Solucionar problemas comuns com a colaboração B2B do Microsoft Entra
Aplica-se a: Locatários da força de trabalho Locatários externos (saiba mais)
Aqui estão algumas soluções para problemas comuns com a colaboração B2B do Microsoft Entra.
Quando um usuário convidado de um provedor de identidade (IdP) não pode entrar em um locatário de recurso no Microsoft Entra ID e recebe um código de erro AADSTS50020, há várias causas possíveis. Consulte o artigo de solução de problemas para AADSTS50020 de erros.
Quando uma conexão direta B2B vê a seguinte mensagem de erro ao tentar acessar o canal compartilhado do Teams de outra organização, as configurações de confiança de autenticação multifator não foram definidas pela organização externa:
A organização que você está tentando acessar precisa atualizar suas configurações para permitir que você entre.
AADSTS90071: Um administrador da organização> deve atualizar suas configurações de <acesso para aceitar a autenticação multifator de entrada.
A organização que hospeda o canal compartilhado do Teams deve habilitar a configuração de confiança para autenticação multifator para permitir o acesso a usuários de conexão direta B2B. As configurações de confiança são configuráveis nas configurações de acesso entre locatários de uma organização.
Um erro semelhante a "Falha na atualização da política devido ao limite de objetos" aparece ao configurar as configurações de acesso entre locatários
Ao definir as configurações de acesso entre locatários, se receber um erro que diz "Falha na atualização da política devido ao limite de objetos", você atingiu o limite de objeto de política de 25 KB. Estamos trabalhando para aumentar esse limite. Se você precisar ser capaz de calcular o quão próxima a política atual está desse limite, faça o seguinte:
Abra o Microsoft Graph Explorer e execute o seguinte:
GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy
Copie toda a resposta JSON e salve-a como um arquivo txt, por exemplo
policyobject.txt
.Abra o PowerShell e execute o seguinte script, substituindo o local do arquivo na primeira linha pelo seu arquivo de texto:
$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy)
write-host "Remaining Bytes available in policy object"
$maxSize - $size
write-host "Is current policy within limits?"
if ($size -le $maxSize) { return “valid” }; else { return “invalid” }
Os usuários não podem mais ler emails criptografados com o Microsoft Rights Management Service (OME))
À medida que você define as configurações de acesso entre locatários, se você bloquear o acesso a todos os aplicativos por padrão, os usuários não poderão ler emails criptografados com o Microsoft Rights Management Service (também conhecido como OME). Para evitar esse problema, recomendamos configurar as configurações de saída para permitir que os usuários acessem este ID do aplicativo: 00000012-0000-0000-c000-000000000000. Se este for o único aplicativo permitido, o acesso a todos os outros aplicativos será bloqueado por padrão.
Adicionei um utilizador externo, mas não o vejo no meu Livro de Endereços Global ou no seletor de pessoas
Nos casos em que os usuários externos não são preenchidos na lista, o objeto pode levar alguns minutos para ser replicado.
A capacidade de pesquisar usuários convidados existentes no seletor de pessoas do SharePoint Online (SPO) está DESATIVADA por padrão para corresponder ao comportamento herdado.
Você pode habilitar esse recurso usando a configuração 'ShowPeoplePickerSuggestionsForGuestUsers' no nível do locatário e do conjunto de sites. Você pode definir o recurso usando os cmdlets Set-SPOTenant e Set-SPOSite, que permitem que os membros pesquisem todos os usuários convidados existentes no diretório. As alterações no escopo do locatário não afetam os sites SPO já provisionados.
As minhas definições de convite convidado e restrições de domínio não estão a ser respeitadas pelo SharePoint Online/OneDrive
Por padrão, o SharePoint Online e o OneDrive têm seu próprio conjunto de opções de usuário externo e não usam as configurações do Microsoft Entra ID. Você precisa habilitar a integração do SharePoint e do OneDrive com o Microsoft Entra B2B para garantir que as opções sejam consistentes entre esses aplicativos.
Se você for notificado de que não tem permissões para convidar usuários, verifique se sua conta de usuário está autorizada a convidar usuários externos em Usuários do Microsoft Entra ID > Configurações > > do usuário Usuários Utilizadores > externos Gerenciar configurações de colaboração externa:
Se você modificou recentemente essas configurações ou atribuiu a função Guest Inviter a um usuário, pode haver um atraso de 15 a 60 minutos antes que as alterações entrem em vigor.
Os erros comuns incluem:
O administrador do convidado não permitiu que os usuários do EmailVerified fossem criados em seu locatário
Ao convidar usuários cuja organização está usando o Microsoft Entra ID, mas onde a conta do usuário específico não existe (por exemplo, o usuário não existe no Microsoft Entra contoso.com). O administrador do contoso.com pode ter uma política em vigor impedindo que os usuários sejam criados. O usuário deve verificar com seu administrador para determinar se os usuários externos são permitidos. O administrador do usuário externo pode precisar permitir usuários verificados por e-mail em seu domínio (consulte este artigo sobre como permitir usuários verificados por e-mail).
Se você estiver usando a autenticação de federação e o usuário ainda não existir no Microsoft Entra ID, o usuário não poderá ser convidado.
Para resolver esse problema, o administrador do usuário externo deve sincronizar a conta do usuário com o ID do Microsoft Entra.
O usuário externo tem um proxyAddress que entra em conflito com um proxyAddress de um usuário local existente
Quando verificamos se um usuário pode ser convidado para seu locatário, uma das coisas que verificamos é se há uma colisão no proxyAddress. Isso inclui qualquer proxyAddresses para o usuário em seu locatário doméstico e qualquer proxyAddress para usuários locais em seu locatário. Para usuários externos, adicionaremos o e-mail ao proxyAddress do usuário B2B existente. Para utilizadores locais, pode pedir-lhes para iniciar sessão utilizando a conta que já possuem.
Isto acontece quando outro objeto no diretório tem o mesmo endereço de e-mail convidado que um dos respetivos proxyAddresses. O outro objeto conflitante pode ser um Usuário, Grupo ou Contato do Microsoft 365.
Para corrigir esse conflito, procure o endereço de email no centro de administração do Microsoft 365 para localizar o objeto conflitante. Você deve remover o endereço de email usando a API do Microsoft Graph.
Para corrigir esse conflito:
- Inicie sessão no centro de administração do Microsoft 365.
- Navegue até Usuários>Todos os usuários e procure o endereço de e-mail que você está tentando convidar.
- Remova o email do objeto de usuário do Microsoft Graph.
- Navegue até Contatos dos usuários>para ver se há um contato usando esse endereço de e-mail.
- Remova o objeto de contato associado do Microsoft Graph.
- Navegue até Teams & groups>Ative teams & groups e procure o endereço de e-mail que está a tentar convidar e altere o endereço de e-mail se encontrado.
Depois de remover o endereço de e-mail conflitante, você pode convidar o usuário.
Quando você adiciona ou convida um convidado com um email que corresponde a um objeto Contact existente no diretório, a propriedade proxyAddresses no objeto de usuário convidado não é preenchida. Além disso, ao sincronizar objetos de contato do AD local, se um usuário convidado tiver uma propriedade proxyAddresses correspondente, a propriedade proxyAddresses conflitante será removida do usuário convidado existente.
O processo de resgate de convite foi atualizado para que esse cenário não cause mais problemas com o resgate just-in-time ou a autenticação de senha única por e-mail. Anteriormente, o ID externo pesquisava apenas a propriedade proxyAddresses e, portanto, o resgate com um link direto ou uma senha única falhava quando não era possível encontrar uma correspondência. Agora, o ID externo pesquisa os proxyAddresses e as propriedades de e-mail convidado.
Se você quiser identificar objetos de usuário conflitantes em seu diretório, use estas etapas do PowerShell:
- Abra o módulo Microsoft Graph PowerShell e execute
Connect-MgGraph
o . - Entre como pelo menos um Leitor de Diretório no locatário do Microsoft Entra para o qual você deseja verificar se há objetos de contato duplicados.
- Execute o comando
Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}
PowerShell .
"#" é um caractere reservado em UPNs para colaboração B2B do Microsoft Entra ou usuários externos, porque a conta user@contoso.com convidada se torna user_contoso.com#EXT#@fabrikam.onmicrosoft.com. Portanto, # em UPNs provenientes do local não têm permissão para entrar no centro de administração do Microsoft Entra.
Os usuários externos podem ser adicionados apenas a grupos "atribuídos" ou "Segurança" e não a grupos que são dominados localmente.
O convidado deve verificar com o seu ISP ou filtro de spam para garantir que o seguinte endereço é permitido: Invites@microsoft.com.
Nota
- Para o serviço do Azure operado pela 21Vianet na China, o endereço do remetente é Invites@oe.21vianet.com.
- Para a nuvem Microsoft Entra Government, o endereço do remetente é invites@azuread.us.
Para cumprir as leis de privacidade, nossas APIs não incluem mensagens personalizadas no convite por e-mail quando:
- O convidado não tem um endereço de e-mail no inquilino convidado
- Quando uma entidade de segurança do appservice envia o convite
Se esse cenário for importante para você, você pode suprimir nosso e-mail de convite da API e enviá-lo através do mecanismo de e-mail de sua escolha. Consulte o advogado da sua organização para se certificar de que qualquer e-mail enviado desta forma também está em conformidade com as leis de privacidade.
Um usuário que tem uma conta de convidado não pode entrar e está recebendo a seguinte mensagem de erro:
AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.
O usuário tem uma conta de usuário do Azure e é um locatário viral que foi abandonado ou não gerenciado. Além disso, não há administradores no locatário.
Para resolver esse problema, você deve assumir o inquilino abandonado. Consulte Assumir um diretório não gerenciado como administrador na ID do Microsoft Entra. Você também deve acessar o DNS voltado para a Internet para o sufixo de domínio em questão para fornecer evidências diretas de que você está no controle do namespace. Depois que o locatário retornar a um estado gerenciado, discuta com o cliente se deixar os usuários e o nome de domínio verificado é a melhor opção para sua organização.
Se o locatário de identidade for um locatário just-in-time (JIT) ou viral (o que significa que é um locatário do Azure separado e não gerenciado), somente o usuário convidado poderá redefinir sua senha. Às vezes, uma organização assume o gerenciamento de locatários virais que são criados quando os funcionários usam seus endereços de e-mail de trabalho para se inscrever em serviços. Depois que a organização assume um locatário viral, somente um administrador dessa organização pode redefinir a senha do usuário ou habilitar o SSPR. Se necessário, como organização convidante, você pode remover a conta de usuário convidado do seu diretório e reenviar um convite.
Nota
Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.
Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.
A partir de 18 de novembro de 2019, os usuários convidados em seu diretório (definidos como contas de usuário em que a propriedade userType é igual a Guest) serão impedidos de usar o módulo Azure AD PowerShell V1. No futuro, um usuário precisará ser um usuário membro (onde userType é igual a Member) ou usar o módulo Azure AD PowerShell V2.
Em um locatário do Azure US Government, não consigo convidar um usuário convidado de colaboração B2B
Na nuvem do Azure US Government, a colaboração B2B é habilitada entre locatários que estão na nuvem do Azure US Government e que dão suporte à colaboração B2B. Se você convidar um usuário em um locatário que ainda não oferece suporte à colaboração B2B, receberá um erro. Para obter detalhes e limitações, consulte Variações do Microsoft Entra ID P1 e P2.
Se precisar de colaborar com uma organização Microsoft Entra que esteja fora da nuvem do Azure US Government, pode utilizar as definições de nuvem da Microsoft para ativar a colaboração B2B.
Quando tenta convidar um utilizador de colaboração B2B, poderá ver esta mensagem de erro: "Este convite está bloqueado pelas definições de acesso entre inquilinos. Os administradores da sua organização e da organização do usuário convidado devem definir as configurações de acesso entre locatários para permitir o convite." Essa mensagem de erro aparecerá, se a colaboração B2B for suportada, mas for bloqueada pelas configurações de acesso entre locatários. Verifique as configurações de acesso entre locatários e verifique se as configurações permitem a colaboração B2B com o usuário. Ao tentar colaborar com outra organização do Microsoft Entra em uma nuvem separada do Microsoft Azure, você pode usar as configurações de nuvem da Microsoft para habilitar a colaboração B2B do Microsoft Entra.
Raramente, você pode ver esta mensagem: "Esta ação não pode ser concluída porque o aplicativo Microsoft B2B Cross Cloud Worker foi desativado no locatário do usuário convidado. Peça ao administrador do usuário convidado para reativá-lo e tente novamente." Este erro significa que o aplicativo Microsoft B2B Cross Cloud Worker foi desativado no locatário doméstico do usuário de colaboração B2B. Este aplicativo normalmente é habilitado, mas pode ter sido desabilitado por um administrador no locatário inicial do usuário, seja por meio do PowerShell ou do centro de administração do Microsoft Entra (consulte Desabilitar como um usuário entra). Um administrador no locatário doméstico do usuário pode reativar o aplicativo por meio do PowerShell ou do centro de administração do Microsoft Entra. No centro de administração, procure por "Microsoft B2B Cross Cloud Worker" para encontrar o aplicativo, selecione-o e escolha reativá-lo.
Recebo o erro de que o Microsoft Entra ID não consegue encontrar o no meu inquilino aad-extensions-app
Quando você estiver usando recursos de inscrição de autoatendimento, como atributos de usuário personalizados ou fluxos de usuário, um aplicativo chamado aad-extensions-app. Do not modify. Used by AAD for storing user data.
é criado automaticamente. Ele é usado pelo Microsoft Entra External ID para armazenar informações sobre usuários que se inscrevem e atributos personalizados coletados.
Se tiver eliminado acidentalmente a aad-extensions-app
, terá 30 dias para a recuperar. Você pode restaurar o aplicativo usando o módulo Microsoft Graph PowerShell.
- Inicie o módulo Microsoft Graph PowerShell e execute
Connect-MgGraph
o . - Entre como pelo menos um Administrador de Aplicativo no locatário do Microsoft Entra para o qual você deseja recuperar o aplicativo excluído.
- Execute o comando
Get-MgDirectoryDeletedItem -DirectoryObjectId {id}
PowerShell . Em forma de exemplo:
Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id DeletedDateTime
-- ---------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 8/30/2021 7:37:37 AM
- Execute o comando
Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}
PowerShell . Substitua a{id}
parte do comando pelaDirectoryObjectId
da etapa anterior.
Agora você deve ver o aplicativo restaurado no centro de administração do Microsoft Entra.
Quando tenta iniciar sessão no seu inquilino, poderá ver esta mensagem de erro: "O administrador da rede restringiu as organizações que podem ser acedidas. Entre em contato com seu departamento de TI para desbloquear o acesso." Este erro está relacionado com as definições de restrição do inquilino. Para resolver esse problema, peça à sua equipe de TI para seguir as instruções neste artigo.
As organizações que estão implantando chaves de acesso e têm políticas de Acesso Condicional que exigem autenticação resistente a phishing ao acessar Todos os recursos (anteriormente "Todos os aplicativos na nuvem") podem ter um problema de looping quando os usuários tentam adicionar uma chave de acesso ao Microsoft Authenticator. Para obter mais informações e possíveis soluções alternativas, consulte Soluções alternativas para um loop de política de Acesso Condicional de força de autenticação.
Poderá ver esta mensagem: "Este convite está bloqueado pelas definições de acesso entre inquilinos na sua organização. O administrador deve definir as configurações de acesso entre locatários para permitir esse convite." Nesse caso, peça ao administrador para verificar as configurações de acesso entre locatários.