Bérletek közötti szinkronizálás konfigurálása

Áttekintés

Ez a cikk a bérlők közötti szinkronizálás Microsoft Entra felügyeleti központ használatával történő konfigurálásához szükséges lépéseket ismerteti. Ha konfigurálva van, a Microsoft Entra ID automatikusan kiépíti és megszünteti a B2B-felhasználókat és biztonsági csoportokat a célbérlőnél.

A szolgáltatás működéséről, működéséről és a gyakori kérdésekről a Microsoft Entra-azonosítóval rendelkező SaaS-alkalmazások felhasználói kiépítésének és leépítésének automatizálása című témakörben olvashat.

Diagram, amely a bérlők közötti szinkronizálást mutatja be a forrásbérltető és a célbérltető között.

Ez a cikk ismerteti a bérlők közötti szinkronizálás beállításának lépéseit a Microsoft felhőkön belül. Ha konfigurálva van, a Microsoft Entra ID automatikusan létrehozza és törli a B2B-felhasználókat a célkörnyezetben. Bár ez az oktatóanyag a kereskedelmi felhőből származó identitások szinkronizálására összpontosít –> az USA kormányzati szerveire is, ugyanezek a lépések vonatkoznak a kínai kormányra –> kereskedelmi és kereskedelmi> –.

A szolgáltatás működéséről, működéséről és a gyakori kérdésekről a Microsoft Entra-azonosítóval rendelkező SaaS-alkalmazások felhasználói kiépítésének és leépítésének automatizálása című témakörben olvashat. A bérlők közötti szinkronizálás és a felhőközi szinkronizálás közötti különbségekért tekintse meg a felhőközi szinkronizálást a gyakori kérdések között.

A forrásbérltető és a célbérltető közötti felhőközi szinkronizálást bemutató diagram.

Támogatott felhőpárok

A bérlők közötti szinkronizálás a következő felhőpárokat támogatja:

Forrás Cél Az Azure Portal összekapcsolt tartományai
Azure kereskedelmi szolgáltatás Azure kereskedelmi szolgáltatás portal.azure.com -->portal.azure.com
Azure Government Azure Government portal.azure.us -->portal.azure.us
21Vianet (Kína) 21Vianet (Kína) portal.azure.cn -->portal.azure.cn

A felhőközi szinkronizálás támogatja ezeket a felhőpárokat:

Forrás Cél Az Azure Portal összekapcsolt tartományai
Azure kereskedelmi szolgáltatás Azure Government portal.azure.com -->portal.azure.us
Azure Government Azure kereskedelmi szolgáltatás portal.azure.us -->portal.azure.com
Azure kereskedelmi szolgáltatás A 21Vianet által üzemeltetett Azure
(Azure Kínában)		 portal.azure.com -->portal.azure.cn

Tanulási célkitűzések

A cikk végére a következőre lesz képes:

  • B2B-felhasználók és biztonsági csoportok létrehozása a célbérlében
  • B2B-felhasználók és biztonsági csoportok eltávolítása a célbérlében
  • A felhasználói attribútumok szinkronizálásának megtartása a forrás és a célbérlők között
  • B2B-felhasználók létrehozása a célbérlében
  • B2B-felhasználók eltávolítása a célbérlében
  • A felhasználói attribútumok szinkronizálásának megtartása a forrás és a célbérlők között

Előfeltételek

A forrásbérlő ikonja.
Forrásbérlő

A célbérlő ikonja.
Célbérlő

1. lépés: Az üzembe helyezés megtervezése

  1. Határozza meg, hogyan szeretné strukturálni a bérlőket a szervezetben.

  2. Tudjon meg többet arról, hogyan működik a szolgáltatás.

  3. Határozza meg, hogy ki lesz az ellátás hatókörében.

  4. Határozza meg, hogy mely adatokat kell feltérképezni a bérlők között.

1. lépés: Felhőközi beállítások engedélyezése mindkét bérlőben

A forrásbérlő ikonja.
Forrásbérlő

  1. Jelentkezzen be a forrásbérlelő Microsoft Entra felügyeleti központjába .

  2. Navigáljon az Entra ID>Külső identitások>bérlők közötti hozzáférési beállítások részhez.

  3. A Microsoft felhőbeállítások lapján jelölje be annak a felhőnek a jelölőnégyzetét, amellyel együtt szeretne működni, például a Microsoft Azure Governmentt.

    A felhők listája a felhőtől függően változik. További információt a Microsoft felhőbeállításai című témakörben talál.

    Képernyőkép a Microsoft felhőbeállításairól, amelyek a különböző Microsoft-felhők együttműködéséhez szükséges jelölőnégyzeteket jelenítik meg.

  4. Válassza a Mentés lehetőséget.

A célbérlő ikonja.
Cél

  1. Jelentkezzen be a célbérlelő Microsoft Entra felügyeleti központjába .

  2. Navigáljon az Entra ID>Külső identitások>bérlők közötti hozzáférési beállítások részhez.

  3. A Microsoft felhőbeállítások lapján jelölje be a forrásbérlelő, például a Microsoft Azure Commercial felhőközi szinkronizálási jelölőnégyzetét.

    Képernyőkép a Microsoft felhőbeállításairól, amelyek a felhőközi szinkronizálás engedélyezéséhez jelölőnégyzetet jelenítik meg.

    Amikor bejelöli ezt a jelölőnégyzetet, létrejön egy szolgáltatásalkotó a következő engedélyekkel:

    • User.ReadWrite.CrossCloud
    • Felhasználó.Meghív.Minden
    • Szervezet.Olvas.Minden
    • Szabályzat.Olvasás.Mind

  4. Válassza a Mentés lehetőséget.

2. lépés: Felhasználói és csoportszinkronizálás engedélyezése a célbérlelőben

Fontos

A csoportszinkronizálás jelenleg előzetes verzióban érhető el. Ezek az információk egy előzetes termékre vonatkoznak, amely a kiadás előtt jelentősen módosítható. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

2. lépés: Felhasználói szinkronizálás engedélyezése a célbérlelőben

A célbérlő ikonja.
Célbérlő

  1. Jelentkezzen be a célbérlelő Microsoft Entra felügyeleti központjába .

  2. Navigáljon az Entra ID>Külső identitások>bérlők közötti hozzáférési beállítások részhez.

  3. A Szervezet beállításai lapon válassza a Szervezet hozzáadása lehetőséget.

  4. A forrásbérlőt a bérlőazonosító vagy a tartománynév beírásával adhatja hozzá, majd nyomja meg a Hozzáadás gombot.

    Képernyőkép, amely a „Szervezet hozzáadása” panelt mutatja a forrásbérlő hozzáadásához.

  5. A hozzáadott szervezet bejövő hozzáférése csoportban válassza az Alapértelmezett öröklődés lehetőséget.

  6. Válassza a Bérlőközi szinkronizálás lapot.

  1. Jelölje be a Felhasználói szinkronizálás engedélyezése jelölőnégyzetet ebben a bérlői fiókban .

    Ha szeretné, jelölje be a csoportszinkronizálás engedélyezése jelölőnégyzetet ebben a bérlőben .

    További információ: Csoportszinkronizálás.

    Képernyőkép a Bérlőközi szinkronizálás fülről, amelyen a Felhasználók szinkronizálásának engedélyezése ebbe a bérlőbe és a Csoportok szinkronizálásának engedélyezése ebbe a bérlőbe jelölőnégyzetek láthatók.

  1. Jelölje be a Felhasználói szinkronizálás engedélyezése jelölőnégyzetet ebben a bérlői fiókban .

  1. Válassza a Mentés lehetőséget.

  2. Ha megjelenik egy Bérlőközi szinkronizálás és automatikus beváltás engedélyezése párbeszédpanel, amely megkérdezi, hogy engedélyezni szeretné-e az automatikus beváltást, válassza az Igen lehetőséget.

    Ha az Igen lehetőséget választja, a rendszer automatikusan beváltja a meghívókat a célbérlében.

    Képernyőkép, amely bemutatja a bérlők közötti szinkronizálás és automatikus beváltás engedélyezésének párbeszédpanelét, hogy a meghívások automatikusan beváltásra kerüljenek a célbérlőben.

3. lépés: Meghívások automatikus beváltása a cél-bérlőnél

A célbérlő ikonja.
Célbérlő

Ebben a lépésben automatikusan beváltja a meghívókat, hogy a forrásbérbevevő felhasználóinak ne kelljen elfogadniuk a hozzájárulási kérést. Ezt a beállítást a forrástagban (kimenő) és a céltagban (bejövő) is be kell jelölni. További információ: Automatikus beváltás beállítása.

  1. A célbérltetőben, ugyanazon a Bejövő hozzáférés beállításai lapon válassza a Megbízhatósági beállítások lapot.

  2. Jelölje be a bérlői meghívók automatikus beváltása< jelölőnégyzetet.>

    Ez a jelölőnégyzet már be van jelölve, ha korábban az Igen lehetőséget választotta a bérlők közötti szinkronizálás és az automatikus beváltás engedélyezése párbeszédpanelen.

    Képernyőkép, amely a bejövő automatikus beváltás jelölőnégyzetét mutatja.

  3. Válassza a Mentés lehetőséget.

4. lépés: Meghívások automatikus beváltása a forráskörnyezetben

A forrásbérlő ikonja.
Forrásbérlő

Ebben a lépésben automatikusan beváltja a meghívókat a forrástenantban.

  1. Jelentkezzen be a forrásbérlelő Microsoft Entra felügyeleti központjába .

  2. Navigáljon az Entra ID>Külső identitások>bérlők közötti hozzáférési beállítások részhez.

  3. A Szervezet beállításai lapon válassza a Szervezet hozzáadása lehetőséget.

  4. Adja hozzá a célbérlelőt a bérlőazonosító vagy tartománynév beírásával, majd a Hozzáadás gombra kattintva.

    A cél bérlő hozzáadásának képernyőképe, amely a Szervezet hozzáadása panelt mutatja.

  5. A célszervezet kimenő hozzáférése területén, válassza az az alapértelmezettől örökölt lehetőséget.

  6. Válassza a Megbízhatósági beállítások lapot.

  7. Jelölje be a bérlői meghívók automatikus beváltása< jelölőnégyzetet.>

    Képernyőkép a kimenő automatikus beváltás jelölőnégyzetről.

  8. Válassza a Mentés lehetőséget.

5. lépés: Konfiguráció létrehozása a forrásbérlében

A forrásbérlő ikonja.
Forrásbérlő

  1. A forrásbérlőben keresse meg az Entra ID>Külső Identitások>bérlőközi szinkronizálás.

    Képernyőkép, amely a Bérlők közötti szinkronizálás navigációját mutatja a Microsoft Entra Felügyeleti központban.

    Ha az Azure portált használja, navigáljon a Microsoft Entra ID>> lehetőséghez.

    Képernyőkép a bérlők közötti szinkronizálási navigációról az Azure Portalon.

  2. Válassza a Konfigurációk lehetőséget.

  3. A lap tetején válassza az Új konfiguráció lehetőséget.

  1. Adja meg a konfiguráció nevét.

    A nevet megjelenítő új konfiguráció képernyőképe.

  2. Válassza a Create gombot.

    Akár 15 másodpercet is igénybe vehet, amíg az imént létrehozott konfiguráció megjelenik a listában.

  1. Adja meg a konfiguráció nevét.

  2. Jelölje be a Microsoft-felhők közötti bérlői szinkronizálás beállítása jelölőnégyzetet.

    Képernyőkép egy új konfigurációról, amely a név és a felhőközi szinkronizálás jelölőnégyzetét jeleníti meg.

  3. Válassza a Create gombot.

    Akár 15 másodpercet is igénybe vehet, amíg az imént létrehozott konfiguráció megjelenik a listában.

    A felhők közötti szinkronizálás Konfigurációk lapján a bérlőnév és a bérlőazonosító oszlopok üresek lesznek.

6. lépés: A célbérlelőhöz való kapcsolat tesztelése

A forrásbérlő ikonja.
Forrásbérlő

  1. A forrásbérlőben látnod kellene az új konfigurációt. Ha nem, a konfigurációs listában válassza ki a konfigurációt.

    Képernyőkép a bérlők közötti szinkronizálási konfigurációk oldalról és egy új konfigurációról.

  2. Válassza az Első lépések lehetőséget.

  3. Állítsa a kiépítési módotautomatikusra.

  4. A Rendszergazdai hitelesítő adatok szakaszban módosítsa a Hitelesítési módszertBérlők közötti szinkronizálási szabályzatra.

    Képernyőkép a Kiépítés lapról, amelyen a bérlők közötti szinkronizálási szabályzat van kiválasztva.

  5. A Bérlőazonosító mezőbe írja be a célbérlő bérlőazonosítóját.

  6. Válassza a Kapcsolat tesztelése lehetőséget a kapcsolat teszteléséhez.

    Látnia kell egy üzenetet, amely szerint a megadott hitelesítő adatok megfelelőek a beállítás engedélyezésére. Ha a tesztkapcsolat meghiúsul, a cikk későbbi részében gyakori forgatókönyveket és megoldásokat talál.

    Képernyőkép a tesztelési kapcsolatról szóló értesítésről.

  7. Válassza a Mentés lehetőséget.

    Megjelennek a leképezések és a beállítások részei.

  8. Zárja be a Provisioning oldalt.

7. lépés: A hatókörben lévő személyek meghatározása ellátás céljából

A forrásbérlő ikonja.
Forrásbérlő

A Microsoft Entra kiépítési szolgáltatás lehetővé teszi, hogy meghatározza, kik lesznek kiépítve az alábbi módok egyikén vagy mindkettőn:

  • A konfigurációhoz való hozzárendelés alapján
  • A felhasználó attribútumai alapján

Kezdje kicsiben. Tesztelje a felhasználók egy kis csoportját, mielőtt mindenkinek elérhetővé tesz. Ha a kiépítés hatóköre hozzárendelt felhasználókra és csoportokra van állítva, egy vagy két felhasználót rendelhet hozzá a konfigurációhoz. A következő lépésben ismertetett attribútumalapú hatókörszűrők létrehozásával tovább pontosíthatja a kiépítés hatókörét.

  1. A forrásbérlében válassza a Kiépítés lehetőséget, és bontsa ki a Beállítások szakaszt .

    Képernyőkép a Kiépítés lapról, amelyen a Beállítások szakasz látható a Hatókör és a Kiépítés állapota beállításokkal.

  2. A Hatókör listában válassza ki, hogy szinkronizálja-e a forrásbérlében lévő összes felhasználót, vagy csak a konfigurációhoz rendelt felhasználókat.

    Javasoljuk, hogy az összes felhasználó szinkronizálása helyett csak a hozzárendelt felhasználók és csoportok szinkronizálása lehetőséget válassza. A hatókörben lévő felhasználók számának csökkentése javítja a teljesítményt.

    Ha szinkronizálni szeretné a csoportokat, csak a hozzárendelt felhasználók és csoportok szinkronizálása lehetőséget kell választania.

  3. Ha módosításokat végzett, válassza a Mentés lehetőséget.

  4. A konfigurációs lapon válassza a Felhasználók és csoportok lehetőséget.

    A bérlők közötti szinkronizálás működéséhez legalább egy belső felhasználót hozzá kell rendelni a konfigurációhoz.

  5. Válassza a Felhasználó/csoport hozzáadása lehetőséget.

  6. A Hozzárendelés hozzáadása lap Felhasználók és csoportok csoportjában válassza a Nincs kijelölve lehetőséget.

  7. A Felhasználók és csoportok panelen keressen és jelöljön ki egy vagy több belső felhasználót és csoportot, amelyet hozzá szeretne rendelni a konfigurációhoz.

    Ha kiválaszt egy csoportot, amely a konfigurációhoz rendelhető, csak a csoport közvetlen tagjai lesznek a kiépítés hatókörében. Választhat statikus vagy dinamikus csoportot. A hozzárendelés nem terjed ki a beágyazott csoportokra.

  8. Válassza a Kiválasztás lehetőséget.

  9. Válassza a Hozzárendelés lehetőséget.

    Képernyőkép a Felhasználók és csoportok lapról a konfigurációhoz hozzárendelt felhasználóval.

    További információ: Felhasználók és csoportok hozzárendelése egy alkalmazáshoz.

8. lépés: (Nem kötelező) Határozza meg az ellátás hatókörét hatóköri szűrők segítségével.

A forrásbérlő ikonja.
Forrásbérlő

Függetlenül attól, hogy az előző lépésben milyen értéket választott a Hatókörhöz, attribútumalapú hatókörszűrők létrehozásával tovább korlátozhatja, hogy mely felhasználók szinkronizálódnak.

  1. A forrásbérlőben válassza a Kiépítés lehetőséget, és bontsa ki a Leképezések szakaszt.

    Képernyőkép a Kiépítés lapról a Leképezések szakasz kibontásával.

  2. Válassza a Microsoft Entra ID-felhasználók kiépítése lehetőséget az Attribútumleképezés lap megnyitásához.

  3. A Forrásobjektum hatóköre területen válassza az Összes rekord lehetőséget.

    Képernyőkép az Attribútumleképezés lapról a Forrásobjektum hatókörével.

  4. A Forrásobjektum hatóköre lapon válassza a Hatókörszűrő hozzáadása lehetőséget.

  5. Adjon hozzá hatókörszűrőket annak meghatározásához, hogy mely felhasználók tartoznak a kiépítés hatókörébe.

    A hatókörszűrők konfigurálásához tekintse meg a hatókörkezelési felhasználók vagy csoportok hatókörkezelési szűrőkkel való kiépítéséhez megadott utasításokat.

    Képernyőkép a Hatókörszűrő hozzáadása lapról mintaszűrővel.

  6. A módosítások mentéséhez kattintson az Ok és a Mentés gombra.

    Ha hozzáadott egy szűrőt, megjelenik egy üzenet, amely szerint a módosítások mentése az összes hozzárendelt felhasználó és csoport újraszinkronizálását eredményezi. Ez a könyvtár méretétől függően hosszú időt vehet igénybe.

  7. Válassza az Igen lehetőséget, és zárja be az Attribútumleképezés lapot.

  1. A Kiépítés lap Leképezések szakaszában válassza a Microsoft Entra-azonosítócsoportok kiépítése lehetőséget az Attribútumleképezés lap megnyitásához.

  2. Ha szinkronizálni szeretné a csoportokat, állítsa az Engedélyezve kapcsolótIgen értékre.

    Ez a kapcsoló alapértelmezés szerint Nem értékre van állítva.

  3. Ha csoportokra vonatkozó szűrőket szeretne hatókörbe helyezni, kövesse a felhasználókhoz hasonló korábbi lépéseket.

9. lépés: Attribútumleképezések áttekintése

A forrásbérlő ikonja.
Forrásbérlő

Az attribútumleképezésekkel meghatározhatja, hogy az adatok hogyan áramlanak a forrásbérlendő és a célbérlő között. További információ az alapértelmezett attribútumleképezések testreszabásáról: Oktatóanyag – Felhasználói kiépítési attribútumleképezések testreszabása SaaS-alkalmazásokhoz a Microsoft Entra ID-ban.

  1. A forrásbérlőben válassza a Kiépítés lehetőséget, és bontsa ki a Leképezések szakaszt.

  2. Válassza a Microsoft Entra ID-felhasználók kiépítése lehetőséget.

  3. Az Attribútumleképezés lapon görgessen le a bérlők között szinkronizált felhasználói attribútumok áttekintéséhez az Attribútumleképezések szakaszban.

    Az első attribútum, az alternativeSecurityIdentifier egy belső attribútum, amellyel egyedileg azonosíthatja a felhasználót a bérlők között, megfeleltethet a forrásbérlõ felhasználóinak a célbérlõben meglévő felhasználókkal, és biztosíthatja, hogy minden felhasználónak csak egy fiókja legyen. Az egyező attribútum nem módosítható. Ha megkísérli módosítani az egyező attribútumot, vagy további egyező attribútumokat ad hozzá, az hibát fog eredményezni schemaInvalid .

    Képernyőkép a Microsoft Entra-attribútumok listáját megjelenítő Attribútumleképezés lapról.

  4. Válassza ki a Tag (userType) attribútumot az Attribútum szerkesztése lap megnyitásához.

  5. Tekintse át a userType attribútum Állandó érték beállítását.

    Ez a beállítás határozza meg a célbérlendőben létrehozandó felhasználó típusát, és az alábbi táblázatban szereplő értékek egyike lehet. Alapértelmezés szerint a felhasználók külső tagként lesznek létrehozva (B2B együttműködési felhasználók). További információ: A Microsoft Entra B2B együttműködési felhasználó tulajdonságai.

    Állandó érték Leírás
    Tag Alapértelmezett A felhasználók külső tagként (B2B együttműködési felhasználókként) lesznek létrehozva a célbérlőben. A felhasználók a célbérlõ bármely belső tagjaként működhetnek.
    Vendég A felhasználók a célbérlőben külső vendégként (B2B együttműködési felhasználóként) lesznek létrehozva.

    Megjegyzés

    Ha a B2B-felhasználó már létezik a célbérlőben, akkor a tag (userType) nem lesz módosítva tagra, kivéve, ha a Leképezés alkalmazása beállítás Mindig értékre van állítva.

    A választott felhasználótípusra az alábbi korlátozások vonatkoznak az alkalmazásokra vagy szolgáltatásokra (de nem korlátozódnak):

    Alkalmazás vagy szolgáltatás Korlátozások
    Power BI A UserTypeMember érték támogatása jelenleg előzetes változatként elérhető a Power BI-ban. További információ: Power BI-tartalom terjesztése külső vendégfelhasználóknak a Microsoft Entra B2B-vel.
    Azure Virtual Desktop A korlátozásokat lásd az Azure Virtual Desktop Előfeltételek című témakörben.
    Microsoft Teams Korlátozásokról lásd: Együttműködés a más Microsoft 365 felhőkörnyezetek vendégeivel.

    Képernyőkép az attribútum szerkesztése oldalról, amely a tag attribútumot mutatja.

  6. Ha bármilyen átalakítást szeretne definiálni, az Attribútumleképezés lapon válassza ki az átalakítani kívánt attribútumot( például displayName).

  7. Állítsa be a leképezési típustKifejezés-re.

  8. A Kifejezés mezőbe írja be az átalakítási kifejezést. A megjelenítendő névvel például a következőket teheti:

    • Tükrözze az utónevet és a vezetéknevet, és adjon hozzá vesszőt a kettő közé.
    • Adja hozzá a tartománynevet zárójelben a megjelenítendő név végén.

    Példákat a Microsoft Entra ID attribútumleképezéseinek kifejezéseinek írására vonatkozó referencia című témakörben talál.

    Képernyőkép az Attribútum szerkesztése lapról, amelyen a displayName attribútum látható a Kifejezés mezővel.

  1. A Kiépítés lap Leképezések szakaszában válassza a Microsoft Entra-azonosítócsoportok kiépítése lehetőséget az Attribútumleképezés lap megnyitásához.

  2. Ha módosítani szeretné a csoportok attribútumleképezéseit, kövesse a felhasználókhoz hasonló korábbi lépéseket.

Tipp.

A címtárkiterjesztéseket a bérlők közötti szinkronizáció sémájának frissítésével képezheti le. További információért lásd: Címtárbővítmények bérlők közötti szinkronizálásnál történő leképezése.

10. lépés: További kiépítési beállítások megadása

A forrásbérlő ikonja.
Forrásbérlő

  1. A forrásbérlében válassza a Kiépítés lehetőséget, és bontsa ki a Beállítások szakaszt .

    Képernyőkép a Kiépítés lapról, amelyen a Beállítások szakasz látható a Hatókör és a Kiépítés állapota beállításokkal.

  2. Jelölje az E-mail-értesítés küldése hiba esetén jelölőnégyzetet be.

  3. Az Értesítési e-mail mezőben adja meg annak a személynek vagy csoportnak az e-mail-címét, akinek kiépítési hibaértesítéseket kell kapnia.

    Az e-mail-értesítéseket a feladat karanténba helyezését követő 24 órán belül küldjük el. Egyéni riasztások esetén tekintse meg, hogyan integrálható a kiépítés az Azure Monitor-naplókkal.

  4. A véletlen törlés megelőzéséhez válassza a Véletlen törlés megakadályozása lehetőséget, és adjon meg egy küszöbértéket. Alapértelmezés szerint a küszöbérték 500.

    További információ: Véletlen törlés megakadályozása a Microsoft Entra kiépítési szolgáltatásban.

  5. A módosítások mentéséhez válassza a Mentés lehetőséget.

11. lépés: Igény szerinti ellátás tesztelése

A forrásbérlő ikonja.
Forrásbérlő

Most, hogy már rendelkezik egy konfigurációval, tesztelheti az igény szerinti kiépítést az egyik felhasználójával.

  1. A forrásbérlőben keresse meg az Entra ID>Külső Identitások>bérlőközi szinkronizálás.

  2. Válassza a Konfigurációk lehetőséget, majd válassza ki a konfigurációt.

  3. Válassza az Igény szerinti kiépítés lehetőséget.

  4. A Felhasználó vagy csoport kiválasztása mezőben keresse meg és válassza ki az egyik tesztfelhasználót.

    Képernyőkép az Igény szerinti kiépítés lapról, amelyen egy kiválasztott tesztfelhasználó látható.

  5. Válassza a Provision lehetőséget.

    Néhány pillanat múlva megjelenik a Művelet végrehajtása lap, amely a tesztfelhasználó hozzárendelésével kapcsolatos információkat tartalmazza a célbérlőben.

    Képernyőkép a tesztfelhasználót és a módosított attribútumok listáját megjelenítő Művelet végrehajtása lapról.

    Ha a felhasználó nincs hatókörben, megjelenik egy lap, amelyből megtudhatja, hogy a tesztfelhasználó miért lett kihagyva.

    Képernyőkép, amely megmutatja, miért lett kihagyva a tesztfelhasználó a

    Az Igény szerinti kiépítés lapon megtekintheti a kiépítés részleteit, és újrapróbálkozhat.

    Képernyőkép az Igény szerinti kiépítés oldalról, amelyen a kiépítés részletei láthatók.

  6. A célbérlőnél ellenőrizze, hogy a tesztfelhasználó ki lett-e osztva.

    Képernyőkép a célbérlő Felhasználók lapjáról, amely a kiépített tesztfelhasználót jeleníti meg.

  7. Ha minden a várt módon működik, rendeljen hozzá további felhasználókat a konfigurációhoz.

    További információ: Igény szerinti kiépítés a Microsoft Entra-azonosítóban.

12. lépés: A kiépítési feladat indítása

A forrásbérlő ikonja.
Forrásbérlő

A kiépítési feladat elindítja a Beállítások szakasz hatókörében definiált összes felhasználó kezdeti szinkronizálási ciklusát. A kezdeti ciklus végrehajtása több időt vesz igénybe, mint a következő ciklusok, amelyek körülbelül 40 percenként fordulnak elő, amíg a Microsoft Entra kiépítési szolgáltatás fut.

  1. A forrásbérlőben keresse meg az Entra ID>Külső Identitások>bérlőközi szinkronizálás.

  2. Válassza a Konfigurációk lehetőséget, majd válassza ki a konfigurációt.

  3. Az Áttekintés lapon tekintse át a kiépítés részleteit.

    Képernyőkép a konfigurációk áttekintési oldaláról, amely a kiépítés részleteit sorolja fel.

  4. A kiépítési feladat elindításához válassza a Kiépítés indítása lehetőséget.

13. lépés: A kiépítés monitorozása

A forrásbérlő ikonja. A célbérlő ikonja.
Forrás- és célbérlők

Miután elindította a kiépítési feladatot, nyomon követheti az állapotát.

  1. A forrásbérlőben az Áttekintés lapon ellenőrizze az állapotjelző sávot, hogy lássa a kiépítési ciklus állapotát, és hogy mennyire közel van a befejezéshez. További információt a felhasználói kiépítés állapotának ellenőrzése című témakörben talál.

    Ha úgy tűnik, hogy az ellátás rossz állapotban van, a konfiguráció karanténba kerül. További információ: Az alkalmazás üzembe helyezése karanténállapotban.

    Képernyőkép a Konfigurációk áttekintése lapról, amely a kiépítési ciklus állapotát mutatja.

  2. Válassza a Kiépítési naplók lehetőséget annak megállapításához, hogy mely felhasználók lettek sikeresen vagy sikertelenül kiépítve. Alapértelmezés szerint a naplókat a konfiguráció szolgáltatási főazonosítója szűri. További információ: Kiépítési naplók a Microsoft Entra ID-ben.

    Képernyőkép az ellátási naplók oldalról, amely felsorolja a naplóbejegyzéseket és azok állapotát.

  3. A Naplók lehetőséget választva megtekintheti az összes naplózott eseményt a Microsoft Entra-azonosítóban. További információ: Naplózási naplók a Microsoft Entra-azonosítóban.

    Képernyőkép a Naplók lapról, amely felsorolja a naplóbejegyzéseket és azok állapotát.

    Az auditnaplókat a célbérlőben is megtekintheti.

  4. A célbérleményben válassza a Felhasználók>naplózási naplói lehetőséget a naplózott események megtekintéséhez a felhasználókezeléshez. A célbérlőnél történő bérlők közötti szinkronizálást a rendszer úgy naplózza, hogy a szereplő a "Microsoft.Azure.SyncFabric" alkalmazás lesz.

    Képernyőkép a cél-bérlőnél található auditnaplók lapjáról, amely felsorolja a felhasználók kezelésére vonatkozó naplóbejegyzéseket.

14. lépés: Kilépési beállítások konfigurálása

A célbérlő ikonja.
Célbérlő

Annak ellenére, hogy a felhasználók hozzá vannak rendelve a célbérlőnél, továbbra is eltávolíthatják saját magukat. Ha a felhasználók eltávolítják magukat, de hatókörben vannak, a következő hozzárendelési ciklus során ismét be lesznek állítva. Ha szeretné letiltani, hogy a felhasználók eltávolítsák magukat a szervezetből, konfigurálnia kell a külső felhasználó kilépési beállításait.

  1. A célbérlőben keresse meg az Entra ID>Külső identitások>külső együttműködési beállításai lehetőséget.

  2. A Külső felhasználók kilépési beállításai csoportban adja meg, hogy engedélyezi-e, hogy a külső felhasználók maguk hagyják el a szervezetet.

Ez a beállítás a B2B-együttműködésre és a közvetlen B2B-kapcsolatra is vonatkozik, így ha a külső felhasználók kilépési beállításaitNem értékre állítja, a B2B együttműködési felhasználók és a közvetlen B2B-kapcsolatok felhasználói nem hagyhatják el a szervezetet. További információ: Szervezet elhagyása külső felhasználóként.

Gyakori forgatókönyvek és megoldások

Tünet – A kapcsolat tesztelése meghiúsul az AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure hiba miatt

Amikor bérlőközi szinkronizálást állít be a forrásbérlőben, és teszteli a kapcsolatot, a következő hibaüzenetek egyikével sikertelen lesz:

Az automatikus visszaváltás nincs beállítva a forrásbérletben

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The source tenant has not enabled automatic user consent with the target tenant. Please enable the outbound cross-tenant access policy for automatic user consent in the source tenant. aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Az automatikus visszaváltás nincs beállítva a célbérlőnél

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The target tenant has not enabled inbound synchronization with this tenant. Please request the target tenant admin to enable the inbound synchronization on their cross-tenant access policy. Learn more: aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Ok

Ez a hiba azt jelzi, hogy a forrás- és /vagy célbérlokon lévő meghívások automatikus beváltására vonatkozó szabályzat nincs beállítva.

Megoldás

Kövesse a 3. lépés lépéseit: A meghívások automatikus beváltása a célbérlében és 4. lépés: A meghívók automatikus beváltása a forrásbérlében.

Hibajelenség – A kapcsolat tesztelése az ExternalTenantNotFoundtal meghiúsul

Amikor a forrásbérlében konfigurálja a felhőközi szinkronizálást, és teszteli a kapcsolatot, a következő hibaüzenettel meghiúsul:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: ExternalTenantNotFound
Details: This tenant was not found by the authentication authority of the current cloud: <targetTenantId>. The authentication authority is https://login.microsoftonline.com/<targetTenantId>.

Ok

Ez a hiba azt jelzi, hogy a Microsoft-felhők közötti bérlőközi szinkronizálás beállítása jelölőnégyzet nincs bejelölve.

Megoldás

  1. A forrásbérlében törölje a létrehozott konfigurációt, amely nem tud csatlakozni.

  2. A célbérlében hozzon létre egy új konfigurációt, és ellenőrizze a Microsoft-felhők közötti bérlőközi szinkronizálás beállítását az 5. lépésben leírtak szerint: Konfiguráció létrehozása a forrásbérlében.

Tünet – A kapcsolat tesztelése meghiúsul az AzureActiveDirectoryTokenExpired használatával

Amikor a forrásbérlében konfigurálja a felhőközi szinkronizálást, és teszteli a kapcsolatot, a következő hibaüzenettel meghiúsul:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryTokenExpired
Details: The identity of the calling application could not be established.

Ok

Ez a hiba azt jelzi, hogy a szinkronizálás felhőközi beállítása nincs engedélyezve.

Megoldás

A célbérlelő microsoftos felhőbeállítások lapján jelölje be a forrásbérlelő felhőközi szinkronizálási jelölőnégyzetét. Kövesse az 1. lépés lépéseit: Felhőközi beállítások engedélyezése mindkét bérlőben.

Tünet – Az automatikus beváltás jelölőnégyzet le van tiltva

A bérlők közötti szinkronizálás konfigurálásakor az Automatikus beváltás jelölőnégyzet le van tiltva.

Képernyőkép az Automatikus beváltás jelölőnégyzetről letiltottként.

Ok

A bérlő nem rendelkezik Microsoft Entra-azonosítójú P1 vagy P2 licenccel.

Megoldás

A megbízhatósági beállítások konfigurálásához p1 vagy P2 Microsoft Entra-azonosítóval kell rendelkeznie.

Hibajelenség – A célbérlében nemrég törölt felhasználó nem lett visszaállítva

Miután ideiglenes törlést hajtott végre egy szinkronizált felhasználón a célkörnyezetben, a felhasználó nem áll helyre a következő szinkronizálási ciklus során. Ha megpróbálja ideiglenesen törölni a kérés szerinti automatikus létrehozással rendelkező felhasználót, majd visszaállítja, az ismétlődő felhasználókat eredményezhet.

Ok

A célbérlőben az ideiglenesen törölt felhasználók visszaállítása nem támogatott.

Megoldás

Manuálisan állítsa vissza a helyreállíthatóan törölt felhasználót a célbérlében. További információ: Nemrég törölt felhasználó visszaállítása vagy eltávolítása a Microsoft Entra-azonosítóval.

Hibajelenség – A rendszer kihagyja a felhasználókat, mert az SMS-bejelentkezés engedélyezve van a felhasználón

A rendszer kihagyja a felhasználók szinkronizálását. A hatókörkezelési lépés a következő, hamis állapotú szűrőt tartalmazza: "Külső felhasználók szűrése.alternativeSecurityIds EQUALS "None"

Ok

Ha az SMS-bejelentkezés engedélyezve van egy felhasználó számára, a kiépítési szolgáltatás kihagyja őket.

Megoldás

Tiltsa le az SMS-bejelentkezést a felhasználók számára. Az alábbi szkript bemutatja, hogyan tilthatja le az SMS-bejelentkezést a PowerShell használatával.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Tünet – A csoport kihagyva az EntityTypeNotSupported miatt

A rendszer kihagyja a csoportot a szinkronizálásból, mivel az EntityTypeNotSupported hiba történt.

Képernyőkép az EntityTypeNotSupported miatt kihagyott csoportról.

Ok

Ez az üzenet valószínűleg azt jelzi, hogy a csoportszinkronizálás nincs engedélyezve a forrásbérlében.

Megoldás

A forrásbérlőben a Kiépítés lapon a Térképezések szakaszban válassza a Microsoft Entra-azonosítócsoportok kiépítése lehetőséget az Attribútumleképezés lap megnyitásához. Győződjön meg arról, hogy az Engedélyezett kapcsoló igen értékre van állítva. További információkért lásd: 8. lépés: (Nem kötelező) Annak meghatározása, hogy ki van a hatókörben az ellátáshoz a hatókörszűrőkkel.

Hibajelenség – A felhasználók nem tudnak provizionálni az AzureActiveDirectoryForbidden hibával.

A hatókörbe tartozó felhasználók ellátásra nem kerülnek. A kiépítési naplók részletei a következő hibaüzenetet tartalmazzák:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Ok

Ez a hiba azt jelzi, hogy a vendégmeghívási beállítások a célbérlében a legkorlátozóbb beállítással vannak konfigurálva: "A szervezeten belül senki sem hívhat meg vendégfelhasználókat, beleértve a rendszergazdákat is (a legkorlátozóbb)".

Megoldás

Módosítsa a vendégmeghívó beállításait a célbérbeadóban kevésbé korlátozó beállításra. További információ: Külső együttműködési beállítások konfigurálása.

Tünet – A UserPrincipalName nem frissül a még elfogadásra váró állapotban lévő B2B-felhasználók esetében

Amikor egy felhasználót először manuális B2B-meghívással hívnak meg, a rendszer elküldi a meghívót a forrásfelhasználó e-mail-címére. Ennek eredményeképpen a célkörnyezetben létrejön egy vendégfelhasználó, akinek UserPrincipalName (UPN) előtagját a forrás e-mail érték tulajdonsága alapján állítják be. Vannak olyan környezetek, ahol a forrásfelhasználói objektum tulajdonságai (UPN és Posta) különböző értékekkel rendelkeznek, például a Posta == user.mail@domain.com és az UPN == user.upn@otherdomain.comértékekkel. Ebben az esetben a célbérlény vendégfelhasználója az UPN-sel jön létre user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

A probléma akkor merül fel, amikor a forrásobjektum bekerül a bérlők közötti szinkronizálás hatókörébe, és az az elvárás, hogy a többi tulajdonság mellett a cél vendégfelhasználó UPN-előtagja frissüljön a forrásfelhasználó UPN-jének megfelelően (a fenti példát használva az érték: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Ez azonban nem történik meg a növekményes szinkronizálási ciklusok során, és a rendszer figyelmen kívül hagyja a módosítást.

Ok

Ez a probléma akkor fordul elő, ha a célbérlába manuálisan meghívott B2B-felhasználó nem fogadta el vagy váltotta be a meghívást, így állapota elfogadásra vár. Amikor egy felhasználót e-mailben hívnak meg, a rendszer létrehoz egy objektumot a levelezésből feltöltött attribútumokkal, amelyek közül az egyik az UPN, amely a forrásfelhasználó levelezési értékére mutat. Ha később úgy dönt, hogy hozzáadja a felhasználót a bérlőközi szinkronizálás hatóköréhez, a rendszer megpróbálja összekapcsolni a forrásfelhasználót egy B2B-felhasználóval a célbérlőben az az alternativeSecurityIdentifier attribútum alapján, de a korábban létrehozott felhasználó nem rendelkezik alternativeSecurityIdentifier attribútummal, mert a meghívás nem lett beváltva. A rendszer tehát nem tekinti ezt új felhasználói objektumnak, és nem frissíti az UPN-értéket. A UserPrincipalName nem frissül a következő forgatókönyvekben:

  1. Az UPN és a levelezés eltérő a felhasználók esetében, amikor manuálisan lettek meghívva.
  2. A felhasználót meghívták, mielőtt engedélyezték volna a bérlők közötti szinkronizálást.
  3. A felhasználó soha nem fogadta el a meghívást, ezért "függő elfogadási állapotban" van.
  4. A felhasználó a bérlők közötti szinkronizálás hatókörébe kerül.

Megoldás

A probléma megoldásához futtassa az igény szerinti provízionálást az érintett felhasználók számára az UPN frissítéséhez. Indíthatja újra a telepítést is az UPN frissítése érdekében minden érintett felhasználó számára. Vegye figyelembe, hogy ez elindít egy kezdeti ciklust, amely hosszú időt vehet igénybe a nagy bérlők számára. Ha szeretné lekérni a manuális meghívott felhasználók listáját a függőben lévő elfogadási állapotban, használhat szkriptet, lásd az alábbi mintát.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Ezután minden felhasználóhoz használhatja a provisionOnDemand és a PowerShell használatát . Az API sebességkorlátja 10 másodpercenként 5 kérés. További információ: Az igény szerinti kiépítés ismert korlátozásai.

Következő lépések

  • Last updated on