您都可以藉由建立屬性型範圍篩選來進一步限制哪些使用者同步處理。

  1. 在來源租用戶中,選取 [佈建],然後展開 [對應] 區段。

    顯示 [佈建] 頁面並展開 [對應] 區段的螢幕擷取畫面。

  2. 選取 [佈建 Microsoft Entra ID 使用者],以開啟 [屬性對應] 頁面。

  3. 在 [來源物件範圍] 下,選取 [所有記錄]

    顯示 [屬性對應] 頁面與 [來源物件範圍] 的螢幕擷取畫面。

  4. 在 [來源物件範圍] 頁面上,選取 [新增範圍篩選]

  5. 新增任何範圍篩選條件,以定義哪些使用者位於佈建範圍內。

    若要設定範圍篩選器,請參閱確定要使用範圍篩選器佈建的使用者或群組的範圍中提供的說明。

    顯示 [新增範圍篩選] 頁面的螢幕擷取畫面,其中包含範例篩選條件。

  6. 選取 [確定],然後[儲存] 來儲存任何變更。

    如果您新增篩選,您會看到儲存變更的訊息會導致所有指派的使用者和群組重新同步處理。 視目錄的大小而定,這可能需要很長的時間。

  7. 選取 [是],然後關閉 [屬性對應] 頁面。

步驟 9:檢閱屬性對應

來源租用戶的圖示。
來源租用戶

屬性對應可讓您定義資料在來源租用戶與目標租用戶之間流動的方式。 如需如何自訂預設屬性對應的資訊,請參閱教學課程 - 在 Microsoft Entra ID中自訂 SaaS 應用程式的使用者佈建屬性對應。

  1. 在來源租用戶中,選取 [佈建],然後展開 [對應] 區段。

  2. 選取 [佈建 Microsoft Entra ID使用者]

  3. 在 [屬性對應] 頁面上,向下捲動以檢閱 [屬性對應] 區段中租用戶之間同步處理的使用者屬性。

    alternativeSecurityIdentifier 的第一個屬性是內部屬性,用來唯一識別租用戶之間的使用者、比對來源租用戶中的使用者與目標租用戶中的現有使用者,並確保每個使用者只有一個帳戶。 無法變更比對屬性。 嘗試變更比對屬性或新增其他比對屬性會導致 schemaInvalid 錯誤。

    [屬性對應] 頁面的螢幕擷取畫面,其中顯示 Microsoft Entra 屬性的清單。

  4. 選取 [Member (userType)] 屬性,以開啟 [編輯屬性] 頁面

  5. 檢閱 userType 屬性常數值設定。

    此設定會定義將在目標租用戶中建立的使用者類型,而且可以是下表中的其中一個值。 根據預設,使用者會建立為外部成員 (B2B 共同作業使用者)。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業使用者的屬性

    常數值 描述
    成員 預設。 使用者將會在目標租用戶中建立為外部成員 (B2B 共同作業使用者)。 用戶將能夠作為目標租用戶的任何內部成員運作。
    客體 使用者將會在目標租用戶中建立為外部來賓 (B2B 共同作業使用者)。

    注意

    如果目標租用戶中已有 B2B 使用者,則成員 (userType) 不會變更為成員,除非 [套用此對應] 設定設為 Always

    您選擇的使用者類型對於應用程式或服務有下列限制 (但不限於):

    應用程式或服務 限制
    Power BI - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者 (部分機器翻譯)。
    Azure 虛擬桌面 - Azure 虛擬桌面不支援外部成員和外部來賓。

    顯示 Member 屬性的 [編輯屬性] 頁面螢幕擷取畫面。

  6. 如果您要定義任何轉換,請在 [屬性對應] 頁面上,選取您要轉換的屬性,例如 displayName

  7. 對應類型 設定為 Expression

  8. 在 [運算式] 方塊中,輸入轉換運算式。 例如,使用顯示名稱,您可以執行下列動作:

    • 翻轉名字和姓氏,並在兩者之間新增逗號。
    • 在顯示名稱結尾的括弧中新增功能變數名稱。

    如需範例,請參閱在 Microsoft Entra ID 中撰寫屬性對應運算式的參考

    [編輯屬性] 頁面的螢幕擷取畫面,其中顯示具有 [運算式] 方塊的 displayName 屬性。

提示

您可以藉由更新跨租用戶同步處理的結構描述來對應目錄延伸模組。 如需詳細資訊,請參閱跨租用戶同步處理中的對應目錄延伸模組

步驟 10:指定其他佈建設定

來源租用戶的圖示。
來源租用戶

  1. 在來源租用戶中,選取 [佈建],然後展開 [設定] 區段。

    [佈建] 頁面的螢幕擷取畫面,其中顯示 [設定] 區段的 [範圍] 和 [佈建狀態] 選項。

  2. 選取 [發生失敗時傳送電子郵件通知] 核取方塊。

  3. 在 [通知電子郵件] 方塊中,輸入應收到佈建錯誤通知的個人或群組電子郵件地址。

    電子郵件通知會在進入隔離狀態的 24 小時內傳送。 如需自訂警示,請參閱瞭解佈建如何與 Azure 監視器記錄整合

  4. 若要防止意外刪除,請選取 [防止意外刪除] 並指定閾值。 根據預設,閾值會設定為 500。

    如需詳細資訊,請參閱:在 Microsoft Entra 佈建服務中啟用意外刪除防護

  5. 選取 [儲存] 以儲存任何變更。

步驟 11:測試隨選佈建

來源租用戶的圖示。
來源租用戶

現在您已設定好,您可以透過其中一位使用者測試隨選佈建。

  1. 在來源租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶同步處理]

  2. 選取 [組態],然後選取您的設定。

  3. 選取 [隨需佈建]

  4. 在 [選取使用者或群組] 方塊中,搜尋並選取其中一個測試使用者。

    [隨選佈建] 頁面的螢幕擷取畫面,其中顯示已選取的測試使用者。

  5. 選取 [佈建]

    幾分鐘後,[執行動作] 頁面隨即出現,其中包含在目標租用戶中佈建測試使用者的相關資訊。

    [執行動作] 頁面的螢幕擷取畫面,其中顯示測試使用者和已修改屬性的清單。

    如果使用者不在範圍內,您會看到頁面,其中包含為何略過測試用戶的相關資訊。

    [判斷使用者是否在範圍] 頁面中的螢幕擷取畫面,其中顯示為何略過測試使用者的相關資訊。

    隨選條款頁面上,您可以檢視佈建的詳細資料,並可以選擇重試。

    [隨選佈建] 頁面的螢幕擷取畫面,其中顯示佈建的詳細資料。

  6. 在目標租用戶中,確認已佈建測試使用者。

    顯示已佈建測試使用者之目標租用戶的 [使用者] 頁面螢幕擷取畫面。

  7. 如果所有人都如預期般運作,請將其他使用者指派給設定。

    如需詳細資訊,請參閱 Microsoft Entra ID 中隨選佈建

步驟 12:啟動佈建作業

來源租用戶的圖示。
來源租用戶

佈建作業會啟動 [設定] 區段的 [範圍] 中定義之所有使用者的初始同步處理週期。 初始週期會比後續週期花費更多時間執行,只要 Microsoft Entra 佈建服務正在執行,這大約每 40 分鐘便會發生一次。

  1. 在來源租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶同步處理]

  2. 選取 [組態],然後選取您的設定。

  3. 在 [概觀] 頁面上,檢閱佈建詳細資料。

    列出佈建詳細資料的 [設定概觀] 頁面螢幕擷取畫面。

  4. 選取 [開始佈建] 以啟動佈建作業。

步驟 13:監視佈建

來源租用戶的圖示。 目標租用戶的圖示。
來源和目標租用戶

啟動佈建作業之後,您就可以監視狀態。

  1. 在來源租用戶中,在 [概觀] 頁面上,檢查進度列以查看佈建周期的狀態,以及佈建週期的完成程度。 如需詳細資訊,請參閱檢查使用者佈建的狀態

    如果佈建似乎處於狀況不良狀態,設定將會進入隔離狀態。 如需詳細資訊,請參閱隔離狀態中的應用程式佈建

    [組態概觀] 頁面的螢幕擷取畫面,其中顯示佈建周期的狀態。

  2. 選取 [佈建記錄]來判斷哪些使用者已佈建成功或失敗。 根據預設,記錄會依設定的服務主體識別碼進行篩選。 如需詳細資訊,請參閱在 Microsoft Entra ID 中佈建記錄

    [佈建記錄] 頁面的螢幕擷取畫面,其中列出記錄專案及其狀態。

  3. 選取 [稽核記錄],以檢視 Microsoft Entra ID 中的所有記錄事件。 如需詳細資訊,請參閱 Microsoft Entra ID 中的稽核記錄

    [稽核記錄] 頁面的螢幕擷取畫面,其中列出記錄專案及其狀態。

    您也可以在目標租用戶中檢視稽核記錄。

  4. 在目標租使用者中,選取 [使用者]>[稽核記錄] 檢視記錄的事件以進行使用者管理。

    目標租用戶中 [稽核記錄] 頁面的螢幕擷取畫面,其中列出使用者管理的記錄專案。

步驟 14:設定離開設定

目標租用戶的圖示。
目標租用戶

即使使用者正在目標租用戶中已佈建,他們仍然可以自行移除。 如果使用者自行移除且位於範圍內,則會在下一個佈建週期中再次佈建。 如果您想要不允許使用者將自己從組織移除的能力,您必須設定 [外部使用者離開設定]

  1. 在目標租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[外部共同作業設定]

  2. 在 [外部使用者離開] 設定下,選擇是否允許外部使用者自行離開組織。

此設定也適用於 B2B 共同作業和 B2B 直接連線,因此如果您將 [外部使用者離開設定] 設定為 [否],B2B 共同作業使用者和 B2B 直接連線用戶無法離開組織本身。 如需詳細資訊,請參閱將組織保留為外部使用者

疑難排解秘訣

刪除設定

請遵循下列步驟,在 [組態] 頁面上刪除設定。

  1. 在來源租用戶中,瀏覽至 [身分識別]>[外部身分識別]>[跨租用戶同步處理]

  2. 在 [組態] 頁面上,新增您要刪除之設定旁的核取記號。

  3. 選取 [刪除],然後 [確定] 刪除設定。

    顯示如何刪除設定的 [組態] 頁面螢幕擷取畫面。

常見案例和解決方案

徵兆 - 使用 AzureDirectoryB2BManagementPolicyCheckFailure 測試連線失敗

在來源租用戶中設定跨租用戶同步處理並測試連線時,它會失敗,並出現下列錯誤訊息:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

此螢幕快照顯示與 AzureDirectoryB2BManagementPolicyCheckFailure 測試連線失敗時的錯誤。

原因

此錯誤表示未設定來源和目標租用戶中自動兌換邀請的原則。

方案

請遵循步驟 3:在目標租用戶中自動兌換邀請中的步驟及步驟 4:在來源租用戶中自動兌換邀請

徵兆 - 已停用自動兌換核取方塊

設定跨租用戶同步處理時,會停用自動兌換核取方塊。

顯示 [自動兌換] 核取方塊已停用的螢幕擷取畫面。

原因

您的租用戶沒有 Microsoft Entra ID P1 或 P2 授權。

方案

您必須 Microsoft Entra ID P1 或 P2 才能設定信任設定。

徵兆 - 未還原目標租用戶中最近刪除的使用者

在目標租用戶中虛刪除同步處理的用戶之後,不會在下一個同步處理周期期間還原使用者。 若嘗試以隨選佈建來虛刪除使用者之後還原使用者,可能會導致使用者重複。

原因

不支援還原先前在目標租用戶中虛刪除的使用者。

方案

手動還原目標租用戶中的虛刪除使用者。 如需詳細資訊,請參閱使用 Microsoft Entra ID 還原或移除最近刪除的使用者

徵兆 - 使用者已略過,因為使用者已啟用 SMS 登入

使用者會略過同步處理。 範圍步驟包含狀態為 false 的下列篩選:"Filter external users.alternativeSecurityIds EQUALS 'None'"

原因

如果使用者已啟用 SMS 登入,佈建服務將會略過這些登入。

方案

停用使用者的 SMS 登入。 下列指令碼示範如何使用 PowerShell 停用 SMS 登入。

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

徵兆 - 使用者無法佈建錯誤 AzureActiveDirectoryForbidden

範圍中的使用者無法佈建。 佈建記錄詳細資料包含下列錯誤訊息:

Guest invitations not allowed for your company. Contact your company administrator for more details.

原因

此錯誤表示目標租用戶中的來賓邀請設定是使用最嚴格的設定來設定:「組織中沒有人可以邀請來賓使用者,包括系統管理員 (最嚴格)」。

方案

將目標租用戶中的來賓邀請設定變更為較不嚴格的設定。 如需詳細資訊,請參閱設定外部共同作業設定

徵兆 - 使用者主體名稱不會針對處於擱置接受狀態的現有 B2B 使用者更新

第一次透過手動 B2B 邀請來邀請使用者時,邀請會傳送至來源使用者電子郵件地址。 因此,目標租用戶中的來賓使用者會使用來源郵件值屬性建立,並含有使用者主體名稱 (UPN) 前置詞。 有一個環境,來源使用者物件屬性 UPN 和 Mail 有不同的值,例如 Mail == user.mail@domain.com 和 UPN == user.upn@otherdomain.com。 在此情況下,目標租用戶中的來賓使用者將會以 UPN 建立為 user.mail_domain.com#EXT#@contoso.onmicrosoft.com。

當來源物件置於跨租用戶同步的範圍,而且預期除了其他屬性之外,目標來賓使用者的 UPN 前置詞也會更新,以符合來源使用者的 UPN (使用上述值範例會是:user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com)。 不過,這不會在累加同步處理周期期間發生,而且會忽略變更。

原因

當手動邀請到目標租用戶的 B2B 使用者不接受或兌換邀請時,就會發生此問題,因此其狀態處於擱置接受狀態。 透過電子郵件邀請使用者時,物件會以一組從郵件填入的屬性來建立,其中一個是 UPN,其指向來源使用者的郵件值。 如果您稍後決定將使用者新增至跨租用戶同步的範圍,系統會嘗試根據 alternativeSecurityIdentifier 屬性,將來源使用者與目標租用戶中的 B2B 使用者聯結,但先前建立的使用者沒有填入 alternativeSecurityIdentifier 屬性,因為邀請未兌換。 因此,系統不會將此視為新的使用者物件,也不會更新 UPN 值。 下列案例中不會更新使用者主體名稱:

  1. 手動邀請使用者時,UPN 和郵件會有所不同。
  2. 啟用跨租用戶同步處理之前,已邀請使用者。
  3. 使用者從未接受過邀請,因此他們處於「待接受狀態」。
  4. 使用者已進入跨租用戶同步的範圍。

方案

若要解決此問題,請針對受影響的使用者執行隨選佈建來更新 UPN。 您也可以重新啟動佈建以為所有受影響的使用者更新 UPN。 請注意,這會觸發初始周期,對於大型租用戶來說可能需要很長的時間。 若要取得處於擱置接受狀態的手動受邀使用者清單,您可以使用指令碼,請參閱下列範例。

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

然後,您可以針對每個使用者使用 provisionOnDemand 搭配 PowerShell。 此 API 的速率限制為每 10 秒 5 個要求。 如需詳細資訊,請參閱隨選佈建的已知限制

下一步