PowerShell veya Microsoft Graph API kullanarak kiracılar arası eşitlemeyi yapılandırma

Bu makalede, Microsoft Graph PowerShell veya Microsoft Graph API kullanarak kiracılar arası eşitlemeyi yapılandırmaya yönelik temel adımlar açıklanmaktadır. Yapılandırıldığında, Microsoft Entra Id hedef kiracınızdaki B2B kullanıcılarını otomatik olarak sağlar ve sağlamalarını kaldırıyor. Microsoft Entra yönetim merkezini kullanmayla ilgili ayrıntılı adımlar için bkz . Kiracılar arası eşitlemeyi yapılandırma.

Önkoşullar

Kaynak kiracı

• Microsoft Entra Id P1 veya P2 lisansı. Daha fazla bilgi için bkz . Lisans gereksinimleri.
• Kiracılar arası erişim ayarlarını yapılandırmak için Güvenlik Yöneticisi rolü.
• Kiracılar arası eşitlemeyi yapılandırmak için Karma Kimlik Yöneticisi rolü.
• Kullanıcıları bir yapılandırmaya atamak ve yapılandırmayı silmek için Bulut Uygulama Yöneticisi veya Uygulama Yöneticisi rolü.
• Gerekli izinlere onay vermek için Genel Yönetici rolü.

Hedef kiracı

• Microsoft Entra Id P1 veya P2 lisansı. Daha fazla bilgi için bkz . Lisans gereksinimleri.
• Kiracılar arası erişim ayarlarını yapılandırmak için Güvenlik Yöneticisi rolü.
• Gerekli izinlere onay vermek için Genel Yönetici rolü.

1. Adım: Hedef kiracıda oturum açma

Hedef kiracı

PowerShell

1. PowerShell'i başlatın.

2. Gerekirse Microsoft Graph PowerShell SDK'sını yükleyin.

3. Kaynak ve hedef kiracıların kiracı kimliğini alın ve değişkenleri başlatın.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

4. Hedef kiracıda oturum açmak ve aşağıdaki gerekli izinleri kabul etmek için Connect-MgGraph komutunu kullanın.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

   Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
   

Microsoft Graph

Bu adımlarda Microsoft Graph Gezgini'nin nasıl kullanılacağı açıklanır, ancak başka bir REST API istemcisi de kullanabilirsiniz.

1. Microsoft Graph Gezgini aracını başlatın.

2. Hedef kiracıda oturum açın.

3. Profilinizi ve ardından İzinlere onay ver'i seçin.

   

4. Aşağıdaki gerekli izinlere onay verin.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess

5. Kaynak ve hedef kiracıların kiracı kimliğini alın. Bu makalede açıklanan örnek yapılandırma aşağıdaki kiracı kimliklerini kullanır.

   • Kaynak kiracı kimliği: {sourceTenantId}
   • Hedef kiracı kimliği: {targetTenantId}

2. Adım: Hedef kiracıda kullanıcı eşitlemesini etkinleştirme

Hedef kiracı

PowerShell

1. Hedef kiracıda New-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanarak hedef kiracı ile kaynak kiracı arasındaki kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturun. İstekte kaynak kiracı kimliğini kullanın.

   hatasını New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existsalırsanız, zaten var olan bir yapılandırmanız olabilir. Daha fazla bilgi için bkz . Belirti - Yeni-MgPolicyCrossTenantAccessPolicyPartner_Create hatası.

   $Params = @{
       TenantId = $SourceTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <SourceTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   

2. Hedef kiracıda kullanıcı eşitlemesini etkinleştirmek için Invoke-MgGraphRequest komutunu kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız zaten bir ilkeniz olabilir. Daha fazla bilgi için bkz . Belirti - Request_MultipleObjectsWithSameKeyValue hatası.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
   

3. Doğru olarak ayarlandığını doğrulamak IsSyncAllowed için Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu kullanın.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

   IsSyncAllowed
   -------------
   True
   

Microsoft Graph

1. Hedef kiracıda, hedef kiracı ile kaynak kiracı arasındaki bir kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturmak için CrossTenantAccessPolicyConfigurationPartner API'sini kullanın. İstekte kaynak kiracı kimliğini kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız, zaten bir yapılandırmanız olabilir. Daha fazla bilgi için bkz . Belirti - Request_MultipleObjectsWithSameKeyValue hatası.

   İste

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{sourceTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{sourceTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Hedef kiracıda kullanıcı eşitlemesini etkinleştirmek için Create identitySynchronization API'sini kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız zaten bir ilkeniz olabilir. Daha fazla bilgi için bkz . Belirti - Request_MultipleObjectsWithSameKeyValue hatası.

   İste

   PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
   Content-type: application/json
   
   {
      "displayName": "Fabrikam",
      "userSyncInbound": 
       {
         "isSyncAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

3. Adım: Davetleri hedef kiracıda otomatik olarak kullanma

Hedef kiracı

PowerShell

1. Hedef kiracıda, davetleri otomatik olarak kullanmak ve gelen erişim için onay istemlerini engellemek için Update-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

   $AutomaticUserConsentSettings = @{
       "InboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Hedef kiracıda, davetleri otomatik olarak kullanmak ve gelen erişim için onay istemlerini engellemek için CrossTenantAccessPolicyConfigurationPartner API'sini güncelleştirin.

   İste

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
   Content-Type: application/json
   
   {
       "inboundTrust": null,
       "automaticUserConsentSettings":
       {
           "inboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

4. Adım: Kaynak kiracıda oturum açma

Kaynak kiracı

PowerShell

1. PowerShell örneğini başlatın.

2. Kaynak ve hedef kiracıların kiracı kimliğini alın ve değişkenleri başlatın.

   $SourceTenantId = "<SourceTenantId>"
   $TargetTenantId = "<TargetTenantId>"
   

3. Kaynak kiracıda oturum açmak ve aşağıdaki gerekli izinleri kabul etmek için Connect-MgGraph komutunu kullanın.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
   

Microsoft Graph

1. Microsoft Graph Gezgini aracının bir örneğini başlatın.

2. Kaynak kiracıda oturum açın.

3. Aşağıdaki gerekli izinlere onay verin.

   • Policy.Read.All
   • Policy.ReadWrite.CrossTenantAccess
   • Application.ReadWrite.All
   • Directory.ReadWrite.All
   • AuditLog.Read.All

   Yönetici onayı gerekiyor sayfasını görüyorsanız, onay için Genel Yönetici rolü atanmış bir kullanıcıyla oturum açmanız gerekir.

5. Adım: Davetleri kaynak kiracıda otomatik olarak kullanma

Kaynak kiracı

PowerShell

1. Kaynak kiracı ile hedef kiracı arasındaki kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturmak için kaynak kiracıda New-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın. İstekte hedef kiracı kimliğini kullanın.

   hatasını New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already existsalırsanız, zaten var olan bir yapılandırmanız olabilir. Daha fazla bilgi için bkz . Belirti - Yeni-MgPolicyCrossTenantAccessPolicyPartner_Create hatası.

   $Params = @{
       TenantId = $TargetTenantId
   }
   New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List
   

   AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
   B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
   IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
   InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
   IsServiceProvider            :
   TenantId                     : <TargetTenantId>
   TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
   AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                                  [crossCloudMeetingConfiguration,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                                  System.Collections.Generic.Dictionary`2[System.String,System.Object]]}
   
   

2. Davetleri otomatik olarak kullanmak ve giden erişim için onay istemlerini engellemek için Update-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

   $AutomaticUserConsentSettings = @{
       "OutboundAllowed"="True"
   }
   Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings
   

Microsoft Graph

1. Kaynak kiracıda, kaynak kiracı ile hedef kiracı arasındaki bir kiracılar arası erişim ilkesinde yeni bir iş ortağı yapılandırması oluşturmak için CrossTenantAccessPolicyConfigurationPartner API'sini kullanın. İstekte hedef kiracı kimliğini kullanın.

   Hata Request_MultipleObjectsWithSameKeyValue alırsanız, zaten bir yapılandırmanız olabilir. Daha fazla bilgi için bkz . Belirti - Request_MultipleObjectsWithSameKeyValue hatası.

   İste

   POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
   Content-Type: application/json
   
   {
     "tenantId": "{targetTenantId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   
   {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
     "tenantId": "{targetTenantId}",
     "isServiceProvider": null,
     "inboundTrust": null,
     "b2bCollaborationOutbound": null,
     "b2bCollaborationInbound": null,
     "b2bDirectConnectOutbound": null,
     "b2bDirectConnectInbound": null,
     "tenantRestrictions": null,
     "crossCloudMeetingConfiguration":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     },
     "automaticUserConsentSettings":
     {
       "inboundAllowed": null,
       "outboundAllowed": null
     }
   }
   

2. Davetleri otomatik olarak kullanmak ve giden erişim için onay istemlerini engellemek için CrossTenantAccessPolicyConfigurationPartner API'sini güncelleştirin.

   İste

   PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
   Content-Type: application/json
   
   {
       "automaticUserConsentSettings":
       {
           "outboundAllowed": true
       }
   }
   

   Response

   HTTP/1.1 204 No Content
   

6. Adım: Kaynak kiracıda yapılandırma uygulaması oluşturma

Kaynak kiracı

PowerShell

1. Microsoft Entra uygulama galerisinden kiracınıza yapılandırma uygulamasının bir örneğini eklemek için kaynak kiracıda Invoke-MgInstantiateApplicationTemplate komutunu kullanın.

   Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
   

2. Hizmet sorumlusu kimliğini ve uygulama rolü kimliğini almak için Get-MgServicePrincipal komutunu kullanın.

   Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List
   

   AccountEnabled                      : True
   AddIns                              : {}
   AlternativeNames                    : {}
   AppDescription                      :
   AppDisplayName                      : Fabrikam
   AppId                               : <AppId>
   AppManagementPolicies               :
   AppOwnerOrganizationId              : <AppOwnerOrganizationId>
   AppRoleAssignedTo                   :
   AppRoleAssignmentRequired           : True
   AppRoleAssignments                  :
   AppRoles                            : {<AppRoleId>}
   ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
   ClaimsMappingPolicies               :
   CreatedObjects                      :
   CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
   DelegatedPermissionClassifications  :
   DeletedDateTime                     :
   Description                         :
   DisabledByMicrosoftStatus           :
   DisplayName                         : Fabrikam
   Endpoints                           :
   ErrorUrl                            :
   FederatedIdentityCredentials        :
   HomeRealmDiscoveryPolicies          :
   Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
   Id                                  : <ServicePrincipalId>
   Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
   KeyCredentials                      : {}
   LicenseDetails                      :
   
   ...
   

3. Hizmet sorumlusu kimliği için bir değişken başlatın.

   Uygulama kimliği yerine hizmet sorumlusu kimliğini kullandığınızdan emin olun.

   $ServicePrincipalId = "<ServicePrincipalId>"
   

4. Uygulama rolü kimliği için bir değişken başlatın.

   $AppRoleId= "<AppRoleId>"
   

Microsoft Graph

1. Kaynak kiracıda applicationTemplate: api örneğini kullanarak Microsoft Entra uygulama galerisinden kiracınıza bir yapılandırma uygulaması örneği ekleyin.

   İste

   POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
   Content-type: application/json
   
   {
     "displayName": "Fabrikam"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
       "application": {
           "id": "{id}",
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "createdDateTime": "2023-07-31T23:26:24Z",
           "deletedDateTime": null,
           "displayName": "Fabrikam",
           "description": null,
           "groupMembershipClaims": null,
           "identifierUris": [],
           "isFallbackPublicClient": false,
           "signInAudience": "AzureADMyOrg",
           "tags": [],
           "tokenEncryptionKeyId": null,
           "defaultRedirectUri": null,
           "optionalClaims": null,
           "addIns": [],
           "api": {
               "acceptMappedClaims": null,
               "knownClientApplications": [],
               "requestedAccessTokenVersion": null,
               "oauth2PermissionScopes": [
                   {
                       "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                       "adminConsentDisplayName": "Access Fabrikam",
                       "id": "{id}",
                       "isEnabled": true,
                       "type": "User",
                       "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                       "userConsentDisplayName": "Access Fabrikam",
                       "value": "user_impersonation"
                   }
               ],
               "preAuthorizedApplications": []
           },
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "parentalControlSettings": {
               "countriesBlockedForMinors": [],
               "legalAgeGroupRule": "Allow"
           },
           "passwordCredentials": [],
           "publicClient": {
               "redirectUris": []
           },
           "requiredResourceAccess": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           },
           "web": {
               "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
               "redirectUris": [],
               "logoutUrl": null
           }
       },
       "servicePrincipal": {
           "id": "{servicePrincipalId}",
           "deletedDateTime": null,
           "accountEnabled": true,
           "appId": "{appId}",
           "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
           "appDisplayName": "Fabrikam",
           "alternativeNames": [],
           "appOwnerOrganizationId": "{appOwnerOrganizationId}",
           "displayName": "Fabrikam",
           "appRoleAssignmentRequired": true,
           "loginUrl": null,
           "logoutUrl": null,
           "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
           "notificationEmailAddresses": [],
           "preferredSingleSignOnMode": null,
           "preferredTokenSigningKeyThumbprint": null,
           "replyUrls": [],
           "servicePrincipalNames": [
               "{appId}"
           ],
           "servicePrincipalType": "Application",
           "tags": [
               "WindowsAzureActiveDirectoryIntegratedApp"
           ],
           "tokenEncryptionKeyId": null,
           "samlSingleSignOnSettings": null,
           "addIns": [],
           "appRoles": [
               {
                   "allowedMemberTypes": [
                       "User"
                   ],
                   "displayName": "msiam_access",
                   "id": "{appRoleId}",
                   "isEnabled": true,
                   "description": "msiam_access",
                   "value": null,
                   "origin": "Application"
               }
           ],
           "info": {
               "logoUrl": null,
               "marketingUrl": null,
               "privacyStatementUrl": null,
               "supportUrl": null,
               "termsOfServiceUrl": null
           },
           "keyCredentials": [],
           "oauth2PermissionScopes": [
               {
                   "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                   "adminConsentDisplayName": "Access Fabrikam",
                   "id": "{id}",
                   "isEnabled": true,
                   "type": "User",
                   "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                   "userConsentDisplayName": "Access Fabrikam",
                   "value": "user_impersonation"
               }
           ],
           "passwordCredentials": [],
           "verifiedPublisher": {
               "displayName": null,
               "verifiedPublisherId": null,
               "addedDateTime": null
           }
       }
   }
   

2. servicePrincipalId değerini kaydedin.

   Uygulama kimliği yerine hizmet sorumlusu kimliğini kullandığınızdan emin olun.

3. appRoleId değerini kaydedin.

7. Adım: Hedef kiracı bağlantısını test etme

Kaynak kiracı

PowerShell

1. Kaynak kiracıda Invoke-MgGraphRequest komutunu kullanarak hedef kiracıyla bağlantıyı test edin ve kimlik bilgilerini doğrulayın.

   $Params = @{
       "useSavedCredentials" = $false
       "templateId" = "Azure2Azure"
       "credentials" = @(
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
       )
   }
   Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params
   

Microsoft Graph

1. Kaynak kiracıda, hedef kiracıya bağlantıyı test etmek ve kimlik bilgilerini doğrulamak için synchronizationJob: validateCredentials API'sini kullanın.

   İste

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
   Content-Type: application/json
   
   {
       "useSavedCredentials": false,
       "templateId": "Azure2Azure",
       "credentials": [
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

8. Adım: Kaynak kiracıda sağlama işi oluşturma

Kaynak kiracı

Kaynak kiracıda sağlamayı etkinleştirmek için bir sağlama işi oluşturun.

PowerShell

1. Kullanılacak eşitleme şablonunu ( gibi Azure2Azure) belirleyin.

   Şablonda önceden yapılandırılmış eşitleme ayarları vardır.

2. Kaynak kiracıda, şablonu temel alan bir sağlama işi oluşturmak için New-MgServicePrincipalSynchronizationJob komutunu kullanın.

   New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

3. İş kimliği için bir değişken başlatın.

   $JobId = "<JobId>"
   

Microsoft Graph

1. Kullanılacak eşitleme şablonunu ( gibiAzure2Azure) belirleyin.

   Şablonda önceden yapılandırılmış eşitleme ayarları vardır.

2. Kaynak kiracıda, bir şablonu temel alan bir sağlama işi oluşturmak için SynchronizationJob API'sini oluşturun.

   İste

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
   Content-type: application/json
   
   {
       "templateId": "Azure2Azure"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Disabled"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "Paused",
           "lastExecution": null,
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": null,
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

3. jobId değerini kaydedin.

9. Adım: Kimlik bilgilerinizi kaydetme

Kaynak kiracı

PowerShell

1. Kimlik bilgilerinizi kaydetmek için kaynak kiracıda Invoke-MgGraphRequest komutunu kullanın.

   $Params = @{
       "value" = @(
           @{
               "key" = "AuthenticationType"
               "value" = "SyncPolicy"
           }
           @{
               "key" = "CompanyId"
               "value" = $TargetTenantId
           }
       )
   }
   Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params
   

Microsoft Graph

1. Kimlik bilgilerinizi kaydetmek için kaynak kiracıda Eşitleme gizli dizileri ekleme API'sini kullanın.

   İste

   PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
   Content-Type: application/json
   
   {
       "value": [
           {
               "key": "AuthenticationType",
               "value": "SyncPolicy"
           },
           {
               "key": "CompanyId",
               "value": "{targetTenantId}"
           },
           {
               "key": "SyncNotificationSettings",
               "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
           },
           {
               "key": "SyncAll",
               "value": "false"
           }
       ]
   }
   

   Response

   HTTP/1.1 204 No Content
   

10. Adım: Yapılandırmaya kullanıcı atama

Kaynak kiracı

Kiracılar arası eşitlemenin çalışması için yapılandırmaya en az bir iç kullanıcı atanmalıdır.

PowerShell

1. Kaynak kiracıda, yapılandırmaya bir iç kullanıcı atamak için New-MgServicePrincipalAppRoleAssignedTo komutunu kullanın.

   $Params = @{
       PrincipalId = "<PrincipalId>"
       ResourceId = $ServicePrincipalId
       AppRoleId = $AppRoleId
   }
   New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List
   

   AppRoleId            : <AppRoleId>
   CreatedDateTime      : 7/31/2023 10:27:12 PM
   DeletedDateTime      :
   Id                   : <Id>
   PrincipalDisplayName : User1
   PrincipalId          : <PrincipalId>
   PrincipalType        : User
   ResourceDisplayName  : Fabrikam
   ResourceId           : <ServicePrincipalId>
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}
   

Microsoft Graph

1. Kaynak kiracıda, yapılandırmaya bir iç kullanıcı atamak için hizmet sorumlusu API'sine appRoleAssignment verme'yi kullanın.

   İste

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
   Content-type: application/json
   
   {
       "appRoleId": "{appRoleId}",
       "resourceId": "{servicePrincipalId}",
       "principalId": "{principalId}"
   }
   

   Response

   HTTP/1.1 201 Created
   Content-Type: application/json
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
       "id": "{keyId}",
       "deletedDateTime": null,
       "appRoleId": "{appRoleId}",
       "createdDateTime": "2023-07-31T22:23:48.6541804Z",
       "principalDisplayName": "User1",
       "principalId": "{principalId}",
       "principalType": "User",
       "resourceDisplayName": "Fabrikam",
       "resourceId": "{servicePrincipalId}"
   }
   

11. Adım: İsteğe bağlı olarak sağlamayı test edin

Kaynak kiracı

Artık bir yapılandırmanız olduğuna göre, kullanıcılarınızdan biriyle isteğe bağlı sağlamayı test edebilirsiniz.

PowerShell

1. Şema kuralı kimliğini almak için kaynak kiracıda Get-MgServicePrincipalSynchronizationJobSchema komutunu kullanın.

   $SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   $SynchronizationSchema.SynchronizationRules | Format-List
   

   ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
   Editable             : True
   GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
   Id                   : <RuleId>
   Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
   Name                 : USER_INBOUND_USER
   ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
   Priority             : 1
   SourceDirectoryName  : Azure Active Directory
   TargetDirectoryName  : Azure Active Directory (target tenant)
   AdditionalProperties : {}
   

2. Kural kimliği için bir değişken başlatın.

   $RuleId = "<RuleId>"
   

3. İsteğe bağlı bir test kullanıcısı sağlamak için New-MgServicePrincipalSynchronizationJobOnDemand komutunu kullanın.

   $Params = @{
       Parameters = @(
           @{
               Subjects = @(
                   @{
                       ObjectId = "<UserObjectId>"
                       ObjectTypeName = "User"
                   }
               )
               RuleId = $RuleId
           }
       )
   }
   New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List
   

   Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
   Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                          'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                          "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                          ...
   AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}
   

Microsoft Graph

1. Şema kuralı kimliğini almak için kaynak kiracıda Get synchronizationSchema API'sini kullanın.

   İste

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
       "id": "{jobId}",
       "version": "v1.2",
       "synchronizationRules": [
           {
               "containerFilter": null,
               "editable": true,
               "groupFilter": null,
               "id": "{ruleId}",
               "name": "USER_INBOUND_USER",
               "priority": 1,
               "sourceDirectoryName": "Azure Active Directory",
               "targetDirectoryName": "Azure Active Directory (target tenant)",
               "metadata": [
   
               ...
   

2. Kaynak kiracıda, isteğe bağlı bir test kullanıcısı sağlamak için synchronizationJob: provisionOnDemand API'sini kullanın.

   İste

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
   Content-Type: application/json
   
   {
       "parameters": [
           {
               "ruleId": "{ruleId}",
               "subjects": [
                   {
                       "objectId": "{userObjectId}",
                       "objectTypeName": "User"
                   }
               ]
           }
       ]
   }
   

   Response

   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
       "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
       "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}
   
       ...
   

12. Adım: Sağlama işini başlatma

Kaynak kiracı

PowerShell

1. Sağlama işi yapılandırıldığına göre kaynak kiracıda, sağlama işini başlatmak için Start-MgServicePrincipalSynchronizationJob komutunu kullanın.

   Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
   

Microsoft Graph

1. Artık sağlama işi yapılandırıldığına göre, kaynak kiracıda eşitlemeyi başlatİş api'sini kullanarak sağlama işini başlatın.

   İste

   POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
   

   Response

   HTTP/1.1 204 No Content
   

13. Adım: Sağlamayı izleme

Kaynak kiracı

PowerShell

1. Artık sağlama işi çalıştırıldığına göre kaynak kiracıda Get-MgServicePrincipalSynchronizationJob komutunu kullanarak geçerli sağlama döngüsünün ilerleme durumunu ve hedef sistemde oluşturulan kullanıcı ve grup sayısı gibi bugüne kadarki istatistikleri izleyin.

   Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List
   

   Id                         : <JobId>
   Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
   Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
   Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
   SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
   TemplateId                 : Azure2Azure
   AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                                nization/jobs/$entity]}
   

2. Sağlama işinin durumunu izlemeye ek olarak, sağlama günlüklerini almak ve gerçekleşen tüm sağlama olaylarını almak için Get-MgAuditLogProvisioning komutunu kullanın. Örneğin, belirli bir kullanıcıyı sorgulayıp başarıyla sağlanıp sağlanmadığını belirleyin.

   Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List
   

   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:17 AM
   ActivityDisplayName  : Export
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   
   ActivityDateTime     : 7/31/2023 12:08:14 AM
   ActivityDisplayName  : Synchronization rule action
   AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
   Category             : ProvisioningManagement
   CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
   Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
   InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
   LoggedByService      : Account Provisioning
   OperationType        :
   Result               : success
   ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                          in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
   TargetResources      : {<ServicePrincipalId>, }
   AdditionalProperties : {}
   

Microsoft Graph

1. Artık sağlama işi çalıştırıldığına göre, kaynak kiracıda eşitleme alma İşi API'sini kullanarak geçerli sağlama döngüsünün ilerleme durumunu ve hedef sistemde oluşturulan kullanıcı ve grup sayısı gibi bugüne kadarki istatistikleri izleyin.

   İste

   GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}
   

   Response

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "id": "{jobId}",
       "templateId": "Azure2Azure",
       "schedule": {
           "expiration": null,
           "interval": "PT40M",
           "state": "Active"
       },
       "status": {
           "countSuccessiveCompleteFailures": 0,
           "escrowsPruned": false,
           "code": "NotRun",
           "lastSuccessfulExecution": null,
           "lastSuccessfulExecutionWithExports": null,
           "quarantine": null,
           "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
           "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
           "troubleshootingUrl": "",
           "lastExecution": {
               "activityIdentifier": null,
               "countEntitled": 0,
               "countEntitledForProvisioning": 0,
               "countEscrowed": 0,
               "countEscrowedRaw": 0,
               "countExported": 0,
               "countExports": 0,
               "countImported": 0,
               "countImportedDeltas": 0,
               "countImportedReferenceDeltas": 0,
               "state": "Failed",
               "timeBegan": "0001-01-01T00:00:00Z",
               "timeEnded": "0001-01-01T00:00:00Z",
               "error": {
                   "code": "None",
                   "message": "",
                   "tenantActionable": false
               }
           },
           "progress": [],
           "synchronizedEntryCountByType": []
       },
       "synchronizationJobSettings": [
           {
               "name": "AzureIngestionAttributeOptimization",
               "value": "False"
           },
           {
               "name": "LookaheadQueryEnabled",
               "value": "False"
           }
       ]
   }
   

2. Sağlama işinin durumunu izlemeye ek olarak, sağlama günlüklerini almak ve gerçekleşen tüm sağlama olaylarını almak için List provisioningObjectSummary API'sini kullanın. Örneğin, belirli bir kullanıcıyı sorgulayıp başarıyla sağlanıp sağlanmadığını belirleyin.

   İste

   GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc
   

   Response

   Burada gösterilen yanıt nesnesi okunabilirlik için kısaltılmıştır.

   HTTP/1.1 200 OK
   Content-type: application/json
   
   {
       "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
       "value": [
           {
               "id": "{id}",
               "activityDateTime": "2023-07-31T00:40:37Z",
               "tenantId": "{targetTenantId}",
               "jobId": "{jobId}",
               "cycleId": "{cycleId}",
               "changeId": "{changeId}",
               "provisioningAction": "create",
               "durationInMilliseconds": 4375,
               "servicePrincipal": {
                   "id": "{servicePrincipalId}",
                   "displayName": "Fabrikam"
               },
               "sourceSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory",
                   "details": {}
               },
               "targetSystem": {
                   "id": "{id}",
                   "displayName": "Azure Active Directory (target tenant)",
                   "details": {
                       "ApplicationId": "{applicationId}",
                       "ServicePrincipalId": "{servicePrincipalId}",
                       "ServicePrincipalDisplayName": "Fabrikam"
                   }
               },
               "initiatedBy": {
                   "id": "",
                   "displayName": "Azure AD Provisioning Service",
                   "initiatorType": "system"
               },
               "sourceIdentity": {
                   "id": "{sourceUserObjectId}",
                   "displayName": "User4",
                   "identityType": "User",
                   "details": {
                       "id": "{sourceUserObjectId}",
                       "odatatype": "User",
                       "DisplayName": "User4",
                       "UserPrincipalName": "user4@fabrikam.com"
                   }
               },
               "targetIdentity": {
                   "id": "{targetUserObjectId}",
                   "displayName": "",
                   "identityType": "User",
                   "details": {}
               },
               "provisioningStatusInfo": {
                   "status": "success",
                   "errorInformation": null
               },
           "provisioningSteps": [
               {
                   "name": "EntryImportAdd",
                   "provisioningStepType": "import",
                   "status": "success",
                   "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                   "details": {
                       "objectId": "{sourceUserObjectId}",
                       "accountEnabled": "True",
                       "department": "Marketing",
                       "displayName": "User4",
                       "mailNickname": "user4",
                       "userPrincipalName": "user4@fabrikam.com",
                       "netId": "{netId}",
                       "showInAddressList": "",
                       "alternativeSecurityIds": "None",
                       "IsSoftDeleted": "False",
                       "appRoleAssignments": "msiam_access"
                   }
               },
               {
                   "name": "EntrySynchronizationScoping",
                   "provisioningStepType": "scoping",
                   "status": "success",
                   "description": "Determine if User in scope by evaluating against each scoping filter",
                   "details": {
                       "Active in the source system": "True",
                       "Assigned to the application": "True",
                       "User has the required role": "True",
                       "Scoping filter evaluation passed": "True",
                       "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                   }
               },
   
               ...
   
           }
       ]
   }
   

Sorun giderme ipuçları

PowerShell

Belirti - Yetersiz ayrıcalık hatası

Bir eylem gerçekleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Neden

Oturum açmış kullanıcının yeterli ayrıcalığı yok veya gerekli izinlerden birini onaylamanız gerekiyor.

Çözüm

1. Gerekli rollere atandığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan Önkoşullar bölümüne bakın.

2. Connect-MgGraph ile oturum açtığınızda, gerekli kapsamları belirttiğinizden emin olun. Bu makalenin önceki bölümlerinde yer alan 1. Adım: Hedef kiracıda oturum açma ve 4. Adım: Kaynak kiracıda oturum açma konusuna bakın.

Belirti - Yeni MgPolicyCrossTenantAccessPolicyPartner_Create hatası

Yeni bir iş ortağı yapılandırması oluşturmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Neden

Büyük olasılıkla, muhtemelen önceki bir yapılandırmadan zaten var olan bir yapılandırma veya nesne oluşturmaya çalışıyorsunuz.

Çözüm

1. Söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Var olan nesneyi listelemek için Get-MgPolicyCrossTenantAccessPolicyPartner komutunu kullanın.

3. Mevcut bir nesneniz varsa Update-MgPolicyCrossTenantAccessPolicyPartner kullanarak bir güncelleştirme yapmanız gerekebilir

Belirti - Request_MultipleObjectsWithSameKeyValue hatası

Kullanıcı eşitlemesini etkinleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Neden

Büyük olasılıkla daha önceki bir yapılandırmadan zaten var olan bir ilke oluşturmaya çalışıyorsunuz.

Çözüm

1. Söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Ayarı listelemek IsSyncAllowed için Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu kullanın.

   (Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound
   

3. Mevcut bir ilkeniz varsa, kullanıcı eşitlemesini etkinleştirmek için Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization komutunu kullanarak bir güncelleştirme yapmanız gerekebilir.

   $Params = @{
       userSyncInbound = @{
           isSyncAllowed = $true
       }
   }
   Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
   

Microsoft Graph

Belirti - Yetersiz ayrıcalık hatası

Bir eylem gerçekleştirmeye çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Neden

Oturum açmış kullanıcının yeterli ayrıcalığı yok veya gerekli izinlerden birini onaylamanız gerekiyor.

Çözüm

1. Gerekli rollere atandığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan Önkoşullar bölümüne bakın.

2. Microsoft Graph Gezgini aracında, gerekli izinleri onayladığınızdan emin olun. Bu makalenin önceki bölümlerinde yer alan 1. Adım: Hedef kiracıda oturum açma ve 4. Adım: Kaynak kiracıda oturum açma konusuna bakın.

Belirti - Request_MultipleObjectsWithSameKeyValue hatası

Microsoft Graph API çağrısı yapmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Neden

Büyük olasılıkla, muhtemelen önceki bir yapılandırmadan zaten var olan bir yapılandırma veya nesne oluşturmaya çalışıyorsunuz.

Çözüm

1. İstek söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Mevcut nesneyi listelemek için bir GET istekte bulunın.

3. veya kullanarak POST PUToluşturma isteğinde bulunmak yerine mevcut bir nesneniz varsa, kullanarak PATCHbir güncelleştirme isteğinde bulunmanız gerekebilir, örneğin:

   • crossTenantAccessPolicyConfigurationPartner güncelleştirme
   • crossTenantIdentitySyncPolicyPartner güncelleştirme

Belirti - Directory_ObjectNotFound hatası

Microsoft Graph API çağrısı yapmaya çalıştığınızda, aşağıdakine benzer bir hata iletisi alırsınız:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Neden

Büyük olasılıkla kullanarak PATCHvar olmayan bir nesneyi güncelleştirmeye çalışıyorsunuz.

Çözüm

1. İstek söz diziminizi ve doğru kiracı kimliğini kullandığınızı doğrulayın.

2. Nesnenin var olmadığını doğrulamak için bir GET istekte bulunın.

3. nesnesi yoksa, kullanarak PATCHbir güncelleştirme isteğinde bulunmak yerine veya PUTgibi POST bir oluşturma isteğinde bulunmanız gerekebilir:

   • IdentitySynchronization oluşturma

Sonraki adımlar

• Microsoft Entra eşitleme API'lerine genel bakış
• Öğretici: Microsoft Entra ID'de SCIM uç noktası için sağlamayı geliştirme ve planlama