Mengonfigurasi sinkronisasi lintas penyewa

Artikel ini menjelaskan langkah-langkah untuk mengonfigurasi sinkronisasi lintas penyewa menggunakan pusat admin Microsoft Entra. Saat dikonfigurasi, MICROSOFT Entra ID secara otomatis memprovisi dan mendeprovisi pengguna B2B di penyewa target Anda. Untuk detail penting tentang apa yang dilakukan layanan ini, cara kerjanya, dan tanya jawab umum, lihat Mengotomatiskan provisi dan deprovisi pengguna ke aplikasi SaaS dengan ID Microsoft Entra.

Tujuan pembelajaran

Pada akhir artikel ini, Anda akan dapat:

• Membuat pengguna B2B di penyewa target Anda
• Menghapus pengguna B2B di penyewa target Anda
• Menjaga atribut pengguna tetap sinkron antara penyewa sumber dan target Anda

Prasyarat

Penyewa sumber

• Lisensi Microsoft Entra ID P1 atau P2. Untuk informasi selengkapnya, lihat Persyaratan lisensi.
• Peran Administrator Keamanan untuk mengonfigurasi pengaturan akses lintas penyewa.
• Peran Administrator Identitas Hibrid untuk mengonfigurasi sinkronisasi lintas penyewa.
• Peran Administrator Aplikasi Cloud atau Administrator Aplikasi untuk menetapkan pengguna ke konfigurasi dan menghapus konfigurasi.

Penyewa target

• Lisensi Microsoft Entra ID P1 atau P2. Untuk informasi selengkapnya, lihat Persyaratan lisensi.
• Peran Administrator Keamanan untuk mengonfigurasi pengaturan akses lintas penyewa.

Langkah 1: Merencanakan penyebaran provisi Anda

1. Tentukan bagaimana Anda ingin menyusun penyewa di organisasi Anda.

2. Pelajari tentang Cara kerja layanan provisi .

3. Tentukan siapa yang akan berada dalam cakupan untuk provisi.

4. Tentukan data apa yang akan dipetakan antar penyewa.

Langkah 2: Mengaktifkan sinkronisasi pengguna di penyewa target

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Penyewa target

1. Masuk ke pusat admin Microsoft Entra dari penyewa target.

2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal.>

3. Pada tab Pengaturan organisasi , pilih Tambahkan organisasi.

4. Tambahkan penyewa sumber dengan mengetik ID penyewa atau nama domain dan memilih Tambahkan.

   

5. Di bawah Akses masuk organisasi yang ditambahkan, pilih Diwarisi dari default.

6. Pilih tab Sinkronisasi lintas penyewa.

7. Centang kotak centang Perbolehkan pengguna menyinkronkan ke penyewa ini.

   

8. Pilih Simpan.

9. Jika Anda melihat kotak dialog Aktifkan sinkronisasi lintas penyewa dan penukaran otomatis yang menanyakan apakah Anda ingin mengaktifkan penukaran otomatis, pilih Ya.

   Memilih Ya akan secara otomatis menukarkan undangan di penyewa target.

   

Langkah 3: Menukarkan undangan secara otomatis di penyewa target

Penyewa target

Dalam langkah ini, Anda secara otomatis menukarkan undangan sehingga pengguna dari penyewa sumber tidak perlu menerima permintaan persetujuan. Pengaturan ini harus diperiksa di penyewa sumber (keluar) dan penyewa target (masuk). Untuk informasi selengkapnya, lihat Pengaturan penukaran otomatis.

1. Di penyewa target, pada halaman Pengaturan akses masuk yang sama, pilih tab Pengaturan kepercayaan.

2. Centang kotak centang Menukarkan undangan secara otomatis dengan penyewa penyewa<>.

   Kotak ini mungkin sudah dicentang jika sebelumnya Anda memilih Ya dalam kotak dialog Aktifkan sinkronisasi lintas penyewa dan penukaran otomatis.

   

3. Pilih Simpan.

Langkah 4: Menukarkan undangan secara otomatis di penyewa sumber

Penyewa sumber

Dalam langkah ini, Anda secara otomatis menukarkan undangan di penyewa sumber.

1. Masuk ke pusat admin Microsoft Entra dari penyewa sumber.

2. Telusuri ke Pengaturan akses lintas penyewa Identitas Eksternal Identitas>Eksternal.>

3. Pada tab Pengaturan organisasi , pilih Tambahkan organisasi.

4. Tambahkan penyewa target dengan mengetik ID penyewa atau nama domain dan memilih Tambahkan.

   

5. Di bawah Akses keluar untuk organisasi target, pilih Diwariskan dari default.

6. Pilih tab Pengaturan kepercayaan.

7. Centang kotak centang Menukarkan undangan secara otomatis dengan penyewa penyewa<>.

   

8. Pilih Simpan.

Langkah 5: Membuat konfigurasi di penyewa sumber

Penyewa sumber

1. Di penyewa sumber, telusuri ke Sinkronisasi lintas penyewa Identitas Eksternal Identitas>Eksternal>.

2. Pilih Konfigurasi.

3. Di bagian atas halaman, pilih Konfigurasi baru.

4. Berikan nama untuk konfigurasi dan pilih Buat.

   Diperlukan waktu hingga 15 detik agar konfigurasi yang baru saja Anda buat muncul dalam daftar.

Langkah 6: Uji koneksi ke penyewa target

Penyewa sumber

1. Di penyewa sumber, Anda akan melihat konfigurasi baru Anda. Jika tidak, dalam daftar konfigurasi, pilih konfigurasi Anda.

   

2. Pilih Mulai.

3. Atur Mode Provisi ke Otomatis.

4. Di bawah bagian Info Masuk Admin, ubah Metode Autentikasi menjadi Kebijakan Sinkronisasi Lintas Penyewa.

   

5. Dalam kotak Id Penyewa, masukkan ID penyewa penyewa target.

6. Pilih Uji Koneksi ion untuk menguji koneksi.

   Anda akan melihat pesan bahwa kredensial yang disediakan berwenang untuk mengaktifkan provisi. Jika koneksi pengujian gagal, lihat Tips pemecahan masalah nanti di artikel ini.

   

7. Pilih Simpan.

   Bagian pemetaan dan Pengaturan muncul.

8. Tutup halaman Provisi .

Langkah 7: Tentukan siapa yang berada dalam cakupan provisi

Penyewa sumber

Layanan provisi Microsoft Entra memungkinkan Anda menentukan siapa yang akan disediakan dengan salah satu atau kedua cara berikut:

• Berdasarkan penugasan ke konfigurasi
• Berdasarkan atribut pengguna

Mulai dari yang kecil. Uji dengan sekelompok kecil pengguna sebelum diluncurkan ke semua orang. Saat cakupan provisi diatur ke pengguna dan grup yang ditetapkan, Anda dapat mengontrolnya dengan menetapkan satu atau dua pengguna ke konfigurasi. Anda dapat lebih menyempurnakan siapa yang berada dalam cakupan provisi dengan membuat filter cakupan berbasis atribut, yang dijelaskan pada langkah berikutnya.

1. Di penyewa sumber, pilih Provisi dan perluas bagian Pengaturan.

   

2. Di daftar Cakupan, pilih apakah akan menyinkronkan semua pengguna di penyewa sumber atau hanya pengguna yang ditetapkan ke konfigurasi.

   Disarankan agar Anda memilih Sinkronkan hanya pengguna dan grup yang ditetapkan, bukan Sinkronkan semua pengguna dan grup. Mengurangi jumlah pengguna dalam cakupan meningkatkan performa.

3. Jika Anda membuat perubahan, pilih Simpan.

4. Pada halaman konfigurasi, pilih Pengguna dan grup.

   Agar sinkronisasi lintas penyewa berfungsi, setidaknya satu pengguna internal harus ditetapkan ke konfigurasi.

5. Pilih Tambahkan pengguna/grup.

6. Pada halaman Tambahkan Penugasan , di bawah Pengguna dan grup, pilih Tidak Ada yang Dipilih.

7. Pada panel Pengguna dan grup , cari dan pilih satu atau beberapa pengguna internal atau grup yang ingin Anda tetapkan ke konfigurasi.

   Jika Anda memilih grup untuk ditetapkan ke konfigurasi, hanya pengguna yang merupakan anggota langsung dalam grup yang akan berada dalam cakupan provisi. Anda dapat memilih grup statis atau grup dinamis. Penugasan tidak bertumpuk ke grup berlapis.

8. Pilih Pilih.

9. Pilih Tetapkan.

   

   Untuk informasi selengkapnya, lihat Menetapkan pengguna dan grup ke aplikasi.

Langkah 8: (Opsional) Tentukan siapa yang berada dalam cakupan provisi dengan filter cakupan

Penyewa sumber

Terlepas dari nilai yang Anda pilih untuk Cakupan di langkah sebelumnya, Anda dapat membatasi lebih lanjut pengguna mana yang disinkronkan dengan membuat filter cakupan berbasis atribut.

1. Di penyewa sumber, pilih Provisi dan perluas bagian Pemetaan .

   

2. Pilih Provisikan Pengguna ID Microsoft Entra untuk membuka halaman Pemetaan Atribut.

3. Di bawah Cakupan Objek Sumber, pilih Semua rekaman.

   

4. Pada halaman Cakupan Objek Sumber, pilih Tambahkan filter cakupan.

5. Tambahkan filter cakupan apa pun untuk menentukan pengguna mana yang berada dalam cakupan provisi.

   Untuk mengonfigurasi filter cakupan, lihat instruksi yang disediakan dalam Pengguna atau grup cakupan yang akan disediakan dengan filter cakupan.

   

6. Pilih Ok dan Simpan untuk menyimpan perubahan apa pun.

   Jika Anda menambahkan filter, Anda akan melihat pesan yang menyimpan perubahan akan mengakibatkan semua pengguna dan grup yang ditetapkan disinkronkan ulang. Ini mungkin memakan waktu lama tergantung pada ukuran direktori Anda.

7. Pilih Ya dan tutup halaman Pemetaan Atribut.

Langkah 9: Meninjau pemetaan atribut

Penyewa sumber

Pemetaan atribut memungkinkan Anda menentukan bagaimana data harus mengalir antara penyewa sumber dan penyewa target. Untuk informasi tentang cara menyesuaikan pemetaan atribut default, lihat Tutorial - Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra.

1. Di penyewa sumber, pilih Provisi dan perluas bagian Pemetaan .

2. Pilih Provisikan Pengguna ID Microsoft Entra.

3. Pada halaman Pemetaan Atribut, gulir ke bawah untuk meninjau atribut pengguna yang disinkronkan antara penyewa di bagian Pemetaan Atribut.

   Atribut pertama, alternativeSecurityIdentifier, adalah atribut internal yang digunakan untuk mengidentifikasi pengguna di seluruh penyewa secara unik, mencocokkan pengguna di penyewa sumber dengan pengguna yang ada di penyewa target, dan memastikan bahwa setiap pengguna hanya memiliki satu akun. Atribut yang cocok tidak dapat diubah. Mencoba mengubah atribut yang cocok atau menambahkan atribut pencocokan tambahan akan mengakibatkan schemaInvalid kesalahan.

   

4. Pilih atribut Anggota (userType) untuk membuka halaman Edit Atribut.

5. Tinjau pengaturan Nilai Konstanta untuk atribut userType.

   Pengaturan ini menentukan jenis pengguna yang akan dibuat di penyewa target dan bisa menjadi salah satu nilai dalam tabel berikut. Secara default, pengguna akan dibuat sebagai anggota eksternal (pengguna kolaborasi B2B). Untuk informasi selengkapnya, lihat Properti pengguna kolaborasi Microsoft Entra B2B.

   Nilai Konstanta	Deskripsi
   Anggota	Default. Pengguna akan dibuat sebagai anggota eksternal (pengguna kolaborasi B2B) di penyewa target. Pengguna akan dapat berfungsi sebagai anggota internal penyewa target.
   Semua	Pengguna akan dibuat sebagai tamu eksternal (pengguna kolaborasi B2B) di penyewa target.

   Catatan

   Jika pengguna B2B sudah ada di penyewa target, Anggota (userType) tidak akan berubah menjadi Anggota, kecuali pengaturan Terapkan pemetaan ini diatur ke Selalu.

   Jenis pengguna yang Anda pilih memiliki batasan berikut untuk aplikasi atau layanan (tetapi tidak terbatas pada):

   Aplikasi atau layanan	Batasan
   Power BI	- Dukungan untuk Anggota UserType di Power BI saat ini dalam pratinjau. Untuk informasi selengkapnya, lihat Mendistribusikan konten Power BI ke pengguna tamu eksternal dengan Microsoft Entra B2B.
   Azure Virtual Desktop	- Anggota eksternal dan tamu eksternal tidak didukung di Azure Virtual Desktop.

   

6. Jika Anda ingin menentukan transformasi apa pun, pada halaman Pemetaan Atribut, pilih atribut yang ingin Anda ubah, seperti displayName.

7. Atur Jenis pemetaan ke Ekspresi.

8. Dalam kotak Ekspresi , masukkan ekspresi transformasi. Misalnya dengan nama tampilan, Anda bisa melakukan hal berikut:

   • Balikkan nama depan dan nama belakang dan tambahkan koma di antaranya.
   • Tambahkan nama domain dalam tanda kurung di akhir nama tampilan.

   Misalnya, lihat Referensi untuk menulis ekspresi untuk pemetaan atribut di ID Microsoft Entra.

   

Tip

Anda dapat memetakan ekstensi direktori dengan memperbarui skema sinkronisasi lintas penyewa. Untuk informasi selengkapnya, lihat Memetakan ekstensi direktori dalam sinkronisasi lintas penyewa.

Langkah 10: Tentukan pengaturan provisi tambahan

Penyewa sumber

1. Di penyewa sumber, pilih Provisi dan perluas bagian Pengaturan.

   

2. Centang kotak centang Kirim pemberitahuan email saat kegagalan terjadi .

3. Dalam kotak Email Pemberitahuan, masukkan alamat email seseorang atau grup yang harus menerima pemberitahuan kesalahan provisi.

   Pemberitahuan email dikirim dalam waktu 24 jam setelah pekerjaan memasuki status karantina. Untuk pemberitahuan kustom, lihat Memahami bagaimana provisi terintegrasi dengan log Azure Monitor.

4. Untuk mencegah penghapusan yang tidak disengaja, pilih Cegah penghapusan yang tidak disengaja dan tentukan nilai ambang batas. Secara default, ambang diatur ke 500.

   Untuk informasi selengkapnya, lihat Mengaktifkan pencegahan penghapusan yang tidak disengaja di layanan provisi Microsoft Entra.

5. Pilih Simpan untuk menyimpan setiap perubahan.

Langkah 11: Uji provisi sesuai permintaan

Penyewa sumber

Setelah memiliki konfigurasi, Anda dapat menguji provisi sesuai permintaan dengan salah satu pengguna Anda.

1. Di penyewa sumber, telusuri ke Sinkronisasi lintas penyewa Identitas Eksternal Identitas>Eksternal>.

2. Pilih Konfigurasi lalu pilih konfigurasi Anda.

3. Pilih Provisikan sesuai permintaan.

4. Dalam kotak Pilih pengguna atau grup , cari dan pilih salah satu pengguna uji Anda.

   

5. Pilih Provisi.

   Setelah beberapa saat, halaman Lakukan tindakan muncul dengan informasi tentang provisi pengguna uji di penyewa target.

   

   Jika pengguna tidak berada dalam cakupan, Anda akan melihat halaman dengan informasi tentang mengapa pengguna uji dilewati.

   

   Pada halaman Provisi sesuai permintaan , Anda dapat melihat detail tentang provisi dan memiliki opsi untuk mencoba kembali.

   

6. Di penyewa target, verifikasi bahwa pengguna uji telah disediakan.

   

7. Jika semua berfungsi seperti yang diharapkan, tetapkan pengguna tambahan ke konfigurasi.

   Untuk informasi selengkapnya, lihat Provisi sesuai permintaan di MICROSOFT Entra ID.

Langkah 12: Mulai pekerjaan provisi

Penyewa sumber

Pekerjaan provisi memulai siklus sinkronisasi awal semua pengguna yang ditentukan dalam Cakupan bagian Pengaturan. Siklus awal membutuhkan waktu lebih lama untuk dilakukan daripada siklus berikutnya, yang terjadi sekitar setiap 40 menit selama layanan provisi Microsoft Entra berjalan.

1. Di penyewa sumber, telusuri ke Sinkronisasi lintas penyewa Identitas Eksternal Identitas>Eksternal>.

2. Pilih Konfigurasi lalu pilih konfigurasi Anda.

3. Pada halaman Gambaran Umum , tinjau detail provisi.

   

4. Pilih Mulai provisi untuk memulai pekerjaan provisi.

Langkah 13: Memantau provisi

Penyewa sumber dan target

Setelah memulai pekerjaan provisi, Anda dapat memantau statusnya.

1. Di penyewa sumber, pada halaman Gambaran Umum , periksa bilah kemajuan untuk melihat status siklus provisi dan seberapa dekat penyelesaiannya. Untuk informasi lebih, lihat Periksa status dari ketentuan pengguna.

   Jika provisi tampaknya dalam keadaan tidak sehat, konfigurasi akan masuk ke karantina. Untuk informasi selengkapnya, lihat Provisi aplikasi dalam status karantina.

   

2. Pilih Log provisi untuk menentukan pengguna mana yang telah berhasil disediakan atau tidak berhasil. Secara default, log difilter oleh ID perwakilan layanan konfigurasi. Untuk informasi selengkapnya, lihat Log provisi di ID Microsoft Entra.

   

3. Pilih Log audit untuk melihat semua peristiwa yang dicatat di ID Microsoft Entra. Untuk informasi selengkapnya, lihat Log audit di MICROSOFT Entra ID.

   

   Anda juga dapat melihat log audit di penyewa target.

4. Di penyewa target, pilih Log Audit Pengguna>untuk melihat peristiwa yang dicatat untuk manajemen pengguna.

   

Langkah 14: Mengonfigurasi pengaturan cuti

Penyewa target

Meskipun pengguna sedang diprovisikan di penyewa target, mereka mungkin masih dapat menghapus diri mereka sendiri. Jika pengguna menghapus diri mereka sendiri dan mereka berada dalam cakupan, mereka akan disediakan lagi selama siklus provisi berikutnya. Jika Anda ingin melarang kemampuan pengguna untuk menghapus diri mereka sendiri dari organisasi Anda, Anda harus mengonfigurasi pengaturan Keluar pengguna eksternal.

1. Di penyewa target, telusuri pengaturan kolaborasi Identitas>Eksternal>Eksternal.

2. Di bawah Pengaturan keluar pengguna eksternal, pilih apakah akan mengizinkan pengguna eksternal meninggalkan organisasi Anda sendiri.

Pengaturan ini juga berlaku untuk kolaborasi B2B dan koneksi langsung B2B, jadi jika Anda mengatur Pengaturan cuti pengguna eksternal ke Tidak, pengguna kolaborasi B2B dan pengguna koneksi langsung B2B tidak dapat meninggalkan organisasi Anda sendiri. Untuk informasi selengkapnya, lihat Meninggalkan organisasi sebagai pengguna eksternal.

Tips Pemecahan Masalah

Menghapus konfigurasi

Ikuti langkah-langkah ini untuk menghapus konfigurasi di halaman Konfigurasi .

1. Di penyewa sumber, telusuri ke Sinkronisasi lintas penyewa Identitas Eksternal Identitas>Eksternal>.

2. Pada halaman Konfigurasi , tambahkan tanda centang di samping konfigurasi yang ingin Anda hapus.

3. Pilih Hapus lalu OK untuk menghapus konfigurasi.

   

Skenario dan solusi umum

Gejala - Koneksi pengujian gagal dengan AzureDirectoryB2BManagementPolicyCheckFailure

Saat mengonfigurasi sinkronisasi lintas penyewa di penyewa sumber dan Anda menguji koneksi, koneksi gagal dengan pesan kesalahan berikut:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Penyebab

Kesalahan ini menunjukkan kebijakan untuk secara otomatis menukarkan undangan di penyewa sumber dan target tidak disiapkan.

Solusi

Ikuti langkah-langkah di Langkah 3: Menukarkan undangan secara otomatis di penyewa target dan Langkah 4: Menukarkan undangan secara otomatis di penyewa sumber.

Gejala - Kotak centang Penukaran otomatis dinonaktifkan

Saat mengonfigurasi sinkronisasi lintas penyewa, kotak centang Penukaran otomatis dinonaktifkan.

Penyebab

Penyewa Anda tidak memiliki lisensi Microsoft Entra ID P1 atau P2.

Solusi

Anda harus memiliki Microsoft Entra ID P1 atau P2 untuk mengonfigurasi pengaturan kepercayaan.

Gejala - Pengguna yang baru dihapus di penyewa target tidak dipulihkan

Setelah menghapus sementara pengguna yang disinkronkan di penyewa target, pengguna tidak dipulihkan selama siklus sinkronisasi berikutnya. Jika Anda mencoba menghapus sementara pengguna dengan provisi sesuai permintaan lalu memulihkan pengguna, itu dapat mengakibatkan pengguna duplikat.

Penyebab

Memulihkan pengguna yang dihapus sementara sebelumnya di penyewa target tidak didukung.

Solusi

Pulihkan pengguna yang dihapus sementara secara manual di penyewa target. Untuk informasi selengkapnya, lihat Memulihkan atau menghapus pengguna yang baru dihapus menggunakan ID Microsoft Entra.

Gejala - Pengguna dilewati karena masuk SMS diaktifkan pada pengguna

Pengguna dilewati dari sinkronisasi. Langkah cakupan mencakup filter berikut dengan status false: "Filter user eksternal.alternativeSecurityIds EQUALS 'None'"

Penyebab

Jika rincian masuk SMS diaktifkan untuk pengguna, mereka akan dilewati oleh layanan provisi.

Solusi

Nonaktifkan Masuk SMS untuk pengguna. Skrip di bawah ini menunjukkan bagaimana Anda dapat menonaktifkan Masuk SMS menggunakan PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId

{
    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready
       
      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }

}

##### End the script

Gejala - Pengguna gagal menyediakan dengan kesalahan AzureActiveDirectoryForbidden

Pengguna dalam cakupan gagal menyediakan. Detail log provisi mencakup pesan kesalahan berikut:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Penyebab

Kesalahan ini menunjukkan pengaturan Undangan tamu di penyewa target dikonfigurasi dengan pengaturan yang paling ketat: "Tidak ada orang di organisasi yang dapat mengundang pengguna tamu termasuk admin (paling ketat)".

Solusi

Ubah pengaturan Undangan tamu di penyewa target menjadi pengaturan yang kurang ketat. Untuk informasi selengkapnya, lihat Mengonfigurasi pengaturan kolaborasi eksternal.

Gejala - Nama Prinsipal Pengguna tidak diperbarui untuk pengguna B2B yang ada dalam status penerimaan tertunda

Ketika pengguna pertama kali diundang melalui undangan B2B manual, undangan dikirim ke alamat email pengguna sumber. Akibatnya pengguna tamu di penyewa target dibuat dengan awalan UPN menggunakan properti nilai email sumber. Ada lingkungan di mana properti objek pengguna sumber, UPN dan Mail, memiliki nilai yang berbeda, misalnya Mail == user.mail@domain.com dan UPN == user.upn@otherdomain.com. Dalam hal ini pengguna tamu di penyewa target akan dibuat dengan UPN sebagai user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Masalah ini muncul ketika kemudian objek sumber dimasukkan ke dalam cakupan untuk sinkronisasi lintas penyewa dan harapannya adalah bahwa selain properti lain, awalan UPN pengguna tamu target akan diperbarui agar sesuai dengan UPN pengguna sumber (menggunakan contoh di atas nilai adalah: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Namun, itu tidak terjadi selama siklus sinkronisasi bertahap, dan perubahan diabaikan.

Penyebab

Masalah ini terjadi ketika pengguna B2B yang diundang secara manual ke penyewa target tidak menerima atau menukarkan undangan, sehingga statusnya dalam penerimaan tertunda. Saat pengguna diundang melalui email, objek dibuat dengan sekumpulan atribut yang diisi dari email, salah satunya adalah UPN, yang menunjuk ke nilai email pengguna sumber. Jika nanti Anda memutuskan untuk menambahkan pengguna ke cakupan untuk sinkronisasi lintas penyewa, sistem akan mencoba bergabung dengan pengguna sumber dengan pengguna B2B di penyewa target berdasarkan atribut alternativeSecurityIdentifier, tetapi pengguna yang dibuat sebelumnya tidak memiliki properti alternativeSecurityIdentifier yang diisi karena undangan tidak ditukarkan. Jadi, sistem tidak akan menganggap ini sebagai objek pengguna baru dan tidak akan memperbarui nilai UPN. Nama prinsipal pengguna tidak diperbarui dalam skenario berikut:

1. UPN dan email berbeda untuk pengguna saat diundang secara manual.
2. Pengguna diundang sebelum mengaktifkan sinkronisasi lintas penyewa.
3. Pengguna tidak pernah menerima undangan, sehingga mereka berada dalam "status penerimaan tertunda".
4. Pengguna dibawa ke dalam cakupan untuk sinkronisasi lintas penyewa.

Solusi

Untuk mengatasi masalah ini, jalankan provisi sesuai permintaan untuk pengguna yang terkena dampak untuk memperbarui UPN. Anda juga dapat memulai ulang provisi untuk memperbarui UPN untuk semua pengguna yang terkena dampak. Harap dicatat bahwa ini memicu siklus awal, yang dapat memakan waktu lama untuk penyewa besar. Untuk mendapatkan daftar pengguna yang diundang manual dalam status penerimaan tertunda, Anda dapat menggunakan skrip, silakan lihat sampel di bawah ini.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Kemudian Anda dapat menggunakan provisionOnDemand dengan PowerShell untuk setiap pengguna. Batas tarif untuk API ini adalah 5 permintaan per 10 detik. Untuk informasi selengkapnya, lihat batasan yang diketahui untuk provisi sesuai permintaan.

Langkah berikutnya

• Tutorial: Melaporkan provisi akun pengguna otomatis
• Mengelola provisi akun pengguna untuk aplikasi perusahaan di portal Microsoft Azure
• Apa itu SSO di Microsoft Entra ID?