Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API

In diesem Artikel werden die wichtigsten Schritte zum Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API beschrieben. Bei der Konfiguration stellt Microsoft Entra ID automatisch B2B-Benutzer*innen in Ihrem Zielmandanten bereit und hebt diese Bereitstellung auf. Ausführliche Schritte zur Verwendung des Microsoft Entra Admin Centers finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung.

Voraussetzungen

Quellmandant

• Microsoft Entra ID-P1- oder P2-Lizenz Weitere Informationen finden Sie unter Lizenzanforderungen.
• Die Rolle Sicherheitsadministrator zum Konfigurieren der Einstellungen für den mandantenübergreifenden Zugriff.
• Die Rolle Hybrid-Identitätsadministrator zum Konfigurieren der mandantenübergreifenden Synchronisierung.
• Die Rolle Cloud-Anwendungsadministrator oder Anwendungsadministrator zum Zuweisen von Benutzern zu einer Konfiguration und zum Löschen einer Konfiguration.
• Die Rolle Globaler Administratorzum Zustimmen zu den erforderlichen Berechtigungen.

Zielmandant

• Microsoft Entra ID-P1- oder P2-Lizenz Weitere Informationen finden Sie unter Lizenzanforderungen.
• Die Rolle Sicherheitsadministrator zum Konfigurieren der Einstellungen für den mandantenübergreifenden Zugriff.
• Die Rolle Globaler Administratorzum Zustimmen zu den erforderlichen Berechtigungen.

Schritt 1: Anmelden beim Zielmandanten

Zielmandant

PowerShell

1. Starten Sie PowerShell.

2. Installieren Sie bei Bedarf das Microsoft Graph PowerShell SDK.

3. Rufen Sie die Mandanten-ID der Quell- und Zielmandanten ab, und initialisieren Sie Variablen.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Verwenden Sie den Befehl Connect-MgGraph, um sich beim Zielmandanten anzumelden und den folgenden erforderlichen Berechtigungen zuzustimmen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

In diesen Schritten wird beschrieben, wie Sie Microsoft Graph-Tester verwenden, aber Sie können auch Postman oder einen anderen REST-API-Client verwenden.

1. Starten Sie das Tool Microsoft Graph-Tester.

2. Melden Sie sich beim Zielmandanten an.

3. Wählen Sie Ihr Profil aus, und wählen Sie dann Berechtigungen zustimmen aus.

   

4. Stimmen Sie den folgenden erforderlichen Berechtigungen zu.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Rufen Sie die Mandanten-ID des Quellmandanten und des Zielmandanten ab. In der in diesem Artikel beschriebenen Beispielkonfiguration werden die folgenden Mandanten-IDs verwendet.

   • Quellmandanten-ID: {sourceTenantId}
   • Zielmandanten-ID: {targetTenantId}

Schritt 2: Aktivieren der Benutzersynchronisierung im Zielmandanten

Zielmandant

PowerShell

1. Verwenden Sie im Zielmandanten den Befehl New-MgPolicyCrossTenantAccessPolicyPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Zielmandanten und dem Quellmandanten zu erstellen. Verwenden Sie die Quellmandanten-ID in der Anforderung.

   Wenn Sie den Fehler New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Verwenden Sie den Befehl Invoke-MgGraphRequest, um die Benutzersynchronisierung im Zielmandanten zu aktivieren.

   Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Richtlinie. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, um zu überprüfen, ob IsSyncAllowed auf „true“ festgelegt ist.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. Verwenden Sie im Zielmandanten die API Create crossTenantAccessPolicyConfigurationPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Zielmandanten und dem Quellmandanten zu erstellen. Verwenden Sie die Quellmandanten-ID in der Anforderung.

   Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

   Anforderung

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Verwenden Sie die API Create identitySynchronization, um die Benutzersynchronisierung im Zielmandanten zu ermöglichen.

   Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Richtlinie. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

   Anforderung

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten

Zielmandant

PowerShell

1. Verwenden Sie im Zielmandanten den Befehl Update-MgPolicyCrossTenantAccessPolicyPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für eingehenden Zugriff zu unterdrücken.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Verwenden Sie im Zielmandanten die API Update crossTenantAccessPolicyConfigurationPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für eingehenden Zugriff zu unterdrücken.

   Anforderung

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 4: Anmelden beim Quellmandanten

Quellmandant

PowerShell

1. Starten Sie eine Instanz von PowerShell.

2. Rufen Sie die Mandanten-ID der Quell- und Zielmandanten ab, und initialisieren Sie Variablen.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Verwenden Sie den Befehl Connect-MgGraph, um sich beim Quellmandanten anzumelden und den folgenden erforderlichen Berechtigungen zuzustimmen.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Starten Sie eine Instanz des Tools Microsoft Graph-Tester.

2. Melden Sie sich beim Quellmandanten an.

3. Stimmen Sie den folgenden erforderlichen Berechtigungen zu.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Wenn die Seite Administratorgenehmigung erforderlich angezeigt wird, müssen Sie sich als Benutzer mit der Rolle „Globaler Administrator“ anmelden, um Ihre Zustimmung erteilen zu können.

Schritt 5: Automatisches Einlösen von Einladungen im Quellmandanten

Quellmandant

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl New-MgPolicyCrossTenantAccessPolicyPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Quellmandanten und dem Zielmandanten zu erstellen. Verwenden Sie die Zielmandanten-ID in der Anforderung.

   Wenn Sie den Fehler New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Verwenden Sie den Befehl Update-MgPolicyCrossTenantAccessPolicyPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für ausgehenden Zugriff zu unterdrücken.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die API Create crossTenantAccessPolicyConfigurationPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Quellmandanten und dem Zielmandanten zu erstellen. Verwenden Sie die Zielmandanten-ID in der Anforderung.

   Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

   Anforderung

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Verwenden Sie die API Update crossTenantAccessPolicyConfigurationPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für ausgehenden Zugriff zu unterdrücken.

   Anforderung

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 6: Erstellen einer Konfigurationsanwendung im Quellmandanten

Quellmandant

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl Invoke-MgInstantiateApplicationTemplate, um Ihrem Mandanten eine Instanz einer Konfigurationsanwendung aus dem Microsoft Entra-Anwendungskatalog hinzuzufügen.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Verwenden Sie den Befehl Get-MgServicePrincipal, um die Dienstprinzipal-ID und die App-Rollen-ID abzurufen.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Initialisieren Sie eine Variable für die Dienstprinzipal-ID.

   Achten Sie darauf, die Dienstprinzipal-IDs anstelle der Anwendungs-ID zu verwenden.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Initialisieren Sie eine Variable für die App-Rollen-ID.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die API applicationTemplate: instantiate, um Ihrem Mandanten eine Instanz einer Konfigurationsanwendung aus dem Microsoft Entra-Anwendungskatalog hinzuzufügen.

   Anforderung

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Speichern Sie die servicePrincipalId.

   Achten Sie darauf, die Dienstprinzipal-IDs anstelle der Anwendungs-ID zu verwenden.

3. Speichern Sie die appRoleId.

Schritt 7: Testen der Verbindung mit dem Zielmandanten

Quellmandant

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl Invoke-MgGraphRequest, um die Verbindung mit dem Zielmandanten zu testen und die Anmeldeinformationen zu überprüfen.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die API synchronizationJob: validateCredentials, um die Verbindung mit dem Zielmandanten zu testen und die Anmeldeinformationen zu überprüfen.

   Anforderung

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 8: Erstellen eines Bereitstellungsauftrags im Quellmandanten

Quellmandant

Erstellen Sie im Quellmandanten einen Bereitstellungsauftrag, um die Bereitstellung zu aktivieren.

PowerShell

1. Bestimmen Sie die zu verwendende Synchronisierungsvorlage, z. B. Azure2Azure.

   Eine Vorlage verfügt über vorkonfigurierte Synchronisierungseinstellungen.

2. Verwenden Sie im Quellmandanten den Befehl New-MgServicePrincipalSynchronizationJob, um einen Bereitstellungsauftrag basierend auf einer Vorlage zu erstellen.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Initialisieren Sie eine Variable für die Auftrags-ID.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Bestimmen Sie die zu verwendende Synchronisierungsvorlage, z. B. Azure2Azure.

   Eine Vorlage verfügt über vorkonfigurierte Synchronisierungseinstellungen.

2. Verwenden Sie im Quellmandanten die API Create synchronizationJob, um einen Bereitstellungsauftrag basierend auf einer Vorlage zu erstellen.

   Anforderung

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Speichern Sie die jobId.

Schritt 9: Speichern Ihrer Anmeldeinformationen

Quellmandant

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl Invoke-MgGraphRequest, um Ihre Anmeldeinformationen zu speichern.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die API für Geheime Synchronisierungsschlüssel hinzufügen, um Ihre Anmeldeinformationen zu speichern.

   Anforderung

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 10: Zuweisen eines Benutzenden zur Konfiguration

Quellmandant

Damit die mandantenübergreifende Synchronisierung funktioniert, muss der Konfiguration mindestens ein interner Benutzer zugewiesen sein.

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl New-MgServicePrincipalAppRoleAssignedTo, um der Konfiguration einen internen Benutzenden zuzuweisen.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die API zum Zuweisen von appRoleAssignment für einen Dienstprinzipal, um der Konfiguration einen internen Benutzer zuzuweisen.

   Anforderung

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Antwort

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

Schritt 11: Testen der bedarfsorientierten Bereitstellung

Quellmandant

Nachdem Sie nun über eine Konfiguration verfügen, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

PowerShell

1. Verwenden Sie im Quellmandanten den Befehl Get-MgServicePrincipalSynchronizationJobSchema, um die Schemaregel-ID abzurufen.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , …}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Initialisieren Sie eine Variable für die Regel-ID.

   $RuleId = "<RuleId>"
   

3. Verwenden Sie den Befehl New-MgServicePrincipalSynchronizationJobOnDemand, um bei Bedarf einen Testbenutzer bereitzustellen.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Verwenden Sie im Quellmandanten die Get synchronizationSchema-API, um die Schemaregel-ID abzurufen.

   Anforderung

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Antwort

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Verwenden Sie im Quellmandanten die API synchronizationJob: provisionOnDemand, um bei Bedarf einen Testbenutzer bereitzustellen.

   Anforderung

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Antwort

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

Schritt 12: Starten des Bereitstellungsauftrags

Quellmandant

PowerShell

1. Verwenden Sie nach der Konfiguration des Bereitstellungsauftrags jetzt im Quellmandanten den Befehl Start-MgServicePrincipalSynchronizationJob, um den Bereitstellungsauftrag zu starten.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Verwenden Sie nach der Konfiguration des Bereitstellungsauftrags jetzt im Quellmandanten die API Start synchronizationJob, um den Bereitstellungsauftrag zu starten.

   Anforderung

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Antwort

   HTTP/1.1 204 No Content
   

Schritt 13: Überwachen der Bereitstellung

Quellmandant

PowerShell

1. Nun, da der Bereitstellungsauftrag ausgeführt wird, verwenden Sie im Quellmandanten den Befehl Get-MgServicePrincipalSynchronizationJob, um den Fortschritt des aktuellen Bereitstellungszyklus sowie die bisherigen Statistiken zu überwachen, z. B. die Anzahl der Benutzenden und Gruppen, die im Zielsystem erstellt wurden.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Verwenden Sie zusätzlich zur Überwachung des Status des Bereitstellungsauftrags den Befehl Get-MgAuditLogProvisioning, um die Bereitstellungsprotokolle abzurufen und alle aufgetretenen Bereitstellungsereignisse zu erhalten. Sie können beispielsweise einen bestimmten Benutzer abfragen, um zu ermitteln, ob dieser erfolgreich bereitgestellt wurde.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec
   Id                   : Sync_cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec
   Id                   : Sync_cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec
   Id                   : Sync_cc519f3b-fb72-4ea2-9b7b-8f9dc271c5ec_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Da der Bereitstellungsauftrag jetzt ausgeführt wird, verwenden Sie im Quellmandanten die API Get synchronizationJob, um den Fortschritt des aktuellen Bereitstellungszyklus sowie die bisherigen Statistiken zu überwachen, z. B. die Anzahl der Benutzer und Gruppen, die im Zielsystem erstellt wurden.

   Anforderung

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Antwort

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Verwenden Sie zusätzlich zur Überwachung des Status des Bereitstellungsauftrags die API List provisioningObjectSummary, um die Bereitstellungsprotokolle abzurufen und alle aufgetretenen Bereitstellungsereignisse abzurufen. Sie können beispielsweise einen bestimmten Benutzer abfragen, um zu ermitteln, ob dieser erfolgreich bereitgestellt wurde.

   Anforderung

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Antwort

   Das hier gezeigte Antwortobjekt wurde aus Gründen der Lesbarkeit gekürzt.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Tipps zur Problembehandlung

PowerShell

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Wenn Sie versuchen, eine Aktion auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ursache

Entweder verfügt der angemeldete Benutzer nicht über ausreichende Berechtigungen, oder Sie müssen einer der erforderlichen Berechtigungen zustimmen.

Lösung

1. Stellen Sie sicher, dass Ihnen die erforderlichen Rollen zugewiesen sind. Siehe Abschnitt Voraussetzungen weiter oben in diesem Artikel.

2. Wenn Sie sich mit Connect-MgGraph anmelden, stellen Sie sicher, dass Sie die erforderlichen Bereiche angeben. Weitere Informationen finden Sie unter Schritt 1: Anmelden beim Zielmandanten und Schritt 4: Anmelden beim Quellmandanten weiter oben in diesem Artikel.

Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create

Wenn Sie versuchen, eine neue Partnerkonfiguration zu erstellen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Ursache

Sie versuchen wahrscheinlich, eine bereits vorhandene Konfiguration oder ein bereits vorhandenes Objekt zu erstellen, das möglicherweise aus einer vorherigen Konfiguration stammt.

Lösung

1. Überprüfen Sie Ihre Syntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.

2. Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartner, um das vorhandene Objekt auflisten.

3. Wenn Sie ein bestehendes Objekt haben, müssen Sie möglicherweise mit Update-MgPolicyCrossTenantAccessPolicyPartner eine Aktualisierung vornehmen.

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Wenn Sie versuchen, die Benutzersynchronisierung zu aktivieren, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Ursache

Sie versuchen wahrscheinlich, eine Richtlinie zu erstellen, die bereits existiert, möglicherweise aus einer früheren Konfiguration.

Lösung

1. Überprüfen Sie Ihre Syntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.

2. Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, um die Einstellung IsSyncAllowed aufzuführen.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Wenn Sie über eine vorhandene Richtlinie verfügen, müssen Sie möglicherweise mit dem Befehl Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization eine Aktualisierung vornehmen, um die Benutzersynchronisierung zu aktivieren.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Wenn Sie versuchen, eine Aktion auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ursache

Entweder verfügt der angemeldete Benutzer nicht über ausreichende Berechtigungen, oder Sie müssen einer der erforderlichen Berechtigungen zustimmen.

Lösung

1. Stellen Sie sicher, dass Ihnen die erforderlichen Rollen zugewiesen sind. Siehe Abschnitt Voraussetzungen weiter oben in diesem Artikel.

2. Stimmen Sie im Tool Microsoft Graph-Tester unbedingt den erforderlichen Berechtigungen zu. Weitere Informationen finden Sie unter Schritt 1: Anmelden beim Zielmandanten und Schritt 4: Anmelden beim Quellmandanten weiter oben in diesem Artikel.

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Wenn Sie versuchen, einen Graph-API-Aufruf auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Ursache

Sie versuchen wahrscheinlich, eine bereits vorhandene Konfiguration oder ein bereits vorhandenes Objekt zu erstellen, das möglicherweise aus einer vorherigen Konfiguration stammt.

Lösung

1. Überprüfen Sie Ihre Anforderungssyntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.

2. Senden Sie eine GET-Anforderung zum Auflisten des vorhandenen Objekts.

3. Wenn ein Objekt vorhanden ist, müssen Sie anstelle einer Erstellungsanforderungen mit POST oder PUT möglicherweise eine Aktualisierungsanforderung mithilfe von PATCH senden.

   • Aktualisieren von crossTenantAccessPolicyConfigurationPartner
   • Aktualisieren von crossTenantIdentitySyncPolicyPartner

Symptom: Fehler „Directory_ObjectNotFound“

Wenn Sie versuchen, einen Graph-API-Aufruf auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Ursache

Sie versuchen wahrscheinlich, mithilfe von PATCH ein Objekt zu aktualisieren, das nicht vorhanden ist.

Lösung

1. Überprüfen Sie Ihre Anforderungssyntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.

2. Senden Sie eine GET-Anforderung, um sich zu vergewissern, dass das Objekt nicht vorhanden ist.

3. Wenn das Objekt nicht vorhanden ist, müssen Sie anstelle einer Aktualisierungsanforderung mit PUT möglicherweise eine Erstellungsanforderungen mithilfe von PATCH oder POST senden.

   • Create identitySynchronization (Erstellen eines identitySynchronization-Elements)

Nächste Schritte

• Übersicht über die Microsoft Entra-Synchronisierungs-API
• Tutorial: Entwickeln eines SCIM-Endpunkts und Planen seiner Bereitstellung in Microsoft Entra ID