Configurare la sincronizzazione tra tenant usando PowerShell o l'API Microsoft Graph

Questo articolo descrive i passaggi principali per configurare la sincronizzazione tra tenant usando Microsoft Graph PowerShell o l'API Microsoft Graph. Se configurato, Microsoft Entra ID effettua automaticamente il provisioning e il deprovisioning degli utenti B2B nel tenant di destinazione. Per informazioni dettagliate sull'uso dell'interfaccia di amministrazione di Microsoft Entra, vedere Configurare la sincronizzazione tra tenant.

Prerequisiti

Tenant di origine

• Licenza Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
• Ruolo security Amministrazione istrator per configurare le impostazioni di accesso tra tenant.
• Ruolo hybrid identity Amministrazione istrator per configurare la sincronizzazione tra tenant.
• Ruolo applicazione cloud Amministrazione istrator o application Amministrazione istrator per assegnare gli utenti a una configurazione ed eliminare una configurazione.
• Ruolo globale Amministrazione istrator per fornire il consenso alle autorizzazioni necessarie.

Tenant di destinazione

• Licenza Microsoft Entra ID P1 o P2. Per altre informazioni, vedere Requisiti relativi alle licenze.
• Ruolo security Amministrazione istrator per configurare le impostazioni di accesso tra tenant.
• Ruolo globale Amministrazione istrator per fornire il consenso alle autorizzazioni necessarie.

Passaggio 1: Accedere al tenant di destinazione

Tenant di destinazione

PowerShell

1. Avviare PowerShell.

2. Se necessario, installare Microsoft Graph PowerShell SDK.

3. Ottenere l'ID tenant dei tenant di origine e di destinazione e inizializzare le variabili.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Usare il comando Connessione-MgGraph per accedere al tenant di destinazione e fornire il consenso alle autorizzazioni necessarie seguenti.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

Questi passaggi descrivono come usare Microsoft Graph Explorer, ma è anche possibile usare Postman o un altro client API REST.

1. Avviare lo strumento Microsoft Graph Explorer.

2. Accedere al tenant di destinazione.

3. Selezionare il profilo e quindi Consenso per le autorizzazioni.

   

4. Consenso alle autorizzazioni necessarie seguenti.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Ottenere l'ID tenant dei tenant di origine e di destinazione. La configurazione di esempio descritta in questo articolo usa gli ID tenant seguenti.

   • ID tenant di origine: {sourceTenantId}
   • ID tenant di destinazione: {targetTenantId}

Passaggio 2: Abilitare la sincronizzazione degli utenti nel tenant di destinazione

Tenant di destinazione

PowerShell

1. Nel tenant di destinazione usare il comando New-MgPolicyCrossTenantAccessPolicyPartner per creare una nuova configurazione partner in un criterio di accesso tra tenant tra tenant tra il tenant di destinazione e il tenant di origine. Usare l'ID tenant di origine nella richiesta.

   Se viene visualizzato l'errore New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, potrebbe essere già disponibile una configurazione esistente. Per altre informazioni, vedere Sintomo - Errore di MgPolicyCrossTenantAccessPolicyPartner_Create nuovo.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Usare il comando Invoke-MgGraphRequest per abilitare la sincronizzazione degli utenti nel tenant di destinazione.

   Se viene visualizzato un Request_MultipleObjectsWithSameKeyValue errore, potrebbe essere già disponibile un criterio esistente. Per altre informazioni, vedere Sintomo - Request_MultipleObjectsWithSameKeyValue errore.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Usare il comando Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization per verificare IsSyncAllowed che sia impostato su True.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. Nel tenant di destinazione usare l'API Create crossTenantAccessPolicyConfigurationPartner per creare una nuova configurazione partner in un criterio di accesso tra tenant tra tenant tra il tenant di destinazione e il tenant di origine. Usare l'ID tenant di origine nella richiesta.

   Se viene visualizzato un Request_MultipleObjectsWithSameKeyValue errore, potrebbe essere già disponibile una configurazione esistente. Per altre informazioni, vedere Sintomo - Request_MultipleObjectsWithSameKeyValue errore.

   Richiedi

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Usare l'API Create identitySynchronization per abilitare la sincronizzazione degli utenti nel tenant di destinazione.

   Se viene visualizzato un Request_MultipleObjectsWithSameKeyValue errore, potrebbe essere già disponibile un criterio esistente. Per altre informazioni, vedere Sintomo - Request_MultipleObjectsWithSameKeyValue errore.

   Richiedi

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 3: Riscattare automaticamente gli inviti nel tenant di destinazione

Tenant di destinazione

PowerShell

1. Nel tenant di destinazione usare il comando Update-MgPolicyCrossTenantAccessPolicyPartner per riscattare automaticamente gli inviti e eliminare le richieste di consenso per l'accesso in ingresso.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Nel tenant di destinazione usare l'API Update crossTenantAccessPolicyConfigurationPartner per riscattare automaticamente gli inviti e eliminare le richieste di consenso per l'accesso in ingresso.

   Richiedi

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 4: Accedere al tenant di origine

Tenant di origine

PowerShell

1. Avviare un'istanza di PowerShell.

2. Ottenere l'ID tenant dei tenant di origine e di destinazione e inizializzare le variabili.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Usare il comando Connessione-MgGraph per accedere al tenant di origine e fornire il consenso alle autorizzazioni necessarie seguenti.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Avviare un'istanza dello strumento Microsoft Graph Explorer.

2. Accedere al tenant di origine.

3. Consenso alle autorizzazioni necessarie seguenti.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Se viene visualizzata una pagina Di approvazione dell'amministratore necessaria, è necessario accedere con un utente a cui è stato assegnato il ruolo Global Amministrazione istrator per fornire il consenso.

Passaggio 5: Riscattare automaticamente gli inviti nel tenant di origine

Tenant di origine

PowerShell

1. Nel tenant di origine usare il comando New-MgPolicyCrossTenantAccessPolicyPartner per creare una nuova configurazione partner in un criterio di accesso tra tenant tra tenant tra il tenant di origine e il tenant di destinazione. Usare l'ID tenant di destinazione nella richiesta.

   Se viene visualizzato l'errore New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists, potrebbe essere già disponibile una configurazione esistente. Per altre informazioni, vedere Sintomo - Errore di MgPolicyCrossTenantAccessPolicyPartner_Create nuovo.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Usare il comando Update-MgPolicyCrossTenantAccessPolicyPartner per riscattare automaticamente gli inviti e eliminare le richieste di consenso per l'accesso in uscita.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Nel tenant di origine usare l'API Create crossTenantAccessPolicyConfigurationPartner per creare una nuova configurazione partner in un criterio di accesso tra tenant tra tenant tra il tenant di origine e il tenant di destinazione. Usare l'ID tenant di destinazione nella richiesta.

   Se viene visualizzato un Request_MultipleObjectsWithSameKeyValue errore, potrebbe essere già disponibile una configurazione esistente. Per altre informazioni, vedere Sintomo - Request_MultipleObjectsWithSameKeyValue errore.

   Richiedi

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Usare l'API Update crossTenantAccessPolicyConfigurationPartner per riscattare automaticamente gli inviti e eliminare le richieste di consenso per l'accesso in uscita.

   Richiedi

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 6: Creare un'applicazione di configurazione nel tenant di origine

Tenant di origine

PowerShell

1. Nel tenant di origine usare il comando Invoke-MgInstantiateApplicationTemplate per aggiungere un'istanza di un'applicazione di configurazione dalla raccolta di applicazioni Microsoft Entra nel tenant.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Usare il comando Get-MgServicePrincipal per ottenere l'ID entità servizio e l'ID ruolo dell'app.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Inizializzare una variabile per l'ID entità servizio.

   Assicurarsi di usare l'ID entità servizio anziché l'ID applicazione.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Inizializzare una variabile per l'ID ruolo dell'app.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Nel tenant di origine usare l'API applicationTemplate: creare un'istanza di un'istanza di un'applicazione di configurazione dalla raccolta di applicazioni Microsoft Entra nel tenant.

   Richiedi

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. Salvare servicePrincipalId.

   Assicurarsi di usare l'ID entità servizio anziché l'ID applicazione.

3. Salvare appRoleId.

Passaggio 7: Testare la connessione al tenant di destinazione

Tenant di origine

PowerShell

1. Nel tenant di origine usare il comando Invoke-MgGraphRequest per testare la connessione al tenant di destinazione e convalidare le credenziali.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Nel tenant di origine usare l'API synchronizationJob: validateCredentials per testare la connessione al tenant di destinazione e convalidare le credenziali.

   Richiedi

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 8: Creare un processo di provisioning nel tenant di origine

Tenant di origine

Nel tenant di origine, per abilitare il provisioning, creare un processo di provisioning.

PowerShell

1. Determinare il modello di sincronizzazione da usare, ad esempio Azure2Azure.

   Un modello ha impostazioni di sincronizzazione preconfigurato.

2. Nel tenant di origine usare il comando New-MgServicePrincipalSynchronizationJob per creare un processo di provisioning basato su un modello.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. Inizializzare una variabile per l'ID processo.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Determinare il modello di sincronizzazione da usare, ad esempio Azure2Azure.

   Un modello ha impostazioni di sincronizzazione preconfigurato.

2. Nel tenant di origine usare l'API Create synchronizationJob per creare un processo di provisioning basato su un modello.

   Richiedi

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. Salvare il valore jobId.

Passaggio 9: Salvare le credenziali

Tenant di origine

PowerShell

1. Nel tenant di origine usare il comando Invoke-MgGraphRequest per salvare le credenziali.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Nel tenant di origine usare l'API Aggiungi segreti di sincronizzazione per salvare le credenziali.

   Richiedi

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 10: Assegnare un utente alla configurazione

Tenant di origine

Per il funzionamento della sincronizzazione tra tenant, è necessario assegnare almeno un utente interno alla configurazione.

PowerShell

1. Nel tenant di origine usare il comando New-MgServicePrincipalAppRoleAssignedTo per assegnare un utente interno alla configurazione.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Nel tenant di origine usare Grant an appRoleAssignment per un'API dell'entità servizio per assegnare un utente interno alla configurazione.

   Richiedi

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

Passaggio 11: Testare il provisioning su richiesta

Tenant di origine

Dopo aver creato una configurazione, è possibile testare il provisioning su richiesta con uno degli utenti.

PowerShell

1. Nel tenant di origine usare il comando Get-MgServicePrincipalSynchronizationJobSchema per ottenere l'ID regola dello schema.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , …}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Inizializzare una variabile per l'ID regola.

   $RuleId = "<RuleId>"
   

3. Usare il comando New-MgServicePrincipalSynchronizationJobOnDemand per effettuare il provisioning di un utente di test su richiesta.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Nel tenant di origine usare l'API Get synchronizationSchema per ottenere l'ID regola dello schema.

   Richiedi

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Nel tenant di origine usare l'API synchronizationJob: provisionOnDemand per effettuare il provisioning di un utente di test su richiesta.

   Richiedi

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

Passaggio 12: Avviare il processo di provisioning

Tenant di origine

PowerShell

1. Ora che il processo di provisioning è configurato, nel tenant di origine, usare il comando Start-MgServicePrincipalSynchronizationJob per avviare il processo di provisioning.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Ora che il processo di provisioning è configurato, nel tenant di origine, usare l'API Start synchronizationJob per avviare il processo di provisioning.

   Richiedi

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Response

   HTTP/1.1 204 No Content
   

Passaggio 13: Monitorare il provisioning

Tenant di origine

PowerShell

1. Ora che il processo di provisioning è in esecuzione, nel tenant di origine, usare il comando Get-MgServicePrincipalSynchronizationJob per monitorare lo stato di avanzamento del ciclo di provisioning corrente e le statistiche fino alla data, ad esempio il numero di utenti e gruppi creati nel sistema di destinazione.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Oltre a monitorare lo stato del processo di provisioning, usare il comando Get-MgAuditLogProvisioning per recuperare i log di provisioning e ottenere tutti gli eventi di provisioning che si verificano. Ad esempio, eseguire una query per un determinato utente e determinare se è stato eseguito correttamente il provisioning.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Ora che il processo di provisioning è in esecuzione, nel tenant di origine, usare l'API Get synchronizationJob per monitorare lo stato di avanzamento del ciclo di provisioning corrente, nonché le statistiche fino alla data, ad esempio il numero di utenti e gruppi creati nel sistema di destinazione.

   Richiedi

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Response

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Oltre a monitorare lo stato del processo di provisioning, usare l'API List provisioningObjectSummary per recuperare i log di provisioning e ottenere tutti gli eventi di provisioning che si verificano. Ad esempio, eseguire una query per un determinato utente e determinare se è stato eseguito correttamente il provisioning.

   Richiedi

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Response

   L'oggetto risposta visualizzato qui è stato abbreviato per una migliore leggibilità.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Suggerimenti per la risoluzione dei problemi

PowerShell

Sintomo - Errore di privilegi insufficienti

Quando si tenta di eseguire un'azione, viene visualizzato un messaggio di errore simile al seguente:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Causa

L'utente connesso non dispone di privilegi sufficienti oppure è necessario fornire il consenso a una delle autorizzazioni necessarie.

Soluzione

1. Assicurarsi di aver assegnato i ruoli necessari. Vedere Prerequisiti in precedenza in questo articolo.

2. Quando si accede con Connessione-MgGraph, assicurarsi di specificare gli ambiti necessari. Vedere Passaggio 1: Accedere al tenant di destinazione e Passaggio 4: Accedere al tenant di origine in precedenza in questo articolo.

Sintomo - Errore di MgPolicyCrossTenantAccessPolicyPartner_Create nuovo

Quando si tenta di creare una nuova configurazione partner, viene visualizzato un messaggio di errore simile al seguente:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Causa

È probabile che si stia tentando di creare una configurazione o un oggetto già esistente, probabilmente da una configurazione precedente.

Soluzione

1. Verificare la sintassi e di usare l'ID tenant corretto.

2. Usare il comando Get-MgPolicyCrossTenantAccessPolicyPartner per elencare l'oggetto esistente.

3. Se si dispone di un oggetto esistente, potrebbe essere necessario eseguire un aggiornamento usando Update-MgPolicyCrossTenantAccessPolicyPartner

Sintomo - errore di Request_MultipleObjectsWithSameKeyValue

Quando si tenta di abilitare la sincronizzazione utente, viene visualizzato un messaggio di errore simile al seguente:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Causa

È probabile che si stia tentando di creare un criterio già esistente, probabilmente da una configurazione precedente.

Soluzione

1. Verificare la sintassi e di usare l'ID tenant corretto.

2. Usare il comando Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization per elencare l'impostazione IsSyncAllowed .

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Se si dispone di un criterio esistente, potrebbe essere necessario eseguire un aggiornamento usando il comando Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization per abilitare la sincronizzazione degli utenti.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Sintomo - Errore di privilegi insufficienti

Quando si tenta di eseguire un'azione, viene visualizzato un messaggio di errore simile al seguente:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Causa

L'utente connesso non dispone di privilegi sufficienti oppure è necessario fornire il consenso a una delle autorizzazioni necessarie.

Soluzione

1. Assicurarsi di aver assegnato i ruoli necessari. Vedere Prerequisiti in precedenza in questo articolo.

2. Nello strumento Microsoft Graph Explorer assicurarsi di fornire il consenso alle autorizzazioni necessarie. Vedere Passaggio 1: Accedere al tenant di destinazione e Passaggio 4: Accedere al tenant di origine in precedenza in questo articolo.

Sintomo - errore di Request_MultipleObjectsWithSameKeyValue

Quando si tenta di effettuare una chiamata api Graph, viene visualizzato un messaggio di errore simile al seguente:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Causa

È probabile che si stia tentando di creare una configurazione o un oggetto già esistente, probabilmente da una configurazione precedente.

Soluzione

1. Verificare la sintassi della richiesta e di usare l'ID tenant corretto.

2. Effettuare una GET richiesta per elencare l'oggetto esistente.

3. Se si dispone di un oggetto esistente, anziché effettuare una richiesta di creazione usando POST o PUT, potrebbe essere necessario effettuare una richiesta di aggiornamento usando PATCH, ad esempio:

   • Aggiornare crossTenantAccessPolicyConfigurationPartner
   • Aggiornare crossTenantIdentitySyncPolicyPartner

Sintomo - errore di Directory_ObjectNotFound

Quando si tenta di effettuare una chiamata api Graph, viene visualizzato un messaggio di errore simile al seguente:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Causa

È probabile che si stia tentando di aggiornare un oggetto che non esiste usando PATCH.

Soluzione

1. Verificare la sintassi della richiesta e di usare l'ID tenant corretto.

2. Effettuare una GET richiesta per verificare che l'oggetto non esista.

3. Se l'oggetto non esiste, anziché effettuare una richiesta di aggiornamento usando PATCH, potrebbe essere necessario effettuare una richiesta di creazione usando POST o PUT, ad esempio:

   • Creare identitySynchronization

Passaggi successivi

• Panoramica dell'API di sincronizzazione di Microsoft Entra
• Esercitazione: Sviluppare e pianificare il provisioning per un endpoint SCIM in Microsoft Entra ID