Konfigurace synchronizace mezi tenanty pomocí PowerShellu nebo rozhraní Microsoft Graph API

Přehled

Tento článek popisuje klíčové kroky konfigurace synchronizace mezi tenanty pomocí Microsoft Graph PowerShellu nebo rozhraní Microsoft Graph API. Při konfiguraci Microsoft Entra ID automaticky zřídí a odstraní B2B uživatele ve vašem cílového tenanta. Podrobné kroky v Centru pro správu Microsoft Entra najdete v tématu Konfigurace synchronizace mezi tenanty.

Požadavky

Zdrojový tenant

• Licence Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Licenční požadavky.
• Správce zabezpečení pro konfiguraci nastavení přístupu mezi tenanty.
• Role správce hybridní identity pro konfiguraci synchronizace mezi tenanty
• Role Správce cloudových aplikací nebo Správce aplikací pro přiřazení uživatelů ke konfiguraci a odstranění konfigurace.
• roli Správce privilegovaných rolí k udělení souhlasu s požadovanými oprávněními.

Cílový tenant

• Licence Microsoft Entra ID P1 nebo P2. Další informace najdete v tématu Licenční požadavky.
• Správce zabezpečení pro konfiguraci nastavení přístupu mezi tenanty.
• roli Správce privilegovaných rolí k udělení souhlasu s požadovanými oprávněními.

Krok 1: Přihlášení k cílovému tenantovi

Cílový tenant

PowerShell

1. Spusťte PowerShell.

2. V případě potřeby nainstalujte sadu Microsoft Graph PowerShell SDK.

3. Získejte ID zdrojového a cílového tenanta a inicializujte proměnné.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Pomocí příkazu Connect-MgGraph se přihlaste k cílovému tenantovi a odsouhlaste následující požadovaná oprávnění.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

Tento postup popisuje, jak používat Microsoft Graph Explorer, ale můžete také použít jiného klienta rozhraní REST API.

1. Spusťte nástroj Microsoft Graph Explorer.

2. Přihlaste se k cílovému tenantovi.

3. Vyberte svůj profil a pak vyberte Souhlas s oprávněními.

   

4. Odsouhlaste následující požadovaná oprávnění.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Získejte ID tenanta zdrojového a cílového tenanta. Ukázková konfigurace popsaná v tomto článku používá následující ID tenanta.

   • ID zdrojového tenanta: {sourceTenantId}
   • ID cílového tenanta: {targetTenantId}

Krok 2: Povolení synchronizace uživatelů v cílovém tenantovi

Cílový tenant

PowerShell

1. V cílovém tenantovi použijte příkaz New-MgPolicyCrossTenantAccessPolicyPartner pro vytvoření nové konfigurace partnera v rámci zásad přístupu mezi tenantským cílem a zdrojovým tenantem. V požadavku použijte ID zdrojového tenanta.

   Pokud se zobrazí chyba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, možná už máte existující konfiguraci. Další informace najdete v tématu Příznaky – Chyba New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Pomocí příkazu Invoke-MgGraphRequest povolte synchronizaci uživatelů v cílovém tenantovi.

   Pokud se zobrazí Request_MultipleObjectsWithSameKeyValue chyba, možná už máte existující zásadu. Další informace naleznete v tématu Příznaky – Request_MultipleObjectsWithSameKeyValue chyba.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Pomocí příkazu Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization ověřteIsSyncAllowed, že je nastavená hodnota True.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. V cílovém tenantovi použijte rozhraní Create crossTenantAccessPolicyConfigurationPartner API pro vytvoření nové konfigurace partnera v rámci zásad přístupu napříč tenanty mezi cílovým a zdrojovým tenantem. V požadavku použijte ID zdrojového tenanta.

   Pokud se zobrazí Request_MultipleObjectsWithSameKeyValue chyba, možná už máte existující konfiguraci. Další informace naleznete v tématu Příznaky – Request_MultipleObjectsWithSameKeyValue chyba.

   Požádat

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   odpověď

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Pomocí rozhraní API create identitySynchronization povolte synchronizaci uživatelů v cílovém tenantovi.

   Pokud se zobrazí Request_MultipleObjectsWithSameKeyValue chyba, možná už máte existující zásadu. Další informace naleznete v tématu Příznaky – Request_MultipleObjectsWithSameKeyValue chyba.

   Požádat

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 3: Automatické uplatnění pozvánek v cílovém nájemci

Cílový tenant

PowerShell

1. V cílovém tenantovi použijte příkaz Update-MgPolicyCrossTenantAccessPolicyPartner k automatickému uplatnění pozvánek a potlačení výzev k vyjádření souhlasu pro příchozí přístup.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. V cílovém tenantovi použijte rozhraní API Update crossTenantAccessPolicyConfigurationPartner k automatickému uplatnění pozvánek a potlačení výzev k vyjádření souhlasu pro příchozí přístup.

   Požádat

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 4: Přihlášení ke zdrojovému tenantovi

Zdrojový tenant

PowerShell

1. Spusťte instanci PowerShellu.

2. Získejte ID zdrojového a cílového tenanta a inicializujte proměnné.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Pomocí příkazu Connect-MgGraph se přihlaste ke zdrojovému tenantovi a odsouhlaste následující požadovaná oprávnění.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Spusťte instanci nástroje Microsoft Graph Explorer.

2. Přihlaste se ke zdrojovému tenantovi.

3. Odsouhlaste následující požadovaná oprávnění.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Pokud se zobrazí stránka Potřebujete schválení správcem, budete se muset přihlásit pomocí uživatele, který má přiřazenou alespoň roli správce privilegovaných rolí k vyjádření souhlasu.

Krok 5: Automatické uplatnění pozvánek ve zdrojovém tenantovi

Zdrojový tenant

PowerShell

1. Ve zdrojovém tenantovi použijte příkaz New-MgPolicyCrossTenantAccessPolicyPartner k vytvoření nové konfigurace partnera v zásadách přístupu mezi tenanty mezi zdrojovým a cílovým tenantem. V požadavku použijte ID cílového tenanta.

   Pokud se zobrazí chyba New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, možná už máte existující konfiguraci. Další informace najdete v tématu Příznaky – Chyba New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Pomocí příkazu Update-MgPolicyCrossTenantAccessPolicyPartner můžete automaticky přijmout pozvánky a potlačit výzvy k potvrzení souhlasu pro odchozí přístup.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Ve zdrojovém tenantovi pomocí rozhraní API Create crossTenantAccessPolicyConfigurationPartner vytvořte novou konfiguraci partnera v zásadě přístupu mezi tenanty mezi zdrojovým a cílovým tenantem. V požadavku použijte ID cílového tenanta.

   Pokud se zobrazí Request_MultipleObjectsWithSameKeyValue chyba, možná už máte existující konfiguraci. Další informace naleznete v tématu Příznaky – Request_MultipleObjectsWithSameKeyValue chyba.

   Požádat

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   odpověď

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Pomocí rozhraní API Update crossTenantAccessPolicyConfigurationPartner můžete automaticky přijmout pozvánky a potlačit výzvy k souhlasu pro odchozí přístup.

   Požádat

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 6: Vytvoření konfigurační aplikace ve zdrojovém tenantovi

Zdrojový tenant

PowerShell

1. Ve zdrojovém tenantovi pomocí příkazu Invoke-MgInstantiateApplicationTemplate přidejte do svého tenanta instanci konfigurační aplikace z galerie aplikací Microsoft Entra.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Pomocí příkazu Get-MgServicePrincipal získejte ID instančního objektu a ID role aplikace.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Inicializujte proměnnou pro ID přihlašovacího jména služby.

   Nezapomeňte místo ID aplikace použít ID servisního principu.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Inicializovat proměnnou pro ID role aplikace.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Ve zdrojovém tenantovi použijte applicationTemplate: vytvoření instance rozhraní API pro přidání instance konfigurační aplikace z galerie aplikací Microsoft Entra do vašeho tenanta.

   Požádat

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   odpověď

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Uložte servicePrincipalId.

   Nezapomeňte místo ID aplikace použít ID servisního principu.

3. Uložte appRoleId.

Krok 7: Otestování připojení k cílovému tenantovi

Zdrojový tenant

PowerShell

1. Ve zdrojovém tenantovi pomocí příkazu Invoke-MgGraphRequest otestujte připojení k cílovému tenantovi a ověřte přihlašovací údaje.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Ve zdrojovém tenantovi použijte synchronizační úlohu: validateCredentials API k otestování připojení k cílovému tenantovi a ověření přihlašovacích údajů.

   Požádat

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 8: Vytvoření úlohy nasazení ve zdrojovém tenantovi

Zdrojový tenant

Pokud chcete ve zdrojovém tenantovi povolit zřizování, vytvořte zřizovací úkol.

PowerShell

1. Určete šablonu synchronizace, která se má použít, například Azure2Azure.

   Šablona má předem nakonfigurovaná nastavení synchronizace.

2. Ve zdrojovém tenantovi pomocí příkazu New-MgServicePrincipalSynchronizationJob vytvořte úlohu zřizování na základě šablony.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Inicializovat proměnnou pro ID úlohy.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Určete šablonu synchronizace, která se má použít, například Azure2Azure.

   Šablona má předem nakonfigurovaná nastavení synchronizace.

2. Ve zdrojovém tenantovi pomocí rozhraní API create synchronizationJob vytvořte úlohu zřizování na základě šablony.

   Požádat

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   odpověď

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Uložte ID úlohy.

Krok 9: Uložení přihlašovacích údajů

Zdrojový tenant

PowerShell

1. Ve zdrojovém tenantovi uložte přihlašovací údaje pomocí příkazu Invoke-MgGraphRequest .

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Ve zdrojovém tenantovi uložte přihlašovací údaje pomocí rozhraní API pro přidání tajných kódů synchronizace.

   Požádat

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 10: Přiřazení uživatele ke konfiguraci

Zdrojový tenant

Aby synchronizace mezi tenanty fungovala, musí být ke konfiguraci přiřazen alespoň jeden interní uživatel.

PowerShell

1. Ve zdrojovém tenantovi pomocí příkazu New-MgServicePrincipalAppRoleAssignedTo přiřaďte k konfiguraci interního uživatele.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Ve zdrojovém tenantovi použijte rozhraní API Grant an appRoleAssignment pro instanční objekt k přiřazení interního uživatele ke konfiguraci.

   Požádat

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   odpověď

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

Krok 11: Testování přípravy na vyžádání

Zdrojový tenant

Teď, když máte konfiguraci, můžete otestovat zřizování na vyžádání u jednoho z vašich uživatelů.

PowerShell

1. Ve zdrojovém tenantovi pomocí příkazu Get-MgServicePrincipalSynchronizationJobSchema získejte ID pravidla schématu.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Inicializovat proměnnou pro ID pravidla.

   $RuleId = "<RuleId>"
   

3. Pomocí příkazu New-MgServicePrincipalSynchronizationJobOnDemand zřiďte testovacího uživatele na vyžádání.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Ve zdrojovém tenantovi použijte rozhraní API Get synchronizationSchema k získání ID pravidla schématu.

   Požádat

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   odpověď

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Ve zdrojovém tenantovi použijte synchronizační úlohu: provisionOnDemand API ke zřízení testovacího uživatele na vyžádání.

   Požádat

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   odpověď

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

Krok 12: Spusťte úlohu nastavování

Zdrojový tenant

PowerShell

1. Teď, když je úloha zřizování nakonfigurovaná, ve zdrojovém tenantovi spusťte úlohu zřizování pomocí příkazu Start-MgServicePrincipalSynchronizationJob .

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Teď, když je úloha zřizování nakonfigurovaná, ve zdrojovém tenantovi spusťte úlohu zřizování pomocí rozhraní API spustit úlohu synchronizační.

   Požádat

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   odpověď

   HTTP/1.1 204 No Content
   

Krok 13: Sledování poskytování

Zdrojový tenant

PowerShell

1. Teď, když je úloha zřizování spuštěná, použijte ve zdrojovém tenantovi příkaz Get-MgServicePrincipalSynchronizationJob ke sledování průběhu aktuálního cyklu zřizování a také statistiky k datu, jako je počet uživatelů a skupin vytvořených v cílovém systému.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Kromě monitorování stavu úlohy zřizování použijte příkaz Get-MgAuditLogProvisioning k načtení protokolů zřizování a získání všech událostí zřizování, ke kterým dochází. Zadejte například dotaz na konkrétního uživatele a určete, jestli se úspěšně zřídil.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Teď, když je úloha zřizování spuštěná, použijte ve zdrojovém tenantovi rozhraní API Get synchronizationJob ke sledování průběhu aktuálního cyklu zřizování a také statistiky k datu, například počet uživatelů a skupin vytvořených v cílovém systému.

   Požádat

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   odpověď

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Kromě monitorování stavu úlohy zřizování použijte rozhraní API List provisioningObjectSummary k načtení protokolů zřizování a získání všech událostí zřizování, ke kterým dochází. Zadejte například dotaz na konkrétního uživatele a určete, jestli se úspěšně zřídil.

   Požádat

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   odpověď

   Zde zobrazený objekt odpovědi byl zkrácen pro čitelnost.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Rady pro řešení potíží

PowerShell

Příznak – Chyba nedostatečných oprávnění

Při pokusu o provedení akce se zobrazí chybová zpráva podobná následující:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Příčina

Buď přihlášený uživatel nemá dostatečná oprávnění, nebo potřebujete souhlas s jedním z požadovaných oprávnění.

Řešení

1. Ujistěte se, že máte přiřazené požadované role. Viz požadavky uvedené výše v tomto článku.

2. Když se přihlásíte pomocí Connect-MgGraph, ujistěte se, že jste zadali požadované obory. Viz krok 1: Přihlášení k cílovému tenantovi a krok 4: Přihlášení ke zdrojovému tenantovi dříve v tomto článku.

Příznak – chyba new-MgPolicyCrossTenantAccessPolicyPartner_Create

Při pokusu o vytvoření nové konfigurace partnera se zobrazí chybová zpráva podobná následující:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Příčina

Pravděpodobně se pokoušíte vytvořit konfiguraci nebo objekt, který již existuje, pravděpodobně z předchozí konfigurace.

Řešení

1. Ověřte syntaxi a že používáte správné ID tenanta.

2. K výpisu existujícího objektu použijte příkaz Get-MgPolicyCrossTenantAccessPolicyPartner .

3. Pokud máte existující objekt, možná budete muset provést aktualizaci pomocí Update-MgPolicyCrossTenantAccessPolicyPartner.

Příznak – chyba Request_MultipleObjectsWithSameKeyValue

Při pokusu o povolení synchronizace uživatelů se zobrazí chybová zpráva podobná následující:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Příčina

Pravděpodobně se pokoušíte vytvořit zásadu, která už existuje, snad z předchozí konfigurace.

Řešení

1. Ověřte syntaxi a že používáte správné ID tenanta.

2. Použijte příkaz Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization k zobrazení IsSyncAllowed nastavení.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Pokud máte existující zásadu, možná budete muset provést aktualizaci pomocí příkazu Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization , aby se povolila synchronizace uživatelů.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Příznak – Chyba nedostatečných oprávnění

Při pokusu o provedení akce se zobrazí chybová zpráva podobná následující:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Příčina

Buď přihlášený uživatel nemá dostatečná oprávnění, nebo potřebujete souhlas s jedním z požadovaných oprávnění.

Řešení

1. Ujistěte se, že máte přiřazené požadované role. Viz požadavky uvedené výše v tomto článku.

2. V nástroji Microsoft Graph Explorer se ujistěte, že souhlasíte s požadovanými oprávněními. Viz krok 1: Přihlášení k cílovému tenantovi a krok 4: Přihlášení ke zdrojovému tenantovi dříve v tomto článku.

Příznak – chyba Request_MultipleObjectsWithSameKeyValue

Při pokusu o volání rozhraní Microsoft Graph API se zobrazí chybová zpráva podobná následující:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Příčina

Pravděpodobně se pokoušíte vytvořit konfiguraci nebo objekt, který již existuje, pravděpodobně z předchozí konfigurace.

Řešení

1. Ověřte syntaxi požadavku a že používáte správné ID tenanta.

2. Vytvořte GET požadavek na výpis existujícího objektu.

3. Pokud máte existující objekt, místo vytvoření žádosti o vytvoření pomocí POST nebo PUTmožná budete muset vytvořit žádost o aktualizaci pomocí PATCH, například:

   • Aktualizace crossTenantAccessPolicyConfigurationPartner
   • Aktualizace crossTenantIdentitySyncPolicyPartner

Příznak – chyba Directory_ObjectNotFound

Při pokusu o volání rozhraní Microsoft Graph API se zobrazí chybová zpráva podobná následující:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Příčina

Pravděpodobně se pokoušíte aktualizovat objekt, který neexistuje pomocí PATCH.

Řešení

1. Ověřte syntaxi požadavku a že používáte správné ID tenanta.

2. GET Vytvořte požadavek na ověření, že objekt neexistuje.

3. Pokud objekt neexistuje, místo vytvoření žádosti o aktualizaci pomocí PATCH, možná budete muset vytvořit žádost pomocí POST nebo PUT, například:

   • Vytvořit identitySynchronization

Další kroky

• Přehled rozhraní API pro synchronizaci Microsoft Entra
• Návod: Vyvinutí a plánování zřizování koncového bodu SCIM v Microsoft Entra ID