Configurare la sincronizzazione tra tenant
Questo articolo descrive i passaggi per configurare la sincronizzazione tra tenant tramite l'Interfaccia di amministrazione di Microsoft Entra. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti B2B nel tenant di destinazione. Per informazioni dettagliate sulle caratteristiche e sul funzionamento di questo servizio e per le domande frequenti, consultare la sezione Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.
Obiettivi di apprendimento
Al termine dell'articolo, si potrà:
- Creare utenti B2B nel tenant di destinazione
- Rimuovere utenti B2B nel tenant di destinazione
- Mantenere sincronizzati gli attributi utente tra i tenant di origine e di destinazione
Prerequisiti
Tenant di origine
- Licenze Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
- Ruolo di Amministratore della sicurezza per configurare le impostazioni di accesso tra tenant.
- Ruolo di amministratore delle identità ibride per configurare la sincronizzazione tra tenant.
- Ruolo di amministratore di applicazioni cloud o amministratore di applicazioni per assegnare gli utenti a una configurazione ed eliminare una configurazione.
Tenant di destinazione
- Licenze Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
- Ruolo di Amministratore della sicurezza per configurare le impostazioni di accesso tra tenant.
Passaggio 1: Pianificare la distribuzione del provisioning
Definire come si vuole strutturare i tenant nell'organizzazione.
Vedere le informazioni su come funziona il servizio di provisioning.
Determinare chi sarà nell'ambito per il provisioning.
Determinare quali dati mappare tra i tenant.
Passaggio 2: Abilitare la sincronizzazione degli utenti nel tenant target
Suggerimento
La procedura descritta in questo articolo può variare leggermente in base al portale di partenza.
Tenant di destinazione
Accedere all'Interfaccia di amministrazione di Microsoft Entra del tenant di destinazione.
Passare a Identità>Identità esterne>Impostazioni accesso tra tenant.
Nella scheda Impostazioni organizzazione selezionare Aggiungi organizzazione.
Aggiungere il tenant di origine digitando l'ID tenant o il nome di dominio e selezionando Aggiungi.
In Accesso in ingresso dell'organizzazione aggiunta selezionare Ereditato per impostazione predefinita.
Selezionare la scheda Sincronizzazione tra tenant.
Selezionare la casella di controllo Consenti sincronizzazione utenti in questo tenant .
Seleziona Salva.
Se viene visualizzata una finestra di dialogo Abilita sincronizzazione tra tenant e riscatto automatico che chiede se si vuole abilitare il riscatto automatico, selezionare Sì.
Selezionando Sì riscatterà automaticamente gli inviti nel tenant di destinazione.
Passaggio 3: Riscattare automaticamente gli inviti nel tenant di destinazione
Tenant di destinazione
In questo passaggio vengono riscattati automaticamente gli inviti in modo che gli utenti del tenant di origine non devono accettare la richiesta di consenso. Questa impostazione deve essere archiviata sia nel tenant di origine (in uscita) che nel tenant di destinazione (in ingresso). Per altre informazioni, vedere Impostazione di riscatto automatico.
Nel tenant di destinazione, nella stessa pagina Impostazioni di accesso in ingresso selezionare la scheda Impostazioni di attendibilità.
Selezionare la casella di controllo Riscatta automaticamente gli inviti con il tenant tenant<>.
Questa casella potrebbe essere già selezionata se in precedenza è stata selezionata Sì nella finestra di dialogo Abilita sincronizzazione tra tenant e riscatto automatico.
Seleziona Salva.
Passaggio 4: Riscattare automaticamente gli inviti nel tenant di origine
Tenant di origine
In questo passaggio vengono riscattati automaticamente gli inviti nel tenant di origine.
Accedere all'Interfaccia di amministrazione di Microsoft Entra del tenant di origine.
Passare a Identità>Identità esterne>Impostazioni accesso tra tenant.
Nella scheda Impostazioni organizzazione selezionare Aggiungi organizzazione.
Aggiungere il tenant di destinazione digitando l'ID tenant o il nome di dominio e selezionando Aggiungi.
In Accesso in uscita per l'organizzazione di destinazione selezionare Ereditato per impostazione predefinita.
Selezionare la scheda Impostazioni attendibilità.
Selezionare la casella di controllo Riscatta automaticamente gli inviti con il tenant tenant<>.
Seleziona Salva.
Passaggio 5: Creare una configurazione nel tenant di origine
Tenant di origine
Nel tenant di origine, passare a Identità>Identità esterne>Sincronizzazione tra tenant.
Se si usa il portale di Azure, passare a Microsoft Entra ID>Manage Cross-tenant synchronization (Gestisci>sincronizzazione tra tenant).
Selezionare Configurazioni.
Nella parte superiore della pagina selezionare Nuova configurazione.
Specificare un nome per la configurazione e selezionare Crea.
Possono essere necessari fino a 15 secondi affinché la configurazione appena creata possa essere visualizzata nell'elenco.
Passaggio 6: Testare la connessione al tenant di destinazione
Tenant di origine
Nel tenant di origine dovrebbe essere visualizzata la nuova configurazione. In caso contrario, nell'elenco della configurazione selezionare la configurazione.
Seleziona Inizia.
Impostare Modalità di provisioning su Automatico.
Nella sezione Credenziali amministratore modificare il Metodo di autenticazione in criteri di sincronizzazione tra tenant.
Nella casella Id tenant immettere l'ID tenant del tenant di destinazione.
Selezionare Test connessione per testare la connessione.
Verrà visualizzato un messaggio che informa che le credenziali fornite sono autorizzate per abilitare il provisioning. Se la connessione di test non riesce, vedere Suggerimenti per la risoluzione dei problemi più avanti in questo articolo.
Seleziona Salva.
Vengono visualizzate le sezioni Mapping e Impostazioni.
Chiudere la pagina Provisioning.
Passaggio 7: Definire gli utenti inclusi nell'ambito per il provisioning
Tenant di origine
Il servizio di provisioning Microsoft Entra consente di definire il destinatario del provisioning in uno o entrambi i modi seguenti:
- In base all'assegnazione alla configurazione
- In base agli attributi dell'utente
Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti prima di procedere alla distribuzione generale. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile controllarlo assegnando uno o due utenti alla configurazione. È possibile ridefinire ulteriormente gli utenti nell'ambito del provisioning creando filtri di ambito basati su attributi, descritti nel passaggio successivo.
Nel tenant di origine selezionare Provisioning ed espandere la sezione Impostazioni.
Nell'elenco Ambito selezionare se sincronizzare tutti gli utenti nel tenant di origine o solo gli utenti assegnati alla configurazione.
È consigliabile selezionare Sincronizza solo utenti e gruppi assegnati anziché Sincronizzare tutti gli utenti e i gruppi. La riduzione del numero di utenti nell'ambito migliora le prestazioni.
Se sono state apportate modifiche, selezionare Salva.
Nella pagina di configurazione selezionare Utenti e gruppi.
Per il funzionamento della sincronizzazione tra tenant, è necessario assegnare almeno un utente interno alla configurazione.
Selezionare Aggiungi utente/gruppo.
Nella pagina Aggiungi assegnazione selezionare Nessun elemento selezionato in Utenti e gruppi.
Nel riquadro Utenti e gruppi cercare e selezionare uno o più utenti o gruppi interni da assegnare alla configurazione.
Se si seleziona un gruppo da assegnare alla configurazione, solo gli utenti che sono membri diretti del gruppo saranno inclusi nell'ambito del provisioning. È possibile selezionare un gruppo statico o un gruppo dinamico. L'assegnazione non si propaga a cascata ai gruppi annidati.
Seleziona Seleziona.
Seleziona Assegna.
Per altre informazioni, vedere Assegnazione di utenti e gruppi a un'applicazione.
Passaggio 8: (Facoltativo) Definire chi è nell'ambito del provisioning con filtri di ambito
Tenant di origine
Indipendentemente dal valore selezionato per Ambito nel passaggio precedente, è possibile limitare ulteriormente gli utenti sincronizzati creando filtri di ambito basati su attributi.
Nel tenant di origine selezionare Provisioning ed espandere la sezione Mapping.
Selezionare Esegui provisioning degli utenti Microsoft Entra per aprire la pagina Mapping attributi.
In Ambito dell'oggetto di origine selezionare Tutti i record.
Nella pagina Ambito dell'oggetto di origine selezionare Aggiungi filtro di ambito.
Aggiungere eventuali filtri di ambito per definire gli utenti inclusi nell'ambito per il provisioning.
Per configurare i filtri di ambito, vedere le istruzioni fornite in Definizione dell'ambito di utenti o gruppi di cui eseguire il provisioning con filtri di ambito.
Selezionare Ok e Salva per salvare le eventuali modifiche.
Se è stato aggiunto un filtro, verrà visualizzato un messaggio che indica che il salvataggio delle modifiche comporterà la risincronizzazione di tutti gli utenti e i gruppi assegnati. L'operazione potrebbe richiedere molto tempo a seconda della dimensione della directory.
Selezionare Sì e chiudere la pagina Mapping attributi.
Passaggio 9: Esaminare i mapping degli attributi
Tenant di origine
I mapping degli attributi consentono di definire il flusso dei dati tra il tenant di origine e il tenant di destinazione. Per informazioni su come personalizzare i mapping degli attributi predefiniti, vedere Esercitazione: Personalizzazione del mapping degli attributi di provisioning degli utenti per le applicazioni SaaS in Microsoft Entra ID.
Nel tenant di origine selezionare Provisioning ed espandere la sezione Mapping.
Selezionare Effettuare il provisioning degli utenti di Microsoft Entra ID.
Nella pagina Mapping attributi scorrere verso il basso per esaminare gli attributi utente sincronizzati tra i tenant nella sezione Mapping attributi.
Il primo attributo, alternativeSecurityIdentifier, è un attributo interno usato per identificare in modo univoco l'utente tra tenant, associare gli utenti nel tenant di origine con gli utenti esistenti nel tenant di destinazione e assicurarsi che ogni utente abbia un solo account. Impossibile modificare l'attributo corrispondente. Il tentativo di modificare l'attributo corrispondente o l'aggiunta di attributi corrispondenti aggiuntivi genererà un errore di
schemaInvalid.
Selezionare l'attributo Membro (userType) per aprire la pagina Modifica attributo.
Esaminare l'impostazione Valore costante per l'attributo userType.
Questa impostazione definisce il tipo di utente che verrà creato nel tenant di destinazione e può essere uno dei valori nella tabella seguente. Per impostazione predefinita, gli utenti verranno creati come membri esterni (utenti di collaborazione B2B). Per altre informazioni, vedere Proprietà di un utente di Collaborazione B2B Microsoft Entra.
Constant Value Descrizione Member Predefinito. Gli utenti verranno creati come membri esterni (utenti di collaborazione B2B) nel tenant di destinazione. Gli utenti potranno funzionare come qualsiasi membro interno del tenant di destinazione. Guest Gli utenti verranno creati come guest esterni (utenti di collaborazione B2B) nel tenant di destinazione. Nota
Se l'utente B2B esiste già nel tenant di destinazione, Membro (userType) non verrà modificato in Membro, a meno che l'impostazione Applica questo mapping non sia impostata su Sempre.
Il tipo di utente scelto presenta le limitazioni seguenti per le app o i servizi (ma non sono limitati a):
App o servizio Limiti Power BI - Il supporto per il membro UserType in Power BI è attualmente in anteprima. Per altre informazioni, vedere Distribuire il contenuto di Power BI agli utenti guest esterni con Microsoft Entra B2B. Desktop virtuale Azure - Il membro esterno e il guest esterno non sono supportati nel Desktop virtuale Azure. 
Per definire eventuali trasformazioni, nella pagina Mapping attributi selezionare l'attributo da trasformare, ad esempio displayName.
Impostare il Tipo di mapping su Espressione.
Nella casella Espressione immettere l'espressione di trasformazione. Ad esempio, con il nome visualizzato, è possibile eseguire le operazioni seguenti:
- Capovolgere il nome e il cognome e aggiungere una virgola tra di loro.
- Aggiungere il nome di dominio tra parentesi alla fine del nome visualizzato.
Per esempi, vedere Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.
Suggerimento
È possibile eseguire il mapping delle estensioni della directory aggiornando lo schema della sincronizzazione tra tenant. Per altre informazioni, vedere Eseguire il mapping delle estensioni della directory nella sincronizzazione tra tenant.
Passaggio 10: Specificare impostazioni di provisioning aggiuntive
Tenant di origine
Nel tenant di origine selezionare Provisioning ed espandere la sezione Impostazioni.
Selezionare la casella di controllo Invia una notifica tramite posta elettronica quando si verifica un errore.
Nella casella Messaggio di posta elettronica per le notifiche immettere l'indirizzo di posta elettronica di una persona o di un gruppo che riceverà le notifiche degli errori di provisioning.
Le notifiche tramite posta elettronica vengono inviate entro 24 ore dall'inizio dello stato di quarantena del processo. Per gli avvisi personalizzati, vedere Informazioni sull'integrazione del provisioning con i log di Monitoraggio di Azure.
Per evitare l'eliminazione accidentale, selezionare Impedisci eliminazione accidentale e specificare un valore soglia. Per impostazione predefinita, la soglia è impostata su 500.
Per altre informazioni, vedere Abilitare la prevenzione delle eliminazioni accidentali nel servizio di provisioning di Microsoft Entra.
Selezionare Salva per salvare le eventuali modifiche.
Passaggio 11: Testare il provisioning su richiesta
Tenant di origine
Dopo aver creato una configurazione, è possibile testare il provisioning su richiesta con uno degli utenti.
Nel tenant di origine, passare a Identità>Identità esterne>Sincronizzazione tra tenant.
Selezionare Configurazioni e quindi selezionare la configurazione.
Selezionare Provisioning su richiesta.
Nella casella Selezionare un utente o un gruppo cercare e selezionare uno degli utenti di test.
Selezionare Provision.
Dopo alcuni istanti, viene visualizzata la pagina Esegui azione con informazioni sul provisioning dell'utente di test nel tenant di destinazione.
Se l'utente non è incluso nell'ambito, verrà visualizzata una pagina con informazioni sul motivo per cui l'utente di test è stato ignorato.
Nella pagina Provisioning su richiesta è possibile visualizzare i dettagli sul provisioning e scegliere di riprovare.
Nel tenant di destinazione verificare che sia stato effettuato il provisioning dell'utente di test.
Se tutto funziona come previsto, assegnare altri utenti alla configurazione.
Per altre informazioni, vedere Provisioning su richiesta in Microsoft Entra ID.
Passaggio 12: Avviare il processo di provisioning
Tenant di origine
Il processo di provisioning avvia il ciclo di sincronizzazione iniziale di tutti gli utenti definiti in Ambito nella sezione Impostazioni. Il ciclo di sincronizzazione iniziale dura più a lungo dei cicli successivi, che verranno eseguiti ogni 40 minuti circa quando il servizio di provisioning di Microsoft Entra è in esecuzione.
Nel tenant di origine, passare a Identità>Identità esterne>Sincronizzazione tra tenant.
Selezionare Configurazioni e quindi selezionare la configurazione.
Nella pagina Panoramica esaminare i dettagli del provisioning.
Selezionare Avvia provisioning per avviare il processo di provisioning.
Passaggio 13: Monitorare il provisioning
Tenant di origine e di destinazione
Dopo aver avviato un processo di provisioning, è possibile monitorare lo stato.
Nel tenant di origine, nella pagina Panoramica controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e l'avanzamento per il completamento. Per altre informazioni, vedere Controllare lo stato del provisioning utenti.
Se il provisioning sembra essere in uno stato non integro, la configurazione entrerà in quarantena. Per ulteriori infotmazioni, vedere Provisioning di un'applicazione in stato di quarantena.
Selezionare i Log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo. Per impostazione predefinita, i log vengono filtrati in base all'ID entità servizio della configurazione. Per altre informazioni, vedere Provisioning dei log in Microsoft Entra ID.
Selezionare Controlla log per visualizzare tutti gli eventi registrati in Microsoft Entra ID. Per altre informazioni, vedere Controlla log in Microsoft Entra ID.
È anche possibile visualizzare i log di controllo nel tenant di destinazione.
Nel tenant di destinazione selezionare Utenti>Controlla log per visualizzare gli eventi registrati per la gestione degli utenti.
Passaggio 14: Configurare le impostazioni di uscita
Tenant di destinazione
Anche se viene effettuato il provisioning degli utenti nel tenant di destinazione, potrebbero comunque essere in grado di rimuoversi. Se gli utenti si rimuovono e si trovano nell'ambito, verrà eseguito di nuovo il provisioning durante il ciclo di provisioning successivo. Se si vuole impedire agli utenti di rimuovere se stessi dall'organizzazione, è necessario configurare le Impostazioni di uscita degli utenti esterni.
Nel tenant di destinazione, passare a Identità>Identità esterne>Impostazioni per le collaborazioni esterne.
Nella sezione delle Impostazioni di uscita degli utenti esterni scegliere se consentire agli utenti esterni di lasciare autonomamente l'organizzazione.
Questa impostazione si applica anche alla collaborazione B2B e alla connessione diretta B2B, quindi se si impostano Impostazioni do uscita dell'utente esterno su Nessuna, gli utenti di collaborazione B2B e quelli con connessione diretta B2B non possono lasciare l'organizzazione stessa. Per altre informazioni, vedere Lasciare un'organizzazione come utente esterno.
Suggerimenti per la risoluzione dei problemi
Eliminare una configurazione
Seguire questa procedura per eliminare una configurazione nella pagina Configurazioni.
Nel tenant di origine, passare a Identità>Identità esterne>Sincronizzazione tra tenant.
Nella pagina Configurazioni aggiungere un segno di spunta accanto alla configurazione da eliminare.
Selezionare Elimina e quindi OK per eliminare la configurazione.
Scenari e soluzioni comuni
Sintomo: la connessione di test ha esito negativo con AzureDirectoryB2BManagementPolicyCheckFailure
Quando si configura la sincronizzazione tra tenant nel tenant di origine e si testa la connessione, l'operazione ha esito negativo e viene visualizzato il messaggio di errore seguente:
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.
Causa
Questo errore indica che i criteri per riscattare automaticamente gli inviti nei tenant di origine e di destinazione non sono stati configurati.
Soluzione
Seguire i passaggi descritti in Passaggio 3: Riscattare automaticamente gli inviti nel tenant di destinazione e Passaggio 4: riscattare automaticamente gli inviti nel tenant di origine.
Sintomo : la casella di controllo Riscatto automatico è disabilitata
Quando si configura la sincronizzazione tra tenant, la casella di controllo Riscatto automatico è disabilitata .
Causa
Il tenant non ha una licenza P1 o P2 di Microsoft Entra ID.
Soluzione
Per configurare le impostazioni di attendibilità, è necessario disporre di Microsoft Entra ID P1 o P2.
Sintomo: l'utente eliminato di recente nel tenant di destinazione non viene ripristinato
Dopo l'eliminazione temporanea di un utente sincronizzato nel tenant di destinazione, l'utente non viene ripristinato durante il ciclo di sincronizzazione successivo. Se si tenta di eliminare temporaneamente un utente con il provisioning su richiesta e quindi di ripristinarlo, possono essere generati utenti duplicati.
Causa
Il ripristino di un utente eliminato temporaneamente in precedenza nel tenant di destinazione non è supportato.
Soluzione
Ripristinare manualmente l'utente eliminato temporaneamente nel tenant di destinazione. Per altre informazioni, vedere Ripristinare o rimuovere un utente eliminato di recente tramite Microsoft Entra ID.
Sintomo: gli utenti vengono ignorati perché per l'utente è abilitato l'accesso tramite SMS
Gli utenti vengono ignorati dalla sincronizzazione. Il passaggio di ambito include il filtro seguente con stato falso: "Filtrare utenti esterni.alternativeSecurityIds EQUALS 'None'"
Causa
Se per un utente è abilitato l'accesso tramite SMS, verrà ignorato dal servizio di provisioning.
Soluzione
Disabilitare l'accesso tramite SMS per gli utenti. Lo script seguente illustra come disabilitare l'accesso tramite SMS con PowerShell.
##### Disable SMS Sign-in options for the users
#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"
##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7
$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"
#### Get the User Details
$userId = "objectid_of_the_user_in_Entra_ID"
#### validate the value for SmsSignInState
$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId
if($smssignin.SmsSignInState -eq "ready"){
#### Disable Sms Sign-In for the user is set to ready
Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
}
else{
Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
}
##### End the script
Sintomo : gli utenti non riescono a effettuare il provisioning con errore AzureActiveDirectoryForbidden
Impossibile effettuare il provisioning degli utenti nell'ambito. I dettagli dei log di provisioning includono il messaggio di errore seguente:
Guest invitations not allowed for your company. Contact your company administrator for more details.
Causa
Questo errore indica che le impostazioni dell'invito guest nel tenant di destinazione sono configurate con l'impostazione più restrittiva: "Nessuno nell'organizzazione può invitare utenti guest, inclusi gli amministratori (più restrittivi)".
Soluzione
Modificare le impostazioni dell'invito guest nel tenant di destinazione con una meno restrittiva. Per altre informazioni, vedere Configurare le impostazioni di collaborazione esterna.
Sintomo: il nome dell'entità utente non viene aggiornato per gli utenti B2B esistenti in stato di accettazione in sospeso
Quando un utente viene invitato per la prima volta tramite invito B2B manuale, l'invito viene inviato all'indirizzo di posta elettronica dell'utente di origine. Di conseguenza, l'utente guest nel tenant di destinazione viene creato con un prefisso UPN (User Principal Name) usando la proprietà del valore di posta di origine. Esistono ambienti in cui le proprietà dell'oggetto utente di origine, UPN e Mail, hanno valori diversi, ad esempio Mail == user.mail@domain.com e UPN == user.upn@otherdomain.com. In questo caso, l'utente guest nel tenant di destinazione verrà creato con l'UPN come user.mail_domain.com#EXT#@contoso.onmicrosoft.com.
Il problema si verifica quando l'oggetto di origine viene inserito nell'ambito per la sincronizzazione tra tenant e si prevede che oltre ad altre proprietà, il prefisso UPN dell'utente guest di destinazione verrà aggiornato in modo che corrisponda all'UPN dell'utente di origine (usando l'esempio precedente il valore sarà: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Tuttavia, questo non avviene durante i cicli di sincronizzazione incrementale e la modifica viene ignorata.
Causa
Questo problema si verifica quando l'utente B2B che è stato invitato manualmente nel tenant di destinazione non ha accettato o riscattato l'invito, quindi lo stato è in attesa di accettazione. Quando un utente viene invitato tramite un messaggio di posta elettronica, viene creato un oggetto con un set di attributi popolati dalla posta elettronica, uno di essi è l'UPN, che punta al valore di posta elettronica dell'utente di origine. Se in un secondo momento si decide di aggiungere l'utente all'ambito per la sincronizzazione tra tenant, il sistema tenterà di aggiungere l'utente di origine a un utente B2B nel tenant di destinazione in base all'attributo alternativeSecurityIdentifier, ma l'utente creato in precedenza non ha una proprietà alternativeSecurityIdentifier popolata perché l'invito non è stato riscattato. Pertanto, il sistema non considererà questo oggetto come nuovo oggetto utente e non aggiornerà il valore UPN. Il nome dell'entità utente non viene aggiornato negli scenari seguenti:
- L'UPN e il messaggio di posta elettronica sono diversi per un utente quando è stato invitato manualmente.
- L'utente è stato invitato prima di abilitare la sincronizzazione tra tenant.
- L'utente non ha mai accettato l'invito, quindi è in "stato di accettazione in sospeso".
- L'utente viene inserito nell'ambito per la sincronizzazione tra tenant.
Soluzione
Per risolvere il problema, eseguire il provisioning su richiesta per consentire agli utenti interessati di aggiornare l'UPN. È anche possibile riavviare il provisioning per aggiornare l'UPN per tutti gli utenti interessati. Si noti che questo attiva un ciclo iniziale, che può richiedere molto tempo per i tenant di grandi dimensioni. Per ottenere un elenco di utenti invitati manuali nello stato in attesa di accettazione, è possibile usare uno script, vedere l'esempio seguente.
Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'"
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"
È quindi possibile usare provisionOnDemand con PowerShell per ogni utente. Il limite di velocità per questa API è di 5 richieste per 10 secondi. Per altre informazioni, vedere Limitazioni note per il provisioning su richiesta.