Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les étapes de configuration de la synchronisation entre locataires à l’aide du centre d’administration Microsoft Entra. Une fois configuré, Microsoft Entra ID approvisionne et déprovisionne automatiquement les utilisateurs B2B dans votre locataire cible.
Pour plus d’informations sur ce que fait ce service, son fonctionnement et ses questions fréquemment posées, consultez Automatiser l’approvisionnement et le déprovisionnement des utilisateurs sur les applications SaaS avec l’ID Microsoft Entra.
Importante
La synchronisation intercloud est actuellement en préversion. Ces informations concernent un produit en version préliminaire qui peut être sensiblement modifié avant sa commercialisation. Microsoft n’offre aucune garantie, exprimée ou implicite, en ce qui concerne les informations fournies ici.
Cet article décrit les étapes de configuration de la synchronisation entre locataires entre les clouds Microsoft. Une fois configuré, Microsoft Entra ID approvisionne et déprovisionne automatiquement les utilisateurs B2B dans votre locataire cible. Bien que ce tutoriel se concentre sur la synchronisation des identités à partir du cloud commercial --> gouvernement des États-Unis, les mêmes étapes s'appliquent au gouvernement --> commercial et à la Chine --> commercial.
Pour plus d’informations sur ce que fait ce service, son fonctionnement et ses questions fréquemment posées, consultez Automatiser l’approvisionnement et le déprovisionnement des utilisateurs sur les applications SaaS avec l’ID Microsoft Entra. Pour connaître les différences entre la synchronisation entre locataires et la synchronisation inter-cloud, consultez la section Synchronisation inter-cloud dans les questions fréquentes.
Paires de cloud prises en charge
La synchronisation entre clients prend en charge les paires de cloud suivantes :
Origine | Cible | Domaines de liaison du portail Azure |
---|---|---|
Azure Commercial | Azure Commercial | portal.azure.com -->portal.azure.com |
Azure pour le gouvernement | Azure pour le gouvernement | portal.azure.us -->portal.azure.us |
La synchronisation inter-cloud prend en charge les paires de cloud suivantes :
Origine | Cible | Domaines de liaison du portail Azure |
---|---|---|
Azure Commercial | Azure pour le gouvernement | portal.azure.com -->portal.azure.us |
Azure pour le gouvernement | Azure Commercial | portal.azure.us -->portal.azure.com |
Azure Commercial | Windows Azure exploité par 21Vianet (Azure en Chine) |
portal.azure.com -->portal.azure.cn |
Objectifs d’apprentissage
À la fin de cet article, vous serez en mesure d’effectuer les opérations suivantes :
- Créer des utilisateurs B2B dans votre locataire cible
- Supprimer des utilisateurs B2B dans votre locataire cible
- Conserver les attributs utilisateur synchronisés entre vos locataires source et cible
Prérequis
Locataire source
- Licence Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez La configuration requise pour la licence.
- Rôle Administrateur de sécurité pour configurer les paramètres d’accès entre locataires.
- Rôle Administrateur d’identité hybride pour configurer la synchronisation entre locataires.
- Rôle Administrateur d’application cloud ou Administrateur d’application pour affecter des utilisateurs à une configuration et supprimer une configuration.
- Licence Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour plus d’informations, consultez La configuration requise pour la licence.
- Rôle Administrateur de sécurité pour configurer les paramètres d’accès entre locataires.
- Rôle Administrateur d’identité hybride pour configurer la synchronisation entre locataires.
- Rôle Administrateur d’application cloud ou Administrateur d’application pour affecter des utilisateurs à une configuration et supprimer une configuration.
Locataire cible
- Licence Microsoft Entra ID P1 ou P2. Pour plus d’informations, consultez La configuration requise pour la licence.
- Rôle Administrateur de sécurité pour configurer les paramètres d’accès entre locataires.
- Licence Microsoft Entra ID Governance ou Microsoft Entra Suite. Pour plus d’informations, consultez La configuration requise pour la licence.
- Rôle Administrateur de sécurité pour configurer les paramètres d’accès entre locataires.
Étape 1 : Planifier votre déploiement de l’approvisionnement
Définissez la façon dont vous souhaitez structurer les locataires de votre organisation.
Découvrez comment fonctionne le service d’approvisionnement.
Identifiez qui sera inclus dans l’étendue de l’approvisionnement.
Déterminer les données à mapper entre les locataires.
Étape 1 : Activer les paramètres interclouds dans les deux locataires
Locataire source
Connectez-vous au Centre d’administration Microsoft Entra du locataire source.
Accédez à Identité>Identités externes>Paramètres d’accès inter-clients.
Sous l’onglet Paramètres du cloud Microsoft , activez la case à cocher du cloud avec lequel vous souhaitez collaborer, par exemple Microsoft Azure Government.
La liste des clouds varie en fonction du cloud dans lequel vous vous trouvez. Pour plus d’informations, consultez les paramètres du cloud Microsoft.
Sélectionnez Enregistrer.
Cible
Connectez-vous au Centre d’administration Microsoft Entra du locataire cible.
Accédez à Identité>Identités externes>Paramètres d’accès inter-clients.
Sous l’onglet Paramètres du cloud Microsoft , activez la case à cocher synchronisation entre clouds pour le locataire source, par exemple Microsoft Azure Commercial.
Lorsque vous activez cette case à cocher, elle crée un principal de service avec les autorisations suivantes :
- User.ReadWrite.CrossCloud
- User.Invite.All
- Organization.Read.All
- Policy.Read.All
Sélectionnez Enregistrer.
Étape 2 : Activer la synchronisation des utilisateurs dans le locataire cible
Locataire cible
Connectez-vous au Centre d’administration Microsoft Entra du locataire cible.
Accédez à Entra ID>Identités externes>Paramètres d’accès inter-clients.
Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.
Ajoutez le locataire source en tapant l’ID de locataire ou le nom de domaine et en sélectionnant Ajouter.
Sous Accès entrant de l’organisation ajoutée, sélectionnez Hérité par défaut.
Sélectionnez l’onglet Synchronisation entre clients.
Cochez la case Autoriser les utilisateurs à être synchronisés avec ce client.
Sélectionnez Enregistrer.
Si vous voyez une boîte de dialogue Activer la synchronisation entre locataires et l’échange automatique vous demandant si vous souhaitez activer l’échange automatique, sélectionnez Oui.
Si vous sélectionnez Oui, les invitations seront automatiquement acceptées dans le locataire cible.
Étape 3 : échanger automatiquement les invitations dans le locataire cible
Locataire cible
Dans cette étape, vous échangez automatiquement les invitations afin que les utilisateurs du locataire source n’aient pas à accepter l’invite de consentement. Ce paramètre doit être vérifié dans le tenant source (sortant) et le tenant cible (entrant). Pour plus d’informations, consultez le paramètre de rachat automatique.
Dans le locataire cible, dans la même page Paramètres d’accès entrant, sélectionnez l’onglet Paramètres d’approbation.
Cochez la case Accepter automatiquement les invitations du locataire<locataire>.
Cette case peut déjà être cochée si vous avez déjà sélectionné Oui dans la boîte de dialogue Activer la synchronisation entre locataires et l’échange automatique .
Sélectionnez Enregistrer.
Étape 4 : échanger automatiquement les invitations dans le locataire source
Locataire source
Dans cette étape, vous automatisez l'échange des invitations dans le client source.
Connectez-vous au Centre d’administration Microsoft Entra du locataire source.
Accédez à Entra ID>Identités externes>Paramètres d’accès inter-clients.
Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.
Ajoutez le locataire cible en tapant l’ID de locataire ou le nom de domaine et en sélectionnant Ajouter.
Sous Accès sortant pour l’organisation cible, sélectionnez Hérité à partir de la valeur par défaut.
Sélectionnez l’onglet Paramètres d’approbation .
Cochez la case Accepter automatiquement les invitations du locataire<locataire>.
Sélectionnez Enregistrer.
Étape 5 : créer une configuration dans le locataire source
Locataire source
Dans le locataire source, accédez à Entra ID>Identités externes>Synchronisation entre clients.
Si vous utilisez le portail Azure, accédez à Microsoft Entra ID>Gérer>Synchronisation entre clients.
Sélectionnez Configurations.
En haut de la page, sélectionnez Nouvelle configuration.
Indiquez un nom pour la configuration.
Cochez la case Configurer la synchronisation entre locataires dans les clouds Microsoft .
Cliquez sur Créer.
L’affichage de la configuration que vous venez de créer dans la liste peut prendre jusqu’à 15 secondes.
Dans la page Configurations pour la synchronisation entre les clouds, les colonnes Nom du locataire et ID de locataire sont vides.
Étape 6 : Tester la connexion au locataire cible
Locataire source
Dans le locataire source, vous devriez voir apparaître votre nouvelle configuration. Dans le cas contraire, sélectionnez votre configuration dans la liste de configuration.
Sélectionnez Bien démarrer.
Définissez le mode d’approvisionnementsur Automatique.
Dans la section Informations d’identification de l’administrateur , remplacez la méthode d’authentification par stratégie de synchronisation entre locataires.
Dans la zone ID de locataire , entrez l’ID de locataire du locataire cible.
Sélectionnez Tester la connexion pour tester la connexion.
Vous devez voir un message indiquant que les informations d’identification fournies sont autorisées à activer l’approvisionnement. Si la connexion de test échoue, consultez les scénarios courants et les solutions plus loin dans cet article.
Sélectionnez Enregistrer.
Les sections Mappages et Paramètres s’affichent.
Fermez la page Provisionnement .
Étape 7 : Définir qui est concerné par l’approvisionnement
Locataire source
Le service d’approvisionnement Microsoft Entra vous permet de définir qui sera approvisionné de l’une ou des deux manières suivantes :
- En fonction de l’affectation à la configuration
- Basé sur les attributs de l’utilisateur
Commencez progressivement. Testez avec un petit ensemble d’utilisateurs avant d’effectuer un déploiement général. Lorsque l’étendue du provisionnement est définie sur des utilisateurs et des groupes assignés, vous pouvez la contrôler en assignant un ou deux utilisateurs à la configuration. Vous pouvez affiner davantage la portée de l'approvisionnement en créant des filtres de portée basés sur des attributs, décrits à l’étape suivante.
Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .
Dans la liste Étendue, sélectionnez pour synchroniser tous les utilisateurs du tenant source ou uniquement les utilisateurs affectés à la configuration.
Il est recommandé de sélectionner Synchroniser uniquement les utilisateurs et groupes affectés au lieu de Synchroniser tous les utilisateurs et groupes. La réduction du nombre d'utilisateurs dans le champ d'application améliore les performances.
Si vous avez apporté des modifications, sélectionnez Enregistrer.
Dans la page de configuration, sélectionnez Utilisateurs et groupes.
Pour que la synchronisation interlocataire fonctionne, au moins un utilisateur interne doit être affecté à la configuration.
Sélectionnez Ajouter un utilisateur/groupe.
Dans la page Ajouter une affectation , sous Utilisateurs et groupes, sélectionnez Aucun sélectionné.
Dans le volet Utilisateurs et groupes , recherchez et sélectionnez un ou plusieurs utilisateurs ou groupes internes que vous souhaitez affecter à la configuration.
Si vous sélectionnez un groupe à affecter à la configuration, seuls les utilisateurs qui sont des membres directs du groupe seront pris en compte pour l'approvisionnement. Vous pouvez sélectionner un groupe statique ou un groupe dynamique. L’affectation n’est pas en cascade vers les groupes imbriqués.
Sélectionner.
Sélectionnez Attribuer.
Pour plus d’informations, consultez Affecter des utilisateurs et des groupes à une application.
Étape 8 : (Facultatif) Définir les personnes concernées par l'approvisionnement à l'aide de filtres de portée
Locataire source
Quelle que soit la valeur que vous avez sélectionnée pour l’étendue à l’étape précédente, vous pouvez limiter davantage les utilisateurs qui sont synchronisés en créant des filtres d’étendue basés sur des attributs.
Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.
Sélectionnez Mettre en service les utilisateurs Microsoft Entra ID pour ouvrir la page Mappage d’attributs.
Sous Étendue de l’objet source, sélectionnez Tous les enregistrements.
Dans la page Étendue de l’objet source , sélectionnez Ajouter un filtre d’étendue.
Ajoutez des filtres d’étendue pour définir les utilisateurs dans l’étendue de l’approvisionnement.
Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans Étendue des utilisateurs ou des groupes à approvisionner avec des filtres d’étendue.
Sélectionnez Ok et Enregistrez pour enregistrer les modifications.
Si vous avez ajouté un filtre, vous verrez un message indiquant que l’enregistrement de vos modifications entraîne la resynchronisation de tous les utilisateurs et groupes affectés. Cela peut prendre beaucoup de temps en fonction de la taille de votre répertoire.
Sélectionnez Oui et fermez la page Mappage d’attributs .
Étape 9 : Passer en revue les mappages d’attributs
Locataire source
Les mappages d’attributs vous permettent de définir le flux des données entre le tenant source et le tenant cible. Pour plus d’informations sur la personnalisation des mappages d’attributs par défaut, consultez Tutoriel : Personnaliser les mappages d’attributs d’approvisionnement d’utilisateurs pour les applications SaaS dans l’ID Microsoft Entra.
Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.
Sélectionnez Mettre en service les utilisateurs Microsoft Entra ID.
Dans la page Mappage d’attributs , faites défiler vers le bas pour passer en revue les attributs utilisateur qui sont synchronisés entre les locataires dans la section Mappages d’attributs .
Le premier attribut, alternativeSecurityIdentifier, est un attribut interne utilisé pour identifier de manière unique l’utilisateur entre les locataires, faire correspondre les utilisateurs du locataire source avec les utilisateurs du locataire cible et s’assurer que chaque utilisateur n’a qu’un seul compte. Impossible de modifier l’attribut correspondant. Toute tentative de modification de l'attribut de correspondance ou d'ajout d'attributs de correspondance supplémentaires entraînera une erreur
schemaInvalid
.Sélectionnez l’attribut Member (userType) pour ouvrir la page Modifier l’attribut .
Passez en revue le paramètre Valeur constante de l’attribut userType .
Ce paramètre définit le type d’utilisateur qui sera créé dans le locataire cible et peut être l’une des valeurs du tableau suivant. Par défaut, les utilisateurs sont créés en tant que membre externe (utilisateurs B2B Collaboration). Pour plus d’informations, consultez Propriétés d’un utilisateur Microsoft Entra B2B Collaboration.
Valeur constante Descriptif Membre Par défaut. Les utilisateurs seront créés en tant que membres externes (utilisateurs de collaboration B2B) dans le locataire cible. Les utilisateurs pourront fonctionner en tant que n’importe quel membre interne du locataire cible. Invités Les utilisateurs seront créés en tant qu'invités externes (utilisateurs de collaboration B2B) dans le client cible. Remarque
Si l’utilisateur B2B existe déjà dans le locataire cible, alors Membre (userType) ne sera pas modifié en Membre, à moins que le paramètre Appliquer ce mappage soit défini sur Toujours.
Le type d’utilisateur que vous choisissez présente les limitations suivantes pour les applications ou les services (mais ne sont pas limités à) :
Application ou service Limites Power BI - La prise en charge du membre UserType dans Power BI est actuellement en version préliminaire. Pour plus d’informations, consultez Distribuer du contenu Power BI aux utilisateurs invités externes avec Microsoft Entra B2B. Azure Virtual Desktop - Pour connaître les limitations, consultez Conditions préalables pour Azure Virtual Desktop. Microsoft Teams - Pour connaître les limitations, consultez Collaborer avec des invités à partir d’autres environnements cloud Microsoft 365. Si vous souhaitez définir des transformations, dans la page Mappage d’attributs, sélectionnez l’attribut que vous souhaitez transformer, tel que displayName.
Définissez le type de mappage sur Expression.
Dans la zone Expression , entrez l’expression de transformation. Par exemple, avec le nom d'affichage, vous pouvez effectuer les opérations suivantes :
- Inversez le prénom et le nom et ajoutez une virgule entre les deux.
- Ajoutez le nom de domaine entre parenthèses à la fin du nom d’affichage.
Pour obtenir des exemples, consultez Informations de référence sur l’écriture d’expressions pour les mappages d’attributs dans l’ID Microsoft Entra.
Conseil
Vous pouvez mapper les extensions de répertoire en mettant à jour le schéma de la synchronisation entre clients. Pour plus d’informations, consultez Mapper les extensions d’annuaire dans la synchronisation entre clients.
Étape 10 : Spécifier des paramètres d’approvisionnement supplémentaires
Locataire source
Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .
Cochez la case Envoyer une notification par e-mail lorsqu’un échec se produit .
Dans la zone e-mail de notification , entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir des notifications d’erreur d’approvisionnement.
Les notifications email sont envoyées dans les 24 heures qui suivent l’entrée de la fonction dans l’état de quarantaine. Pour les alertes personnalisées, consultez Comprendre comment l’approvisionnement s’intègre aux journaux Azure Monitor.
Pour empêcher la suppression accidentelle, sélectionnez Empêcher la suppression accidentelle et spécifiez une valeur de seuil. Par défaut, le seuil est défini sur 500.
Pour plus d’informations, consultez Activer la prévention des suppressions accidentelles dans le service Microsoft Entra provisioning.
Sélectionnez Enregistrer pour enregistrer les modifications.
Étape 11 : Tester l’approvisionnement à la demande
Locataire source
Maintenant que vous avez une configuration, vous pouvez tester l’approvisionnement à la demande avec l’un de vos utilisateurs.
Dans le locataire source, accédez à Entra ID>Identités externes>Synchronisation entre clients.
Sélectionnez Configurations , puis sélectionnez votre configuration.
Sélectionnez Provision à la demande.
Dans la zone Sélectionner un utilisateur ou un groupe , recherchez et sélectionnez l’un de vos utilisateurs de test.
Sélectionnez Approvisionner.
Après quelques instants, la page Effectuer une action s’affiche avec des informations sur l’approvisionnement de l’utilisateur de test dans le locataire cible.
Si l'utilisateur n'est pas dans le périmètre, une page contenant des informations sur la raison pour laquelle l'utilisateur de test a été ignoré s'affichera.
Dans la page Provision à la demande , vous pouvez afficher des détails sur l’approvisionnement et avoir la possibilité de réessayer.
Dans le locataire cible, vérifiez que l’utilisateur de test a été provisionné.
Si tout fonctionne comme prévu, affectez des utilisateurs supplémentaires à la configuration.
Pour plus d’informations, consultez Provisionnement à la demande dans Microsoft Entra ID.
Étape 12 : Démarrer le travail d’approvisionnement
Locataire source
Le travail d’approvisionnement démarre le cycle de synchronisation initial de tous les utilisateurs définis dans l’étendue de la section Paramètres . L'exécution du cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution.
Dans le locataire source, accédez à Entra ID>Identités externes>Synchronisation entre clients.
Sélectionnez Configurations , puis sélectionnez votre configuration.
Dans la page Vue d’ensemble , passez en revue les détails du provisionnement.
Sélectionnez Démarrer l’approvisionnement pour démarrer le travail d’approvisionnement.
Étape 13 : Superviser l’approvisionnement
Locataires sources et cibles
Une fois que vous avez démarré un travail d’approvisionnement, vous pouvez surveiller l’état.
Dans le locataire source, dans la page Vue d’ensemble, vérifiez la barre de progression pour voir l’état du cycle d’approvisionnement et la façon dont il est terminé. Pour plus d’informations, consultez Vérifier l’état de l’approvisionnement d’utilisateurs.
Si le provisionnement semble être dans un état défectueux, la configuration sera mise en quarantaine. Pour plus d’informations, consultez l’approvisionnement d’applications dans l’état de quarantaine.
Sélectionnez Les journaux d’approvisionnement pour déterminer quels utilisateurs ont été provisionnés correctement ou sans succès. Par défaut, les journaux sont filtrés par l’ID de principal de service de la configuration. Pour plus d’informations, consultez Les journaux d’approvisionnement dans l’ID Microsoft Entra.
Sélectionnez Journaux d’audit pour afficher tous les événements journalisés dans l’ID Microsoft Entra. Pour plus d’informations, consultez les journaux d’audit dans Microsoft Entra ID.
Vous pouvez également afficher les journaux d’audit dans le locataire cible.
Dans le locataire cible, sélectionnez Utilisateurs>Journaux d’audit pour afficher les événements journalisés pour la gestion des utilisateurs. La synchronisation entre locataires dans le locataire cible sera enregistrée avec comme acteur l'application « Microsoft.Azure.SyncFabric ».
Étape 14 : Configurer les paramètres de congé
Locataire cible
Même si les utilisateurs sont approvisionnés dans le locataire cible, ils peuvent toujours être en mesure de se supprimer eux-mêmes. Si les utilisateurs se retirent eux-mêmes et qu'ils sont concernés, ils seront à nouveau approvisionnés au cours du prochain cycle d'approvisionnement. Si vous souhaitez interdire la possibilité pour les utilisateurs de se supprimer de votre organisation, vous devez configurer les paramètres de congé de l’utilisateur externe.
Dans le locataire cible, accédez à Entra ID>Identités externes>Paramètres de collaboration externe.
Sous Paramètres de congé des utilisateurs externes, choisissez s’il faut autoriser les utilisateurs externes à quitter votre organisation eux-mêmes.
Ce paramètre s’applique également à la collaboration B2B et à la connexion directe B2B. Par conséquent, si vous définissez les paramètres de sortie d'utilisateur externe sur Non, les utilisateurs de collaboration B2B et les utilisateurs de connexion directe B2B ne peuvent pas quitter votre organisation par eux-mêmes. Pour plus d’informations, consultez Quitter une organisation en tant qu’utilisateur externe.
Scénarios et solutions courants
Symptôme - Échec de la connexion de test avec AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Lors de la configuration de la synchronisation entre locataires dans le locataire source et que vous testez la connexion, elle échoue avec l’un des messages d’erreur suivants :
L’acceptation automatique n’est pas configuré dans le locataire source
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The source tenant has not enabled automatic user consent with the target tenant. Please enable the outbound cross-tenant access policy for automatic user consent in the source tenant. aka.ms/TroubleshootingCrossTenantSyncPolicyCheck
L'échange automatique n'est pas configuré dans le client cible
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The target tenant has not enabled inbound synchronization with this tenant. Please request the target tenant admin to enable the inbound synchronization on their cross-tenant access policy. Learn more: aka.ms/TroubleshootingCrossTenantSyncPolicyCheck
Cause
Cette erreur indique que la stratégie permettant d’échanger automatiquement des invitations dans les locataires source et/ou cible n’a pas été configurée.
Solution
Suivez les étapes de l’étape 3 : échangez automatiquement les invitations dans le locataire cible et l’étape 4 : échangez automatiquement les invitations dans le locataire source.
Symptôme - Échec de la connexion de test avec ExternalTenantNotFound
Lors de la configuration de la synchronisation entre clouds dans le locataire source et que vous testez la connexion, elle échoue avec le message d’erreur suivant :
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: ExternalTenantNotFound
Details: This tenant was not found by the authentication authority of the current cloud: <targetTenantId>. The authentication authority is https://login.microsoftonline.com/<targetTenantId>.
Cause
Cette erreur indique que la case à cocher Configurer la synchronisation entre locataires entre les clouds Microsoft n’est pas cochée.
Solution
Dans le client source, supprimez la configuration que vous avez créée qui ne parvient pas à se connecter.
Dans le locataire cible, créez une nouvelle configuration et assurez-vous de cocher la case Configurer la synchronisation inter-locataires à travers les clouds Microsoft, comme décrit à l'étape 5 : Créer une configuration dans le locataire source.
Symptôme - Échec de la connexion de test avec AzureActiveDirectoryTokenExpired
Lors de la configuration de la synchronisation entre clouds dans le locataire source et que vous testez la connexion, elle échoue avec le message d’erreur suivant :
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryTokenExpired
Details: The identity of the calling application could not be established.
Cause
Cette erreur indique que le paramètre intercloud pour la synchronisation n’a pas été activé.
Solution
Dans le locataire cible, sous l’onglet Paramètres cloud Microsoft , cochez la case de synchronisation entre clouds pour le locataire source. Suivez les étapes décrites à l’étape 1 : activez les paramètres interclouds dans les deux locataires.
Symptôme - La case Acceptation automatique n'est pas cochée
Lors de la configuration de la synchronisation entre clients, la case Acceptation automatique n'est pas cochée.
Cause
Votre locataire ne dispose pas d’une licence Microsoft Entra ID P1 ou P2.
Solution
Vous devez disposer de Microsoft Entra Identity P1 ou P2 pour configurer les paramètres de confiance.
Symptôme : l’utilisateur récemment supprimé dans le locataire cible n’est pas restauré
Après la suppression temporaire d’un utilisateur synchronisé dans le client cible, l’utilisateur n’est pas restauré au cours du cycle de synchronisation suivant. Si vous essayez de supprimer de manière réversible un utilisateur avec un approvisionnement à la demande, puis de le restaurer, cela peut entraîner des doublons d’utilisateurs.
Cause
La restauration d'un utilisateur précédemment supprimé provisoirement dans le client cible n'est pas prise en charge.
Solution
Restaurez manuellement l’utilisateur supprimé de manière réversible dans le locataire cible. Pour plus d’informations, consultez Restaurer ou supprimer un utilisateur récemment supprimé à l’aide de l’ID Microsoft Entra.
Symptôme : les utilisateurs sont ignorés, car la connexion par SMS est activée pour l’utilisateur
Les utilisateurs sont ignorés lors de la synchronisation. L’étape de l’étendue comprend le filtre suivant avec statut false : « Filtrer les users.alternativeSecurityIds externes EQUALS "None" »
Cause
Si la connexion par SMS est activée pour un utilisateur, il sera ignoré par le service d’approvisionnement.
Solution
Désactivez la connexion par SMS pour les utilisateurs. Le script ci-dessous montre comment désactiver la connexion par SMS avec PowerShell.
##### Disable SMS Sign-in options for the users
#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"
##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7
$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"
#### Get the User Details
$userId = "objectid_of_the_user_in_Entra_ID"
#### validate the value for SmsSignInState
$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId
if($smssignin.SmsSignInState -eq "ready"){
#### Disable Sms Sign-In for the user is set to ready
Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
}
else{
Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
}
##### End the script
Symptôme : les utilisateurs ne parviennent pas à approvisionner en raison de l’erreur « AzureActiveDirectoryForbidden »
Les utilisateurs dans l’étendue ne parviennent pas à provisionner. Les détails des journaux d’approvisionnement incluent le message d’erreur suivant :
Guest invitations not allowed for your company. Contact your company administrator for more details.
Cause
Cette erreur indique que les paramètres d’invitation d’invité dans le locataire cible sont configurés avec le paramètre le plus restrictif : « Personne dans l’organisation ne peut inviter d’utilisateurs invités, y compris les administrateurs (les plus restrictifs) ».
Solution
Modifiez les paramètres d'invitation des invités dans le locataire cible pour une configuration moins restrictive. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.
Symptôme - UserPrincipalName ne se met pas à jour pour les utilisateurs B2B existants dans un état d’acceptation en attente
Lorsqu’un utilisateur est invité pour la première fois par le biais d’une invitation B2B manuelle, l’invitation est envoyée à l’adresse de messagerie de l’utilisateur source. Par conséquent, l'utilisateur invité dans le locataire cible est créé avec un préfixe UserPrincipalName (UPN) à l'aide de la propriété de valeur de courrier source. Il existe des environnements où les propriétés d’objet utilisateur source, UPN et Mail, ont des valeurs différentes, par exemple Mail == user.mail@domain.com et UPN == user.upn@otherdomain.com. Dans ce cas, l'utilisateur invité dans le locataire cible sera créé avec l'UPN user.mail_domain.com#EXT#@contoso.onmicrosoft.com.
Le problème survient lorsque l’objet source est inclus dans le périmètre de la synchronisation entre clients avec pour attente que, parmi d’autres propriétés, le préfixe UPN de l’utilisateur invité cible soit mis à jour pour correspondre à l’UPN de l’utilisateur source (pour l'exemple ci-dessus, la valeur serait : user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Toutefois, il ne se produit pas pendant les cycles de synchronisation incrémentielle et la modification est ignorée.
Cause
Ce problème se produit lorsque l’utilisateur B2B qui a été invité manuellement dans le locataire cible n’a pas accepté ni validé l’invitation, si bien que son état est en attente d’acceptation. Lorsqu’un utilisateur est invité par e-mail, un objet est créé avec un ensemble d’attributs renseignés à partir du courrier, l’un d’entre eux est l’UPN, qui pointe vers la valeur de messagerie de l’utilisateur source. Si vous décidez ultérieurement d’ajouter l’utilisateur à l’étendue de la synchronisation entre locataires, le système tente de joindre l’utilisateur source à un utilisateur B2B dans le locataire cible en fonction de l’attribut alternativeSecurityIdentifier, mais l’utilisateur créé précédemment n’a pas de propriété alternativeSecurityIdentifier remplie, car l’invitation n’a pas été utilisée. Par conséquent, le système ne considère pas qu’il s’agit d’un nouvel objet utilisateur et ne met pas à jour la valeur UPN. UserPrincipalName n’est pas mis à jour dans les scénarios suivants :
- L’UPN et le courrier sont différents pour un utilisateur lorsqu’il a été invité manuellement.
- L’utilisateur a été invité avant d’activer la synchronisation entre locataires.
- L’utilisateur n’a jamais accepté l’invitation, donc son état est « en attente d’acceptation ».
- L’utilisateur est inclus dans le périmètre de la synchronisation entre clients.
Solution
Pour résoudre le problème, exécutez l’approvisionnement à la demande pour que les utilisateurs affectés mettent à jour l’UPN. Vous pouvez également redémarrer l’approvisionnement pour mettre à jour l’UPN pour tous les utilisateurs affectés. Notez que cela déclenche un cycle initial, qui peut prendre beaucoup de temps pour les grands locataires. Pour obtenir la liste des utilisateurs invités manuels dans l’état d’acceptation en attente, vous pouvez utiliser un script, consultez l’exemple suivant.
Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'"
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"
Vous pouvez ensuite utiliser provisionOnDemand avec PowerShell pour chaque utilisateur. La limite de débit pour cette API est de 5 requêtes toutes les 10 secondes. Pour plus d’informations, consultez Limitations connues pour l’approvisionnement à la demande.