Устранение распространенных проблем с совместной работой Microsoft Entra B2B

Область применения: клиенты рабочей силы внешние клиенты (дополнительные сведения)

Ниже приведены некоторые средства устранения распространенных проблем с совместной работой Microsoft Entra B2B.

Гостю не удается войти в систему с кодом ошибки AADSTS50020

Если гостевой пользователь из поставщика удостоверений (IdP) не может войти в клиент ресурса в идентификаторе Microsoft Entra ID и получает код ошибки AADSTS50020, возможны несколько причин. См. сведения в статье об устранении неполадок AADSTS50020.

Пользователь с прямым соединением B2B не может получить доступ к общему каналу (ошибка AADSTS90071)

Когда прямой подключение B2B видит следующее сообщение об ошибке при попытке доступа к общему каналу Teams другой организации, параметры доверия многофакторной проверки подлинности не были настроены внешней организацией:

Организация, к которой вы хотите подключиться, должна обновить свои параметры, чтобы разрешить вам войти в систему.

AADSTS90071: администратор из <организации> должен обновить параметры доступа, чтобы принять входящую многофакторную проверку подлинности.

Организация, на которой размещен общий канал Teams, должна включить параметр доверия для многофакторной проверки подлинности, чтобы разрешить доступ к пользователям прямого подключения B2B. Параметры доверия можно задать в параметрах доступа между клиентами организации.

При настройке параметров доступа между клиентами появляется ошибка с сообщением вида "Невозможно обновить политику из-за ограничения на объекты".

Если при настройке параметров доступа между клиентами возникает ошибка "Невозможно обновить политику из-за ограничения на объекты", это означает, что вы достигли установленного ограничения на объекты политики в 25 КБ. Мы работаем над увеличением этого ограничения. Если вы хотите оценить, насколько вы приблизились к существующему лимиту в текущей политике, выполните следующее.

1. Откройте Microsoft Graph Explorer и выполните такую команду:

   GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy

2. Скопируйте весь ответ в формате JSON и сохраните его в TXT-файл, например policyobject.txt.

3. Откройте PowerShell и выполните следующий скрипт, заменив в первой строчке расположение файла своим текстовым файлом:

$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25 
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy) 
write-host "Remaining Bytes available in policy object" 
$maxSize - $size 
write-host "Is current policy within limits?" 
if ($size -le $maxSize) { return “valid” }; else { return “invalid” } 

Пользователи больше не могут читать электронную почту, зашифрованную с помощью службы Microsoft Rights Management Service

Если при настройке параметров доступа между клиентами вы заблокируете доступ ко всем приложениям по умолчанию, то пользователи не смогут прочитать сообщения, зашифрованные с помощью службы Microsoft Rights Management Service (также известной как OME). Чтобы избежать этой проблемы, мы рекомендуем разрешить в параметрах исходящего трафика доступ пользователей к такому идентификатору приложения: 00000012-0000-0000-C000-000000000000. Если это единственное разрешенное приложение, доступ ко всем другим приложениям будет заблокирован по умолчанию.

После добавления внешнего пользователя он не отображается в глобальной адресной книге или в средстве выбора пользователей

В тех случаях, когда данные внешних пользователей не указаны в списке, репликация объекта может занять несколько минут.

Гостевой пользователь B2B не отображается в средстве выбора пользователей SharePoint Online или OneDrive

Возможность поиска существующих гостевых пользователей в средстве выбора пользователей SharePoint Online (SPO) отключена по умолчанию для согласования с поведением предыдущих версий.

Вы можете включить эту функцию, используя параметр ShowPeoplePickerSuggestionsForGuestUsers на уровне семейства веб-сайтов и коллекции клиентов. Задать параметр этой функции можно с помощью командлетов SPOTenant и SPOSite, которые позволяют участникам искать всех существующих гостевых пользователей в каталоге. Изменения в области клиента не влияют на уже подготовленные сайты SPO.

Мои параметры приглашения гостей и ограничений домена не учитываются SharePoint Online или OneDrive.

По умолчанию SharePoint Online и OneDrive имеют собственный набор параметров внешнего пользователя и не используют параметры из идентификатора Microsoft Entra. Необходимо включить интеграцию SharePoint и OneDrive с Microsoft Entra B2B , чтобы обеспечить согласованность параметров между этими приложениями.

Приглашения отключены для каталога

Если вы уведомляете о том, что у вас нет разрешений на приглашение пользователей, убедитесь, что ваша учетная запись пользователя авторизована на приглашение внешних пользователей в параметрах пользователей идентификатора Microsoft Entra ID > Users, > > а внешние пользователи > управляют параметрами внешней совместной работы:

Если вы недавно изменили эти параметры или назначили пользователю роль лица, приглашающего гостей, то изменения вступят в силу примерно через 15–60 минут.

Пользователь, который я пригласил, получает ошибку во время процесса активации

Ниже перечислены распространенные ошибки.

Администратор приглашенного пользователя запретил создавать в клиенте пользователей с атрибутом EmailVerified

При приглашении пользователей, чья организация использует идентификатор Microsoft Entra ID, но где учетная запись конкретного пользователя не существует (например, пользователь не существует в Microsoft Entra contoso.com). Администратор contoso.com мог настроить политику, которая запрещает создавать пользователей. Пользователь должен уточнить у администратора, разрешается ли приглашать внешних пользователей. Администратору внешнего пользователя может потребоваться разрешить в своем домене пользователей с проверенным адресом электронной почты (сведения о разрешении пользователей с проверенным адресом электронной почты см. в этой статье).

Внешний пользователь уже не существует в федеративном домене

Если вы используете проверку подлинности федерации, и пользователь еще не существует в идентификаторе Microsoft Entra, пользователь не может быть приглашен.

Чтобы устранить эту проблему, администратор внешнего пользователя должен синхронизировать учетную запись пользователя с идентификатором Microsoft Entra.

У внешнего пользователя есть proxyAddress, который конфликтует с proxyAddress существующего локального пользователя.

Когда мы проверяем, может ли пользователь быть приглашен в ваш клиент, одним из пунктов проверки является наличие конфликта в proxyAddress. Эта проверка охватывает любые proxyAddresses для пользователей в их домашнем клиенте и любые proxyAddress для локальных пользователей в вашем клиенте. Для внешних пользователей мы добавим адрес электронной почты в параметр proxyAddress для существующего пользователя B2B. От локальных пользователей можно требовать выполнять вход, используя учетную запись, которая у них уже есть.

Не удается пригласить адрес электронной почты из-за конфликта в proxyAddresses.

Это происходит, когда другой объект в каталоге имеет такой же адрес электронной почты приглашаемого лица, как и один из его proxyAddresses. Другой конфликтующий объект может быть пользователем, группой или контактом Microsoft 365.

Чтобы устранить этот конфликт, найдите адрес электронной почты в Центр администрирования Microsoft 365, чтобы найти конфликтующий объект. Необходимо удалить адрес электронной почты с помощью API Microsoft Graph.

Чтобы устранить этот конфликт, выполните следующие действия.

1. Войдите в центр администрирования Microsoft 365.
2. Перейдите ко >всем пользователям и найдите адрес электронной почты, который вы пытаетесь пригласить.
3. Удалите сообщение электронной почты из объекта пользователя Microsoft Graph.
4. Перейдите к контактам пользователей>, чтобы узнать, есть ли контакт с этим адресом электронной почты.
5. Удалите связанный объект контакта Microsoft Graph.
6. Перейдите к Teams и группам>Active teams и найдите адрес электронной почты, который вы пытаетесь пригласить, и измените адрес электронной почты при обнаружении.

После удаления конфликтующего адреса электронной почты можно пригласить пользователя.

В гостевом объекте пользователя проксиAddresses или атрибут электронной почты не заполняется

При добавлении или приглашении гостя с сообщением электронной почты, которое соответствует существующему объекту Contact в каталоге, свойство proxyAddresses в объекте гостевого пользователя не заполняется. Кроме того, при синхронизации объектов контактов из локальной службы AD, если у гостевого пользователя есть соответствующее свойство proxyAddresses, то конфликтующее свойство proxyAddresses удаляется из существующего гостевого пользователя.

Процесс активации приглашения обновлен, чтобы этот сценарий больше не приводил к проблемам с JIT-активацией или однократной проверкой подлинности секретного кода электронной почты. Ранее внешний идентификатор искал только свойство proxyAddresses, поэтому активация с помощью прямой ссылки или однократного секретного кода завершилась ошибкой, когда не удалось найти совпадение. Теперь внешний идентификатор выполняет поиск проксиAddresses и приглашенных свойств электронной почты.

Если вы хотите определить конфликтующие объекты пользователей в каталоге, выполните следующие действия PowerShell:

1. Откройте модуль Microsoft Graph PowerShell и запустите его Connect-MgGraph.
2. Войдите по крайней мере в клиент Microsoft Entra, для которого требуется проверить наличие повторяющихся объектов контактов.
3. Выполните команду PowerShell Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}.

Как "#", который обычно не является допустимым символом, синхронизируется с идентификатором Microsoft Entra?

"#" — это зарезервированный символ в именах участника-пользователя для совместной работы Microsoft Entra B2B или внешних пользователей, так как приглашенная учетная запись user@contoso.com становится user_contoso.com#EXT#@fabrikam.onmicrosoft.com. Таким образом, # в имени участника-пользователя, поступающих из локальной среды, не разрешено входить в Центр администрирования Microsoft Entra.

При добавлении внешних пользователей в синхронизированную группу появляется сообщение об ошибке

Внешних пользователей можно добавлять только в "назначенные" группы или группы "безопасности", а не в локально управляемые группы.

Внешний пользователь не получил оправленное ему сообщение для активации

Приглашенный должен проверить свой ip-адрес или фильтр нежелательной почты, чтобы убедиться, что разрешен следующий адрес: Invites@microsoft.com

Примечание.

• Служба Azure, управляемая в Китае компанией 21Vianet, имеет адрес отправителя Invites@oe.21vianet.com.
• Для облака Microsoft Entra для государственных организаций адрес отправителя — invites@azuread.usэто адрес отправителя.

Пользовательское сообщение иногда не включаются в сообщение с приглашением

Для соблюдения требований законов о защите конфиденциальности данных наши API-интерфейсы не включают пользовательские сообщения в текст сообщений с приглашением в следующих случаях:

• если в приглашающем клиенте не указан адрес электронной почты приглашающего;
• если приглашение отправляет субъект-служба приложения.

Если вам важно использовать именно этот сценарий, вы можете запретить отправку сообщения с приглашением из API-интерфейса, и отправить его через любой другой механизм отправки электронной почты. Проконсультируйтесь к юристом своей организации, чтобы убедиться, что отправляемые таким образом сообщения не нарушают требования законов о защите конфиденциальности данных.

При попытке входа в ресурс Azure появляется сообщение об ошибке AADSTS65005

Пользователь с гостевой учетной записью не может войти в систему и получает следующее сообщение об ошибке:

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

Пользователь имеет учетную запись пользователя Azure, однако является вирусным отмененным или неуправляемым клиентом. Кроме того, в клиенте нет администраторов.

Чтобы устранить эту проблему, необходимо сменить отмененный клиент. Перейдите к неуправляемым каталогу в качестве администратора в идентификаторе Microsoft Entra. Кроме того, необходимо получить доступ к DNS с выходом в Интернет для рассматриваемого доменного суффикса, чтобы предоставить прямое доказательство того, что вы контролируете пространство имен. После возвращения клиента в управляемое состояние обсудите, покидает ли клиент пользователей и проверенное доменное имя является лучшим вариантом для своей организации.

Гостевому пользователю клиента JIT или "вирусного" клиента не удается сбросить пароль

Если клиентом удостоверений является клиент JIT или вирусный клиент (то есть отдельный неуправляемый клиент Azure), только гостевой пользователь может сбросить пароль. Иногда организация будет управлять вирусными клиентами, которые создаются, когда сотрудники используют свои рабочие электронные адреса для регистрации в службах. После получения организацией контроля над вирусным клиентом только администратор в организации может сбросить пароль пользователя или включить SSPR. При необходимости приглашающая организация может удалить учетную запись гостя из каталога и повторно отправить приглашение.

Гостевой пользователь не может использовать модуль Azure AD PowerShell версии 1

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

По состоянию на 18 ноября 2019 г. гостевые пользователи в каталоге (определенные как учетные записи пользователей, где свойство userType равно Guest) заблокированы с помощью модуля Azure AD PowerShell V1. В будущем пользователю потребуется либо пользователь-член (где userType равен члену), либо использовать модуль Azure AD PowerShell версии 2.

Мне не удается пригласить гостевого пользователя службы "Совместная работы B2B", работая в клиенте Azure для государственных организаций США

В облаке Azure для государственных организаций США возможна совместная работа B2B между арендаторами, которые находятся в облаке Azure для государственных организаций США и поддерживают совместную работу B2B. Если вы приглашаете пользователя в клиенте, который еще не поддерживает службу "Совместная работа B2B", вы получите сообщение об ошибке. Дополнительные сведения и ограничения см. в разделе Варианты Идентификатора Записи Майкрософт P1 и P2.

Если вам нужно сотрудничать с организацией Microsoft Entra, которая находится за пределами облака Azure для государственных организаций США, можно использовать параметры облака Майкрософт для обеспечения совместной работы B2B.

Приглашение заблокировано из-за политик доступа между арендаторами

При попытке пригласить пользователя службы совместной работы B2B может появиться следующее сообщение об ошибке: "Это приглашение блокируется параметрами доступа между клиентами. Администраторы в организации и организации приглашенных пользователей должны настроить параметры доступа между клиентами, чтобы разрешить приглашение". Это сообщение об ошибке появится, если поддерживается совместная работа B2B, но блокируется параметрами доступа между клиентами. Проверьте параметры доступа между клиентами и убедитесь, что параметры разрешают совместную работу B2B с пользователем. При попытке совместной работы с другой организацией Microsoft Entra в отдельном облаке Microsoft Azure можно использовать параметры облака Майкрософт для обеспечения совместной работы Microsoft Entra B2B.

Приглашение заблокировано из-за отключения приложения Microsoft B2B Cross Cloud Worker

Иногда может отображаться следующее сообщение: "Это действие не может быть завершено, так как приложение Microsoft B2B Cross Cloud Worker было отключено в арендаторе приглашенного пользователя. Попросите администратора приглашенного пользователя повторно включить его, а затем повторите попытку". Эта ошибка означает, что приложение Microsoft B2B Cross Cloud Worker было отключено в домашнем арендаторе пользователя службы совместной работы B2B. Обычно это приложение включено, но оно может быть отключено администратором в домашнем клиенте пользователя либо с помощью PowerShell, либо в Центре администрирования Microsoft Entra (см. раздел "Отключить вход пользователя"). Администратор в домашнем клиенте пользователя может повторно включить приложение с помощью PowerShell или Центра администрирования Microsoft Entra. В Центре администрирования найдите приложение microsoft B2B Cross Cloud Worker, чтобы найти приложение, выберите его, а затем снова включите его.

Я получаю сообщение об ошибке, что идентификатор Microsoft Entra не удается найти в моем клиенте aad-extensions-app

При использовании компонентов самостоятельной регистрации, таких как настраиваемые атрибуты пользователя или потоки пользователей, автоматически создается приложение с именем aad-extensions-app. Do not modify. Used by AAD for storing user data.. Он используется Внешняя идентификация Microsoft Entra для хранения сведений о пользователях, которые регистрировать и собирать пользовательские атрибуты.

Если вы случайно удалили приложение aad-extensions-app, его можно восстановить в течение 30 дней. Приложение можно восстановить с помощью модуля Microsoft Graph PowerShell.

1. Запустите модуль Microsoft Graph PowerShell и запустите его Connect-MgGraph.
2. Войдите как минимум администратор приложения в клиент Microsoft Entra, для которого требуется восстановить удаленное приложение.
3. Выполните команду PowerShell Get-MgDirectoryDeletedItem -DirectoryObjectId {id}. Например:

Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id                                   DeletedDateTime
--                                   ---------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 8/30/2021 7:37:37 AM

1. Выполните команду PowerShell Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}. Замените часть {id} команды на DirectoryObjectId из предыдущего шага.

Теперь вы увидите восстановленные приложения в Центре администрирования Microsoft Entra.

Внешний доступ заблокирован ошибкой политики на экране входа

При попытке войти в клиент может появиться следующее сообщение об ошибке: "Администратор сети ограничен доступом к организациям. Обратитесь в ИТ-отдел, чтобы разблокировать доступ". Эта ошибка связана с параметрами ограничения клиента. Чтобы устранить эту проблему, обратитесь к ИТ-группе, чтобы следовать инструкциям в этой статье.

Пользователи получают цикл при попытке добавить секретный ключ в Authenticator

Организации, которые развертывают секретные ключи и имеют политики условного доступа, требующие фишинговой проверки подлинности при доступе ко всем ресурсам (ранее "Все облачные приложения") могут столкнуться с проблемой цикла при попытке пользователей добавить ключ доступа в Microsoft Authenticator. Дополнительные сведения и возможные обходные пути см. в обходных решениях для цикла политики условного доступа проверки подлинности.

Приглашение заблокировано из-за отсутствия параметров доступа между клиентами

Это сообщение может появиться: "Это приглашение блокируется параметрами доступа между клиентами в вашей организации. Администратор должен настроить параметры доступа между клиентами, чтобы разрешить это приглашение". В этом случае попросите администратора проверить параметры доступа между клиентами.

Следующий шаг

• Получение поддержки для службы совместной работы B2B