Kiracılar arası eşitlemeyi PowerShell veya Microsoft Graph API kullanarak yapılandırma

Bu makalede, Microsoft Graph PowerShell veya Microsoft Graph API kullanarak kiracılar arası eşitlemeyi yapılandırmaya yönelik temel adımlar açıklanmaktadır. Yapılandırıldığında, Microsoft Entra ID hedef kiracınızdaki B2B kullanıcılarını otomatik olarak sağlar ve kaldırır. Microsoft Entra yönetim merkezini kullanma ile ilgili ayrıntılı adımlar için, kiracılar arası eşitlemeyi yapılandırma hakkında bkz .

Önkoşullar

Kaynak kiracı

• Microsoft Entra Id P1 veya P2 lisansı. Daha fazla bilgi için bkz . Lisans gereksinimleri.
• Kiracılar arası erişim ayarlarını yapılandırmak için Güvenlik Yöneticisi rolü.
• Kiracılar arası eşitlemeyi yapılandırmak için Karma Kimlik Yöneticisi rolü.
• Kullanıcıları bir yapılandırmaya atamak ve yapılandırmayı silmek için Bulut Uygulama Yöneticisi veya Uygulama Yöneticisi rolü.
• Ayrıcalıklı Rol Yöneticisi, gerekli izinlere onay vermek için rol.

Hedef kiracı

• Microsoft Entra Id P1 veya P2 lisansı. Daha fazla bilgi için bkz . Lisans gereksinimleri.
• Kiracılar arası erişim ayarlarını yapılandırmak için Güvenlik Yöneticisi rolü.
• Ayrıcalıklı Rol Yöneticisi, gerekli izinlere onay vermek için rol.

1. Adım: Hedef kiracıda oturum açma

Hedef kiracı

PowerShell

1. PowerShell'i başlatın.

2. Gerekirse Microsoft Graph PowerShell SDK'sını yükleyin.

3. Kaynak ve hedef kiracıların kiracı kimliğini alın ve değişkenleri başlatın.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Hedef kiracıda oturum açmak ve aşağıdaki gerekli izinleri kabul etmek için Connect-MgGraph komutunu kullanın.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

Bu adımlarda Microsoft Graph Gezgini'nin nasıl kullanılacağı açıklanır, ancak başka bir REST API istemcisi de kullanabilirsiniz.

1. Microsoft Graph Gezgini aracını başlatın.

2. Hedef kiracı hesabında oturum açın.

3. Profilinizi ve ardından İzinlere onay ver'i seçin.

   

4. Aşağıdaki gerekli izinlere onay verin.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Kaynak ve hedef kiracıların kiracı kimliğini alın. Bu makalede açıklanan örnek yapılandırma aşağıdaki kiracı kimliklerini kullanır.

   • Kaynak kiracı kimliği: {sourceTenantId}
   • Hedef kiracı kimliği: {targetTenantId}

2. Adım: Hedef kiracıda kullanıcı senkronizasyonunu etkinleştirme

Hedef kiracı

PowerShell

1. Hedef kiracıda New-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanarak hedef kiracı ile kaynak kiracı arasındaki kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturun. İstekte kaynak kiracı kimliğini kullanın.

   hatasını New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existsalırsanız, zaten var olan bir yapılandırmanız olabilir. Daha fazla bilgi için Belirti - New-MgPolicyCrossTenantAccessPolicyPartner_Create hatası bölümüne bakın.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Hedef kiracıda kullanıcı eşitlemesini etkinleştirmek için Invoke-MgGraphRequest komutunu kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız, zaten mevcut bir politikanız olabilir. Daha fazla bilgi için bkz. Belirti - Request_MultipleObjectsWithSameKeyValue hatası

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu, değerinin Doğru olarak ayarlandığını doğrulamak için kullanın.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. Hedef kiracıda, hedef kiracı ile kaynak kiracı arasındaki kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturmak için CrossTenantAccessPolicyConfigurationPartner API'sini kullanın. İstekte kaynak kiracı kimliğini kullanın.

   Eğer bir Request_MultipleObjectsWithSameKeyValue hatası alırsanız, mevcut bir yapılandırmanız olabilir. Daha fazla bilgi için bkz. Belirti - Request_MultipleObjectsWithSameKeyValue hatası

   Talep

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Hedef kiracıda kullanıcı eşitlemesini etkinleştirmek için Create identitySynchronization API'sini kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız, zaten mevcut bir politikanız olabilir. Daha fazla bilgi için bkz. Belirti - Request_MultipleObjectsWithSameKeyValue hatası

   Talep

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Yanıt

   HTTP/1.1 204 No Content
   

3. Adım: Davetleri hedef kiracıda otomatik olarak kabul etme

Hedef kiracı

PowerShell

1. Hedef kiracıda, davetleri otomatik olarak kabul etmek ve gelen erişim için onay istemlerini engellemek amacıyla Update-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Hedef kiracıda, davetleri otomatik olarak kullanmak ve gelen erişim için onay istemlerini engellemek amacıyla CrossTenantAccessPolicyConfigurationPartner API'sini güncelleyin.

   Talep

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Yanıt

   HTTP/1.1 204 No Content
   

4. Adım: Kaynak kiracıda oturum açma

Kaynak kiracı

PowerShell

1. PowerShell örneğini başlatın.

2. Kaynak ve hedef kiracıların kiracı kimliğini alın ve değişkenleri başlatın.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Kaynak kiracıda oturum açmak ve aşağıdaki gerekli izinleri kabul etmek için Connect-MgGraph komutunu kullanın.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Microsoft Graph Gezgini aracının bir örneğini başlatın.

2. Kaynak kiracıda oturum açın.

3. Aşağıdaki gerekli izinlere onay verin.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Yönetici onayı gerekiyor sayfası görürseniz, onay için en azından Ayrıcalıklı Rol Yöneticisi rolü atanmış bir kullanıcıyla oturum açmanız gerekir.

5. Adım: Davetleri kaynak kiracıda otomatik olarak kullanma

Kaynak kiracı

PowerShell

1. Kaynak kiracı ile hedef kiracı arasındaki kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturmak için kaynak kiracıda New-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın. İstekte hedef kiracı kimliğini kullanın.

   hatasını New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existsalırsanız, zaten var olan bir yapılandırmanız olabilir. Daha fazla bilgi için Belirti - New-MgPolicyCrossTenantAccessPolicyPartner_Create hatası bölümüne bakın.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Davetleri otomatik olarak tanımak ve dışa doğru erişim için onay istemlerini bastırmak için Update-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Kaynak kiracıda, kaynak kiracı ile hedef kiracı arasındaki kiracılar arası erişim politikasında yeni bir iş ortağı yapılandırması oluşturmak için Create crossTenantAccessPolicyConfigurationPartner API'sini kullanın. İstekte hedef kiracı kimliğini kullanın.

   Eğer bir Request_MultipleObjectsWithSameKeyValue hatası alırsanız, mevcut bir yapılandırmanız olabilir. Daha fazla bilgi için bkz. Belirti - Request_MultipleObjectsWithSameKeyValue hatası

   Talep

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Giden erişim için davetiye haklarını otomatik olarak kullanmak ve onay istemlerini engellemek amacıyla CrossTenantAccessPolicyConfigurationPartner API'sini güncelleyin.

   Talep

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Yanıt

   HTTP/1.1 204 No Content
   

6. Adım: Kaynak kiracıda yapılandırma uygulaması oluşturma

Kaynak kiracı

PowerShell

1. Microsoft Entra uygulama galerisinden kiracınıza yapılandırma uygulamasının bir örneğini eklemek için kaynak kiracıda Invoke-MgInstantiateApplicationTemplate komutunu kullanın.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Hizmet sorumlusu kimliğini ve uygulama rolü kimliğini almak için Get-MgServicePrincipal komutunu kullanın.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Hizmet sorumlusu kimliği için bir değişken başlatın.

   Uygulama kimliği yerine hizmet sorumlusu kimliğini kullandığınızdan emin olun.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Uygulama rolü kimliği için bir değişken başlatın.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Kaynak kiracıda, applicationTemplate: instantiate API'sini kullanarak, Microsoft Entra uygulama galerisinden kiracınıza bir yapılandırma uygulaması örneği ekleyin.

   Talep

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. servicePrincipalId değerini kaydedin.

   Uygulama kimliği yerine hizmet sorumlusu kimliğini kullandığınızdan emin olun.

3. appRoleId değerini kaydedin.

7. Adım: Hedef kiracı bağlantısını test etme

Kaynak kiracı

PowerShell

1. Kaynak kiracıda Invoke-MgGraphRequest komutunu kullanarak hedef kiracıyla bağlantıyı test edin ve kimlik bilgilerini doğrulayın.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Kaynak kiracıda, hedef kiracıya bağlantıyı test etmek ve kimlik bilgilerini doğrulamak için synchronizationJob: validateCredentials API'sini kullanın.

   Talep

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Yanıt

   HTTP/1.1 204 No Content
   

8. Adım: Kaynak kiracıda sağlama işi oluşturma

Kaynak kiracı

Sağlamayı etkinleştirmek için kaynak kiracıda bir sağlama görevi oluşturun.

PowerShell

1. Kullanılacak eşitleme şablonunu ( gibi Azure2Azure) belirleyin.

   Şablonda önceden yapılandırılmış eşitleme ayarları vardır.

2. Kaynak kiracıda, şablonu temel alan bir sağlama işi oluşturmak için New-MgServicePrincipalSynchronizationJob komutunu kullanın.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. İş kimliği için bir değişken tanımlayın.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Kullanılacak eşitleme şablonunu ( gibiAzure2Azure) belirleyin.

   Şablonda önceden yapılandırılmış eşitleme ayarları vardır.

2. Kaynak kiracıda, bir şablonu temel alan bir sağlama işi oluşturmak için Create synchronizationJob API'sini kullanın.

   Talep

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. jobId'i kaydedin.

9. Adım: Kimlik bilgilerinizi kaydetme

Kaynak kiracı

PowerShell

1. Kimlik bilgilerinizi kaydetmek için kaynak kiracıda Invoke-MgGraphRequest komutunu kullanın.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Kimlik bilgilerinizi kaydetmek için kaynak kiracıda Eşitleme gizli anahtarları ekle API'sini kullanın.

   Talep

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Yanıt

   HTTP/1.1 204 No Content
   

10. Adım: Yapılandırmaya kullanıcı atama

Kaynak kiracı

Kiracı arası eşitlemenin çalışabilmesi için yapılandırmaya en az bir iç kullanıcı atanmalıdır.

PowerShell

1. Kaynak kiracıda, kuruluş içindeki bir kullanıcıyı yapılandırmaya atamak için New-MgServicePrincipalAppRoleAssignedTo komutunu kullanın.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Kaynak kiracıda, bir hizmet sorumlusunun appRoleAssignment API'si ile yapılandırmaya bir iç kullanıcı ataması yapmak için "Grant an appRoleAssignment" işlemini kullanın.

   Talep

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Yanıt

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

11. Adım: Talep üzerine sağlama işlemini test edin

Kaynak kiracı

Artık bir yapılandırmanız olduğuna göre, kullanıcılarınızdan biriyle isteğe bağlı sağlamayı test edebilirsiniz.

PowerShell

1. Şema kuralı kimliğini almak için kaynak kiracıda Get-MgServicePrincipalSynchronizationJobSchema komutunu kullanın.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Kural kimliği için bir değişken başlatın.

   $RuleId = "<RuleId>"
   

3. Test kullanıcısını isteğe bağlı olarak sağlamak için New-MgServicePrincipalSynchronizationJobOnDemand komutunu kullanın.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Şema kuralı kimliğini almak için kaynak kiracıda Get synchronizationSchema API'sini kullanın.

   Talep

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Yanıt

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Kaynak kiracıda, synchronizationJob: provisionOnDemand API'sini kullanarak isteğe bağlı bir test kullanıcısı sağlayın.

   Talep

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Yanıt

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

12. Adım: Sağlama işini başlatma

Kaynak kiracı

PowerShell

1. Sağlama işi yapılandırıldığına göre, kaynak kiracıda sağlama işini başlatmak için Start-MgServicePrincipalSynchronizationJob komutunu kullanın.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Sağlama işi yapılandırıldığına göre, kaynak kiracıda Start synchronizationJob API'sini kullanarak sağlama işini başlatın.

   Talep

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Yanıt

   HTTP/1.1 204 No Content
   

13. Adım: Sağlamayı izleme

Kaynak kiracı

PowerShell

1. Artık sağlama işi çalışmaya başladığına göre kaynak kiracıda Get-MgServicePrincipalSynchronizationJob komutunu kullanarak geçerli sağlama döngüsünün ilerleme durumunu ve hedef sistemde oluşturulan kullanıcı ve grup sayısı gibi bugüne kadarki istatistikleri izleyin.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Sağlama işinin durumunu izlemeye ek olarak, sağlama günlüklerini almak ve gerçekleşen tüm sağlama olaylarını almak için Get-MgAuditLogProvisioning komutunu kullanın. Örneğin, belirli bir kullanıcıyı sorgulayıp kurulumunun başarıyla yapılıp yapılmadığını belirleyin.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Artık sağlama işi çalışmaya başladığına göre, kaynak kiracıda, Get synchronizationJob API'sini kullanarak geçerli sağlama döngüsünün ilerlemesini ve hedef sistemde oluşturulan kullanıcı ve grup sayısı gibi güncel istatistikleri izleyin.

   Talep

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Yanıt

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Sağlama işinin durumunu izlemeye ek olarak, sağlama günlüklerini almak ve gerçekleşen tüm sağlama olaylarını almak için List provisioningObjectSummary API'sini kullanın. Örneğin, belirli bir kullanıcıyı sorgulayıp kurulumunun başarıyla yapılıp yapılmadığını belirleyin.

   Talep

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Yanıt

   Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmıştır.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Sorun giderme ipuçları

PowerShell

Belirti - Yetersiz ayrıcalık hatası

Bir eylem gerçekleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Neden

Oturum açmış kullanıcının yeterli ayrıcalığı yok veya gerekli izinlerden birini onaylamanız gerekiyor.

Çözüm

1. Gerekli rollere atandığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan Önkoşullar bölümüne bakın.

2. Connect-MgGraph ile oturum açtığınızda, gerekli kapsamları belirttiğinizden emin olun. Bu makalenin önceki bölümlerinde yer alan 1. Adım: Hedef kiracıda oturum açma ve 4. Adım: Kaynak kiracıda oturum açma konusuna bakın.

Belirti - Yeni MgPolicyCrossTenantAccessPolicyPartner_Create hatası

Yeni bir iş ortağı yapılandırması oluşturmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Neden

Büyük olasılıkla, muhtemelen önceki bir yapılandırmadan zaten var olan bir yapılandırma veya nesne oluşturmaya çalışıyorsunuz.

Çözüm

1. Söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Var olan nesneyi listelemek için Get-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

3. Mevcut bir nesneniz varsa Update-MgPolicyCrossTenantAccessPolicyPartner kullanarak bir güncelleştirme yapmanız gerekebilir

Belirti - Aynı Anahtar Değerine Sahip Birden Fazla Nesne İsteme hatası

Kullanıcı eşitlemesini etkinleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Neden

Büyük olasılıkla daha önceki bir yapılandırmadan zaten var olan bir ilke oluşturmaya çalışıyorsunuz.

Çözüm

1. Söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu kullanarak IsSyncAllowed listeleyin.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Mevcut bir ilkeniz varsa, kullanıcı eşitlemesini etkinleştirmek için Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu kullanarak bir güncelleştirme yapmanız gerekebilir.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Belirti - Yetersiz ayrıcalık hatası

Bir eylem gerçekleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Neden

Oturum açmış kullanıcının yeterli ayrıcalığı yok veya gerekli izinlerden birini onaylamanız gerekiyor.

Çözüm

1. Gerekli rollere atandığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan Önkoşullar bölümüne bakın.

2. Microsoft Graph Gezgini aracında, gerekli izinleri onayladığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan 1. Adım: Hedef kiracıda oturum açma ve 4. Adım: Kaynak kiracıda oturum açma konusuna bakın.

Belirti - Aynı Anahtar Değerine Sahip Birden Fazla Nesne İsteme hatası

Microsoft Graph API çağrısı yapmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Neden

Büyük olasılıkla, muhtemelen önceki bir yapılandırmadan zaten var olan bir yapılandırma veya nesne oluşturmaya çalışıyorsunuz.

Çözüm

1. İstek söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Mevcut nesneyi listelemek için bir GET istekte bulunın.

3. veya kullanarak POSTPUToluşturma isteğinde bulunmak yerine mevcut bir nesneniz varsa, kullanarak PATCHbir güncelleştirme isteğinde bulunmanız gerekebilir, örneğin:

   • crossTenantAccessPolicyConfigurationPartner güncelleştirme
   • crossTenantIdentitySyncPolicyPartner güncelleştirme

Belirti - Directory_ObjectNotFound hatası

Microsoft Graph API çağrısı yapmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Neden

Büyük olasılıkla PATCH kullanarak var olmayan bir nesneyi güncelleştirmeye çalışıyorsunuz.

Çözüm

1. İstek söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Nesnenin var olmadığını doğrulamak için bir GET istekte bulunın.

3. Eğer nesne yoksa, PATCH kullanarak bir güncelleştirme isteğinde bulunmak yerine, POST veya PUT kullanarak bir oluşturma isteğinde bulunmanız gerekebilir, şöyle:

   • Kimlik Senkronizasyonu Oluştur

Sonraki adımlar

• Microsoft Entra eşitleme API'lerine genel bakış
• Rehber: Microsoft Entra ID'de SCIM uç noktası için sağlama işlemlerini geliştirme ve planlama