設定跨租用戶同步處理
本文說明使用 Microsoft Entra 系統管理中心設定跨租使用者同步處理的步驟。 設定時,Microsoft Entra ID 會自動在您的目標租使用者中布建和取消布建 B2B 使用者。 如需此服務執行方式、運作方式和常見問題的重要詳細數據,請參閱 使用 Microsoft Entra ID 將使用者布建和取消布建至 SaaS 應用程式。
學習目標
本文結束時,您將能夠:
- 在您的目標租使用者中建立 B2B 使用者
- 拿掉目標租使用者中的 B2B 使用者
- 讓來源與目標租用戶之間的用戶屬性保持同步
必要條件
來源租使用者
- Microsoft Entra ID P1 或 P2 授權。 如需詳細資訊,請參閱授權需求。
- 安全性 管理員 istrator 角色,可設定跨租使用者存取設定。
- 混合式身分識別 管理員 istrator 角色,以設定跨租使用者同步處理。
- Cloud Application 管理員 istrator 或 Application 管理員 istrator 角色,將使用者指派給設定,以及刪除設定。
目標租使用者
- Microsoft Entra ID P1 或 P2 授權。 如需詳細資訊,請參閱授權需求。
- 安全性 管理員 istrator 角色,可設定跨租使用者存取設定。
步驟 1:規劃布建部署
步驟 2:在目標租用戶中啟用使用者同步處理
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
目標租使用者
流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。
在 [ 組織設定] 索引標籤上,選取 [ 新增組織]。
輸入租使用者標識碼或功能變數名稱,然後選取 [ 新增],以新增來源租使用者。
在新增組織的 [輸入存取] 下,選取 [繼承自預設]。
選取 [ 跨租使用者同步處理] 索引標籤。
核取 [ 允許使用者同步至此租使用者 ] 複選框。
選取 [儲存]。
如果您看到 [ 啟用跨租使用者同步處理和自動兌換 ] 對話框,詢問您是否要啟用自動兌換,請選取 [ 是]。
選取 [ 是 ] 會自動兌換目標租使用者中的邀請。
步驟 3:在目標租用戶中自動兌換邀請
目標租使用者
在此步驟中,您會自動兌換邀請,讓來源租使用者中的使用者不需要接受同意提示。 此設定必須同時簽入來源租使用者(輸出)和目標租使用者(輸入)。 如需詳細資訊,請參閱 自動兌換設定。
在目標租使用者中,在相同的 [輸入存取設定 ] 頁面上,選取 [信任設定 ] 索引標籤。
核取 [使用租用戶<>自動兌換邀請] 複選框。
如果您先前在 [啟用跨租使用者同步處理和自動兌換] 對話框中選取 [是],可能已經核取此方塊。
選取 [儲存]。
步驟 4:在來源租用戶中自動兌換邀請
來源租使用者
在此步驟中,您會在來源租用戶中自動兌換邀請。
流覽至 [身分>識別外部身分>識別跨租使用者存取設定]。
在 [ 組織設定] 索引標籤上,選取 [ 新增組織]。
輸入租使用者標識碼或功能變數名稱,然後選取 [新增],以新增目標租使用者。
在目標組織的 [輸出存取] 下,選取 [繼承自預設]。
選取 [信任設定] 索引標籤。
核取 [使用租用戶<>自動兌換邀請] 複選框。
選取 [儲存]。
步驟 5:在來源租使用者中建立設定
來源租使用者
在來源租使用者中,流覽至 [身分>識別外部身分>識別跨租使用者同步處理]。
選取 [ 組態]。
在頁面頂端,選取 [ 新增組態]。
提供組態的名稱,然後選取 [ 建立]。
您剛建立的組態最多可能需要 15 秒的時間才會出現在清單中。
步驟 6:測試與目標租用戶的連線
來源租使用者
在來源租使用者中,您應該會看到新的設定。 如果沒有,請在組態清單中選取您的組態。
選取開始使用。
將 [布 建模式 ] 設定為 [ 自動]。
在 [管理員 認證] 區段底下,將 [驗證方法] 變更為 [跨租使用者同步處理原則]。
在 [ 租使用者標識符 ] 方塊中,輸入目標租使用者的租使用者標識碼。
選取 [測試 連線],以測試連線。
您應該會看到一則訊息,指出提供的認證已獲授權啟用布建。 如果測試連線失敗,請參閱 本文稍後的疑難解答秘訣 。
選取 [儲存]。
對應和 設定 區段隨即出現。
關閉 [ 布建] 頁面。
步驟 7:定義布建範圍中的人員
來源租使用者
Microsoft Entra 布建服務可讓您定義將透過下列其中一種或兩種方式布建的人員:
- 根據設定的指派
- 根據用戶的屬性
從小開始。 在向所有人推出之前,先使用一小組用戶進行測試。 當布建範圍設定為指派的使用者和群組時,您可以將一或兩個使用者指派給設定來控制它。 您可以建立以屬性為基礎的範圍篩選條件,進一步精簡誰在布建範圍內,如下一個步驟所述。
在來源租使用者中,選取 [布建],然後展開 [設定] 區段。
在 [ 範圍] 清單中,選取是否要同步處理來源租使用者中的所有使用者,或只指派給設定的使用者。
建議您選取 [僅同步處理指派的使用者和群組],而不是 [同步所有使用者和群組]。 減少範圍中的用戶數目可改善效能。
如果您進行任何變更,請選取 [ 儲存]。
在組態頁面上,選取 [ 使用者和群組]。
若要讓跨租使用者同步處理能夠運作,至少必須指派一個內部使用者給設定。
選取 [ 新增使用者/群組]。
在 [新增指派] 頁面的 [使用者和群組] 底下,選取 [無選取]。
在 [ 使用者和群組 ] 窗格中,搜尋並選取您想要指派給設定的一或多個內部使用者或群組。
如果您選取要指派給設定的群組,則只有群組中直接成員的使用者才會處於布建範圍。 您可以選取靜態群組或動態群組。 指派不會串連至巢狀群組。
選取選取。
選取指派。
如需詳細資訊,請參閱 將使用者和群組指派給應用程式。
步驟 8:(選擇性) 定義使用範圍篩選器布建的人員
來源租使用者
無論您在上一個步驟中為 Scope 選取的值為何,您都可以藉由建立屬性型範圍篩選來進一步限制哪些使用者同步處理。
在來源租使用者中,選取 [ 布建] 並展開 [ 對應] 區 段。
選取 [ 布建 Microsoft 項目識別符使用者 ] 以開啟 [ 屬性對應 ] 頁面。
在 [來源物件範圍] 底下,選取 [所有記錄]。
在 [ 來源物件範圍 ] 頁面上,選取 [ 新增範圍篩選]。
新增任何範圍篩選條件,以定義哪些用戶位於布建範圍內。
若要設定範圍篩選,請參閱範圍設定使用者或群組中 提供的指示,以使用範圍篩選來布建。
選取 [確定] 和 [儲存] 以儲存任何變更。
如果您新增篩選,您會看到儲存變更的訊息會導致所有指派的使用者和群組重新同步處理。 視目錄的大小而定,這可能需要很長的時間。
選取 [ 是 ],然後關閉 [ 屬性對應] 頁面。
步驟 9:檢閱屬性對應
來源租使用者
屬性對應可讓您定義數據在來源租用戶與目標租用戶之間流動的方式。 如需如何自定義預設屬性對應的資訊,請參閱 教學課程 - 在 Microsoft Entra ID 中自定義 SaaS 應用程式的使用者布建屬性對應。
在來源租使用者中,選取 [ 布建] 並展開 [ 對應] 區 段。
選取 [ 布建 Microsoft Entra ID 使用者]。
在 [屬性對應] 頁面上,向下卷動以檢閱 [屬性對應] 區段中租用戶之間同步處理的用戶屬性。
alternativeSecurityIdentifier 的第一個屬性是內部屬性,用來唯一識別租使用者之間的使用者、比對來源租使用者中的使用者與目標租使用者中的現有使用者,並確保每個使用者只有一個帳戶。 無法變更比對屬性。 嘗試變更比對屬性或新增其他比對屬性會導致
schemaInvalid
錯誤。選取 Member (userType) 屬性以開啟 [ 編輯屬性] 頁面。
檢閱 userType 屬性的 [常數值] 設定。
此設定會定義將在目標租使用者中建立的用戶類型,而且可以是下表中的其中一個值。 根據預設,使用者會建立為外部成員(B2B 共同作業使用者)。 如需詳細資訊,請參閱 Microsoft Entra B2B 共同作業用戶的屬性。
常數值 描述 成員 預設。 使用者將會在目標租使用者中建立為外部成員(B2B 共同作業使用者)。 用戶將能夠作為目標租使用者的任何內部成員運作。 客體 使用者將會在目標租使用者中建立為外部來賓(B2B 共同作業使用者)。 注意
如果目標租使用者中已有 B2B 使用者,除非 [套用此對應] 設定設為 [永遠],否則 Member (userType) 將不會變更為 Member。
您選擇的使用者類型對於應用程式或服務有下列限制(但不限於):
應用程式或服務 限制 Power BI - Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊,請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者。 Azure 虛擬桌面 - Azure 虛擬桌面不支援外部成員和外部來賓。 如果您想要定義任何轉換,請在 [ 屬性對應 ] 頁面上,選取您要轉換的屬性,例如 displayName。
將 [ 對應類型 ] 設定為 [表達式]。
在 [ 表達式] 方塊中,輸入轉換表達式。 例如,使用顯示名稱,您可以執行下列動作:
- 翻轉名字和姓氏,並在兩者之間新增逗號。
- 在顯示名稱結尾的括弧中新增功能變數名稱。
如需範例,請參閱 在 Microsoft Entra ID 中撰寫屬性對應表達式的參考。
提示
您可以藉由更新跨租使用者同步處理的架構來對應目錄延伸模組。 如需詳細資訊,請參閱 跨租使用者同步處理中的對應目錄延伸模組。
步驟 10:指定其他布建設定
來源租使用者
在來源租使用者中,選取 [布建] 並展開 [設定] 區段。
核取 [ 發生 失敗時傳送電子郵件通知] 複選框。
在 [ 通知電子郵件 ] 方塊中,輸入應接收布建錯誤通知的人員或群組的電子郵件位址。
電子郵件通知會在進入隔離狀態的 24 小時內傳送。 如需自定義警示,請參閱 瞭解布建如何與 Azure 監視器記錄整合。
若要防止意外刪除,請選取 [防止意外刪除] ,並指定臨界值。 根據預設,閾值會設定為 500。
如需詳細資訊,請參閱 在 Microsoft Entra 布建服務中啟用意外刪除防護。
選取 [儲存] 以儲存任何變更。
步驟 11:依需求測試布建
來源租使用者
現在您已設定好,您可以透過其中一位用戶測試隨選布建。
在來源租使用者中,流覽至 [身分>識別外部身分>識別跨租使用者同步處理]。
選取 [ 組態 ],然後選取您的設定。
選取 [ 隨選布建]。
在 [ 選取使用者或群組] 方塊 中,搜尋並選取其中一個測試使用者。
選取 [ 布建]。
幾分鐘后,[ 執行動作 ] 頁面隨即出現,其中包含在目標租使用者中布建測試用戶的相關信息。
如果使用者不在範圍內,您會看到頁面,其中包含為何略過測試用戶的相關信息。
在 [ 隨選 布建] 頁面上,您可以檢視布建的詳細數據,並可以選擇重試。
在目標租使用者中,確認已布建測試使用者。
如果所有人都如預期般運作,請將其他使用者指派給組態。
如需詳細資訊,請參閱 Microsoft Entra ID 中的隨選布建。
步驟 12:啟動布建作業
來源租使用者
布建作業會啟動 設定 區段中定義之所有使用者的初始同步處理週期。 初始週期的執行時間比後續迴圈還要長,只要 Microsoft Entra 布建服務正在執行,大約每 40 分鐘就會發生一次。
在來源租使用者中,流覽至 [身分>識別外部身分>識別跨租使用者同步處理]。
選取 [ 組態 ],然後選取您的設定。
在 [概 觀] 頁面上,檢閱布建詳細數據。
選取 [ 開始布建] 以啟動布建 作業。
步驟 13:監視布建
來源和目標租使用者
啟動布建作業之後,您就可以監視狀態。
在來源租使用者的 [概觀 ] 頁面上,檢查進度列以查看布建周期的狀態,以及其完成程度。 如需詳細資訊,請參閱 檢查使用者布建的狀態。
如果布建似乎處於狀況不良狀態,組態將會進入隔離狀態。 如需詳細資訊,請參閱 隔離狀態中的應用程式佈建。
選取 [ 布建記錄 ] 以判斷哪些使用者已成功或未成功布建。 根據預設,記錄會依組態的服務主體標識符進行篩選。 如需詳細資訊,請參閱 在 Microsoft Entra ID 中布建記錄。
選取 [稽核記錄 ] 以檢視 Microsoft Entra ID 中的所有記錄事件。 如需詳細資訊,請參閱 Microsoft Entra ID 中的稽核記錄。
您也可以在目標租用戶中檢視稽核記錄。
在目標租使用者中,選取 [使用者>稽核記錄] 以檢視記錄的事件以進行使用者管理。
步驟 14:設定離開設定
目標租使用者
即使使用者正在目標租使用者中布建,他們仍然可以自行移除。 如果使用者自行移除且位於範圍內,則會在下一個布建週期中再次布建。 如果您想要不允許使用者從組織移除自己的能力,您必須設定 外部使用者離開設定。
在目標租使用者中,流覽至 [身分>識別外部身分識別外部共同作業>設定]。
在 [外部使用者離開設定] 下,選擇是否允許外部使用者自行離開組織。
此設定也適用於 B2B 共同作業和 B2B 直接連線,因此如果您將 [外部使用者離開設定] 設定設為 [否],B2B 共同作業使用者和 B2B 直接連線使用者就無法自行離開組織。 如需詳細資訊,請參閱 將組織保留為外部使用者。
疑難排解秘訣
刪除設定
請遵循下列步驟來刪除 [組態] 頁面上的組態。
徵兆 - 使用 AzureDirectoryB2BManagementPolicyCheckFailure 測試連線失敗
在來源租用戶中設定跨租使用者同步處理並測試連線時,它會失敗,並出現下列錯誤訊息:
You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.
原因
此錯誤表示未設定來源和目標租用戶中自動兌換邀請的原則。
方案
請遵循步驟 3:在目標租 用戶中自動兌換邀請和 步驟 4:在來源租用戶中自動兌換邀請。
徵兆 - 已停用自動兌換複選框
設定跨租使用者同步處理時,會停用 [ 自動兌換 ] 複選框。
原因
您的租用戶沒有 Microsoft Entra ID P1 或 P2 授權。
方案
您必須有 Microsoft Entra ID P1 或 P2 才能設定信任設定。
徵兆 - 未還原目標租使用者中最近刪除的使用者
在目標租使用者中虛刪除同步處理的用戶之後,不會在下一個同步處理周期期間還原使用者。 如果您嘗試以隨選布建來虛刪除使用者,然後還原使用者,可能會導致用戶重複。
原因
不支援還原先前在目標租用戶中虛刪除的使用者。
方案
手動還原目標租使用者中的虛刪除使用者。 如需詳細資訊,請參閱 使用 Microsoft Entra ID 還原或移除最近刪除的使用者。
徵兆 - 使用者已略過,因為使用者已啟用SMS登入
使用者會略過同步處理。 範圍步驟包含狀態為 false 的下列篩選:“篩選外部使用者.alternativeSecurityIds EQUALS 'None'”
原因
如果使用者已啟用SMS登入,布建服務將會略過這些登入。
方案
停用使用者的SMS登入。 下列腳本示範如何使用PowerShell停用SMS登入。
##### Disable SMS Sign-in options for the users
#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions
Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"
##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7
$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"
#### Get the User Details
$userId = "objectid_of_the_user_in_Azure_AD"
#### validate the value for SmsSignInState
$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId
{
if($smssignin.SmsSignInState -eq "ready"){
#### Disable Sms Sign-In for the user is set to ready
Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
}
else{
Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
}
}
##### End the script
徵兆 - 用戶無法布建錯誤 “AzureActiveDirectoryForbidden”
範圍中的用戶無法布建。 佈建記錄詳細資料包含下列錯誤訊息:
Guest invitations not allowed for your company. Contact your company administrator for more details.
原因
此錯誤表示目標租使用者中的來賓邀請設定是使用最嚴格的設定來設定:「組織中沒有人可以邀請來賓使用者,包括系統管理員(最嚴格)」。
方案
將目標租使用者中的來賓邀請設定變更為較不嚴格的設定。 如需詳細資訊,請參閱設定外部共同作業設定。