Configurare la sincronizzazione tra tenant

Questo articolo descrive i passaggi per configurare la sincronizzazione tra tenant tramite l'interfaccia di amministrazione di Microsoft Entra. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti B2B nel tenant di destinazione. Per informazioni importanti sul funzionamento di questo servizio e sulle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Obiettivi di apprendimento

Al termine di questo articolo, si sarà in grado di:

• Creare utenti B2B nel tenant di destinazione
• Rimuovere gli utenti B2B nel tenant di destinazione
• Mantenere sincronizzati gli attributi utente tra i tenant di origine e di destinazione

Prerequisiti

Tenant di origine

• Licenza Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
• Ruolo security Amministrazione istrator per configurare le impostazioni di accesso tra tenant.
• Ruolo hybrid identity Amministrazione istrator per configurare la sincronizzazione tra tenant.
• Ruolo applicazione cloud Amministrazione istrator o application Amministrazione istrator per assegnare gli utenti a una configurazione ed eliminare una configurazione.

Tenant di destinazione

• Licenza Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
• Ruolo security Amministrazione istrator per configurare le impostazioni di accesso tra tenant.

Passaggio 1: Pianificare la distribuzione del provisioning

1. Definire come strutturare i tenant nell'organizzazione.

2. Vedere le informazioni su come funziona il servizio di provisioning.

3. Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.

4. Determinare i dati di cui eseguire il mapping tra i tenant.

Passaggio 2: Abilitare la sincronizzazione degli utenti nel tenant di destinazione

Suggerimento

I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.

Tenant di destinazione

1. Accedere all'interfaccia di amministrazione di Microsoft Entra del tenant di destinazione.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Nella scheda Impostazioni organizzazione selezionare Aggiungi organizzazione.

4. Aggiungere il tenant di origine digitando l'ID tenant o il nome di dominio e selezionando Aggiungi.

   

5. In Accesso in ingresso dell'organizzazione aggiunta selezionare Ereditato per impostazione predefinita.

6. Selezionare la scheda Sincronizzazione tra tenant.

7. Selezionare la casella di controllo Consenti sincronizzazione utenti in questo tenant .

   

8. Seleziona Salva.

9. Se viene visualizzata una finestra di dialogo Abilita sincronizzazione tra tenant e riscatto automatico che chiede se si vuole abilitare il riscatto automatico, selezionare Sì.

   Se si seleziona Sì , gli inviti verranno riscattato automaticamente nel tenant di destinazione.

   

Passaggio 3: Riscattare automaticamente gli inviti nel tenant di destinazione

Tenant di destinazione

In questo passaggio vengono riscattati automaticamente gli inviti in modo che gli utenti del tenant di origine non devono accettare la richiesta di consenso. Questa impostazione deve essere archiviata sia nel tenant di origine (in uscita) che nel tenant di destinazione (in ingresso). Per altre informazioni, vedere Impostazione di riscatto automatico.

1. Nel tenant di destinazione, nella stessa pagina Impostazioni di accesso in ingresso selezionare la scheda Impostazioni di attendibilità .

2. Selezionare la casella di controllo Riscatta automaticamente gli inviti con il tenant tenant<>.

   Questa casella potrebbe essere già selezionata se in precedenza è stato selezionato Sì nella finestra di dialogo Abilita sincronizzazione tra tenant e riscatto automatico.

   

3. Seleziona Salva.

Passaggio 4: Riscattare automaticamente gli inviti nel tenant di origine

Tenant di origine

In questo passaggio vengono riscattato automaticamente gli inviti nel tenant di origine.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra del tenant di origine.

2. Passare a Identità>esterne identità>impostazioni di accesso tra tenant.

3. Nella scheda Impostazioni organizzazione selezionare Aggiungi organizzazione.

4. Aggiungere il tenant di destinazione digitando l'ID tenant o il nome di dominio e selezionando Aggiungi.

   

5. In Accesso in uscita per l'organizzazione di destinazione selezionare Ereditato per impostazione predefinita.

6. Selezionare la scheda Impostazioni attendibilità.

7. Selezionare la casella di controllo Riscatta automaticamente gli inviti con il tenant tenant<>.

   

8. Seleziona Salva.

Passaggio 5: Creare una configurazione nel tenant di origine

Tenant di origine

1. Nel tenant di origine passare a Identità>esterne sincronizzazione> tra tenant.

2. Selezionare Configurazioni.

3. Nella parte superiore della pagina selezionare Nuova configurazione.

4. Specificare un nome per la configurazione e selezionare Crea.

   La configurazione appena creata può richiedere fino a 15 secondi per essere visualizzata nell'elenco.

Passaggio 6: Testare la connessione al tenant di destinazione

Tenant di origine

1. Nel tenant di origine dovrebbe essere visualizzata la nuova configurazione. In caso contrario, nell'elenco di configurazione selezionare la configurazione.

   

2. Seleziona Inizia.

3. Impostare Modalità di provisioning su Automatico.

4. Nella sezione Amministrazione Credenziali modificare il metodo di autenticazione in Criteri di sincronizzazione tra tenant.

   

5. Nella casella ID tenant immettere l'ID tenant del tenant di destinazione.

6. Selezionare Test Connessione ion per testare la connessione.

   Verrà visualizzato un messaggio che informa che le credenziali fornite sono autorizzate per abilitare il provisioning. Se la connessione di test non riesce, vedere Suggerimenti per la risoluzione dei problemi più avanti in questo articolo.

   

7. Seleziona Salva.

   Vengono visualizzati mapping e sezioni Impostazioni.

8. Chiudere la pagina Provisioning .

Passaggio 7: Definire chi è nell'ambito del provisioning

Tenant di origine

Il servizio di provisioning Microsoft Entra consente di definire chi verrà effettuato il provisioning in uno o entrambi i modi seguenti:

• In base all'assegnazione alla configurazione
• In base agli attributi dell'utente

Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti prima di procedere alla distribuzione generale. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti alla configurazione. È possibile ridefinire ulteriormente chi è nell'ambito del provisioning creando filtri di ambito basati su attributi, descritti nel passaggio successivo.

1. Nel tenant di origine selezionare Provisioning ed espandere la sezione Impostazioni.

   

2. Nell'elenco Ambito selezionare se sincronizzare tutti gli utenti nel tenant di origine o solo gli utenti assegnati alla configurazione.

   È consigliabile selezionare Sincronizza solo utenti e gruppi assegnati invece di Sincronizzare tutti gli utenti e i gruppi. La riduzione del numero di utenti nell'ambito migliora le prestazioni.

3. Se sono state apportate modifiche, selezionare Salva.

4. Nella pagina di configurazione selezionare Utenti e gruppi.

   Per il funzionamento della sincronizzazione tra tenant, è necessario assegnare almeno un utente interno alla configurazione.

5. Selezionare Aggiungi utente/gruppo.

6. Nella pagina Aggiungi assegnazione, in Utenti e gruppi, selezionare Nessuno selezionato.

7. Nel riquadro Utenti e gruppi cercare e selezionare uno o più utenti o gruppi interni da assegnare alla configurazione.

   Se si seleziona un gruppo da assegnare alla configurazione, solo gli utenti che sono membri diretti del gruppo saranno inclusi nell'ambito del provisioning. È possibile selezionare un gruppo statico o un gruppo dinamico. L'assegnazione non si propaga ai gruppi annidati.

8. Seleziona Seleziona.

9. Seleziona Assegna.

   

   Per altre informazioni, vedere Assegnare utenti e gruppi a un'applicazione.

Passaggio 8: (Facoltativo) Definire chi è nell'ambito del provisioning con filtri di ambito

Tenant di origine

Indipendentemente dal valore selezionato per Ambito nel passaggio precedente, è possibile limitare ulteriormente gli utenti sincronizzati creando filtri di ambito basati su attributi.

1. Nel tenant di origine selezionare Provisioning ed espandere la sezione Mapping .

   

2. Selezionare ProvisionIng Microsoft Entra ID Users (ProvisionIng Microsoft Entra ID Users ) per aprire la pagina Mapping attributi.

3. In Ambito oggetto di origine selezionare Tutti i record.

   

4. Nella pagina Ambito oggetto di origine selezionare Aggiungi filtro di ambito.

5. Aggiungere eventuali filtri di ambito per definire gli utenti inclusi nell'ambito per il provisioning.

   Per configurare i filtri di ambito, vedere le istruzioni fornite in Definizione dell'ambito di utenti o gruppi di cui eseguire il provisioning con filtri di ambito.

   

6. Selezionare OK e Salva per salvare le modifiche.

   Se è stato aggiunto un filtro, verrà visualizzato un messaggio che indica che il salvataggio delle modifiche comporterà la risincronizzazione di tutti gli utenti e i gruppi assegnati. Questa operazione può richiedere molto tempo a seconda delle dimensioni della directory.

7. Selezionare Sì e chiudere la pagina Mapping attributi.

Passaggio 9: Esaminare i mapping degli attributi

Tenant di origine

I mapping degli attributi consentono di definire il flusso dei dati tra il tenant di origine e il tenant di destinazione. Per informazioni su come personalizzare i mapping degli attributi predefiniti, vedere Esercitazione - Personalizzare i mapping degli attributi di provisioning utenti per le applicazioni SaaS in Microsoft Entra ID.

1. Nel tenant di origine selezionare Provisioning ed espandere la sezione Mapping .

2. Selezionare ProvisionIng Microsoft Entra ID Users (ProvisionIng Microsoft Entra ID Users).

3. Nella pagina Mapping attributi scorrere verso il basso per esaminare gli attributi utente sincronizzati tra i tenant nella sezione Mapping attributi.

   Il primo attributo, alternativeSecurityIdentifier, è un attributo interno usato per identificare in modo univoco l'utente tra tenant, associare gli utenti nel tenant di origine con gli utenti esistenti nel tenant di destinazione e assicurarsi che ogni utente abbia un solo account. Impossibile modificare l'attributo corrispondente. Il tentativo di modificare l'attributo corrispondente o l'aggiunta di attributi corrispondenti aggiuntivi genererà un schemaInvalid errore.

   

4. Selezionare l'attributo Member (userType) per aprire la pagina Modifica attributo .

5. Esaminare l'impostazione Valore costante per l'attributo userType .

   Questa impostazione definisce il tipo di utente che verrà creato nel tenant di destinazione e può essere uno dei valori nella tabella seguente. Per impostazione predefinita, gli utenti verranno creati come membri esterni (utenti di Collaborazione B2B). Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B di Microsoft Entra.

   Constant Value	Descrizione
   Member	Predefinito. Gli utenti verranno creati come membri esterni (utenti di Collaborazione B2B) nel tenant di destinazione. Gli utenti potranno funzionare come qualsiasi membro interno del tenant di destinazione.
   Guest	Gli utenti verranno creati come guest esterni (utenti di Collaborazione B2B) nel tenant di destinazione.

   Nota

   Se l'utente B2B esiste già nel tenant di destinazione, Il membro (userType) non verrà modificato in Membro, a meno che l'impostazione Applica questo mapping non sia impostata su Sempre.

   Il tipo di utente scelto presenta le limitazioni seguenti per le app o i servizi (ma non sono limitati a):

   App o servizio	Limiti
   Power BI	- Il supporto per il membro UserType in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B.
   Desktop virtuale Azure	- Il membro esterno e il guest esterno non sono supportati in Desktop virtuale Azure.

   

6. Per definire eventuali trasformazioni, nella pagina Mapping attributi selezionare l'attributo da trasformare, ad esempio displayName.

7. Impostare Tipo di mapping su Espressione.

8. Nella casella Espressione immettere l'espressione di trasformazione. Ad esempio, con il nome visualizzato, è possibile eseguire le operazioni seguenti:

   • Capovolgere il nome e il cognome e aggiungere una virgola tra di loro.
   • Aggiungere il nome di dominio tra parentesi alla fine del nome visualizzato.

   Per esempi, vedere Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.

   

Suggerimento

È possibile eseguire il mapping delle estensioni della directory aggiornando lo schema della sincronizzazione tra tenant. Per altre informazioni, vedere Eseguire il mapping delle estensioni della directory nella sincronizzazione tra tenant.

Passaggio 10: Specificare impostazioni di provisioning aggiuntive

Tenant di origine

1. Nel tenant di origine selezionare Provisioning ed espandere la sezione Impostazioni.

   

2. Selezionare la casella di controllo Invia una notifica tramite posta elettronica quando si verifica un errore.

3. Nella casella Messaggio di posta elettronica di notifica immettere l'indirizzo di posta elettronica di una persona o di un gruppo che deve ricevere le notifiche di errore di provisioning.

   Le notifiche tramite posta elettronica vengono inviate entro 24 ore dall'immissione dello stato di quarantena del processo. Per gli avvisi personalizzati, vedere Informazioni sull'integrazione del provisioning con i log di Monitoraggio di Azure.

4. Per evitare l'eliminazione accidentale, selezionare Impedisci eliminazione accidentale e specificare un valore soglia. Per impostazione predefinita, la soglia è impostata su 500.

   Per altre informazioni, vedere Abilitare la prevenzione accidentale delle eliminazioni nel servizio di provisioning di Microsoft Entra.

5. Selezionare Salva per salvare le eventuali modifiche.

Passaggio 11: Testare il provisioning su richiesta

Tenant di origine

Dopo aver creato una configurazione, è possibile testare il provisioning su richiesta con uno degli utenti.

1. Nel tenant di origine passare a Identità>esterne sincronizzazione> tra tenant.

2. Selezionare Configurazioni e quindi selezionare la configurazione.

3. Selezionare Provision on demand (Provision on demand).

4. Nella casella Selezionare un utente o un gruppo cercare e selezionare uno degli utenti di test.

   

5. Selezionare Provision (Provision).

   Dopo alcuni istanti, viene visualizzata la pagina Esegui azione con informazioni sul provisioning dell'utente di test nel tenant di destinazione.

   

   Se l'utente non è incluso nell'ambito, verrà visualizzata una pagina con informazioni sul motivo per cui l'utente di test è stato ignorato.

   

   Nella pagina Provision on demand è possibile visualizzare i dettagli sul provisioning e scegliere di riprovare.

   

6. Nel tenant di destinazione verificare che sia stato effettuato il provisioning dell'utente di test.

   

7. Se tutto funziona come previsto, assegnare altri utenti alla configurazione.

   Per altre informazioni, vedere Provisioning su richiesta in Microsoft Entra ID.

Passaggio 12: Avviare il processo di provisioning

Tenant di origine

Il processo di provisioning avvia il ciclo di sincronizzazione iniziale di tutti gli utenti definiti in Ambito della sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi, che si verificano approssimativamente ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

1. Nel tenant di origine passare a Identità>esterne sincronizzazione> tra tenant.

2. Selezionare Configurazioni e quindi selezionare la configurazione.

3. Nella pagina Panoramica esaminare i dettagli del provisioning.

   

4. Selezionare Avvia provisioning per avviare il processo di provisioning.

Passaggio 13: Monitorare il provisioning

Tenant di origine e di destinazione

Dopo aver avviato un processo di provisioning, è possibile monitorare lo stato.

1. Nel tenant di origine, nella pagina Panoramica , controllare la barra di stato per visualizzare lo stato del ciclo di provisioning e la relativa chiusura al completamento. Per altre informazioni, vedere Controllare lo stato del provisioning utenti.

   Se il provisioning sembra essere in uno stato non integro, la configurazione verrà messa in quarantena. Per altre informazioni, vedere Provisioning delle applicazioni in stato di quarantena.

   

2. Selezionare Provisioning logs (Log di provisioning) per determinare gli utenti di cui è stato eseguito il provisioning correttamente o in modo non riuscito. Per impostazione predefinita, i log vengono filtrati in base all'ID entità servizio della configurazione. Per altre informazioni, vedere Log di provisioning in Microsoft Entra ID.

   

3. Selezionare Log di controllo per visualizzare tutti gli eventi registrati in Microsoft Entra ID. Per altre informazioni, vedere Log di controllo in Microsoft Entra ID.

   

   È anche possibile visualizzare i log di controllo nel tenant di destinazione.

4. Nel tenant di destinazione selezionare Users Audit logs (Log di controllo utenti>) per visualizzare gli eventi registrati per la gestione degli utenti.

   

Passaggio 14: Configurare le impostazioni di uscita

Tenant di destinazione

Anche se viene effettuato il provisioning degli utenti nel tenant di destinazione, potrebbero comunque essere in grado di rimuoverli. Se gli utenti si rimuovono e si trovano nell'ambito, verrà eseguito di nuovo il provisioning durante il ciclo di provisioning successivo. Se si vuole impedire agli utenti di rimuovere se stessi dall'organizzazione, è necessario configurare le impostazioni di uscita dell'utente esterno.

1. Nel tenant di destinazione passare a Identity External Identities>External Collaboration settings (Identità>esterne).

2. In Impostazioni di uscita utente esterno scegliere se consentire agli utenti esterni di lasciare l'organizzazione.

Questa impostazione si applica anche alla collaborazione B2B e alla connessione diretta B2B, quindi se si impostano le impostazioni Per gli utenti esterni lasciare le impostazionisu No, gli utenti di Collaborazione B2B e gli utenti con connessione diretta B2B non possono lasciare l'organizzazione stessa. Per altre informazioni, vedere Lasciare un'organizzazione come utente esterno.

Suggerimenti per la risoluzione dei problemi

Eliminare una configurazione

Seguire questa procedura per eliminare una configurazione nella pagina Configurazioni .

1. Nel tenant di origine passare a Identità>esterne sincronizzazione> tra tenant.

2. Nella pagina Configurazioni aggiungere un segno di spunta accanto alla configurazione da eliminare.

3. Selezionare Elimina e quindi OK per eliminare la configurazione.

   

Sintomo: la connessione di test ha esito negativo con AzureDirectoryB2BManagementPolicyCheckFailure

Quando si configura la sincronizzazione tra tenant nel tenant di origine e si testa la connessione, l'operazione ha esito negativo e viene visualizzato il messaggio di errore seguente:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Causa

Questo errore indica che i criteri per riscattare automaticamente gli inviti nei tenant di origine e di destinazione non sono stati configurati.

Soluzione

Seguire la procedura descritta nel passaggio 3: Riscattare automaticamente gli inviti nel tenant di destinazione e passaggio 4: riscattare automaticamente gli inviti nel tenant di origine.

Sintomo - La casella di controllo Riscatto automatico è disabilitata

Quando si configura la sincronizzazione tra tenant, la casella di controllo Riscatto automatico è disabilitata .

Causa

Il tenant non ha una licenza P1 o P2 dell'ID Entra Microsoft.

Soluzione

Per configurare le impostazioni di attendibilità, è necessario disporre di Microsoft Entra ID P1 o P2.

Sintomo: l'utente eliminato di recente nel tenant di destinazione non viene ripristinato

Dopo l'eliminazione temporanea di un utente sincronizzato nel tenant di destinazione, l'utente non viene ripristinato durante il ciclo di sincronizzazione successivo. Se si tenta di eliminare soft un utente con provisioning su richiesta e quindi ripristinare l'utente, può comportare utenti duplicati.

Causa

Il ripristino di un utente eliminato risolto in precedenza nel tenant di destinazione non è supportato.

Soluzione

Ripristinare manualmente l'utente eliminato temporaneamente nel tenant di destinazione. Per altre informazioni, vedere Ripristinare o rimuovere un utente eliminato di recente usando l'ID Microsoft Entra.

Sintomo: gli utenti vengono ignorati perché l'accesso TRAMITE SMS è abilitato per l'utente

Gli utenti vengono ignorati dalla sincronizzazione. Il passaggio di ambito include il filtro seguente con stato false: "Filtrare utenti esterni.alternativeSecurityIds EQUALS 'None'"

Causa

Se l'accesso TRAMITE SMS è abilitato per un utente, verrà ignorato dal servizio di provisioning.

Soluzione

Disabilitare l'accesso TRAMITE SMS per gli utenti. Lo script seguente illustra come disabilitare l'accesso TRAMITE SMS con PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Azure_AD"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId

{
    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready
       
      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }

}

##### End the script

Sintomo: gli utenti non effettuano il provisioning con errore "AzureActiveDirectoryForbidden"

Impossibile effettuare il provisioning degli utenti nell'ambito. I dettagli dei log di provisioning includono il messaggio di errore seguente:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Causa

Questo errore indica che le impostazioni dell'invito guest nel tenant di destinazione sono configurate con l'impostazione più restrittiva: "Nessuno nell'organizzazione può invitare utenti guest, inclusi gli amministratori (più restrittivi)".

Soluzione

Modificare le impostazioni dell'invito guest nel tenant di destinazione impostando un'impostazione meno restrittiva. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.

Passaggi successivi

• Esercitazione: Creazione di report sul provisioning automatico degli account utente
• Gestione del provisioning degli account utente per le app aziendali nel portale di Azure
• Cos'è il Single Sign-On in Microsoft Entra ID?