Configurer la synchronisation interclient

  • Article

Cet article décrit les étapes de configuration de la synchronisation interlocataire à l’aide de la Portail Azure. Une fois configuré, Azure AD provisionne et approvisionne automatiquement les utilisateurs B2B dans votre locataire cible. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’attribution et l’annulation de l’attribution des utilisateurs dans les applications SaaS avec Azure Active Directory.

Diagramme montrant la synchronisation entre locataires entre le locataire source et le locataire cible.

Objectifs d’apprentissage

À la fin de cet article, vous serez en mesure d’effectuer les opérations suivantes :

  • Créer des utilisateurs B2B dans votre locataire cible
  • Supprimer des utilisateurs B2B dans votre locataire cible
  • Conserver les attributs utilisateur synchronisés entre vos locataires source et cible

Prérequis

Icône du locataire source.
Locataire source

Icône du locataire cible.
Locataire cible

Étape 1 : Planifier votre déploiement de l’approvisionnement

  1. Définissez la façon dont vous souhaitez structurer les locataires dans votre organisation.

  2. En savoir plus sur le fonctionnement du service d’approvisionnement.

  3. Déterminez qui sera dans l’étendue pour l’approvisionnement.

  4. Déterminer les données à mapper entre les locataires.

Étape 2 : Activer la synchronisation des utilisateurs dans le locataire cible

Icône du locataire cible.
Locataire cible

  1. Connectez-vous au Portail Azure en tant qu’administrateur dans le locataire cible.

  2. SélectionnezAzure Active Directory>Identités externes.

  3. Sélectionnez Paramètres d’accès interlocataire.

  4. Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.

  5. Ajoutez le locataire source en tapant l’ID de locataire ou le nom de domaine, puis en sélectionnant Ajouter.

    Capture d’écran montrant le volet Ajouter une organisation pour ajouter le locataire source.

  6. Sous Accès entrant de l’organisation ajoutée, sélectionnez Hérité par défaut.

  7. Sélectionnez l’onglet Synchronisation interlocataire.

  8. Cochez la case Autoriser les utilisateurs à se synchroniser dans ce locataire .

    Capture d’écran montrant l’onglet Synchronisation interlocataire avec la case à cocher Autoriser les utilisateurs à se synchroniser avec ce client.

  9. Sélectionnez Enregistrer.

Étape 3 : échanger automatiquement les invitations dans le locataire cible

Icône du locataire cible.
Locataire cible

Dans cette étape, vous échangez automatiquement les invitations afin que les utilisateurs du locataire source n’aient pas à accepter l’invite de consentement. Ce paramètre doit être archivé dans le locataire source (sortant) et le locataire cible (entrant). Pour plus d’informations, consultez Paramètre d’échange automatique.

  1. Dans le locataire cible, dans la même page Paramètres d’accès entrant, sélectionnez l’onglet Paramètres d’approbation.

  2. Cochez la case Utiliser automatiquement les invitations avec le locataire<locataire>.

    Capture d’écran montrant la case à cocher de l’Échange automatique du trafic entrant.

  3. Sélectionnez Enregistrer.

Étape 4 : échanger automatiquement les invitations dans le locataire source

Icône du locataire source.
Locataire source

Dans cette étape, vous échangez automatiquement les invitations dans le locataire source.

  1. Connectez-vous au Portail Azure en tant qu’administrateur du locataire source.

  2. SélectionnezAzure Active Directory>Identités externes.

  3. Sélectionnez Paramètres d’accès interlocataire.

  4. Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.

  5. Ajoutez le locataire cible en tapant l’ID de locataire ou le nom de domaine et en sélectionnant Ajouter.

    Capture d’écran montrant le volet Ajouter une organisation pour ajouter le locataire source.

  6. Sous Accès sortant pour l’organisation cible, sélectionnez Hérité par défaut.

  7. Sélectionnez l’onglet Paramètres de confiance.

  8. Cochez la case Utiliser automatiquement les invitations avec le locataire<locataire>.

    Capture d’écran montrant la case à cocher de l’Échange automatique du trafic sortant.

  9. Sélectionnez Enregistrer.

Étape 5 : créer une configuration dans le locataire source

Icône du locataire source.
Locataire source

  1. Dans le locataire source, sélectionnez Azure Active Directory>Synchronisation interlocataire.

    Capture d’écran montrant le lien vers la page vue d’ensemble Azure Active Directory.

  2. Sélectionnez Configurations.

  3. En haut de la page, sélectionnez Nouvelle configuration.

  4. Fournissez un nom pour la configuration et sélectionnez Créer.

    L’affichage de la configuration que vous venez de créer dans la liste peut prendre jusqu’à 15 secondes.

  5. Sélectionnez Actualiser pour récupérer la dernière liste de configurations.

Étape 6 : Tester la connexion au locataire cible

Icône du locataire source.
Locataire source

  1. Dans le locataire source, sélectionnez votre configuration dans la liste de configuration.

    Capture d’écran montrant la page Configurations de synchronisation interlocataire et une nouvelle configuration.

  2. Sélectionnez Prise en main.

  3. Définissez le Mode d’approvisionnement sur Automatique.

  4. Dans la section Informations d’identification Administration, remplacez la méthode d’authentification par Stratégie de synchronisation entre locataires.

    Capture d’écran montrant la page approvisionnement avec la stratégie de synchronisation entre locataires sélectionnée.

  5. Dans la zone Id de locataire, entrez l’ID de locataire du locataire cible.

  6. Sélectionnez Tester la connexion pour tester la connexion.

    Vous devez voir un message indiquant que les informations d’identification fournies sont autorisées à activer l’approvisionnement. Si la connexion de test échoue, consultez Conseils de résolution des problèmes plus loin dans cet article.

    Capture d’écran montrant une notification de connexion de test.

  7. Sélectionnez Enregistrer.

    Les sections Mappages et Paramètres s’affichent.

  8. Fermer la page Approvisionnement.

Étape 7 : Définir qui est concerné par l’approvisionnement

Icône du locataire source.
Locataire source

Le service d’approvisionnement Azure AD vous permet de définir qui sera approvisionné de l’une ou des deux manières suivantes :

  • En fonction de l’affectation à la configuration
  • Basé sur les attributs de l’utilisateur

Commencez progressivement. Testez avec un petit ensemble d’utilisateurs avant d’effectuer un déploiement général. Lorsque l’étendue du provisionnement est définie sur des utilisateurs et des groupes assignés, vous pouvez la contrôler en assignant un ou deux utilisateurs à la configuration. Vous pouvez affiner l’étendue de l’approvisionnement en créant des filtres d’étendue basés sur les attributs, décrits à l’étape suivante.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .

    Capture d’écran de la page Provisionnement montrant la section Paramètres avec les options Étendue et État de l’approvisionnement.

  2. Dans la liste Étendue, indiquez s’il faut synchroniser tous les utilisateurs du locataire source ou uniquement les utilisateurs affectés à la configuration.

    Il est recommandé de sélectionner Synchroniser uniquement les utilisateurs et les groupes affectés au lieu de Synchroniser tous les utilisateurs et groupes. La réduction du nombre d’utilisateurs dans l’étendue améliore les performances.

  3. Sélectionnez Enregistrer.

  4. Dans la page de configuration, sélectionnez Utilisateurs et groupes.

    Pour que la synchronisation interlocataire fonctionne, au moins un utilisateur interne doit être affecté à la configuration.

  5. Sélectionner Ajouter un utilisateur/groupe.

  6. Dans la page Ajouter une affectation, sous Utilisateurs et groupes, sélectionnez Aucune sélection.

  7. Dans le volet Utilisateurs et groupes , recherchez et sélectionnez un ou plusieurs utilisateurs ou groupes internes que vous souhaitez affecter à la configuration.

    Si vous sélectionnez un groupe à affecter à la configuration, seuls les utilisateurs qui sont des membres directs du groupe seront dans l’étendue de l’approvisionnement. Vous pouvez sélectionner un groupe statique ou un groupe dynamique. L’affectation n’est pas en cascade vers les groupes imbriqués.

  8. Sélectionnez Sélectionner.

  9. Sélectionnez Attribuer.

    Capture d’écran montrant la page Utilisateurs et groupes avec un utilisateur affecté à la configuration.

    Pour plus d’informations, consultez Affecter des utilisateurs et des groupes à une application.

Étape 8 : (Facultatif) Définir qui est dans l’étendue de l’approvisionnement avec des filtres d’étendue

Icône du locataire source.
Locataire source

Quelle que soit la valeur que vous avez sélectionnée pour Étendue à l’étape précédente, vous pouvez limiter davantage les utilisateurs qui sont synchronisés en créant des filtres d’étendue basés sur les attributs.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.

  2. Sélectionnez Approvisionner des utilisateurs Azure Active Directory.

    Capture d’écran montrant la page Approvisionnement avec la section Mappages développée.

  3. Sous Étendue de l’objet source, sélectionnez Tous les enregistrements.

    Capture d'écran qui montre la page de mappage d'attributs avec l'étendue de l'objet source.

  4. Dans la page Étendue de l’objet source , sélectionnez Ajouter un filtre d’étendue.

  5. Ajoutez des filtres d’étendue pour définir les utilisateurs dans l’étendue de l’approvisionnement.

    Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans Étendue des utilisateurs ou des groupes à approvisionner avec des filtres d’étendue.

    Capture d’écran montrant la page Ajouter un filtre d’étendue avec un exemple de filtre.

  6. Sélectionnez Ok et Enregistrer pour enregistrer les modifications.

    Si vous avez ajouté un filtre, vous verrez un message indiquant que l’enregistrement de vos modifications entraîne la resynchronisation de tous les utilisateurs et groupes affectés. Cela peut prendre beaucoup de temps en fonction de la taille de votre répertoire.

  7. Sélectionnez Oui et fermez la page Mappage d’attributs .

Étape 9 : Passer en revue les mappages d’attributs

Icône du locataire source.
Locataire source

Les mappages d’attributs vous permettent de définir le flux des données entre le locataire source et le locataire cible. Pour plus d’informations sur la personnalisation des mappages d’attributs par défaut, consultez Tutoriel - Personnaliser les mappages d’attributs d’approvisionnement d’utilisateurs pour les applications SaaS dans Azure Active Directory.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.

  2. Sélectionnez Approvisionner des utilisateurs Azure Active Directory.

  3. Dans la page Mappage d’attributs , faites défiler vers le bas pour passer en revue les attributs utilisateur qui sont synchronisés entre les locataires dans la section Mappages d’attributs .

    Les attributs sélectionnés en tant que propriétés de Correspondance sont utilisés pour faire correspondre les comptes d’utilisateur entre les locataires et éviter de créer des doublons.

    Capture d’écran de la page Mappage d’attributs montrant la liste des attributs Azure Active Directory.

  4. Sélectionnez l’attribut Membre (userType).

  5. Passez en revue le paramètre Valeur constante pour l’attribut userType .

    Ce paramètre définit le type d’utilisateur qui sera créé dans le locataire cible et peut être l’une des valeurs du tableau suivant. Par défaut, les utilisateurs sont créés en tant que membre externe (utilisateurs B2B Collaboration). Pour plus d’informations, consultez Propriétés d’un utilisateur de collaboration B2B Azure Active Directory.

    Valeur constante Description
    Membre Par défaut. Les utilisateurs seront créés en tant que membre externe (utilisateurs B2B Collaboration) dans le locataire cible. Les utilisateurs pourront fonctionner en tant que n’importe quel membre interne du locataire cible.
    Invité Les utilisateurs seront créés en tant qu’invités externes (utilisateurs B2B Collaboration) dans le locataire cible.

    Notes

    Si l’utilisateur B2B existe déjà dans le tenant (locataire) cible, Membre (userType) n’est alors pas remplacé par Membre, sauf si le paramètre Appliquer ce mappage est défini sur Toujours.

    Le type d’utilisateur que vous choisissez présente les limitations suivantes pour les applications ou les services (mais ne sont pas limités à) :

    Application ou service Limites
    Microsoft Teams - Le membre externe n’est pas pris en charge dans lescanaux partagés Teams Connect.
    - La conversion d’un invité externe en membre externe ou la conversion d’un membre externe en invité externe n’est actuellement pas prise en charge par Teams. Pour plus d’informations, consultez Accès invité dans Microsoft Teams.
    Power BI - Le membre externe n’est pas pris en charge dans Power BI. Pour plus d’informations, consultez Distribuer du contenu Power BI à des utilisateurs invités externes avec Azure AD B2B.
    Azure Virtual Desktop - Les membres externes et les invités externes ne sont pas pris en charge dans Azure Virtual Desktop.

    Capture d’écran de la page Modifier l’attribut qui montre l’attribut Member.

  6. Dans la page Mappage d’attributs , sélectionnez l’attribut showInAddressList .

    Capture d’écran de la page Modifier l’attribut qui montre l’attribut showInAddressList.

    Si vous souhaitez que les utilisateurs synchronisés apparaissent dans la liste d’adresses globale du locataire cible pour les scénarios de recherche de personnes, vous devez définir type de mappage sur Constant et Valeur constante sur True.

    Capture d'écran de la page Modifier l'attribut qui montre l'attribut showInAddressList avec le paramètre pour la recherche de personnes.

  7. Si vous souhaitez définir des transformations, dans la page Mappage d’attributs , sélectionnez l’attribut que vous souhaitez transformer, tel que displayName.

  8. Définissez le type de mappage sur Expression.

  9. Dans la zone Expression, entrez l’expression de transformation. Par exemple, avec le nom complet, vous pouvez effectuer les opérations suivantes :

    • Retournez le prénom et le nom et ajoutez une virgule entre les deux.
    • Ajoutez le nom de domaine entre parenthèses à la fin du nom d’affichage.

    Par exemple, voir Informations de référence sur l’écriture d’expressions pour les mappages d’attributs dans Azure Active Directory.

    Capture d’écran de la page Modifier l’attribut qui montre l’attribut displayName avec la zone Expression.

Étape 10 : Spécifier des paramètres d’approvisionnement supplémentaires

Icône du locataire source.
Locataire source

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .

    Capture d’écran de la page Provisionnement montrant la section Paramètres avec les options Étendue et État de l’approvisionnement.

  2. Cochez la case Envoyer une notification par e-mail en cas de défaillance.

  3. Dans la zone E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement.

    Les notifications Email sont envoyées dans les 24 heures suivant l’entrée de la tâche dans l’état de quarantaine. Pour les alertes personnalisées, consultez Comprendre comment l’approvisionnement s’intègre aux journaux Azure Monitor.

  4. Pour empêcher la suppression accidentelle, sélectionnez Empêcher la suppression accidentelle et spécifiez une valeur de seuil.

    Pour plus d’informations, consultez : Activer la prévention des suppressions accidentelles dans le service d’approvisionnement Azure AD.

  5. Sélectionnez Save (Enregistrer) pour enregistrer les modifications.

Étape 11 : Tester l’approvisionnement à la demande

Icône du locataire source.
Locataire source

Maintenant que vous avez une configuration, vous pouvez tester l’approvisionnement à la demande avec l’un de vos utilisateurs.

  1. Dans le locataire source, sélectionnez Azure Active Directory>Synchronisation interlocataire.

  2. Sélectionnez Configurations , puis sélectionnez votre configuration.

  3. Sélectionnez Approvisionner à la demande.

  4. Dans la zone Sélectionner un utilisateur ou un groupe, recherchez et sélectionnez l’un de vos utilisateurs de test.

    Capture d’écran de la page Approvisionner à la demande montrant un utilisateur de test sélectionné.

  5. Sélectionnez Approvisionner.

    Après quelques instants, la page Exécuter l’action s’affiche avec des informations sur l’approvisionnement de l’utilisateur de test dans le locataire cible.

    Capture d’écran de la page Effectuer une action qui montre l’utilisateur de test et la liste des attributs modifiés.

    Si l’utilisateur n’est pas dans l’étendue, une page contenant des informations sur la raison pour laquelle l’utilisateur de test a été ignoré s’affiche.

    Capture d’écran de la page Déterminer si l’utilisateur se trouve dans l’étendue qui montre des informations sur la raison pour laquelle l’utilisateur de test a été ignoré.

    Dans la page Approvisionner à la demande, vous pouvez afficher des détails sur l’approvisionnement et avoir la possibilité de réessayer.

    Capture d’écran de la page Approvisionner à la demande qui montre des détails sur l’approvisionnement.

  6. Dans le locataire cible, vérifiez que l’utilisateur de test a été provisionné.

    Capture d’écran de la page Utilisateurs du locataire cible qui montre l’utilisateur de test approvisionné.

  7. Si tout fonctionne comme prévu, affectez des utilisateurs supplémentaires à la configuration.

    Pour plus d’informations, consultezAttribution à la demande dans Azure Active Directory.

Étape 12 : Démarrer le travail d’approvisionnement

Icône du locataire source.
Locataire source

Cette tâche d’approvisionnement démarre le cycle de synchronisation initiale de tous les utilisateurs définis sous Étendue, dans la section Paramètres. Le cycle de synchronisation initiale prend plus de temps que les cycles de synchronisation suivants, qui se produisent toutes les 40 minutes environ tant que le service de provisionnement Azure AD est en cours d’exécution.

  1. Dans le locataire source, sélectionnez Azure Active Directory>Synchronisation interlocataire.

  2. Sélectionnez Configurations , puis sélectionnez votre configuration.

  3. Dans la page Vue d’ensemble, passez en revue les détails de l’approvisionnement.

    Capture d’écran de la page Vue d’ensemble des configurations qui répertorie les détails de l’approvisionnement.

  4. Sélectionnez Démarrer l’approvisionnement pour démarrer le travail d’approvisionnement.

Étape 13 : Superviser l’approvisionnement

Icône du locataire source.Icône du locataire cible.
Locataires sources et cibles

Une fois que vous avez démarré un travail d’approvisionnement, vous pouvez surveiller l’état.

  1. Dans le locataire source, dans la page Vue d’ensemble, vérifiez la barre de progression pour voir l’état du cycle d’approvisionnement et la façon dont il est terminé. Pour plus d’informations, consultez Vérifier l’état de l’approvisionnement d’utilisateurs.

    Si le provisionnement semble être dans un état malsain, la configuration sera mise en quarantaine. Pour plus d’informations, consultez Provisionnement d’applications en état de quarantaine.

    Capture d’écran de la page Vue d’ensemble des configurations qui montre l’état du cycle d’approvisionnement.

  2. Sélectionnez Journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou ceux pour laquelle la procédure a échoué. Par défaut, les journaux sont filtrés par l’ID de principal de service de la configuration. Pour plus d’informations, consultez Journaux d’approvisionnement dans Azure Active Directory.

    Capture d’écran de la page Journaux d’approvisionnement qui répertorie les entrées de journal et leur état.

  3. Sélectionnez Journaux d’audit pour afficher tous les événements journalisés dans Azure AD. Pour plus d’informations, consultez Journaux d’audit dans Azure Active Directory.

    Capture d’écran de la page Journaux d’audit qui répertorie les entrées de journal et leur état.

    Vous pouvez également afficher les journaux d’audit dans le locataire cible.

  4. Dans le locataire cible, sélectionnez Utilisateurs> Journaux d’audit pour afficher les événements journalisés pour la gestion des utilisateurs.

    Capture d’écran de la page Journaux d’audit dans le locataire cible qui répertorie les entrées de journal pour la gestion des utilisateurs.

Étape 14 : Configurer les paramètres de congé

Icône du locataire cible.
Locataire cible

Même si les utilisateurs sont approvisionnés dans le locataire cible, ils peuvent toujours être en mesure de se supprimer eux-mêmes. Si les utilisateurs se suppriment eux-mêmes et qu’ils sont dans l’étendue, ils sont à nouveau approvisionnés au cours du prochain cycle d’approvisionnement. Si vous souhaitez interdire la possibilité pour les utilisateurs de se supprimer eux-mêmes de votre organisation, vous devez configurer les paramètres de sortie d’utilisateur externe.

  1. Dans le locataire cible, sélectionnez Azure Active Directory.

  2. Sélectionnez Identités externes>Paramètres de collaboration externe.

  3. Sous les paramètres de sortie des utilisateurs externes, choisissez s’il faut autoriser les utilisateurs externes à quitter votre organisation par eux-mêmes.

Ce paramètre s’applique également à B2B Collaboration et à la connexion directe B2B. Par conséquent, si vous définissez les paramètres de sortie utilisateur externe sur Non, les utilisateurs B2B Collaboration et les utilisateurs de connexion directe B2B ne peuvent pas quitter votre organisation eux-mêmes. Pour plus d’informations, consultez Quitter une organisation en tant qu’utilisateur externe.

Conseils de dépannage

Supprimer une configuration

Suivez ces étapes pour supprimer une configuration dans la page Configurations.

  1. Dans le locataire source, sélectionnez Azure Active Directory>Synchronisation interlocataire.

  2. Dans la page Configurations, ajoutez une coche en regard de la configuration que vous souhaitez supprimer.

  3. Sélectionnez Supprimer, puis OK pour supprimer la configuration.

    Capture d’écran de la page Configurations montrant comment supprimer une configuration.

Symptôme - Échec de la connexion de test avec AzureDirectoryB2BManagementPolicyCheckFailure

Lors de la configuration de la synchronisation interlocataire dans le locataire source et que vous testez la connexion, elle échoue avec le message d’erreur suivant :

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Capture d’écran montrant l’erreur lorsque le test de connexion échoue avec AzureDirectoryB2BManagementPolicyCheckFailure.

Cause

Cette erreur indique que la stratégie d’échange automatique des invitations dans les locataires source et cible n’a pas été configurée.

Solution

Suivez les étapes décrites à l’Etape 3 : échanger automatiquement les invitations dans le locataire cible et à l’Étape 4 : échanger automatiquement des invitations dans le locataire source.

Symptôme : La case à cocher Échange automatique est désactivée

Pendant la configuration de la synchronisation entre clients, la case à cocher Échange automatique est désactivée.

Capture d’écran montrant la case à cocher de l’Échange automatique désactivée.

Cause

Votre locataire n’a pas de licence Azure AD Premium P1 ou P2.

Solution

Vous devez avoir Azure AD Premium P1 ou P2 pour configurer les paramètres d’approbation.

Symptôme : l’utilisateur récemment supprimé dans le locataire cible n’est pas restauré

Après la suppression réversible d’un utilisateur synchronisé dans le locataire cible, l’utilisateur n’est pas restauré au cours du cycle de synchronisation suivant. Si vous essayez de supprimer de manière réversible un utilisateur avec un approvisionnement à la demande, puis de le restaurer, cela peut entraîner des doublons d’utilisateurs.

Cause

La restauration d’un utilisateur précédemment supprimé de manière réversible dans le locataire cible n’est pas prise en charge.

Solution

Restaurez manuellement l’utilisateur supprimé de manière réversible dans le locataire cible. Pour plus d’informations, consultez Restaurer ou supprimer un utilisateur supprimé à l’aide d’Azure Active Directory.

Symptôme : les utilisateurs sont ignorés, car la connexion par SMS est activée pour l’utilisateur

Les utilisateurs sont ignorés lors de la synchronisation. L’étape de l’étendue comprend le filtre suivant avec statut false : « Filtrer les users.alternativeSecurityIds externes EQUALS "None" »

Cause

Si la connexion par SMS est activée pour un utilisateur, il sera ignoré par le service d’approvisionnement.

Solution

Désactivez la connexion par SMS pour les utilisateurs. Le script ci-dessous montre comment désactiver la connexion par SMS avec PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Azure_AD"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId

{
    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready
       
      Disable-MgUserAuthenticationPhoneMethodSmSign -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }

}

##### End the script

Symptôme : les utilisateurs ne parviennent pas à provisionner avec l’erreur « AzureActiveDirectoryForbidden »

Les utilisateurs dans l’étendue ne parviennent pas à provisionner. Les détails des journaux d’approvisionnement incluent le message d’erreur suivant :

Guest invitations not allowed for your company. Contact your company administrator for more details.

Cause

Cette erreur indique que les paramètres d’invitation d’invité dans le locataire cible sont configurés avec le paramètre le plus restrictif : « Personne dans l’organisation ne peut inviter d’utilisateurs invités, y compris les administrateurs (les plus restrictifs) ».

Solution

Remplacez les paramètres d’invitation d’invité dans le locataire cible par un paramètre moins restrictif. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Étapes suivantes