Configuratie van synchronisatie tussen tenants

In dit artikel worden de stappen beschreven voor het configureren van synchronisatie tussen tenants met behulp van het Microsoft Entra-beheercentrum. Wanneer deze is geconfigureerd, zorgt Microsoft Entra ID ervoor dat B2B-gebruikers in uw doeltenant automatisch worden ingericht en gedeactiveerd.

Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID.

Belangrijk

Synchronisatie tussen clouds bevindt zich momenteel in PREVIEW. Deze informatie heeft betrekking op een prereleaseproduct dat aanzienlijk kan worden gewijzigd voordat het wordt vrijgegeven. Microsoft geeft geen garanties, uitgedrukt of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

In dit artikel worden de stappen beschreven voor het configureren van synchronisatie tussen meerdere tenants tussen Microsoft-clouds. Wanneer deze is geconfigureerd, zorgt Microsoft Entra ID ervoor dat B2B-gebruikers in uw doeltenant automatisch worden ingericht en gedeactiveerd. Hoewel deze zelfstudie zich richt op het synchroniseren van identiteiten vanuit de commerciële cloud , de> Amerikaanse overheid, gelden dezelfde stappen voor de overheid -> commercieel en commercieel -> China.

Voor belangrijke informatie over wat deze service doet, hoe deze werkt en veelgestelde vragen, raadpleegt u Automate user provisioning and deprovisioning to SaaS applications with Microsoft Entra ID. Zie Kruiscloudsynchronisatie in veelgestelde vragen voor verschillen tussen synchronisatie tussen tenants en cloudsynchronisatie.

Ondersteunde cloudparen

Synchronisatie tussen tenants ondersteunt deze cloudparen:

Bron	Doel	Domeinen koppelen in de Azure portal
Azure Commercial	Azure Commercial	portal.azure.com -->portal.azure.com
Azure Overheid	Azure Overheid	portal.azure.us -->portal.azure.us

Synchronisatie tussen clouds ondersteunt deze cloudparen:

Bron	Doel	Domeinen koppelen in de Azure portal
Azure Commercial	Azure Overheid	portal.azure.com -->portal.azure.us
Azure Overheid	Azure Commercial	portal.azure.us -->portal.azure.com
Azure Commercial	Azure beheerd door 21Vianet Azure in China	portal.azure.com -->portal.azure.cn

Leerdoelen

Aan het einde van dit artikel kunt u het volgende doen:

• Maak B2B-gebruikers aan in uw doelentiteit
• B2B-gebruikers verwijderen in uw doeltenant
• Gebruikerskenmerken gesynchroniseerd houden tussen uw bron- en doeltenants

Vereisten

Brontenant

• Licentie voor Microsoft Entra ID P1 of P2. Zie Licentievereisten voor meer informatie.
• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.
• Hybride identiteitsbeheerder-rol voor het configureren van synchronisaties tussen verschillende tenants.
• De rol Van cloudtoepassingsbeheerder of toepassingsbeheerder om gebruikers toe te wijzen aan een configuratie en om een configuratie te verwijderen.

• Microsoft Entra ID Governance of Microsoft Entra Suite-licentie. Zie Licentievereisten voor meer informatie.
• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.
• Hybride identiteitsbeheerder-rol voor het configureren van synchronisaties tussen verschillende tenants.
• De rol Van cloudtoepassingsbeheerder of toepassingsbeheerder om gebruikers toe te wijzen aan een configuratie en om een configuratie te verwijderen.

Doelinrichting

• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.

• De rol Beveiligingsbeheerder voor het configureren van toegangsinstellingen voor meerdere tenants.

Stap 1: De implementatie van uw voorziening plannen

1. Definieer hoe u de tenants in uw organisatie wilt structuren.

2. Meer informatie over hoe de inrichtingsservice werkt.

3. Bepaal wie binnen de reikwijdte voor voorziening valt.

4. Bepaal welke gegevens moeten worden in kaart gebracht tussen tenants.

Stap 1: Cloudoverschrijdende instellingen inschakelen in beide tenants

Brontenant

1. Meld u aan bij het Microsoft Entra-beheercentrum van de brontenant.

2. Blader naar Entra ID>Externe identiteiten>Instellingen voor toegang tussen tenants.

3. Schakel op het tabblad Microsoft-cloudinstellingen het selectievakje in van de cloud waarmee u wilt samenwerken, zoals Microsoft Azure Government.

   De lijst met clouds is afhankelijk van de cloud waarin u zich bevindt. Zie Microsoft-cloudinstellingen voor meer informatie.

   

4. Selecteer Opslaan.

Doel

1. Meld u aan bij het Microsoft Entra-beheercentrum van de doeltenant.

2. Blader naar Entra ID>Externe identiteiten>Instellingen voor toegang tussen tenants.

3. Schakel op het tabblad Microsoft-cloudinstellingen het selectievakje synchronisatie tussen clouds in voor de brontenant, zoals Microsoft Azure Commercial.

   

   Wanneer u dit selectievakje inschakelt, wordt er een service-principal gemaakt met de volgende machtigingen:

   • User.ReadWrite.CrossCloud
   • Gebruiker.Uitnodigen.Alles
   • Organisatie.Lees.Alles
   • Beleid.Lees.Alles

4. Selecteer Opslaan.

Stap 2: Gebruikerssynchronisatie inschakelen in de doeltenant

Doelinrichting

1. Meld u aan bij het Microsoft Entra-beheercentrum van de doeltenant.

2. Blader naar Entra ID>Externe identiteiten>Instellingen voor toegang tussen tenants.

3. Selecteer Organisatie toevoegen op het tabblad Organisatie-instellingen.

4. Voeg de brontenant toe door de tenant-id of domeinnaam te typen en Toevoegen te selecteren.

   

5. Selecteer onder Binnenkomende toegang van de toegevoegde organisatie de optie Overgenomen van de standaardinstelling.

6. Selecteer het tabblad Synchronisatie tussen tenants .

7. Schakel het selectievakje Toestaan dat gebruikers worden gesynchroniseerd met deze tenant in.

   

8. Selecteer Opslaan.

9. Als u een dialoogvenster synchronisatie tussen tenants inschakelen en automatisch inwisselen ziet waarin u wordt gevraagd of u automatisch inwisselen wilt inschakelen, selecteert u Ja.

   Als u Ja selecteert, worden uitnodigingen automatisch ingewisseld in de doeltenant.

   

Stap 3: Uitnodigingen automatisch inwisselen in de doeltenant

Doelinrichting

In deze stap wisselt u automatisch uitnodigingen in, zodat gebruikers van de brontenant de toestemmingsprompt niet hoeven te accepteren. Deze instelling moet worden gecontroleerd in zowel de brontenant (uitgaand) als de doeltenant (inkomend). Zie Instelling voor automatisch inwisselen voor meer informatie.

1. Selecteer in de doeltenant op dezelfde pagina met instellingen voor binnenkomende toegang het tabblad Vertrouwensinstellingen .

2. Schakel het selectievakje Uitnodigingen automatisch inwisselen met de tenant<tenant> in.

   Dit selectievakje is mogelijk al ingeschakeld als u eerder Ja hebt geselecteerd in het dialoogvenster Synchronisatie tussen tenants en automatisch inwisselen .

   

3. Selecteer Opslaan.

Stap 4: Uitnodigingen automatisch inwisselen in de brontenant

Brontenant

In deze stap wisselt u automatisch uitnodigingen in de brontenant in.

1. Meld u aan bij het Microsoft Entra-beheercentrum van de brontenant.

2. Blader naar Entra ID>Externe identiteiten>Instellingen voor toegang tussen tenants.

3. Selecteer Organisatie toevoegen op het tabblad Organisatie-instellingen.

4. Voeg de doeltenant toe door de tenant-id of domeinnaam te typen en Toevoegen te selecteren.

   

5. Selecteer Onder Uitgaande toegang voor de doelorganisatie de optie Overgenomen van de standaardinstelling.

6. Selecteer het tabblad Vertrouwensinstellingen .

7. Schakel het selectievakje Uitnodigingen automatisch inwisselen met de tenant<tenant> in.

   

8. Selecteer Opslaan.

Stap 5: Een configuratie maken in de brontenant

Brontenant

1. In de brontenant, blader naar Entra ID>Externe Identiteiten>Synchronisatie tussen tenants.

   

   Als u de Azure-portal gebruikt, bladert u naar Microsoft Entra ID>Beheren>Cross-tenantsynchronisatie.

   

2. Kies Configuraties.

3. Selecteer Boven aan de pagina de optie Nieuwe configuratie.

4. Geef een naam op voor de configuratie.

   

5. Klik op Creëren.

   Het kan tot 15 seconden duren voordat de configuratie die u zojuist hebt gemaakt, wordt weergegeven in de lijst.

4. Geef een naam op voor de configuratie.

5. Schakel het selectievakje Synchronisatie tussen tenants instellen in microsoft-clouds in.

   

6. Klik op Creëren.

   Het kan tot 15 seconden duren voordat de configuratie die u zojuist hebt gemaakt, wordt weergegeven in de lijst.

   Op de pagina Configuraties voor synchronisatie tussen clouds zijn de kolommen Tenantnaam en Tenant-id leeg.

Stap 6: De verbinding met de doeltenant testen

Brontenant

1. In de brontenant ziet u de nieuwe configuratie. Zo niet, selecteert u uw configuratie in de configuratielijst.

   

2. Selecteer Aan de slag.

3. Stel de provisioning-modus in naar Automatisch.

4. Wijzig in de sectie Referenties voor beheerder de verificatiemethode in synchronisatiebeleid voor meerdere tenants.

   

5. Voer in het vak Tenant-id de tenant-id van de doeltenant in.

6. Selecteer Verbinding testen om de verbinding te testen.

   U zou een bericht moeten zien dat de opgegeven inloggegevens geautoriseerd zijn om provisioning in te schakelen. Als de testverbinding mislukt, raadpleegt u algemene scenario's en oplossingen verderop in dit artikel.

   

7. Selecteer Opslaan.

   De secties toewijzingen en instellingen worden weergegeven.

8. Sluit de pagina Inrichten .

Stap 7: Definieer wie binnen de reikwijdte valt voor provisioning

Brontenant

Met de Microsoft Entra-inrichtingsservice kunt u definiëren wie op een of beide van de volgende manieren wordt ingericht:

• Op basis van toewijzing aan de configuratie
• Op basis van kenmerken van de gebruiker

Begin klein. Test met een kleine set gebruikers voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers toe te wijzen aan de configuratie. U kunt verder verfijnen wie binnen het bereik voor inrichting valt door bereikfilters op basis van kenmerken te maken, zoals beschreven in de volgende stap.

1. Selecteer Inrichten in de brontenant en vouw de sectie Instellingen uit.

   

2. Selecteer in de lijst Bereik of u alle gebruikers in de brontenant wilt synchroniseren of alleen gebruikers die zijn toegewezen aan de configuratie.

   Het is raadzaam om alleen toegewezen gebruikers en groepen sync te selecteren in plaats van alle gebruikers en groepen te synchroniseren. Door het aantal gebruikers in het bereik te verminderen, worden de prestaties verbeterd.

3. Als u wijzigingen hebt aangebracht, selecteert u Opslaan.

4. Selecteer gebruikers en groepen op de configuratiepagina.

   Synchronisatie tussen tenants werkt alleen als ten minste één interne gebruiker aan de configuratie is toegewezen.

5. Selecteer Gebruiker/groep toevoegen.

6. Selecteer Op de pagina Toewijzing toevoegen onder Gebruikers en groepen de optie Geen geselecteerd.

7. Zoek en selecteer in het deelvenster Gebruikers en groepen een of meer interne gebruikers of groepen die u wilt toewijzen aan de configuratie.

   Als u een groep selecteert die aan de configuratie moet worden toegewezen, komen alleen gebruikers die directe leden in de groep zijn in aanmerking voor voorziening. U kunt een statische groep of een dynamische groep selecteren. De toewijzing cascadeert niet naar geneste groepen.

8. Selecteer Selecteren.

9. Selecteer Toewijzen.

   

   Zie Gebruikers en groepen toewijzen aan een toepassing voor meer informatie.

Stap 8: (Optioneel) Bepalen wie binnen het bereik voor inrichting met bereikfilters valt

Brontenant

Ongeacht de waarde die u in de vorige stap hebt geselecteerd voor Bereik , kunt u verder beperken welke gebruikers worden gesynchroniseerd door bereikfilters op basis van kenmerken te maken.

1. Selecteer inrichten in de brontenant en vouw de sectie Toewijzingen uit.

   

2. Selecteer Microsoft Entra ID-gebruikers inrichten om de pagina Kenmerktoewijzing te openen.

3. Selecteer onder Bereik van bronobjectalle records.

   

4. Selecteer op de pagina Bereik van bronobject de optie Bereikfilter toevoegen.

5. Voeg bereikfilters toe om te bepalen welke gebruikers binnen het bereik van toewijzing vallen.

   Als u bereikfilters wilt configureren, raadpleegt u de instructies in het toewijzen van scope aan gebruikers of groepen die met behulp van bereikfilters moeten worden ingericht.

   

6. Selecteer OK en Opslaan om wijzigingen op te slaan.

   Als u een filter hebt toegevoegd, ziet u een bericht dat het opslaan van uw wijzigingen ertoe leidt dat alle toegewezen gebruikers en groepen opnieuw worden gesynchroniseerd. Dit kan lang duren, afhankelijk van de grootte van uw map.

7. Selecteer Ja en sluit de pagina Kenmerktoewijzing .

Stap 9: Attribuutovereenkomsten controleren

Brontenant

Met kenmerktoewijzingen kunt u definiëren hoe gegevens moeten stromen tussen de brontenant en de doeltenant. Zie Tutorial - Kenmerktoewijzingen voor SaaS-toepassingen in Microsoft Entra ID aanpassen voor informatie over het aanpassen van de standaardkenmerktoewijzingen.

1. Selecteer inrichten in de brontenant en vouw de sectie Toewijzingen uit.

2. Selecteer Microsoft Entra ID-gebruikers voorzien.

3. Schuif op de pagina Kenmerktoewijzing omlaag om de gebruikerskenmerken te controleren die zijn gesynchroniseerd tussen tenants in de sectie Kenmerktoewijzingen .

   Het eerste kenmerk, alternativeSecurityIdentifier, is een intern kenmerk dat wordt gebruikt om de gebruiker uniek te identificeren in tenants, gebruikers in de brontenant te koppelen aan bestaande gebruikers in de doeltenant en ervoor te zorgen dat elke gebruiker slechts één account heeft. Het overeenkomende kenmerk kan niet worden gewijzigd. Als u het overeenkomende kenmerk probeert te wijzigen of extra overeenkomende kenmerken toevoegt, treedt er een schemaInvalid fout op.

   

4. Selecteer het kenmerk Member (userType) om de pagina Kenmerk bewerken te openen.

5. Controleer de instelling Constante waarde voor het kenmerk userType .

   Deze instelling definieert het type gebruiker dat wordt gemaakt in de doeltenant en kan een van de waarden in de volgende tabel zijn. Standaard worden gebruikers gemaakt als extern lid (B2B-samenwerkingsgebruikers). Zie Eigenschappen van een Microsoft Entra B2B-samenwerkingsgebruiker voor meer informatie.

   Constante waarde	Beschrijving
   Lid	Standaard. Gebruikers worden aangemaakt als externe gebruikers (B2B-samenwerkingsgebruikers) in de doeltenant. Gebruikers kunnen als elk intern lid van de doeltenant optreden.
   Gast	Gebruikers worden aangemaakt als externe gasten (B2B-samenwerkingsgebruikers) in de doeltenant.

   Notitie

   Als de B2B-gebruiker al bestaat in de doeltenant, wordt Member (userType) niet gewijzigd in Lid, tenzij de instelling Deze toewijzing toepassen is ingesteld op Altijd.

   Het gebruikerstype dat u kiest, heeft de volgende beperkingen voor apps of services (maar zijn niet beperkt tot):

   App of dienst	Beperkingen
   Power BI	- Ondersteuning voor UserType Member in Power BI is momenteel in preview. Zie Power BI-inhoud distribueren naar externe gastgebruikers met Microsoft Entra B2B voor meer informatie.
   Azure Virtual Desktop	- Zie Vereisten voor Azure Virtual Desktop voor beperkingen.
   Microsoft Teams	- Zie Samenwerken met gasten uit andere Microsoft 365-cloudomgevingen voor beperkingen.

   

6. Als u transformaties wilt definiëren, selecteert u op de pagina Kenmerktoewijzing het kenmerk dat u wilt transformeren, zoals displayName.

7. Stel het toewijzingstype in op Expressie.

8. Voer in het vak Expressie de transformatie-expressie in. Met de weergavenaam kunt u bijvoorbeeld het volgende doen:

   • Draai de voornaam en achternaam om en voeg er een komma tussen.
   • Voeg de domeinnaam tussen haakjes toe aan het einde van de weergavenaam.

   Zie Referentie voor het schrijven van expressies voor kenmerktoewijzingen in Microsoft Entra-id voor voorbeelden.

   

Aanbeveling

U kunt directory-extensies toewijzen door het schema van de synchronisatie tussen tenants bij te werken. Voor meer informatie, zie Map directory-extensies in synchronisatie tussen tenants.

Stap 10: Aanvullende inrichtingsinstellingen opgeven

Brontenant

1. Selecteer Inrichten in de brontenant en vouw de sectie Instellingen uit.

   

2. Schakel het selectievakje Een e-mailmelding verzenden in wanneer er een fout optreedt .

3. Voer in het vak E-mailmelding het e-mailadres in van een persoon of groep die foutmeldingen voor inrichtingsfouten moet ontvangen.

   E-mailmeldingen worden verzonden binnen 24 uur nadat de taak de quarantainestatus heeft ingevoerd. Zie Begrijpen hoe inrichting wordt geïntegreerd met Azure Monitor-logboeken voor aangepaste waarschuwingen.

4. Als u onbedoeld verwijderen wilt voorkomen, selecteert u Onbedoeld verwijderen voorkomen en geeft u een drempelwaarde op. De drempelwaarde is standaard ingesteld op 500.

   Zie Preventie van onbedoelde verwijderingen inschakelen in de Microsoft Entra-inrichtingsservice voor meer informatie.

5. Selecteer Opslaan om wijzigingen op te slaan.

Stap 11: Voorziening op aanvraag testen

Brontenant

Nu u een configuratie hebt, kunt u inrichting op aanvraag testen met een van uw gebruikers.

1. In de brontenant, blader naar Entra ID>Externe Identiteiten>Synchronisatie tussen tenants.

2. Selecteer Configuraties en selecteer vervolgens uw configuratie.

3. Selecteer Voorziening op aanvraag.

4. Zoek en selecteer een van uw testgebruikers in het vak Een gebruiker of groep selecteren.

   

5. Selecteer Provisioneren.

   Na enkele ogenblikken wordt de actiepagina Uitvoeren weergegeven met informatie over het inrichten van de testgebruiker in de doeltenant.

   

   Als de gebruiker niet binnen het bereik valt, ziet u een pagina met informatie over waarom de testgebruiker is overgeslagen.

   

   Op de pagina Inrichten op aanvraag kunt u details over de inrichting bekijken en de optie hebben om het opnieuw te proberen.

   

6. Controleer in de doelomgeving of de testgebruiker is aangemaakt.

   

7. Als alles werkt zoals verwacht, wijst u extra gebruikers toe aan de configuratie.

   Voor meer informatie, zie Inrichting op aanvraag in Microsoft Entra ID.

Stap 12: De inrichtingstaak starten

Brontenant

De inrichtingstaak start de eerste synchronisatiecyclus van alle gebruikers die zijn gedefinieerd in het bereik van de sectie Instellingen . De eerste cyclus duurt langer dan volgende cycli, die ongeveer om de 40 minuten plaatsvinden zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

1. In de brontenant, blader naar Entra ID>Externe Identiteiten>Synchronisatie tussen tenants.

2. Selecteer Configuraties en selecteer vervolgens uw configuratie.

3. Bekijk de voorzieningsdetails op de pagina Overzicht.

   

4. Selecteer Voorziening starten om de voorzieningstaak te starten.

Stap 13: Voorziening bewaken

Bron- en doeltenants

Zodra u een inrichtingstaak hebt gestart, kunt u de status controleren.

1. Controleer in de brontenant op de pagina Overzicht de voortgangsbalk om de status van de inrichtingscyclus te zien en hoe dicht deze is voltooid. Zie voor meer informatie De status van het inrichten van gebruikers controleren.

   Als de voorziening zich in een ongezonde staat bevindt, wordt de configuratie in quarantaine geplaatst. Zie Toepassingsinrichting in quarantainestatus voor meer informatie.

   

2. Selecteer Inrichtingslogboeken om te bepalen welke gebruikers succesvol of onsuccesvol zijn ingericht. De logboeken worden standaard gefilterd op de service-principal-id van de configuratie. Zie Inrichtingslogboeken in Microsoft Entra ID voor meer informatie.

   

3. Selecteer Auditlogboeken om alle vastgelegde gebeurtenissen in Microsoft Entra-id weer te geven. Zie Auditlogboeken in Microsoft Entra ID voor meer informatie.

   

   U kunt ook auditlogboeken weergeven in de doeltenant.

4. Selecteer in de doeltenant gebruikers>Auditlogboeken om geregistreerde gebeurtenissen voor gebruikersbeheer weer te geven. Synchronisatie tussen tenants in de doeltenant wordt geregistreerd, waarbij als actor de toepassing "Microsoft.Azure.SyncFabric" wordt vermeld.

   

Stap 14: Instellingen voor verlaten configureren

Doelinrichting

Hoewel gebruikers in de doeltenant worden aangemaakt, kunnen ze mogelijk nog steeds hun eigen account verwijderen. Als gebruikers hun account verwijderen en ze binnen scope vallen, worden ze opnieuw ingericht tijdens de volgende cyclus van voorziening. Als u de mogelijkheid voor gebruikers om zichzelf uit uw organisatie te verwijderen niet wilt toestaan, moet u de instellingen voor verlaten van externe gebruikers configureren.

1. Blader in de doeltenant naar Entra ID>Externe identiteiten>Instellingen voor externe samenwerking.

2. Kies onder Instellingen voor extern gebruikersverlof of externe gebruikers uw organisatie zelf mogen verlaten.

Deze instelling is ook van toepassing op B2B-samenwerking en B2B directe verbinding, dus als u instellingen voor extern gebruikersverlof instelt op Nee, B2B-samenwerkingsgebruikers en B2B-directe verbinding kunnen gebruikers uw organisatie niet zelf verlaten. Zie Een organisatie verlaten als externe gebruiker voor meer informatie.

Algemene scenario's en oplossingen

Symptoom: testverbinding mislukt met AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure

Bij het configureren van synchronisatie tussen tenants in de brontenant en u de verbinding test, mislukt dit met een van de volgende foutberichten:

Automatische inwisseling is niet geconfigureerd in de brontenant

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The source tenant has not enabled automatic user consent with the target tenant. Please enable the outbound cross-tenant access policy for automatic user consent in the source tenant. aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Automatische inwisseling is niet ingesteld in de doeltenant

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The target tenant has not enabled inbound synchronization with this tenant. Please request the target tenant admin to enable the inbound synchronization on their cross-tenant access policy. Learn more: aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

Oorzaak

Deze fout geeft aan dat het beleid voor het automatisch inwisselen van uitnodigingen in de bron- en/of doeltenant niet is ingesteld.

Oplossing

Volg de stappen in stap 3: Uitnodigingen automatisch inwisselen in de doeltenant en stap 4: Uitnodigingen automatisch inwisselen in de brontenant.

Symptoom - Testverbinding mislukt met ExternalTenantNotFound

Wanneer u synchronisatie tussen clouds configureert in de brontenant en u de verbinding test, mislukt dit met het volgende foutbericht:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: ExternalTenantNotFound
Details: This tenant was not found by the authentication authority of the current cloud: <targetTenantId>. The authentication authority is https://login.microsoftonline.com/<targetTenantId>.

Oorzaak

Deze fout geeft aan dat het selectievakje Synchronisatie tussen Microsoft-cloudtenants instellen niet is ingeschakeld. 

Oplossing

1. Verwijder in de brontenant de configuratie die u hebt gemaakt die geen verbinding kan maken.

2. Maak in de doeltenant een nieuwe configuratie en zorg ervoor dat u het selectievakje Synchronisatie tussen tenants instellen in Microsoft-clouds inschakelt, zoals beschreven in stap 5: Een configuratie maken in de brontenant.

Symptoom: de verbinding testen mislukt met AzureActiveDirectoryTokenExpired

Wanneer u synchronisatie tussen clouds configureert in de brontenant en u de verbinding test, mislukt dit met het volgende foutbericht:

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryTokenExpired
Details: The identity of the calling application could not be established.

Oorzaak

Deze fout geeft aan dat de instelling voor meerdere clouds voor synchronisatie niet is ingeschakeld. 

Oplossing

Schakel in de doeltenant op het tabblad Microsoft-cloudinstellingen het selectievakje synchronisatie tussen clouds in voor de brontenant. Volg de stappen in Stap 1: Schakel cross-cloudinstellingen in beide tenants in.

Symptoom - Het selectievakje Automatische inwisseling is uitgeschakeld

Bij het configureren van synchronisatie tussen tenants is het selectievakje Automatisch inwisselen uitgeschakeld.

Oorzaak

Uw tenant heeft geen Licentie voor Microsoft Entra ID P1 of P2.

Oplossing

U moet Microsoft Entra ID P1 of P2 hebben om vertrouwensinstellingen te configureren.

Symptoom: onlangs verwijderde gebruiker in de doeltenant wordt niet hersteld

Nadat een gesynchroniseerde gebruiker in de doeltenant voorlopig is verwijderd, wordt de gebruiker niet hersteld tijdens de volgende synchronisatiecyclus. Als u probeert een gebruiker met on-demand voorziening tijdelijk te verwijderen en de gebruiker vervolgens te herstellen, kan dit tot dubbele gebruikers leiden.

Oorzaak

Het herstellen van een eerder tijdelijk verwijderde gebruiker in de doeltenant wordt niet ondersteund.

Oplossing

Herstel de voorlopig verwijderde gebruiker handmatig in de doeltenant. Zie Een onlangs verwijderde gebruiker herstellen of verwijderen met behulp van Microsoft Entra-id voor meer informatie.

Symptoom: gebruikers worden overgeslagen omdat sms-aanmelding is ingeschakeld voor de gebruiker

Gebruikers worden overgeslagen uit synchronisatie. De scopingstap bevat het volgende filter met de status 'false': "Filter external users.alternativeSecurityIds EQUALS 'None'"

Oorzaak

Als sms-aanmelding is ingeschakeld voor een gebruiker, worden ze overgeslagen door de voorzieningsdienst.

Oplossing

Schakel sms-aanmelding voor de gebruikers uit. In het onderstaande script ziet u hoe u sms-aanmelding kunt uitschakelen met behulp van PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Symptoom – gebruikers kunnen niet provisioneren met fout AzureActiveDirectoryForbidden

Gebruikers binnen de scope lukt het niet om in te richten. De details van de voorzieningslogboeken bevatten het volgende foutbericht:

Guest invitations not allowed for your company. Contact your company administrator for more details.

Oorzaak

Deze fout geeft aan dat de instellingen voor gastuitnodigingen in de doeltenant zijn geconfigureerd met de meest beperkende instelling: 'Niemand in de organisatie kan gastgebruikers uitnodigen, inclusief beheerders (meest beperkend)'.

Oplossing

Wijzig de instellingen voor gastnodiging in de doeltenant in een minder beperkende instelling. Zie Instellingen voor externe samenwerking configureren voor meer informatie.

Probleem: UserPrincipalName wordt niet bijgewerkt voor bestaande B2B-gebruikers in afwachting van acceptatie

Wanneer een gebruiker voor het eerst wordt uitgenodigd via handmatige B2B-uitnodiging, wordt de uitnodiging verzonden naar het e-mailadres van de brongebruiker. Als gevolg hiervan wordt de gastgebruiker in de doeltenant gemaakt met een UserPrincipalName (UPN)-voorvoegsel dat gebruikmaakt van de eigenschap 'mailwaarde van de bron'. Er zijn omgevingen waarin de eigenschappen van het brongebruikersobject, UPN en Mail, verschillende waarden hebben, bijvoorbeeld Mail == user.mail@domain.com en UPN == user.upn@otherdomain.com. In dit geval wordt de gastgebruiker in de doeltenant gemaakt met de UPN als user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Het probleem doet zich voor wanneer het bronobject binnen het bereik voor synchronisatie tussen tenants wordt geplaatst en de verwachting is dat naast andere eigenschappen het UPN-voorvoegsel van de doelgastgebruiker wordt bijgewerkt zodat het overeenkomt met de UPN van de brongebruiker (met behulp van het bovenstaande voorbeeld is: user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Dat gebeurt echter niet tijdens incrementele synchronisatiecycli en de wijziging wordt genegeerd.

Oorzaak

Dit probleem treedt op wanneer de B2B-gebruiker die handmatig is uitgenodigd voor de doeltenant de uitnodiging niet heeft geaccepteerd of niet heeft ingewisseld, waardoor de status nog in afwachting van acceptatie is. Wanneer een gebruiker wordt uitgenodigd via een e-mailbericht, wordt een object gemaakt met een set kenmerken die zijn ingevuld vanuit de e-mail, een van hen is de UPN, die verwijst naar de e-mailwaarde van de brongebruiker. Als u later besluit de gebruiker toe te voegen aan het bereik voor synchronisatie tussen tenants, zal het systeem proberen de brongebruiker te koppelen aan een B2B-gebruiker in de doeltenant op basis van het kenmerk alternativeSecurityIdentifier, maar de eerder gemaakte gebruiker heeft geen alternativeSecurityIdentifier-eigenschap ingevuld, omdat de uitnodiging niet werd ingewisseld. Het systeem beschouwt dit dus niet als een nieuw gebruikersobject en werkt de UPN-waarde niet bij. De UserPrincipalName wordt niet bijgewerkt in de volgende scenario's:

1. De UPN en e-mail verschillen voor een gebruiker wanneer ze handmatig zijn uitgenodigd.
2. De gebruiker is uitgenodigd vóór het inschakelen van synchronisatie tussen tenants.
3. De gebruiker heeft de uitnodiging nooit geaccepteerd, waardoor de gebruiker in de status "in afwachting van acceptatie" is.
4. De gebruiker wordt opgenomen in het bereik voor synchronisatie tussen tenants.

Oplossing

U kunt het probleem oplossen door voor de betrokken gebruikers on-demand provisioning uit te voeren om de UPN bij te werken. U kunt de inrichting ook opnieuw starten om de UPN voor alle betrokken gebruikers bij te werken. Houd er rekening mee dat dit een initiële cyclus activeert, wat lang kan duren voor grote tenants. Om een lijst te verkrijgen van handmatig uitgenodigde gebruikers die in afwachting van acceptatie zijn, kunt u een script gebruiken. Zie het volgende voorbeeld.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Vervolgens kunt u provisionOnDemand gebruiken met PowerShell voor elke gebruiker. De frequentielimiet voor deze API is 5 aanvragen per 10 seconden. Zie voor meer informatie Bekende beperkingen voor inrichting op aanvraag.

Volgende stappen

• Handleiding: Rapportage over automatische inrichting van gebruikersaccounts
• Het inrichten van gebruikersaccounts voor zakelijke apps beheren in Azure Portal
• Wat is eenmalige aanmelding in Microsoft Entra ID?