Бөлісу құралы:


Настройка синхронизации между арендаторами

В этой статье описаны действия по настройке синхронизации между клиентами с помощью Центра администрирования Microsoft Entra. При настройке идентификатор Microsoft Entra id автоматически подготавливает и отменяет подготовку пользователей B2B в целевом клиенте. Важные сведения о том, что делает эта служба, как она работает и часто задаваемые вопросы, см. в статье Автоматизации подготовки пользователей и отмены подготовки приложений SaaS с помощью идентификатора Microsoft Entra.

Схема, демонстрирующая синхронизацию между исходным клиентом и целевым клиентом.

Цели обучения

К концу этой статьи вы сможете:

  • Создание пользователей B2B в целевом клиенте
  • Удаление пользователей B2B в целевом клиенте
  • Синхронизация атрибутов пользователей между исходным и целевым клиентами

Необходимые компоненты

Значок исходного клиента.
Исходный клиент

Значок целевого клиента.
Целевой клиент

Шаг 1. Планирование развертывания подготовки

  1. Определите структуру клиентов в организации.

  2. Узнайте, как работает служба подготовки.

  3. Определите, кто будет находиться в области подготовки.

  4. Определите, какие данные необходимо сопоставить между клиентами.

Шаг 2. Включение синхронизации пользователей в целевом клиенте

Совет

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Значок целевого клиента.
Целевой клиент

  1. Войдите в центр администрирования Microsoft Entra целевого клиента.

  2. Перейдите к параметрам доступа внешних>удостоверений>между клиентами.

  3. На вкладке "Параметры организации" выберите "Добавить организацию".

  4. Добавьте исходный клиент, введя идентификатор клиента или доменное имя и нажав кнопку "Добавить".

    Снимок экрана: панель

  5. В разделе "Входящий доступ " добавленной организации выберите "Унаследовано" по умолчанию.

  6. Перейдите на вкладку синхронизации между клиентами.

  7. Установите флажок "Разрешить пользователям синхронизироваться с этим клиентом".

    Снимок экрана: вкладка

  8. Выберите Сохранить.

  9. Если появится диалоговое окно "Включить синхронизацию между клиентами" и диалоговое окно автоматического активации с запросом на включение автоматического активации , нажмите кнопку "Да".

    При нажатии кнопки "Да" приглашения будут автоматически активироваться в целевом клиенте.

    Снимок экрана: диалоговое окно

Шаг 3. Автоматическое активация приглашений в целевом клиенте

Значок целевого клиента.
Целевой клиент

На этом шаге вы автоматически активируете приглашения, чтобы пользователи из исходного клиента не должны принимать запрос согласия. Этот параметр должен быть установлен как в исходном клиенте (исходящий), так и в целевом клиенте (входящий трафик). Дополнительные сведения см. в разделе "Параметр автоматического активации".

  1. На той же странице параметров входящего доступа на целевом клиенте выберите вкладку "Параметры доверия".

  2. Установите флажок "Автоматически активировать приглашения" с помощью флажка клиента<>.

    Это поле может быть уже установлено, если вы ранее выбрали "Да " в диалоговом окне "Включить синхронизацию между клиентами" и диалоговое окно автоматического активации .

    Снимок экрана: флажок автоматического активации для входящего трафика.

  3. Выберите Сохранить.

Шаг 4. Автоматическое активация приглашений в исходном клиенте

Значок исходного клиента.
Исходный клиент

На этом шаге вы автоматически активируете приглашения в исходном клиенте.

  1. Войдите в Центр администрирования Microsoft Entra исходного клиента.

  2. Перейдите к параметрам доступа внешних>удостоверений>между клиентами.

  3. На вкладке "Параметры организации" выберите "Добавить организацию".

  4. Добавьте целевой клиент, введя идентификатор клиента или доменное имя и нажав кнопку "Добавить".

    Снимок экрана: панель

  5. В разделе "Исходящий доступ " для целевой организации выберите "Унаследовано" по умолчанию.

  6. Перейдите на вкладку Параметры доверия.

  7. Установите флажок "Автоматически активировать приглашения" с помощью флажка клиента<>.

    Снимок экрана: флажок для исходящего автоматического активации.

  8. Выберите Сохранить.

Шаг 5. Создание конфигурации в исходном клиенте

Значок исходного клиента.
Исходный клиент

  1. В исходном клиенте перейдите к синхронизации внешних>удостоверений>между клиентами.

    Снимок экрана: навигация по синхронизации между клиентами в Центре администрирования Microsoft Entra.

    Если вы используете портал Azure, перейдите к синхронизации идентификатора Microsoft Entra ID>Manage>Кросстенантной синхронизации.

    Снимок экрана: навигация по синхронизации между клиентами в портал Azure.

  2. Выберите конфигурации.

  3. В верхней части страницы выберите "Создать конфигурацию".

  4. Укажите имя конфигурации и нажмите кнопку "Создать".

    Для только что созданной конфигурации в списке может потребоваться до 15 секунд.

Шаг 6. Проверка подключения к целевому клиенту

Значок исходного клиента.
Исходный клиент

  1. В исходном клиенте должна появиться новая конфигурация. В противном случае в списке конфигураций выберите конфигурацию.

    Снимок экрана: страница конфигураций синхронизации между клиентами и новая конфигурация.

  2. Выберите Приступая к работе.

  3. Для параметра Режим подготовки к работе выберите значение Automatic (Автоматически).

  4. В разделе "Учетные данные администратора" измените метод проверки подлинности на политику межтенантной синхронизации.

    Снимок экрана: страница подготовки с выбранной политикой синхронизации между клиентами.

  5. В поле идентификатора клиента введите идентификатор клиента целевого клиента.

  6. Выберите "Проверить подключение", чтобы проверить подключение.

    Должно появиться сообщение о том, что предоставленные учетные данные авторизованы для включения подготовки. Если тестовое подключение завершается сбоем, см . советы по устранению неполадок далее в этой статье.

    Снимок экрана: уведомление о тестировании подключения.

  7. Выберите Сохранить.

    Отображаются разделы "Сопоставления" и "Параметры".

  8. Закройте страницу подготовки .

Шаг 7. Определение того, кто находится в области подготовки

Значок исходного клиента.
Исходный клиент

Служба подготовки Microsoft Entra позволяет определить, кто будет подготовлен одним из следующих способов:

  • На основе назначения конфигурации
  • На основе атрибутов пользователя

Начните с малого. Протестируйте небольшой набор пользователей, прежде чем выполнять развертывание для всех. Если область подготовки задана для назначенных пользователей и групп, ее можно управлять, назначив одной или двух пользователей конфигурации. Вы можете дополнительно уточнить, кто находится в области подготовки, создав фильтры области на основе атрибутов, описанные на следующем шаге.

  1. В исходном клиенте выберите "Подготовка" и разверните раздел "Параметры ".

    Снимок экрана: страница подготовки, на котором показан раздел

  2. В списке областей выберите, следует ли синхронизировать всех пользователей в исходном клиенте или только пользователей, назначенных конфигурации.

    Рекомендуется выбрать синхронизацию только назначенных пользователей и групп вместо синхронизации всех пользователей и групп. Сокращение числа пользователей в области повышает производительность.

  3. Если вы внесли какие-либо изменения, нажмите кнопку "Сохранить".

  4. На странице конфигурации выберите "Пользователи и группы".

    Чтобы синхронизация между клиентами работала, необходимо назначить по крайней мере одного внутреннего пользователя конфигурации.

  5. Выберите Добавить пользователя или группу.

  6. На странице "Добавление назначения" в разделе "Пользователи и группы" выберите "Нет выбран".

  7. На панели "Пользователи и группы" найдите и выберите одного или нескольких внутренних пользователей или групп, которые вы хотите назначить конфигурации.

    Если выбрать группу, назначаемую конфигурации, для подготовки будут только пользователи, которые являются прямыми участниками группы. Вы можете выбрать статическую группу или динамическую группу. Назначение не каскадно для вложенных групп.

  8. Выберите Выбрать.

  9. Выберите Назначить.

    Снимок экрана: страница

    Дополнительные сведения см. в разделе "Назначение пользователей и групп приложению".

Шаг 8. Определение того, кто находится в области подготовки с помощью фильтров области

Значок исходного клиента.
Исходный клиент

Независимо от значения, выбранного для области на предыдущем шаге, можно дополнительно ограничить, какие пользователи синхронизируются, создав фильтры области на основе атрибутов.

  1. В исходном клиенте выберите "Подготовка" и разверните раздел "Сопоставления ".

    Снимок экрана: страница подготовки с развернутой разделом

  2. Выберите "Подготовка пользователей идентификатора записи Майкрософт" , чтобы открыть страницу сопоставления атрибутов.

  3. В области исходного объекта выберите все записи.

    Снимок экрана: страница сопоставления атрибутов с областью исходного объекта.

  4. На странице "Область исходного объекта" выберите "Добавить фильтр области".

  5. Добавьте все фильтры области, чтобы определить, какие пользователи находятся в области подготовки.

    Чтобы настроить фильтры области, ознакомьтесь с инструкциями, приведенными в разделе "Области" для подготовки пользователей или групп с помощью фильтров области.

    Снимок экрана: страница добавления фильтра области с примером фильтра.

  6. Нажмите кнопку "ОК" и "Сохранить", чтобы сохранить изменения.

    Если вы добавили фильтр, вы увидите сообщение, что сохранение изменений приведет ко всем назначенным пользователям и группам повторной синхронизации. Это может занять много времени в зависимости от размера каталога.

  7. Нажмите кнопку "Да" и закройте страницу сопоставления атрибутов.

Шаг 9. Просмотр сопоставлений атрибутов

Значок исходного клиента.
Исходный клиент

Сопоставления атрибутов позволяют определить способ потока данных между исходным клиентом и целевым клиентом. Сведения о настройке сопоставлений атрибутов по умолчанию см. в руководстве по настройке сопоставлений атрибутов подготовки пользователей для приложений SaaS в идентификаторе Microsoft Entra ID.

  1. В исходном клиенте выберите "Подготовка" и разверните раздел "Сопоставления ".

  2. Выберите "Подготовка пользователей идентификатора записи Майкрософт".

  3. На странице сопоставления атрибутов прокрутите вниз, чтобы просмотреть пользовательские атрибуты, синхронизированные между клиентами в разделе "Сопоставления атрибутов".

    Первый атрибут, alternativeSecurityIdentifier, — это внутренний атрибут, используемый для уникальной идентификации пользователя между клиентами, сопоставления пользователей в исходном клиенте с существующими пользователями в целевом клиенте и убедитесь, что у каждого пользователя есть только одна учетная запись. Не удается изменить соответствующий атрибут. Попытка изменить соответствующий атрибут или добавление дополнительных соответствующих атрибутов приведет к ошибке schemaInvalid .

    Снимок экрана: страница сопоставления атрибутов, в котором показан список атрибутов Microsoft Entra.

  4. Выберите атрибут Member (userType), чтобы открыть страницу "Изменить атрибут".

  5. Просмотрите параметр "Константное значение " для атрибута userType .

    Этот параметр определяет тип пользователя, который будет создан в целевом клиенте и может быть одним из значений в следующей таблице. По умолчанию пользователи будут создаваться как внешний член (пользователи службы совместной работы B2B). Дополнительные сведения см. в разделе "Свойства пользователя совместной работы Microsoft Entra B2B".

    Постоянное значение Description
    Член По умолчанию. Пользователи будут созданы как внешние члены (пользователи службы совместной работы B2B) в целевом клиенте. Пользователи смогут функционировать как любой внутренний член целевого клиента.
    Гость Пользователи будут созданы как внешние гости (пользователи совместной работы B2B) в целевом клиенте.

    Примечание.

    Если пользователь B2B уже существует в целевом клиенте, член (userType) не изменится на Member, если для параметра Применения этого сопоставления не задано значение Always.

    Тип пользователя, который вы выбрали, имеет следующие ограничения для приложений или служб (но не ограничивается):

    Приложение или служба Ограничения
    Power BI — Поддержка члена UserType в Power BI в настоящее время доступна в предварительной версии. Дополнительные сведения см. в статье Распространение содержимого Power BI внешним гостевым пользователям с помощью Microsoft Entra B2B.
    Виртуальный рабочий стол Azure — Внешний член и внешний гость не поддерживаются в Виртуальном рабочем столе Azure.

    Снимок экрана: страница

  6. Если вы хотите определить любые преобразования, на странице сопоставления атрибутов выберите атрибут, который требуется преобразовать, например displayName.

  7. Задайте для типа сопоставления значение Expression.

  8. В поле "Выражение" введите выражение преобразования. Например, отображаемое имя можно выполнить следующим образом:

    • Переверните имя и фамилию и добавьте запятую между ними.
    • Добавьте доменное имя в скобках в конце отображаемого имени.

    Примеры см. в справочнике по написанию выражений для сопоставлений атрибутов в идентификаторе Microsoft Entra.

    Снимок экрана: страница

Совет

Расширения каталогов можно сопоставить, обновив схему синхронизации между клиентами. Дополнительные сведения см. в разделе "Сопоставление расширений каталогов" в синхронизации между клиентами.

Шаг 10. Указание дополнительных параметров подготовки

Значок исходного клиента.
Исходный клиент

  1. В исходном клиенте выберите "Подготовка" и разверните раздел "Параметры ".

    Снимок экрана: страница подготовки, на котором показан раздел

  2. Установите флажок "Отправить уведомление по электронной почте", когда происходит сбой.

  3. В поле "Электронная почта уведомления" введите адрес электронной почты пользователя или группы, который должен получать уведомления об ошибках подготовки.

    Уведомления по электронной почте отправляются в течение 24 часов после ввода состояния карантина. Сведения о настройке оповещений см. в статье о интеграции подготовки с журналами Azure Monitor.

  4. Чтобы предотвратить случайное удаление, выберите "Запрет случайного удаления " и укажите пороговое значение. По умолчанию пороговое значение равно 500.

    Дополнительные сведения см. в разделе "Включение предотвращения случайных удалений" в службе подготовки Microsoft Entra.

  5. Щелкните Сохранить, чтобы сохранить все изменения.

Шаг 11. Проверка подготовки по запросу

Значок исходного клиента.
Исходный клиент

Теперь, когда у вас есть конфигурация, можно протестировать подготовку по запросу с одним из пользователей.

  1. В исходном клиенте перейдите к синхронизации внешних>удостоверений>между клиентами.

  2. Выберите конфигурации и выберите конфигурацию.

  3. Выберите Подготовка по требованию.

  4. В поле "Выбор пользователя или группы" найдите и выберите одного из тестовых пользователей.

    Снимок экрана: страница

  5. Выберите "Подготовка".

    Через несколько минут откроется страница действий "Выполнение" со сведениями о подготовке тестового пользователя в целевом клиенте.

    Снимок экрана: страница

    Если пользователь не в области, вы увидите страницу со сведениями о том, почему тестовый пользователь был пропущен.

    Снимок экрана: страница

    На странице "Подготовка по запросу" можно просмотреть сведения о подготовке и повторить попытку.

    Снимок экрана: страница

  6. В целевом клиенте убедитесь, что тестовый пользователь был подготовлен.

    Снимок экрана: страница

  7. Если все работает должным образом, назначьте дополнительных пользователей конфигурации.

    Дополнительные сведения см. в разделе "Подготовка по запросу" в идентификаторе Microsoft Entra.

Шаг 12. Запуск задания подготовки

Значок исходного клиента.
Исходный клиент

Задание подготовки запускает начальный цикл синхронизации всех пользователей, определенных в области раздела "Параметры". Начальный цикл занимает больше времени, чем последующие циклы, которые происходят примерно каждые 40 минут до запуска службы подготовки Microsoft Entra.

  1. В исходном клиенте перейдите к синхронизации внешних>удостоверений>между клиентами.

  2. Выберите конфигурации и выберите конфигурацию.

  3. На странице обзора просмотрите сведения о подготовке.

    Снимок экрана: страница

  4. Нажмите кнопку "Начать подготовку" , чтобы запустить задание подготовки.

Шаг 13. Мониторинг подготовки

Значок исходного клиента. Значок целевого клиента.
Исходные и целевые клиенты

После запуска задания подготовки можно отслеживать состояние.

  1. В исходном клиенте на странице "Обзор " проверьте индикатор хода выполнения, чтобы просмотреть состояние цикла подготовки и о том, как он близок к завершению. Дополнительные сведения см. в статье Проверка состояния подготовки пользователей.

    Если подготовка, как представляется, в неработоспособном состоянии, конфигурация перейдет в карантин. Дополнительные сведения см. в статье Подготовка приложений в карантинном состоянии.

    Снимок экрана: страница

  2. Выберите журналы подготовки, чтобы определить, какие пользователи были подготовлены успешно или неудачно. По умолчанию журналы фильтруются по идентификатору субъекта-службы конфигурации. Дополнительные сведения см. в разделе "Журналы подготовки" в идентификаторе Microsoft Entra.

    Снимок экрана: страница журналов подготовки, в которую перечислены записи журнала и их состояние.

  3. Выберите журналы аудита, чтобы просмотреть все зарегистрированные события в идентификаторе Microsoft Entra. Дополнительные сведения см. в журналах аудита в идентификаторе Microsoft Entra.

    Снимок экрана: страница журналов аудита, в которую перечислены записи журнала и их состояние.

    Журналы аудита также можно просмотреть в целевом клиенте.

  4. В целевом клиенте выберите журналы аудита пользователей>, чтобы просмотреть зарегистрированные события для управления пользователями.

    Снимок экрана: страница журналов аудита в целевом клиенте, в котором перечислены записи журнала для управления пользователями.

Шаг 14. Настройка параметров выхода

Значок целевого клиента.
Целевой клиент

Несмотря на то, что пользователи подготавливаются в целевом клиенте, они по-прежнему могут удалить себя. Если пользователи удаляют себя и находятся в области, они будут подготовлены снова во время следующего цикла подготовки. Если вы хотите запретить пользователям удалять себя из организации, необходимо настроить параметры выхода внешнего пользователя.

  1. В целевом клиенте перейдите к параметрам внешней совместной работы удостоверений удостоверений>>.

  2. В разделе "Внешний пользователь оставьте параметры" выберите, следует ли разрешить внешним пользователям покидать организацию.

Этот параметр также применяется к службе совместной работы B2B и прямому подключению B2B, поэтому если задать параметры внешнего пользователя, оставить параметры "Нет", пользователи совместной работы B2B и пользователи прямого подключения B2B не смогут оставить организацию самостоятельно. Дополнительные сведения см. в разделе "Оставьте организацию внешним пользователем".

Советы по устранению неполадок

Удаление конфигурации

Выполните следующие действия, чтобы удалить конфигурацию на странице "Конфигурации ".

  1. В исходном клиенте перейдите к синхронизации внешних>удостоверений>между клиентами.

  2. На странице "Конфигурации" добавьте флажок рядом с конфигурацией, которую вы хотите удалить.

  3. Нажмите кнопку "Удалить " и " ОК ", чтобы удалить конфигурацию.

    Снимок экрана: страница

Распространенные сценарии и решения

Симптом. Проверка подключения завершается сбоем с помощью AzureDirectoryB2BManagementPolicyCheckFailure

При настройке синхронизации между клиентами в исходном клиенте и тестировании подключения происходит сбой со следующим сообщением об ошибке:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Снимок экрана: ошибка при сбое тестового подключения с AzureDirectoryB2BManagementPolicyCheckFailure.

Причина

Эта ошибка указывает, что политика автоматического активации приглашений в исходном и целевом клиентах не была настроена.

Решение

Выполните действия, описанные на шаге 3. Автоматическое активация приглашений в целевом клиенте и шаге 4. Автоматическое активация приглашений в исходном клиенте.

Симптом. Флажок автоматического активации отключен

При настройке синхронизации между клиентами флажок автоматического активации отключен.

Снимок экрана: флажок автоматического активации отключен.

Причина

У вашего клиента нет лицензии Microsoft Entra ID P1 или P2.

Решение

Для настройки параметров доверия необходимо указать идентификатор Microsoft Entra ID P1 или P2.

Симптом. Недавно удаленный пользователь в целевом клиенте не восстанавливается

После обратимого удаления синхронизированного пользователя в целевом клиенте пользователь не восстанавливается во время следующего цикла синхронизации. Если вы пытаетесь обратимо удалить пользователя с подготовкой по запросу, а затем восстановить пользователя, это может привести к дублированию пользователей.

Причина

Восстановление ранее обратимого удаленного пользователя в целевом клиенте не поддерживается.

Решение

Вручную восстановите обратимого удаленного пользователя в целевом клиенте. Дополнительные сведения см. в разделе "Восстановление" или удаление недавно удаленного пользователя с помощью идентификатора Microsoft Entra.

Симптом. Пользователи пропускаются, так как для пользователя включен вход SMS

Пользователи пропускаются из синхронизации. Шаг области включает следующий фильтр со значением false: "Filter external users.alternativeSecurityIds EQUALS "None"

Причина

Если для пользователя включен вход SMS, он будет пропущен службой подготовки.

Решение

Отключите вход SMS для пользователей. В приведенном ниже сценарии показано, как отключить вход SMS с помощью PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Симптом. Пользователи не могут подготовиться с ошибкой AzureActiveDirectoryForbidden

Пользователи в области не могут подготовиться. Сведения о журналах подготовки включают следующее сообщение об ошибке:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Причина

Эта ошибка указывает, что параметры приглашения гостей в целевом клиенте настроены с самым строгим параметром: "Никто в организации не может приглашать гостевых пользователей, включая администраторов (наиболее строгих)".

Решение

Измените параметры приглашения гостей в целевом клиенте на менее строгий параметр. Дополнительные сведения см. в статье Настройка параметров внешнего взаимодействия.

Симптом. Имя участника-пользователя не обновляется для существующих пользователей B2B в ожидающем состоянии принятия

При первом приглашении пользователя с помощью приглашения B2B вручную приглашение отправляется на исходный почтовый адрес пользователя. В результате гостевой пользователь в целевом клиенте создается с префиксом имени участника-пользователя (UPN) с помощью свойства исходного значения почты. Существуют среды, в которых свойства исходного объекта пользователя, имя участника-пользователя и почта имеют разные значения, например Mail == user.mail@domain.com и UPN == user.upn@otherdomain.com. В этом случае гостевой пользователь в целевом клиенте будет создан с помощью имени участника-пользователя как user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Проблема возникает, когда исходный объект помещается в область для синхронизации между клиентами, и ожидается, что помимо других свойств, префикс имени участника-пользователя целевого гостевого пользователя будет обновлен, чтобы соответствовать имени участника-пользователя-пользователя-источника (используя пример выше значения: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Однако это не происходит во время добавочных циклов синхронизации, и изменение игнорируется.

Причина

Эта проблема возникает, когда пользователь B2B, который был вручную приглашен в целевой клиент, не принял или активировал приглашение, поэтому его состояние находится в ожидании принятия. При приглашении пользователя по электронной почте создается объект с набором атрибутов, заполненных из почты, одним из них является имя участника-пользователя, указывающее на значение почты исходного пользователя. Если позже вы решите добавить пользователя в область синхронизации между клиентами, система попытается присоединиться к исходному пользователю с пользователем B2B в целевом клиенте на основе атрибута alternativeSecurityIdentifier, но ранее созданный пользователь не имеет альтернативного свойстваSecurityIdentifier, так как приглашение не было активировано. Таким образом, система не будет рассматривать это как новый объект пользователя и не обновит значение имени участника-пользователя. Имя субъекта-пользователя не обновляется в следующих сценариях:

  1. Имя участника-пользователя и почта отличаются при приглашении вручную.
  2. Пользователь был приглашен до включения синхронизации между клиентами.
  3. Пользователь никогда не принял приглашение, поэтому они находятся в состоянии ожидания принятия.
  4. Пользователь попадает в область синхронизации между клиентами.

Решение

Чтобы устранить проблему, выполните подготовку по запросу для затронутых пользователей, чтобы обновить имя участника-пользователя. Вы также можете перезапустить подготовку для обновления имени участника-пользователя для всех затронутых пользователей. Обратите внимание, что этот цикл активирует начальный цикл, который может занять много времени для крупных клиентов. Чтобы получить список приглашенных пользователей вручную в ожидании принятия, можно использовать скрипт, см. приведенный ниже пример.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Затем вы можете использовать provisionOnDemand с PowerShell для каждого пользователя. Ограничение скорости для этого API составляет 5 запросов в 10 секунд. Дополнительные сведения см. в разделе "Известные ограничения для подготовки по запросу".

Следующие шаги