Freigeben über

Konfigurieren von mandantenübergreifender Synchronisierung

In diesem Artikel werden die Schritte zum Konfigurieren der mandantenübergreifenden Synchronisierung über das Microsoft Entra Admin Center beschrieben. Bei der Konfiguration stellt Microsoft Entra ID automatisch B2B-Benutzende in Ihrem Zielmandanten bereit und hebt diese Bereitstellung auf.

Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzenden für SaaS-Anwendungen mit Microsoft Entra ID.

Diagramm: mandantenübergreifende Synchronisierung zwischen Quellmandanten und Zielmandanten.

Von Bedeutung

Die cloudübergreifende Synchronisierung befindet sich derzeit in der Vorschauversion. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Gewährleistungen, ausgedrückt oder impliziert, in Bezug auf die hier bereitgestellten Informationen.

In diesem Artikel werden die Schritte zum Konfigurieren der mandantenübergreifenden Synchronisierung zwischen Microsoft-Clouds beschrieben. Bei der Konfiguration stellt Microsoft Entra ID automatisch B2B-Benutzende in Ihrem Zielmandanten bereit und hebt diese Bereitstellung auf. Während sich dieses Tutorial auf die Synchronisierung von Identitäten aus der kommerziellen Cloud --> US-Regierung konzentriert, gelten die gleichen Schritte für Regierung --> Kommerziell und China --> Kommerziell.

Wichtige Details zum Zweck und zur Funktionsweise dieses Diensts sowie häufig gestellte Fragen finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzenden für SaaS-Anwendungen mit Microsoft Entra ID. Unterschiede zwischen mandantenübergreifender Synchronisierung und cloudübergreifender Synchronisierung finden Sie unter "Cloudübergreifende Synchronisierung" in häufig gestellten Fragen.

Diagramm, das die cloudübergreifende Synchronisierung zwischen Quellmandanten und Zielmandanten zeigt.

Unterstützte Cloudpaare

Die mandantenübergreifende Synchronisierung unterstützt diese Cloudpaare:

Quelle Ziel Azure-Portallinkdomänen
Azure Commercial Azure Commercial portal.azure.com -->portal.azure.com
Azure für Behörden Azure für Behörden portal.azure.us -->portal.azure.us

Die cloudübergreifende Synchronisierung unterstützt diese Cloudpaare:

Quelle Ziel Azure-Portallinkdomänen
Azure Commercial Azure für Behörden portal.azure.com -->portal.azure.us
Azure für Behörden Azure Commercial portal.azure.us -->portal.azure.com
Azure Commercial Azure, betrieben von 21Vianet
(Azure in China)		 portal.azure.com -->portal.azure.cn

Lernziele

In diesem Artikel wird Folgendes vermittelt:

  • Erstellen von B2B-Benutzenden in Ihrem Zielmandanten
  • Entfernen von B2B-Benutzern in Ihrem Zielmandanten
  • Synchronisieren von Benutzerattributen zwischen Quell- und Zielmandanten

Voraussetzungen

Symbol für den Quellmandanten.
Quellmandant:

Symbol für den Zielmandanten.
Zielmandant

  • Microsoft Entra ID Governance oder Microsoft Entra Suite-Lizenz. Weitere Informationen finden Sie unter Lizenzanforderungen.
  • Sicherheitsadministrator-Rolle zur Konfiguration der mandantenübergreifenden Zugriffseinstellungen.

Schritt 1: Planen der Bereitstellung

  1. Definieren Sie, wie Sie die Mandanten in Ihrer Organisation strukturieren möchten.

  2. Erfahren Sie, wie der Bereitstellungsdienst funktioniert.

  3. Bestimmen Sie, wer in den Bereitstellungsbereich einbezogen werden soll.

  4. Legen Sie fest, welche Daten zwischen Mandanten zugeordnet werden sollen.

Schritt 1: Aktivieren der Einstellungen für die Cloud-übergreifende Nutzung in beiden Mandanten

Symbol für den Quellmandanten.
Quellmandant:

  1. Melden Sie sich bei dem Microsoft Entra Admin Center des Quellmandanten an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Aktivieren Sie auf der Registerkarte "Microsoft-Cloudeinstellungen " das Kontrollkästchen der Cloud, mit der Sie zusammenarbeiten möchten, z. B. Microsoft Azure Government.

    Die Liste der Clouds variiert je nach der Cloud, in der Sie sich befinden. Weitere Informationen finden Sie unter Microsoft Cloud-Einstellungen.

    Screenshot der Microsoft-Cloudeinstellungen, in denen Kontrollkästchen für verschiedene Microsoft-Clouds angezeigt werden, mit denen sie zusammenarbeiten können.

  4. Wählen Sie Speichern aus.

Symbol für den Zielmandanten.
Ziel

  1. Melden Sie sich bei dem Microsoft Entra Admin Center des Zielmandanten an.

  2. Browsen Sie zu Identität>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Aktivieren Sie auf der Registerkarte "Microsoft-Cloudeinstellungen " das Kontrollkästchen für die cloudübergreifende Synchronisierung für den Quellmandanten, z. B. Microsoft Azure Commercial.

    Screenshot der Microsoft-Cloudeinstellungen, in dem das Kontrollkästchen zum Aktivieren der cloudübergreifenden Synchronisierung angezeigt wird.

    Wenn Sie dieses Kontrollkästchen aktivieren, wird ein Dienstprinzipal mit den folgenden Berechtigungen erstellt:

    • User.ReadWrite.CrossCloud
    • User.Invite.All
    • Organization.Read.All
    • Policy.Read.All

  4. Wählen Sie Speichern aus.

Schritt 2: Aktivieren der Benutzersynchronisierung im Zielmandanten

Symbol für den Zielmandanten.
Zielmandant

  1. Melden Sie sich bei dem Microsoft Entra Admin Center des Zielmandanten an.

  2. Navigieren Sie zu Entra ID>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Wählen Sie auf der Registerkarte Organisationseinstellungen die Option Organisation hinzufügen aus.

  4. Fügen Sie den Quellmandanten hinzu, indem Sie die Mandanten-ID oder den Domänennamen eingeben und Hinzufügen auswählen.

    Screenshot: Bereich „Organisation hinzufügen“ zum Hinzufügen des Quellmandanten.

  5. Wählen Sie unter Eingehender Zugriff der hinzugefügten Organisation die Option Geerbt von Standard aus.

  6. Wählen Sie die Registerkarte Mandantenübergreifende Synchronisierung aus.

  7. Wählen Sie das Kontrollkästchen Benutzern erlauben, sich in diesen Mandanten zu synchronisieren aus.

    Screenshot, der die Registerkarte „Mandantenübergreifende Synchronisierung“ mit dem Kontrollkästchen „Benutzersynchronisierung in diesen Mandanten zulassen“ zeigt.

  8. Wählen Sie Speichern aus.

  9. Wenn das Dialogfeld Mandantenübergreifende Synchronisierung und automatische Einlösung aktivieren angezeigt wird, in dem Sie gefragt werden, ob Sie die automatische Einlösung aktivieren möchten, wählen Sie Ja aus.

    Wenn Sie Ja auswählen, werden Einladungen automatisch im Zielmandanten eingelöst.

    Screenshot: Dialogfeld „Mandantenübergreifende Synchronisierung und automatische Einlösung aktivieren“ zum automatischen Einlösen von Einladungen im Zielmandanten

Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten

Symbol für den Zielmandanten.
Zielmandant

In diesem Schritt lösen Sie automatisch Einladungen ein, sodass Benutzer aus dem Quellmandanten die Einwilligungsaufforderung nicht akzeptieren müssen. Diese Einstellung muss sowohl im Quellmandanten (ausgehend) als auch im Zielmandanten (eingehend) überprüft werden. Weitere Informationen finden Sie unter Einstellung für die automatische Einlösung.

  1. Wählen Sie im Zielmandanten auf derselben Seite mit den Einstellungen für Zugriff auf eingehenden Datenverkehr die Registerkarte Vertrauenseinstellungen aus.

  2. Aktivieren Sie das Kontrollkästchen Einladungen automatisch mit dem Mandanten einlösen<Mandant>.

    Dieses Kontrollkästchen ist möglicherweise bereits aktiviert, wenn Sie zuvor im Dialogfeld Mandantenübergreifende Synchronisierung und automatische Einlösung aktivieren die Option Ja ausgewählt haben.

    Screenshot: Kontrollkästchen für die eingehende automatische Einlösung.

  3. Wählen Sie Speichern aus.

Schritt 4: Automatisches Einlösen von Einladungen im Quellmandanten

Symbol für den Quellmandanten.
Quellmandant:

In diesem Schritt lösen Sie automatisch Einladungen im Quellmandanten ein.

  1. Melden Sie sich bei dem Microsoft Entra Admin Center des Quellmandanten an.

  2. Navigieren Sie zu Entra ID>Externe Identitäten>Mandantenübergreifende Zugriffseinstellungen.

  3. Wählen Sie auf der Registerkarte Organisationseinstellungen die Option Organisation hinzufügen aus.

  4. Fügen Sie den Zielmandanten hinzu, indem Sie die Mandanten-ID oder den Domänennamen eingeben und Hinzufügen auswählen.

    Screenshot: Bereich „Organisation hinzufügen“ zum Hinzufügen des Zielmandanten

  5. Wählen Sie unter Ausgehender Zugriff für die Zielorganisation die Option Geerbt von Standard aus.

  6. Wählen Sie die Registerkarte Vertrauenseinstellungen aus.

  7. Aktivieren Sie das Kontrollkästchen Einladungen automatisch mit dem Mandanten einlösen<Mandant>.

    Screenshot: Kontrollkästchen für die ausgehende automatische Einlösung.

  8. Wählen Sie Speichern aus.

Schritt 5: Erstellen einer Konfiguration im Quellmandanten

Symbol für den Quellmandanten.
Quellmandant:

  1. Navigieren Sie im Quellmandanten zu Entra ID>Externe Identitäten>Mandantenübergreifende Synchronisierung.

    Screenshot der Navigation für die mandantenübergreifende Synchronisierung im Microsoft Entra Admin Center

    Wenn Sie das Azure-Portal verwenden, navigieren Sie zu Microsoft Entra ID>Verwalten>Mandantenübergreifende Synchronisation.

    Screenshot der Navigation zu „Mandantenübergreifende Synchronisierung“ im Azure-Portal

  2. Wählen Sie Konfigurationen aus.

  3. Wählen Sie im oberen Bereich der Seite die Option Neue Konfiguration aus.

  1. Geben Sie einen Namen für die Konfiguration an.

    Screenshot einer neuen Konfiguration, die den Namen zeigt.

  2. Wählen Sie "Erstellen" aus.

    Es kann bis zu 15 Sekunden dauern, bis die soeben erstellte Konfiguration in der Liste angezeigt wird.

  1. Geben Sie einen Namen für die Konfiguration an.

  2. Aktivieren Sie das Kontrollkästchen " Mandantenübergreifende Synchronisierung in Microsoft Clouds einrichten ".

    Screenshot einer neuen Konfiguration mit dem Kontrollkästchen

  3. Wählen Sie "Erstellen" aus.

    Es kann bis zu 15 Sekunden dauern, bis die soeben erstellte Konfiguration in der Liste angezeigt wird.

    Auf der Seite "Konfigurationen" für die cloudübergreifende Synchronisierung sind die Spalten "Mandantname " und "Mandanten-ID " leer.

Schritt 6: Testen der Verbindung mit dem Zielmandanten

Symbol für den Quellmandanten.
Quellmandant:

  1. Im Quellmandanten sollte Ihre neue Konfiguration angezeigt werden. Wählen Sie andernfalls Ihre Konfiguration in der Konfigurationsliste aus.

    Screenshot der Seite „Konfigurationen“ der mandantenübergreifenden Synchronisierung und eine neue Konfiguration.

  2. Wählen Sie Erste Schritte aus.

  3. Legen Sie den Bereitstellungsmodus auf Automatisch fest.

  4. Ändern Sie im Abschnitt Administratoranmeldeinformationen die Authentifizierungsmethode in Cross Tenant Synchronization Policy (Mandantenübergreifende Synchronisierungsrichtlinie).

    Screenshot der Seite „Bereitstellung“, wobei die mandantenübergreifende Synchronisierungsrichtlinie ausgewählt ist.

  5. Geben Sie im Feld Mandanten-ID die Mandanten-ID des Zielmandanten ein.

  6. Klicken Sie auf Verbindung testen, um die Verbindung zu testen.

    Es sollte eine Meldung angezeigt werden, dass die Bereitstellung mit den angegebenen Anmeldeinformationen aktiviert werden kann. Wenn die Testverbindung fehlschlägt, lesen Sie weiter unten in diesem Artikel allgemeine Szenarien und Lösungen .

    Screenshot: Meldung, dass die Verbindung getestet wird.

  7. Wählen Sie Speichern aus.

    Die Abschnitte „Zuordnungen“ und „Einstellungen“ werden angezeigt.

  8. Schließen Sie die Seite Bereitstellung.

Schritt 7: Definieren des Bereichs für die Bereitstellung

Symbol für den Quellmandanten.
Quellmandant:

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie auf eine oder beide der folgenden Arten definieren, welche Benutzer*innen bereitgestellt werden:

  • Basierend auf der Zuweisung zur Konfiguration
  • Basierend auf Attributen des Benutzers

Fangen Sie klein an. Testen Sie die Bereitstellung mit einer kleinen Gruppe von Benutzern, bevor Sie sie für alle freigeben. Wenn der Bereitstellungsbereich auf zugewiesene Benutzer und Gruppen festgelegt ist, können Sie den Bereich durch Zuweisen von einem oder zwei Benutzern zur Konfiguration kontrollieren. Sie können die Personen im Bereitstellungsbereich weiter verfeinern, indem Sie attributbasierte Bereichsfilter erstellen, die im nächsten Schritt beschrieben werden.

  1. Wählen Sie im Quellmandanten Bereitstellung aus, und erweitern Sie den Abschnitt Einstellungen.

    Screenshot: Seite „Bereitstellung“, auf der der Abschnitt „Einstellungen“ mit den Optionen „Bereich“ und „Bereitstellungsstatus“ angezeigt wird.

  2. Wählen Sie in der Liste Bereich aus, ob alle Benutzer im Quellmandanten oder nur Benutzer synchronisiert werden sollen, die der Konfiguration zugewiesen sind.

    Es wird empfohlen, Nur zugewiesene Benutzer und Gruppen synchronisieren anstelle von Alle Benutzer und Gruppen synchronisieren auszuwählen. Wenn Sie die Anzahl der Benutzer im Bereich reduzieren, wird die Leistung verbessert.

  3. Wählen Sie Speichern aus, wenn Sie Änderungen vorgenommen haben.

  4. Wählen Sie auf der Konfigurationsseite Benutzer und Gruppen aus.

    Damit die mandantenübergreifende Synchronisierung funktioniert, muss der Konfiguration mindestens ein interner Benutzer zugewiesen sein.

  5. Wählen Sie Benutzer/Gruppe hinzufügen aus.

  6. Wählen Sie im Bereich Zuweisung hinzufügen unter Benutzer und Gruppen die Option Keine ausgewählt aus.

  7. Suchen Sie im Bereich Benutzer und Gruppen nach einem oder mehreren internen Benutzern oder Gruppen, die Sie der Konfiguration zuweisen möchten, und wählen Sie sie aus.

    Wenn Sie eine Gruppe auswählen, die der Konfiguration zugewiesen werden soll, befinden sich nur Benutzer, die direkte Mitglieder der Gruppe sind, im Bereitstellungsbereich. Sie können eine statische oder eine dynamische Gruppe auswählen. Die Zuweisung wird nicht an geschachtelte Gruppen weitergegeben.

  8. Wählen Sie Auswählen aus.

  9. Wählen Sie Zuweisen aus.

    Screenshot: Seite „Benutzer und Gruppen“ mit einem Benutzer, der der Konfiguration zugewiesen ist.

    Weitere Informationen finden Sie unter Zuweisen von Benutzern und Gruppen zu einer Anwendung.

Schritt 8: (Optional) Definieren, wer sich im Bereich für die Bereitstellung befindet (mit Bereichsfiltern)

Symbol für den Quellmandanten.
Quellmandant:

Unabhängig vom Wert, den Sie im vorherigen Schritt für Bereich ausgewählt haben, können Sie weiter einschränken, welche Benutzer synchronisiert werden. Erstellen Sie dazu attributbasierte Bereichsfilter.

  1. Wählen Sie im Quellmandanten Bereitstellung aus, und erweitern Sie den Abschnitt Zuordnungen.

    Screenshot: Seite „Bereitstellung“ mit erweitertem Abschnitt „Zuordnungen“.

  2. Wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus, um die Seite Attributzuordnung zu öffnen.

  3. Wählen Sie unter Quellobjektbereich die Option Alle Datensätze aus.

    Screenshot: Seite „Attributzuordnung“ mit dem Quellobjektbereich.

  4. Wählen Sie auf der Seite Quellobjektbereich die Option Bereichsfilter hinzufügen aus.

  5. Fügen Sie Bereichsfilter hinzu, um zu definieren, welche Benutzer sich im Bereitstellungsbereich befinden.

    Informationen zum Konfigurieren von Bereichsfiltern finden Sie in den Anweisungen unter Definieren des Benutzer- oder Gruppenbereichs für die Bereitstellung mit Bereichsfiltern.

    Screenshot: Seite „Bereichsfilter hinzufügen“ mit Beispielfilter.

  6. Wählen Sie OK und Speichern aus, um die Änderungen zu speichern.

    Wenn Sie einen Filter hinzugefügt haben, werden Sie in einer Meldung darauf hingewiesen, dass das Speichern Ihrer Änderungen zur erneuten Synchronisierung aller zugewiesenen Benutzer und Gruppen führt. Dieser Vorgang kann abhängig von der Größe des Verzeichnisses viel Zeit in Anspruch nehmen.

  7. Wählen Sie Ja aus, und schließen Sie die Seite Attributzuordnung.

Schritt 9: Überprüfen von Attributzuordnungen

Symbol für den Quellmandanten.
Quellmandant:

Mit Attributzuordnungen können Sie den Datenfluss zwischen dem Quellmandanten und dem Zielmandanten definieren. Informationen zum Anpassen der Standardattributzuordnungen finden Sie unter Tutorial – Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID.

  1. Wählen Sie im Quellmandanten Bereitstellung aus, und erweitern Sie den Abschnitt Zuordnungen.

  2. Wählen Sie Microsoft Entra ID-Benutzer bereitstellen aus.

  3. Scrollen Sie auf der Seite Attributzuordnung nach unten, um die Benutzerattribute zu überprüfen, die zwischen Mandanten im Abschnitt Attributzuordnungen synchronisiert werden.

    Das erste Attribut, alternativeSecurityIdentifier, ist ein internes Attribut, das verwendet wird, um den Benutzer mandantenübergreifend eindeutig zu identifizieren, Benutzer im Quellmandanten mit vorhandenen Benutzern im Zielmandanten abzugleichen und sicherzustellen, dass jeder Benutzer nur über ein Konto verfügt. Das übereinstimmende Attribut kann nicht geändert werden. Der Versuch, das entsprechende Attribut zu ändern oder weitere entsprechende Attribute hinzuzufügen, führt zu einem schemaInvalid-Fehler.

    Screenshot der Seite „Attributzuordnung“, die die Liste der Microsoft Entra-Attribute anzeigt.

  4. Wählen Sie das Attribut Member (userType) aus, um die Seite Attribut bearbeiten zu öffnen.

  5. Überprüfen Sie die Einstellung Konstanter Wert für das Attribut userType.

    Diese Einstellung definiert den Benutzertyp, der im Zielmandanten erstellt wird, und kann einer der Werte in der folgenden Tabelle sein. Standardmäßig werden Benutzer als externes Mitglied (Benutzer für die B2B-Zusammenarbeit) erstellt. Weitere Informationen finden Sie unter Eigenschaften von Microsoft Entra B2B  Collaboration-Benutzer*innen.

    Konstanter Wert Beschreibung
    Mitglied Standard. Benutzende werden als externes Mitglied (Benutzende für die B2B-Zusammenarbeit) im Zielmandanten erstellt. Benutzer können als jedes interne Mitglied des Zielmandanten fungieren.
    Gast Benutzende werden als externe Gäste (Benutzende für die B2B-Zusammenarbeit) im Zielmandanten erstellt.

    Hinweis

    Wenn der B2B-Benutzer bereits im Zielmandanten vorhanden ist, wird member (userType) nicht in "Member" geändert, es sei denn, die Einstellung "Diese Zuordnung anwenden " ist auf "Immer" festgelegt.

    Für den von Ihnen ausgewählten Benutzertyp gelten die folgenden Einschränkungen für Apps oder Dienste (die jedoch nicht darauf beschränkt sind):

    App oder Dienst Einschränkungen
    Power BI - Die Unterstützung für UserType-Member in Power BI befindet sich derzeit in der Vorschauphase. Weitere Informationen finden Sie unter Verteilen von Power BI-Inhalten an externe Gastbenutzer mit Microsoft Entra B2B.
    Azure Virtual Desktop – Einschränkungen finden Sie unter Voraussetzungen für Azure Virtual Desktop.
    Microsoft Teams – Einschränkungen finden Sie unter Zusammenarbeit mit Gästen aus anderen Microsoft 365-Cloudumgebungen.

    Screenshot: Seite „Attribut bearbeiten“ mit dem Attribut „Member“.

  6. Wenn Sie Transformationen definieren möchten, wählen Sie auf der Seite Attributzuordnung das Attribut aus, das Sie transformieren möchten, z. B. displayName.

  7. Legen Sie den Zuordnungstyp auf Ausdruck fest.

  8. Geben Sie im Feld Ausdruck den Transformationsausdruck ein. Mit dem Anzeigenamen ist beispielsweise Folgendes möglich:

    • Vertauschen Sie den Vor- und Nachnamen, und fügen Sie ein Komma dazwischen hinzu.
    • Fügen Sie den Domänennamen in Klammern am Ende des Anzeigenamens hinzu.

    Beispiele finden Sie unter Verweis zum Schreiben von Ausdrücken für Attributzuordnungen in Microsoft Entra ID.

    Screenshot: Seite „Attribut bearbeiten“, die das Attribut „displayName“ mit dem Ausdruckfeld anzeigt.

Tipp

Sie können Verzeichniserweiterungen zuordnen, indem Sie das Schema für die mandantenübergreifende Synchronisierung aktualisieren. Weitere Informationen finden Sie unter Zuordnen von Verzeichniserweiterungen bei der mandantenübergreifenden Synchronisierung.

Schritt 10: Angeben zusätzlicher Bereitstellungseinstellungen

Symbol für den Quellmandanten.
Quellmandant:

  1. Wählen Sie im Quellmandanten Bereitstellung aus, und erweitern Sie den Abschnitt Einstellungen.

    Screenshot: Seite „Bereitstellung“, auf der der Abschnitt „Einstellungen“ mit den Optionen „Bereich“ und „Bereitstellungsstatus“ angezeigt wird.

  2. Wählen Sie das Kontrollkästchen E-Mail-Benachrichtigung senden, wenn ein Fehler auftritt aus.

  3. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll.

    E-Mail-Benachrichtigungen werden innerhalb von 24 Stunden gesendet, nachdem der Auftrag den Quarantänestatus erhält. Informationen zu benutzerdefinierten Warnungen finden Sie unter Grundlegendes zur Integration der Bereitstellung in Azure Monitor-Protokolle.

  4. Wählen Sie Versehentliches Löschen verhindern aus, und geben Sie einen Schwellenwert an, um ein versehentliches Löschen zu vermeiden. Standardmäßig ist der Schwellenwert auf 500 festgelegt.

    Weitere Informationen finden Sie unter Aktivieren des Features zum Verhindern versehentlicher Löschungen im Microsoft Entra-Bereitstellungsdienst.

  5. Wählen Sie Speichern aus, um die Änderungen zu speichern.

Schritt 11: Testen der bedarfsorientierten Bereitstellung

Symbol für den Quellmandanten.
Quellmandant:

Nachdem Sie nun über eine Konfiguration verfügen, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

  1. Navigieren Sie im Quellmandanten zu Entra ID>Externe Identitäten>Mandantenübergreifende Synchronisierung.

  2. Wählen Sie Konfigurationen und dann Ihre Konfiguration aus.

  3. Klicken Sie auf Bei Bedarf bereitstellen.

  4. Suchen Sie im Feld Benutzer oder Gruppe auswählen nach einem Ihrer Testbenutzer, und wählen Sie ihn aus.

    Screenshot: Seite „Bei Bedarf bereitstellen“, auf der ein Testbenutzer ausgewählt ist.

  5. Wählen Sie Bereitstellen aus.

    Nach einigen Augenblicken wird die Seite Aktion ausführen mit Informationen zur Bereitstellung des Testbenutzers im Zielmandanten angezeigt.

    Screenshot: Seite „Aktion ausführen“, auf der der Testbenutzer und die Liste der geänderten Attribute angezeigt werden.

    Wenn sich der Benutzer nicht im Bereich befindet, wird eine Seite mit Informationen darüber angezeigt, warum der Testbenutzer übersprungen wurde.

    Screenshot der Seite „Ermitteln, ob sich der Benutzer im Bereich befindet“, auf der Informationen darüber angezeigt werden, warum der Testbenutzer übersprungen wurde.

    Auf der Seite Bei Bedarf bereitstellen können Sie Details zur Bereitstellung anzeigen und einen Wiederholungsversuch ausführen.

    Screenshot: Seite „Bei Bedarf bereitstellen“, auf der Details zur Bereitstellung angezeigt werden.

  6. Überprüfen Sie im Zielmandanten, ob der Testbenutzer bereitgestellt wurde.

    Screenshot der Seite „Benutzer“ des Zielmandanten, auf der der bereitgestellte Testbenutzer angezeigt wird.

  7. Wenn alles wie erwartet funktioniert, können Sie der Konfiguration weitere Benutzer zuweisen.

    Weitere Informationen finden Sie unter Bedarfsgesteuerte Bereitstellung in Microsoft Entra ID

Schritt 12: Starten des Bereitstellungsauftrags

Symbol für den Quellmandanten.
Quellmandant:

Mit dem Bereitstellungsauftrag wird der erste Synchronisierungszyklus für alle Benutzer gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus dauert länger als nachfolgende Zyklen, die ungefähr alle 40 Minuten erfolgen, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

  1. Navigieren Sie im Quellmandanten zu Entra ID>Externe Identitäten>Mandantenübergreifende Synchronisierung.

  2. Wählen Sie Konfigurationen und dann Ihre Konfiguration aus.

  3. Überprüfen Sie die Bereitstellungsdetails auf der Seite Übersicht.

    Screenshot: Seite „Konfigurationsübersicht“ mit Bereitstellungsdetails.

  4. Wählen Sie Bereitstellung beginnen aus, um den Bereitstellungsauftrag zu starten.

Schritt 13: Überwachen der Bereitstellung

Symbol für den Quellmandanten.Symbol für den Zielmandanten.
Quell- und Zielmandanten

Nachdem Sie einen Bereitstellungsauftrag gestartet haben, können Sie den Status überwachen.

  1. Im Quellmandanten können Sie auf der Seite Übersicht anhand der Fortschrittsleiste den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen. Weitere Informationen finden Sie unter Ermitteln, wann ein bestimmter Benutzer auf eine Anwendung zugreifen kann.

    Wenn sich die Bereitstellung in einem fehlerhaften Zustand zu befinden scheint, wird die Konfiguration unter Quarantäne gestellt. Weitere Informationen hierzu finden Sie unter Anwendungsbereitstellung im Quarantänestatus.

    Screenshot: Seite „Konfigurationsübersicht“ mit dem Status des Bereitstellungszyklus.

  2. Wählen Sie Bereitstellungsprotokolle aus, um zu ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden. Standardmäßig werden die Protokolle nach der Dienstprinzipal-ID der Konfiguration gefiltert. Weitere Informationen finden Sie unter Bereitstellungsprotokolle in Microsoft Entra ID

    Screenshot: Seite „Bereitstellungsprotokolle“, auf der die Protokolleinträge und deren Status aufgeführt sind.

  3. Wählen Sie Überwachungsprotokolle aus, um alle protokollierten Ereignisse in Microsoft Entra ID anzuzeigen. Weitere Informationen finden Sie unter Überwachungsprotokolle in Microsoft Entra ID

    Screenshot: Seite „Überwachungsprotokolle“, auf der die Protokolleinträge und deren Status aufgeführt sind.

    Sie können auch Überwachungsprotokolle im Zielmandanten anzeigen.

  4. Wählen Sie im Zielmandanten „Benutzer>Überwachungsprotokolle“ aus, um protokollierte Ereignisse für die Benutzerverwaltung anzuzeigen. Die mandantenübergreifende Synchronisierung im Zielmandanten wird protokolliert, wobei die Anwendung "Microsoft.Azure.SyncFabric" als ausführende Instanz auftritt.

    Screenshot: Seite „Überwachungsprotokolle“ im Zielmandanten, auf der die Protokolleinträge für die Benutzerverwaltung aufgeführt sind.

Schritt 14: Konfigurieren der Einstellungen für das Verlassen

Symbol für den Zielmandanten.
Zielmandant

Obwohl Benutzer im Zielmandanten bereitgestellt werden, können sie sich dennoch möglicherweise selbst entfernen. Wenn Benutzende sich selbst entfernen und sich im Bereich befinden, werden sie im nächsten Bereitstellungszyklus erneut bereitgestellt. Wenn sich Benutzer nicht selbst aus Ihrer Organisation entfernen können sollen, müssen Sie die Einstellungen für das Verlassen von externen Benutzern konfigurieren.

  1. Navigieren Sie im Zielmandanten zu Entra-ID>Externe Identitäten>Einstellungen für die externe Zusammenarbeit.

  2. Wählen Sie unter Einstellungen für das Verlassen von externen Benutzern aus, ob externe Benutzer ihre Organisation selbst verlassen können.

Diese Einstellung gilt auch für die B2B-Zusammenarbeit und direkte B2B-Verbindungen. Wenn Sie also Einstellungen für das Verlassen von externen Benutzern auf Nein festlegen, können Benutzer für die B2B-Zusammenarbeit und Benutzer der direkten B2B-Verbindung Ihre Organisation nicht eigenständig verlassen. Weitere Informationen finden Sie unter Verlassen einer Organisation als externer Benutzer.

Gängige Szenarien und Lösungen

Symptom – Testverbindung schlägt mit AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure fehl

Wenn Sie die mandantenübergreifende Synchronisierung im Quellmandanten konfigurieren und die Verbindung testen, schlägt sie mit einer der folgenden Fehlermeldungen fehl:

Automatische Einlösung ist im Quellmandanten nicht eingerichtet

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The source tenant has not enabled automatic user consent with the target tenant. Please enable the outbound cross-tenant access policy for automatic user consent in the source tenant. aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Automatische Einlösung ist im Zielmandanten nicht eingerichtet

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The target tenant has not enabled inbound synchronization with this tenant. Please request the target tenant admin to enable the inbound synchronization on their cross-tenant access policy. Learn more: aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Ursache

Dieser Fehler weist darauf hin, dass die Richtlinie zum automatischen Einlösen von Einladungen in den Quell- und/oder Zielmandanten nicht eingerichtet wurde.

Lösung

Führen Sie die Schritte in Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten und Schritt 4: Automatisches Einlösen von Einladungen im Quellmandanten aus.

Symptom - Testverbindung schlägt mit ExternalTenantNotFound fehl

Wenn Sie die cloudübergreifende Synchronisierung im Quellmandanten konfigurieren und die Verbindung testen, schlägt dies mit der folgenden Fehlermeldung fehl:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: ExternalTenantNotFound
Details: This tenant was not found by the authentication authority of the current cloud: <targetTenantId>. The authentication authority is https://login.microsoftonline.com/<targetTenantId>.

Ursache

Dieser Fehler gibt an, dass das Kontrollkästchen "Mandantenübergreifende Synchronisierung einrichten" in microsoft Clouds nicht aktiviert ist. 

Lösung

  1. Löschen Sie im Quellmandanten die von Ihnen erstellte Konfiguration, die keine Verbindung herstellen kann.

  2. Erstellen Sie im Zielmandanten eine neue Konfiguration, und vergewissern Sie sich, dass Sie die mandantenübergreifende Synchronisierung über Microsoft-Clouds hinweg aktivieren, wie in Schritt 5 beschrieben: Erstellen einer Konfiguration im Quellmandanten.

Symptom – Testverbindung schlägt mit AzureActiveDirectoryTokenExpired fehl

Wenn Sie die cloudübergreifende Synchronisierung im Quellmandanten konfigurieren und die Verbindung testen, schlägt dies mit der folgenden Fehlermeldung fehl:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryTokenExpired
Details: The identity of the calling application could not be established.

Ursache

Dieser Fehler gibt an, dass die cloudübergreifende Einstellung für die Synchronisierung nicht aktiviert wurde. 

Lösung

Aktivieren Sie im Zielmandanten auf der Registerkarte "Microsoft-Cloudeinstellungen " das Kontrollkästchen für die cloudübergreifende Synchronisierung für den Quellmandanten. Folgen Sie den Schritten in Schritt 1: Aktivieren der Einstellungen für die Cloud-übergreifende Nutzung in beiden Mandanten

Symptom – Das Kontrollkästchen für die automatische Einlösung ist deaktiviert

Beim Konfigurieren der mandantenübergreifenden Synchronisierung ist das Kontrollkästchen Automatische Einlösung deaktiviert.

Screenshot, der das deaktivierte Kontrollkästchen für die automatische Einlösung zeigt.

Ursache

Ihr Mandant verfügt über keine P1- oder P2-Lizenz für Microsoft Entra ID.

Lösung

Sie müssen über Microsoft Entra ID P1 oder P2 verfügen, um Vertrauenseinstellungen konfigurieren zu können.

Symptom: Kürzlich gelöschte benutzende Person im Zielmandanten wird nicht wiederhergestellt

Nach dem vorläufigen Löschen eines synchronisierten Benutzers im Zielmandanten wird der Benutzer während des nächsten Synchronisierungszyklus nicht wiederhergestellt. Wenn Sie versuchen, einen Benutzer mit bedarfsorientierter Bereitstellung vorläufig zu löschen und den Benutzer dann wiederherzustellen, kann es dazu kommen, dass Benutzer doppelt vorhanden sind.

Ursache

Das Wiederherstellen von zuvor vorläufig gelöschten Benutzenden im Zielmandanten wird nicht unterstützt.

Lösung

Stellen Sie die vorläufig gelöschte benutzende Person manuell im Zielmandanten wieder her. Weitere Informationen finden Sie unter Wiederherstellen oder Entfernen eines kürzlich gelöschten Benutzers mithilfe von Microsoft Entra ID.

Symptom – Benutzer werden übersprungen, weil die SMS-Anmeldung für den Benutzer aktiviert ist

Benutzer werden von der Synchronisierung übersprungen. Der Schritt zur Bereichsfestlegung schließt den folgenden Filter mit Status FALSCH ein: „Filter external users.alternativeSecurityIds EQUALS 'None'“

Ursache

Wenn die SMS-Anmeldung für eine benutzende Person aktiviert ist, wird sie vom Bereitstellungsdienst übersprungen.

Lösung

Deaktivieren Sie die SMS-Anmeldung für die Benutzer. Das folgende Skript zeigt, wie Sie die SMS-Anmeldung mittels PowerShell deaktivieren können.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Symptom: Benutzende erhalten bei der Bereitstellung die Fehlermeldung „AzureActiveDirectoryForbidden“.

Benutzende, die in den Geltungsbereich fallen, können keine Bereitstellung vornehmen. Die Details der Bereitstellungsprotokolle enthalten die folgende Fehlermeldung:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Ursache

Dieser Fehler weist darauf hin, dass die Einstellungen für Gasteinladungen im Zielmandanten mit der restriktivsten Einstellung konfiguriert sind: „Niemand in der Organisation kann Gastbenutzer einladen, einschließlich Administratoren (restriktivste Einstellung)“.

Lösung

Ändern Sie die Einstellungen für die Einladung von Gästen im Zielmandanten auf eine weniger restriktive Einstellung. Weitere Informationen finden Sie unter Konfigurieren von Einstellungen für die externe Zusammenarbeit.

Symptom – UserPrincipalName wird für vorhandene B2B-Benutzer im ausstehendem Annahmezustand nicht aktualisiert.

Wenn ein Benutzer zum ersten Mal über eine manuelle B2B-Einladung eingeladen wird, wird die Einladung an die E-Mail-Adresse des Quellbenutzers gesendet. Daher wird der Gastbenutzer im Zielmandanten mit einem Benutzerprinzipalnamen (UPN)-Präfix mit unter Verwendung der Eigenschaft für den Quell-E-Mail-Wert erstellt. Es gibt Umgebungen, in denen die Eigenschaften des Quellbenutzerobjekts (UPN und E-Mail-Adresse) unterschiedliche Werte aufweisen, z. B. E-Mail-Adresse = user.mail@domain.com und UPN = user.upn@otherdomain.com. In diesem Fall wird der Gastbenutzer im Zielmandanten mit dem UPN als user.mail_domain.com#EXT#@contoso.onmicrosoft.com erstellt.

Das Problem tritt auf, wenn das Quellobjekt in den Bereich für die mandantenübergreifende Synchronisierung aufgenommen und erwartet wird, dass neben anderen Eigenschaften das UPN-Präfix des Zielgastbenutzers aktualisiert wird, damit es dem UPN des Quellbenutzers entspricht. (Im Falle des obigen Beispiels wäre der Wert user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com.) Das geschieht jedoch nicht während inkrementeller Synchronisierungszyklen, und die Änderung wird ignoriert.

Ursache

Dieses Problem tritt auf, wenn der B2B-Benutzer, der manuell in den Zielmandanten eingeladen wurde, die Einladung nicht akzeptiert oder eingelöst hat, sodass der Status „Annahme steht aus“ lautet. Wenn ein Benutzer über eine E-Mail eingeladen wird, wird ein Objekt mit einer Reihe von Attributen erstellt, die aus der E-Mail aufgefüllt werden. Eins davon ist der UPN, der auf den E-Mail-Wert des Quellbenutzers verweist. Wenn Sie später beschließen, den Benutzer zum Bereich für die mandantenübergreifende Synchronisierung hinzuzufügen, versucht das System, den Quellbenutzer basierend auf dem Attribut "alternativeSecurityIdentifier" mit einem B2B-Benutzer im Zielmandanten zu verknüpfen. Da jedoch die Einladung nicht eingelöst wurde, verfügt der zuvor erstellte Benutzer nicht über eine ausgefüllte "alternativeSecurityIdentifier"-Eigenschaft. Daher betrachtet das System dies nicht als ein neues Benutzerobjekt und aktualisiert nicht den UPN-Wert. Der UserPrincipalName wird in den folgenden Szenarien nicht aktualisiert:

  1. Der UPN und die E-Mail-Adresse unterscheiden sich für einen Benutzer, wenn er manuell eingeladen wurde.
  2. Der Benutzer wurde vor dem Aktivieren der mandantenübergreifenden Synchronisierung eingeladen.
  3. Der Benutzer hat die Einladung nie akzeptiert, daher befindet er sich im „Status ausstehende Annahme“.
  4. Die benutzende Person wird in den Bereich für die mandantenübergreifende Synchronisierung aufgenommen.

Lösung

Um das Problem zu beheben, führen Sie die bedarfsgesteuerte Bereitstellung für die betroffenen Benutzenden aus, um den UPN zu aktualisieren. Sie können auch die Bereitstellung neu starten, um den UPN für alle betroffenen Benutzer zu aktualisieren. Beachten Sie, dass dies einen initialen Zyklus auslöst, der bei großen Mandanten viel Zeit in Anspruch nehmen kann. Wenn Sie eine Liste der manuell eingeladenen Benutzer im Status "Ausstehende Akzeptanz" abrufen möchten, können Sie ein Skript verwenden, siehe das folgende Beispiel.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Anschließend können Sie provisionOnDemand mit PowerShell für jeden Benutzer verwenden. Die Ratenbegrenzung für diese API beträgt 5 Anforderungen pro 10 Sekunden. Weitere Informationen finden Sie unter Bekannte Einschränkungen für die bedarfsgesteuerte Bereitstellung.

Nächste Schritte