Partilhar via


Solucionar problemas comuns com a colaboração B2B do Microsoft Entra

Aplica-se a:Círculo verde com um símbolo de marca de verificação branco. Locatários da força deCírculo branco com um símbolo X cinzento. trabalho Locatários externos (saiba mais)

Aqui estão algumas soluções para problemas comuns com a colaboração B2B do Microsoft Entra.

O início de sessão de convidado falha com o código de erro AADSTS50020

Quando um usuário convidado de um provedor de identidade (IdP) não pode entrar em um locatário de recurso no Microsoft Entra ID e recebe um código de erro AADSTS50020, há várias causas possíveis. Consulte o artigo de solução de problemas para AADSTS50020 de erros.

O usuário de conexão direta B2B não consegue acessar um canal compartilhado (erro AADSTS90071)

Quando uma conexão direta B2B vê a seguinte mensagem de erro ao tentar acessar o canal compartilhado do Teams de outra organização, as configurações de confiança de autenticação multifator não foram definidas pela organização externa:

A organização que você está tentando acessar precisa atualizar suas configurações para permitir que você entre.

AADSTS90071: Um administrador da organização> deve atualizar suas configurações de <acesso para aceitar a autenticação multifator de entrada.

A organização que hospeda o canal compartilhado do Teams deve habilitar a configuração de confiança para autenticação multifator para permitir o acesso a usuários de conexão direta B2B. As configurações de confiança são configuráveis nas configurações de acesso entre locatários de uma organização.

Um erro semelhante a "Falha na atualização da política devido ao limite de objetos" aparece ao configurar as configurações de acesso entre locatários

Ao definir as configurações de acesso entre locatários, se receber um erro que diz "Falha na atualização da política devido ao limite de objetos", você atingiu o limite de objeto de política de 25 KB. Estamos trabalhando para aumentar esse limite. Se você precisar ser capaz de calcular o quão próxima a política atual está desse limite, faça o seguinte:

  1. Abra o Microsoft Graph Explorer e execute o seguinte:

    GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy

  2. Copie toda a resposta JSON e salve-a como um arquivo txt, por exemplo policyobject.txt.

  3. Abra o PowerShell e execute o seguinte script, substituindo o local do arquivo na primeira linha pelo seu arquivo de texto:

$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25 
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy) 
write-host "Remaining Bytes available in policy object" 
$maxSize - $size 
write-host "Is current policy within limits?" 
if ($size -le $maxSize) { return “valid” }; else { return “invalid” } 

Os usuários não podem mais ler emails criptografados com o Microsoft Rights Management Service (OME))

À medida que você define as configurações de acesso entre locatários, se você bloquear o acesso a todos os aplicativos por padrão, os usuários não poderão ler emails criptografados com o Microsoft Rights Management Service (também conhecido como OME). Para evitar esse problema, recomendamos configurar as configurações de saída para permitir que os usuários acessem este ID do aplicativo: 00000012-0000-0000-c000-000000000000. Se este for o único aplicativo permitido, o acesso a todos os outros aplicativos será bloqueado por padrão.

Adicionei um utilizador externo, mas não o vejo no meu Livro de Endereços Global ou no seletor de pessoas

Nos casos em que os usuários externos não são preenchidos na lista, o objeto pode levar alguns minutos para ser replicado.

Um usuário convidado B2B não está aparecendo no seletor de pessoas do SharePoint Online/OneDrive

A capacidade de pesquisar usuários convidados existentes no seletor de pessoas do SharePoint Online (SPO) está DESATIVADA por padrão para corresponder ao comportamento herdado.

Você pode habilitar esse recurso usando a configuração 'ShowPeoplePickerSuggestionsForGuestUsers' no nível do locatário e do conjunto de sites. Você pode definir o recurso usando os cmdlets Set-SPOTenant e Set-SPOSite, que permitem que os membros pesquisem todos os usuários convidados existentes no diretório. As alterações no escopo do locatário não afetam os sites SPO já provisionados.

As minhas definições de convite convidado e restrições de domínio não estão a ser respeitadas pelo SharePoint Online/OneDrive

Por padrão, o SharePoint Online e o OneDrive têm seu próprio conjunto de opções de usuário externo e não usam as configurações do Microsoft Entra ID. Você precisa habilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para garantir que as opções sejam consistentes entre esses aplicativos.

Os convites foram desativados para o diretório

Se você for notificado de que não tem permissões para convidar usuários, verifique se sua conta de usuário está autorizada a convidar usuários externos em Usuários do Microsoft Entra ID > Configurações > > do usuário Usuários Utilizadores > externos Gerenciar configurações de colaboração externa:

Captura de ecrã a mostrar as definições de Utilizador Externo.

Se você modificou recentemente essas configurações ou atribuiu a função Guest Inviter a um usuário, pode haver um atraso de 15 a 60 minutos antes que as alterações entrem em vigor.

O usuário que convidei está recebendo um erro durante o processo de resgate

Os erros comuns incluem:

O administrador do convidado não permitiu que os usuários do EmailVerified fossem criados em seu locatário

Ao convidar usuários cuja organização está usando o Microsoft Entra ID, mas onde a conta do usuário específico não existe (por exemplo, o usuário não existe no Microsoft Entra contoso.com). O administrador do contoso.com pode ter uma política em vigor impedindo que os usuários sejam criados. O usuário deve verificar com seu administrador para determinar se os usuários externos são permitidos. O administrador do usuário externo pode precisar permitir usuários verificados por e-mail em seu domínio (consulte este artigo sobre como permitir usuários verificados por e-mail).

Captura de ecrã do erro a indicar que o inquilino não permite utilizadores verificados por e-mail.

O usuário externo ainda não existe em um domínio federado

Se você estiver usando a autenticação de federação e o usuário ainda não existir no Microsoft Entra ID, o usuário não poderá ser convidado.

Para resolver esse problema, o administrador do usuário externo deve sincronizar a conta do usuário com o ID do Microsoft Entra.

O usuário externo tem um proxyAddress que entra em conflito com um proxyAddress de um usuário local existente

Quando verificamos se um usuário pode ser convidado para seu locatário, uma das coisas que verificamos é se há uma colisão no proxyAddress. Isso inclui qualquer proxyAddresses para o usuário em seu locatário doméstico e qualquer proxyAddress para usuários locais em seu locatário. Para usuários externos, adicionaremos o e-mail ao proxyAddress do usuário B2B existente. Para utilizadores locais, pode pedir-lhes para iniciar sessão utilizando a conta que já possuem.

Não consigo convidar um endereço de e-mail devido a um conflito em proxyAddresses

Isto acontece quando outro objeto no diretório tem o mesmo endereço de e-mail convidado que um dos respetivos proxyAddresses. O outro objeto conflitante pode ser um Usuário, Grupo ou Contato do Microsoft 365.

Para corrigir esse conflito, procure o endereço de email no centro de administração do Microsoft 365 para localizar o objeto conflitante. Você deve remover o endereço de email usando a API do Microsoft Graph.

Para corrigir esse conflito:

  1. Inicie sessão no centro de administração do Microsoft 365.
  2. Navegue até Usuários>Todos os usuários e procure o endereço de e-mail que você está tentando convidar.
  3. Remova o email do objeto de usuário do Microsoft Graph.
  4. Navegue até Contatos dos usuários>para ver se há um contato usando esse endereço de e-mail.
  5. Remova o objeto de contato associado do Microsoft Graph.
  6. Navegue até Teams & groups>Ative teams & groups e procure o endereço de e-mail que está a tentar convidar e altere o endereço de e-mail se encontrado.

Depois de remover o endereço de e-mail conflitante, você pode convidar o usuário.

Em um objeto de usuário convidado, o atributo proxyAddresses ou email não é preenchido

Quando você adiciona ou convida um convidado com um email que corresponde a um objeto Contact existente no diretório, a propriedade proxyAddresses no objeto de usuário convidado não é preenchida. Além disso, ao sincronizar objetos de contato do AD local, se um usuário convidado tiver uma propriedade proxyAddresses correspondente, a propriedade proxyAddresses conflitante será removida do usuário convidado existente.

O processo de resgate de convite foi atualizado para que esse cenário não cause mais problemas com o resgate just-in-time ou a autenticação de senha única por e-mail. Anteriormente, o ID externo pesquisava apenas a propriedade proxyAddresses e, portanto, o resgate com um link direto ou uma senha única falhava quando não era possível encontrar uma correspondência. Agora, o ID externo pesquisa os proxyAddresses e as propriedades de e-mail convidado.

Se você quiser identificar objetos de usuário conflitantes em seu diretório, use estas etapas do PowerShell:

  1. Abra o módulo Microsoft Graph PowerShell e execute Connect-MgGrapho .
  2. Entre como pelo menos um Leitor de Diretório no locatário do Microsoft Entra para o qual você deseja verificar se há objetos de contato duplicados.
  3. Execute o comando Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}PowerShell .

Como é que '#', que normalmente não é um caractere válido, sincroniza com o Microsoft Entra ID?

"#" é um caractere reservado em UPNs para colaboração B2B do Microsoft Entra ou usuários externos, porque a conta user@contoso.com convidada se torna user_contoso.com#EXT#@fabrikam.onmicrosoft.com. Portanto, # em UPNs provenientes do local não têm permissão para entrar no centro de administração do Microsoft Entra.

Recebo um erro ao adicionar utilizadores externos a um grupo sincronizado

Os usuários externos podem ser adicionados apenas a grupos "atribuídos" ou "Segurança" e não a grupos que são dominados localmente.

Meu usuário externo não recebeu um e-mail para resgatar

O convidado deve verificar com o seu ISP ou filtro de spam para garantir que o seguinte endereço é permitido: Invites@microsoft.com.

Nota

  • Para o serviço do Azure operado pela 21Vianet na China, o endereço do remetente é Invites@oe.21vianet.com.
  • Para a nuvem Microsoft Entra Government, o endereço do remetente é invites@azuread.us.

Percebo que, às vezes, a mensagem personalizada não é incluída nas mensagens de convite

Para cumprir as leis de privacidade, nossas APIs não incluem mensagens personalizadas no convite por e-mail quando:

  • O convidado não tem um endereço de e-mail no inquilino convidado
  • Quando uma entidade de segurança do appservice envia o convite

Se esse cenário for importante para você, você pode suprimir nosso e-mail de convite da API e enviá-lo através do mecanismo de e-mail de sua escolha. Consulte o advogado da sua organização para se certificar de que qualquer e-mail enviado desta forma também está em conformidade com as leis de privacidade.

Recebe um erro "AADSTS65005" quando tenta iniciar sessão num recurso do Azure

Um usuário que tem uma conta de convidado não pode entrar e está recebendo a seguinte mensagem de erro:

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

O usuário tem uma conta de usuário do Azure e é um locatário viral que foi abandonado ou não gerenciado. Além disso, não há administradores no locatário.

Para resolver esse problema, você deve assumir o inquilino abandonado. Consulte Assumir um diretório não gerenciado como administrador na ID do Microsoft Entra. Você também deve acessar o DNS voltado para a Internet para o sufixo de domínio em questão para fornecer evidências diretas de que você está no controle do namespace. Depois que o locatário retornar a um estado gerenciado, discuta com o cliente se deixar os usuários e o nome de domínio verificado é a melhor opção para sua organização.

Um usuário convidado com um locatário just-in-time ou "viral" não consegue redefinir sua senha

Se o locatário de identidade for um locatário just-in-time (JIT) ou viral (o que significa que é um locatário do Azure separado e não gerenciado), somente o usuário convidado poderá redefinir sua senha. Às vezes, uma organização assume o gerenciamento de locatários virais que são criados quando os funcionários usam seus endereços de e-mail de trabalho para se inscrever em serviços. Depois que a organização assume um locatário viral, somente um administrador dessa organização pode redefinir a senha do usuário ou habilitar o SSPR. Se necessário, como organização convidante, você pode remover a conta de usuário convidado do seu diretório e reenviar um convite.

Um usuário convidado não consegue usar o módulo Azure AD PowerShell V1

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

A partir de 18 de novembro de 2019, os usuários convidados em seu diretório (definidos como contas de usuário em que a propriedade userType é igual a Guest) serão impedidos de usar o módulo Azure AD PowerShell V1. No futuro, um usuário precisará ser um usuário membro (onde userType é igual a Member) ou usar o módulo Azure AD PowerShell V2.

Em um locatário do Azure US Government, não consigo convidar um usuário convidado de colaboração B2B

Na nuvem do Azure US Government, a colaboração B2B é habilitada entre locatários que estão na nuvem do Azure US Government e que dão suporte à colaboração B2B. Se você convidar um usuário em um locatário que ainda não oferece suporte à colaboração B2B, receberá um erro. Para obter detalhes e limitações, consulte Variações do Microsoft Entra ID P1 e P2.

Se precisar de colaborar com uma organização Microsoft Entra que esteja fora da nuvem do Azure US Government, pode utilizar as definições de nuvem da Microsoft para ativar a colaboração B2B.

O convite está bloqueado devido a políticas de acesso entre locatários

Quando tenta convidar um utilizador de colaboração B2B, poderá ver esta mensagem de erro: "Este convite está bloqueado pelas definições de acesso entre inquilinos. Os administradores da sua organização e da organização do usuário convidado devem definir as configurações de acesso entre locatários para permitir o convite." Essa mensagem de erro aparecerá, se a colaboração B2B for suportada, mas for bloqueada pelas configurações de acesso entre locatários. Verifique as configurações de acesso entre locatários e verifique se as configurações permitem a colaboração B2B com o usuário. Ao tentar colaborar com outra organização do Microsoft Entra em uma nuvem separada do Microsoft Azure, você pode usar as configurações de nuvem da Microsoft para habilitar a colaboração B2B do Microsoft Entra.

O convite está bloqueado devido à desativação do aplicativo Microsoft B2B Cross Cloud Worker

Raramente, você pode ver esta mensagem: "Esta ação não pode ser concluída porque o aplicativo Microsoft B2B Cross Cloud Worker foi desativado no locatário do usuário convidado. Peça ao administrador do usuário convidado para reativá-lo e tente novamente." Este erro significa que o aplicativo Microsoft B2B Cross Cloud Worker foi desativado no locatário doméstico do usuário de colaboração B2B. Este aplicativo normalmente é habilitado, mas pode ter sido desabilitado por um administrador no locatário inicial do usuário, seja por meio do PowerShell ou do centro de administração do Microsoft Entra (consulte Desabilitar como um usuário entra). Um administrador no locatário doméstico do usuário pode reativar o aplicativo por meio do PowerShell ou do centro de administração do Microsoft Entra. No centro de administração, procure por "Microsoft B2B Cross Cloud Worker" para encontrar o aplicativo, selecione-o e escolha reativá-lo.

Recebo o erro de que o Microsoft Entra ID não consegue encontrar o no meu inquilino aad-extensions-app

Quando você estiver usando recursos de inscrição de autoatendimento, como atributos de usuário personalizados ou fluxos de usuário, um aplicativo chamado aad-extensions-app. Do not modify. Used by AAD for storing user data. é criado automaticamente. Ele é usado pelo Microsoft Entra External ID para armazenar informações sobre usuários que se inscrevem e atributos personalizados coletados.

Se tiver eliminado acidentalmente a aad-extensions-app, terá 30 dias para a recuperar. Você pode restaurar o aplicativo usando o módulo Microsoft Graph PowerShell.

  1. Inicie o módulo Microsoft Graph PowerShell e execute Connect-MgGrapho .
  2. Entre como pelo menos um Administrador de Aplicativo no locatário do Microsoft Entra para o qual você deseja recuperar o aplicativo excluído.
  3. Execute o comando Get-MgDirectoryDeletedItem -DirectoryObjectId {id}PowerShell . Em forma de exemplo:
Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id                                   DeletedDateTime
--                                   ---------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 8/30/2021 7:37:37 AM
  1. Execute o comando Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}PowerShell . Substitua a {id} parte do comando pela DirectoryObjectId da etapa anterior.

Agora você deve ver o aplicativo restaurado no centro de administração do Microsoft Entra.

Acesso externo bloqueado por erro de política na tela de login

Quando tenta iniciar sessão no seu inquilino, poderá ver esta mensagem de erro: "O administrador da rede restringiu as organizações que podem ser acedidas. Entre em contato com seu departamento de TI para desbloquear o acesso." Este erro está relacionado com as definições de restrição do inquilino. Para resolver esse problema, peça à sua equipe de TI para seguir as instruções neste artigo.

Os usuários entram em um loop quando tentam adicionar chave de acesso no Authenticator

As organizações que estão implantando chaves de acesso e têm políticas de Acesso Condicional que exigem autenticação resistente a phishing ao acessar Todos os recursos (anteriormente "Todos os aplicativos na nuvem") podem ter um problema de looping quando os usuários tentam adicionar uma chave de acesso ao Microsoft Authenticator. Para obter mais informações e possíveis soluções alternativas, consulte Soluções alternativas para um loop de política de Acesso Condicional de força de autenticação.

O convite está bloqueado devido à falta de configurações de acesso entre locatários

Poderá ver esta mensagem: "Este convite está bloqueado pelas definições de acesso entre inquilinos na sua organização. O administrador deve definir as configurações de acesso entre locatários para permitir esse convite." Nesse caso, peça ao administrador para verificar as configurações de acesso entre locatários.

Próximo passo