設定跨租戶同步處理

本文說明使用 Microsoft Entra 系統管理中心設定跨租用戶同步處理的步驟。 設定後，Microsoft Entra ID 會自動建立和移除目標租戶中的 B2B 使用者。

如需瞭解有關此服務所提供的重要功能、其運作方式及常見問題的詳細資訊，請參閱 使用 Microsoft Entra ID 自動化將使用者布建和取消布建至 SaaS 應用程式。

本文說明在Microsoft雲端服務之間設定跨租戶同步處理的步驟。 設定後，Microsoft Entra ID 會自動建立和移除目標租戶中的 B2B 使用者。 雖然本教學課程著重於同步處理來自商業雲端的身分識別--美國政府，但相同的步驟適用於中國政府 -->> 商業和商業 -> 中國。

如需瞭解有關此服務所提供的重要功能、其運作方式及常見問題的詳細資訊，請參閱 使用 Microsoft Entra ID 自動化將使用者布建和取消布建至 SaaS 應用程式。 若要了解跨租戶同步與跨雲端同步的差異，請參閱 常見問題中的跨雲端同步。

支援的雲端配對

跨租戶同步支援以下雲端配對：

來源	標的	Azure 入口網站鏈接網域
Azure 商用	Azure 商用	portal.azure.com -->portal.azure.com
Azure Government	Azure Government	portal.azure.us -->portal.azure.us
21Vianet（中國）	21Vianet（中國）	portal.azure.cn -->portal.azure.cn

跨雲端同步處理支援這些雲端配對：

來源	標的	Azure 入口網站鏈接網域
Azure 商用	Azure Government	portal.azure.com -->portal.azure.us
Azure Government	Azure 商用	portal.azure.us -->portal.azure.com
Azure 商用	由 21Vianet 營運的 Azure （中國 Azure）	portal.azure.com -->portal.azure.cn

學習目標

本文結束時，您將能夠：

• 在您的目標租戶中新增 B2B 使用者
• 在目標租戶中移除 B2B 使用者
• 讓來源與目標租用戶之間的使用者屬性保持同步

必要條件

來源租戶

• Microsoft Entra ID P1 或 P2 授權。 如需詳細資訊，請參閱 授權需求。
• 安全性系統管理員 角色，可設定租戶間存取設定。
• Hybrid Identity Administrator 角色，可設定跨租戶同步處理。
• 雲端應用程式管理員 或 應用程式管理員 角色，將使用者指派給設定，以及刪除設定。

• Microsoft Entra ID Governance 或 Microsoft Entra Suite 授權。 如需詳細資訊，請參閱 授權需求。
• 安全性系統管理員 角色，可設定租戶間存取設定。
• Hybrid Identity Administrator 角色，可設定跨租戶同步處理。
• 雲端應用程式管理員 或 應用程式管理員 角色，將使用者指派給設定，以及刪除設定。

目標租戶

• 安全性系統管理員 角色，可設定租戶間存取設定。

• 安全性系統管理員 角色，可設定租戶間存取設定。

步驟 1：規劃佈建部署

1. 定義您要如何 安排組織中的租賃單位。

2. 瞭解 布建服務的運作方式。

3. 判斷誰將在 [布建範圍] 中。

4. 決定要在租戶之間映射的數據。

步驟 1：在兩個租戶中啟用跨雲設置

來源租戶

1. 您可以登入來源租戶的 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>外部身分>跨租戶存取設定。

3. 在 [Microsoft雲端設定 ] 索引標籤上，選取您想要共同作業的雲端複選框，例如 Microsoft Azure Government。

   雲端清單會根據您位於的雲端而有所不同。 如需詳細資訊，請參閱 Microsoft雲端設定。

   

4. 選擇 [儲存]。

目標

1. 登入目標租戶的 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>外部身分>跨租戶存取設定。

3. 在 Microsoft 雲端設定索引標籤上，選取來源租戶的跨雲端同步核取方塊，例如 Microsoft Azure 商業版。

   

   當您選取此複選框時，它會建立具有下列許可權的服務主體：

   • User.ReadWrite.CrossCloud
   • 使用者.邀請.全部
   • 組織.讀取.全部权限
   • 讀取所有政策 (Policy.Read.All)

4. 選擇 [儲存]。

步驟 2：在目標租戶中啟用使用者同步

目標租戶

1. 登入目標租戶的 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>外部身分>跨租戶存取設定。

3. 在 [組織設定] 索引標籤上，選取 [新增組織]。

4. 輸入租用戶 ID 或網域名稱，然後選取 新增，以新增來源租戶。

   

5. 在新增組織的 [入站存取]下，選取 [繼承自預設]。

6. 選擇跨租同步索引標籤。

7. 選取 [允許使用者同步到此租用戶] 核取方塊。

   

8. 選擇 [儲存]。

9. 如果您看到 [啟用跨租用戶同步處理和自動兌換] 對話方塊，詢問您是否要啟用自動兌換，請選取 [是]。

   選取 是 將自動兌換目標租戶中的邀請。

   

步驟 3：自動在指定的租戶中兌換邀請

目標租戶

在此步驟中，您會自動處理邀請，讓來源租用戶的使用者不需要接受同意提示。 此設定必須在來源租用戶（輸出）和目標租用戶（輸入）中同時確認。 如需詳細資訊，請參閱 自動兌換設定。

1. 在目標租戶中，在相同的 [輸入存取設定] 頁面上，選取 [信任設定] 索引標籤。

2. 請勾選 [自動兌換邀請給租用戶] 核取方塊。

   如果您先前在 [啟用跨租使用者同步處理和自動兌換] 對話框中選取 [是]，可能已經核取此方塊。

   

3. 選擇 [儲存]。

步驟 4：在來源租戶中自動兌現邀請

來源租戶

在這個步驟中，您會在來源租用戶中自動完成邀請的兌換。

1. 您可以登入來源租戶的 Microsoft Entra 系統管理中心。

2. 流覽至 Entra ID>外部身分>跨租戶存取設定。

3. 在 [組織設定] 索引標籤上，選取 [新增組織]。

4. 輸入租戶識別碼或網域名稱，然後選取 新增 以加入目標租戶。

   

5. 在目標組織的 [外部存取] 下，選取 [繼承自預設設定]。

6. 選取 [信任設定] 索引標籤。

7. 請勾選 [自動兌換邀請給租用戶] 核取方塊。

   

8. 選擇 [儲存]。

步驟 5：在來源租用戶中建立設定

來源租戶

1. 在來源租戶中，瀏覽至 Entra ID>外部身分識別>跨租戶同步處理。

   

   如果您使用 Azure 入口網站，請流覽至 Microsoft Entra ID>管理>跨租戶同步。

   

2. 選取 組態。

3. 在頁面頂端，選取 [新增設定]。

4. 提供組態的名稱。

   

5. 選取 ，創建。

   您剛建立的設定最多可能需要 15 秒的時間才會出現在清單中。

4. 提供組態的名稱。

5. 選取 [ 啟用Microsoft雲端的跨租使用者同步設定 ] 複選框。

   

6. 選取 ，創建。

   您剛建立的設定最多可能需要 15 秒的時間才會出現在清單中。

   在跨雲端同步處理的 [設定] 頁面上，[ 租用戶名稱 ] 和 [ 租用戶標識符 ] 數據行將會是空的。

步驟 6：測試與目標租用戶的連線

來源租戶

1. 在來源租戶中，您應該會看到新的設定。 如果沒有，請在設定清單中選取您的設定。

   

2. 選取 [開始使用]。

3. 將 [佈建模式] 設定為 [自動]。

4. 在 [系統管理員認證] 區段底下，將 [驗證方法] 變更為 [跨租用戶同步處理原則]。

   

5. 在 [租用戶識別碼] 方塊中，輸入目標租用戶的租用戶識別碼。

6. 選取 [測試連線] 以測試連線。

   您應該會看到一則訊息，顯示所提供的認證已獲授權以啟用配置。 如果測試連線失敗，請參閱本文稍後的 常見案例和解決方案 。

   

7. 選擇 [儲存]。

   [映射] 和 [設定] 區段出現。

8. 關閉 配置頁面。

步驟 7：定義佈建範圍內的人員

來源租戶

Microsoft Entra 佈建服務可讓您定義將透過下列其中一種或兩種方式佈建的人員：

• 根據設定的指派
• 根據使用者的屬性

從小規模開始。 在推出給所有人之前，先使用一小部分的使用者進行測試。 當佈建範圍設定為指派的使用者和群組時，您可以將一或兩個使用者指派給設定來控制它。 您可以藉由建立屬性為基礎的範圍篩選條件，進一步調整布建範圍內的人員，如下一步所述。

1. 在源租戶中，選取 [佈建] ，然後展開 [設定] 區段。

   

2. 在 [範圍] 清單中，選擇是否同步來源承租戶中的所有使用者，或僅同步指派給設定的使用者。

   建議您選取 [只同步指派的使用者和群組]，而不是 [同步所有使用者和群組]。 減少範圍中的使用者數目可改善效能。

3. 如果您進行任何變更，請選取 [儲存]。

4. 在設定頁面上，選取 [使用者和群組]。

   若要讓跨租用戶同步運作，至少必須在設定中指派一個內部使用者。

5. 選取 [新增使用者/群組]。

6. 在 [新增工作分派] 頁面上，於 [使用者和群組] 底下，選取 [未選取]。

7. 在 [使用者和群組] 窗格中，搜尋並選取您要指派給設定的一或多個內部使用者或群組。

   如果您選取要指派給設定的群組，則只有群組中直接成員的使用者才會處於佈建範圍。 您可以選取靜態群組或動態群組。 指派不會延續到巢狀群組中。

8. 選取 選取。

9. 選取 指派。

   

   如需詳細資訊，請參閱 將使用者和群組指派給應用程式。

步驟 8：（選擇性）使用範圍篩選器來定義佈建範圍內的人員

來源租戶

無論您在上一個步驟中為 Scope 選取的值為何，您都可以藉由建立屬性型範圍篩選來進一步限制哪些使用者同步處理。

1. 在來源租用戶中，選取 [預配]，然後展開 [對應設定] 部分。

   

2. 選取 Provision Microsoft Entra ID 使用者，以開啟 屬性對應 頁面。

3. 在 [來源物件範圍] 下，選取 [所有記錄]。

   

4. 在 [來源物件範圍] 頁面上，選取 [新增範圍篩選]。

5. 新增任何範圍篩選條件，以定義哪些使用者位於佈建範圍內。

   若要設定範圍篩選，請參閱 範圍篩選中提供的指示，以便為使用者或群組設定範圍。

   

6. 選取 [確定]，然後[儲存] 來儲存任何變更。

   如果您新增篩選，您會看到儲存變更的訊息會導致所有指派的使用者和群組重新同步處理。 視目錄的大小而定，這可能需要很長的時間。

7. 選取 [是]，然後關閉 [屬性對應] 頁面。

步驟 9：檢查屬性對應

來源租戶

屬性映射可讓您定義資料在來源租用戶與目標租用戶之間流動的方式。 如需如何自定義預設屬性對應的詳細資訊，請參閱 教學課程 - 在 Microsoft Entra ID 中自定義 SaaS 應用程式的使用者布建屬性對應。

1. 在來源租用戶中，選取 [預配]，然後展開 [對應設定] 部分。

2. 選取「佈建 Microsoft Entra ID 使用者」。

3. 在 屬性對應 頁面上，向下捲動以查看在 屬性對應 區段中租用戶之間同步的用戶屬性。

   alternativeSecurityIdentifier 的第一個屬性是內部屬性，用來唯一識別租用戶之間的使用者、比對來源租用戶中的使用者與目標租用戶中的現有使用者，並確保每個使用者只有一個帳戶。 無法變更比對屬性。 嘗試變更比對屬性或新增其他比對屬性會導致 schemaInvalid 錯誤。

   

4. 選取 [Member (userType)] 屬性，以開啟 [編輯屬性] 頁面。

5. 檢閱 userType 屬性的 [常數值] 設定。

   此設定會定義將在目標租用戶中建立的使用者類型，而且可以是下表中的其中一個值。 預設情況下，使用者會被創建為外部成員(B2B 共同作業使用者)。 如需詳細資訊，請參閱 Microsoft Entra B2B 共同作業用戶的屬性。

   常數值	描述
   成員	預設。 將在目標租用戶中建立使用者，作為外部成員（B2B 協作使用者）。 用戶將能夠以目標租戶的任何內部成員的身份進行操作。
   客人	使用者將會被建立為目標租戶中的外部來賓（B2B 協作使用者）。

   注意

   如果目標租戶中已有 B2B 使用者，則 成員（userType） 不會更改為 Member，除非 [套用此對應] 設定為 永遠。

   您選擇的使用者類型對於應用程式或服務有下列限制 (但不限於)：

   應用程式或服務	限制
   Power BI	- Power BI 中 UserType 成員的支援目前為預覽狀態。 如需詳細資訊，請參閱 使用 Microsoft Entra B2B 將 Power BI 內容散發給外部來賓使用者。
   Azure 虛擬桌面	- 如需限制，請參閱 Azure 虛擬桌面的必要條件。
   Microsoft 團隊	- 如需限制，請參閱 與其他Microsoft 365 雲端環境的來賓共同作業。

   

6. 如果您想要定義任何轉換，請在 [ 屬性對應 ] 頁面上，選取您要轉換的屬性，例如 displayName。

7. 將 [ 對應類型 ] 設定為 [表達式]。

8. 在 [運算式] 方塊中，輸入轉換運算式。 例如，使用顯示名稱時，您可以執行下列動作：

   • 翻轉名字和姓氏，並在兩者之間新增逗號。
   • 請在顯示名稱結尾的括弧中新增網域名稱。

   如需範例，請參閱 Microsoft Entra ID 中屬性對應表達式的撰寫參考。

   

提示

您可以藉由更新跨租用戶同步處理的結構描述來對應目錄延伸項。 如需詳細資訊，請參閱 跨租戶同步處理中的目錄延伸功能。

步驟 10：指定其他佈建設定

來源租戶

1. 在源租戶中，選取 [佈建] ，然後展開 [設定] 區段。

   

2. 選取 [發生失敗時傳送電子郵件通知] 核取方塊。

3. 在 [通知電子郵件] 方塊中，輸入應收到佈建錯誤通知的個人或群組電子郵件地址。

   電子郵件通知會在工作進入隔離狀態後 24 小時內發送。 如需自定義警示，請參閱 瞭解布建如何與 Azure 監視器記錄整合。

4. 若要防止意外刪除，請選取 [防止意外刪除] 並指定閾值。 根據預設，閾值會設定為 500。

   如需詳細資訊，請參閱 在 Microsoft Entra 布建服務中啟用意外刪除防護。

5. 選取 [儲存] 以儲存任何變更。

步驟 11：測試隨選配置

來源租戶

現在您已設定好，您可以透過其中一位使用者測試隨選佈建。

1. 在來源租戶中，瀏覽至 Entra ID>外部身分識別>跨租戶同步處理。

2. 選取 [組態]，然後選取您的設定。

3. 選取隨選布建。

4. 在 [選取使用者或群組] 方塊中，搜尋並選取其中一個測試使用者。

   

5. 選取 配置。

   幾分鐘後，[執行動作] 頁面隨即出現，其中包含在目標租用戶中佈建測試使用者的相關資訊。

   

   如果使用者不在範圍內，您會看到一個頁面，其中會顯示為何略過測試使用者的相關資訊。

   

   在 按需提供 頁面上，您可以查看提供詳情，並可重試。

   

6. 在目標租用戶中，確認已設定測試使用者。

   目標租用戶的「使用者」頁面的螢幕擷取畫面，顯示已配置的測試使用者。

7. 如果一切運作如預期，請將其他使用者指派到配置。

   如需詳細資訊，請參閱 Microsoft Entra ID 中的隨選布建。

步驟 12：啟動佈建作業

來源租戶

佈建作業會啟動 [設定] 區段的 [範圍] 中定義之所有使用者的初始同步處理週期。 初始週期會比後續週期花費更多時間執行，只要 Microsoft Entra 佈建服務正在執行，這大約每 40 分鐘便會發生一次。

1. 在來源租戶中，瀏覽至 Entra ID>外部身分識別>跨租戶同步處理。

2. 選取 [組態]，然後選取您的設定。

3. 在 [概觀] 頁面上，檢閱佈建詳細資料。

   

4. 選取 [開始佈建] 以啟動佈建作業。

步驟 13：監視配置

來源和目標租戶

啟動佈建作業之後，您就可以監視狀態。

1. 在來源租戶中，在 [概觀] 頁面上，檢查進度條以查看佈建週期的狀態，以及其接近完成的程度。 如需詳細資訊，請參閱 檢查使用者配置的狀態。

   如果配置似乎處於不健康狀態，配置將會進入隔離狀態。 如需詳細資訊，請參閱 隔離狀態中的應用程式佈建。

   

2. 選取 [佈建記錄]來判斷哪些使用者已佈建成功或失敗。 根據預設，記錄會依設定的服務主體識別碼進行篩選。 如需詳細資訊，請參閱 在 Microsoft Entra ID 中布建記錄。

   

3. 選取 [稽核記錄]，以檢視 Microsoft Entra ID 中的所有記錄事件。 如需詳細資訊，請參閱 Microsoft Entra ID 中的稽核記錄。

   

   您也可以在目標租用戶中檢視稽核記錄。

4. 在目標租戶中，選取 [使用者]>[審計日誌] 檢視記錄的事件以進行使用者管理。 目標租戶中的跨租戶同步處理將會記錄為「Microsoft.Azure.SyncFabric」應用程式的行為執行者。

   

步驟 14：設定離開設定

目標租戶

即便使用者已配置在目標租戶中，他們仍有可能自行移除。 如果使用者自行將自己移除，且仍在範圍內，他們將在下一個配置周期中再次被配置。 如果您想要不允許使用者將自己從組織移除的能力，您必須設定 [外部使用者離開設定]。

1. 在目標租戶中，流覽至 Entra ID>外部身分>外部協作設定。

2. 在 [外部使用者離開] 設定下，選擇是否允許外部使用者自行離開組織。

此設定也適用於 B2B 共同作業和 B2B 直接連線，因此如果您將 [外部使用者離開設定] 設定為 [否]，B2B 共同作業使用者和 B2B 直接連線用戶無法離開組織本身。 如需詳細資訊，請參閱 以外部使用者身份離開組織。

常見案例和解決方案

症狀 - 測試連線失敗，錯誤訊息為 AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure

在來源租用戶中設定並測試跨租用戶同步處理時，連線會失敗，並出現下列其中一個錯誤訊息：

自動兌換功能尚未在來源租戶中設定

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The source tenant has not enabled automatic user consent with the target tenant. Please enable the outbound cross-tenant access policy for automatic user consent in the source tenant. aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

目標租使用者中未設定自動兌換

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryCrossTenantSyncPolicyCheckFailure
Details: The target tenant has not enabled inbound synchronization with this tenant. Please request the target tenant admin to enable the inbound synchronization on their cross-tenant access policy. Learn more: aka.ms/TroubleshootingCrossTenantSyncPolicyCheck

原因

此錯誤表示未設定自動兌換邀請的原則於原始和/或目標租用戶中。

溶液

請遵循 步驟 3：在目標租用戶中自動兌換邀請 和 步驟 4：在來源租用戶中自動兌換邀請。

徵兆 - 測試連線因 ExternalTenantNotFound 而失敗

在來源租用戶中設定跨雲端同步處理並測試連線時，它會失敗，並出現下列錯誤訊息：

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: ExternalTenantNotFound
Details: This tenant was not found by the authentication authority of the current cloud: <targetTenantId>. The authentication authority is https://login.microsoftonline.com/<targetTenantId>.

原因

此錯誤表示未勾選Microsoft 雲端間的跨租戶同步設置複選框。 

溶液

1. 在來源租戶中，刪除您建立的無法連線的設定。

2. 在目標租戶中建立新的組態，並務必檢查 跨租戶之 Microsoft 雲端同步處理的設定 複選框，如 步驟 5：在來源租戶中建立組態 中所述。

徵兆 - 使用 AzureActiveDirectoryTokenExpired 測試連線失敗

在來源租用戶中設定跨雲端同步處理並測試連線時，它會失敗，並出現下列錯誤訊息：

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureActiveDirectoryTokenExpired
Details: The identity of the calling application could not be established.

原因

此錯誤表示尚未啟用同步處理的跨雲端設定。 

溶液

在目標租使用者中，在 [Microsoft雲端設定 ] 索引標籤上，選取來源租使用者的跨雲端同步處理複選框。 請遵循 步驟 1：在這兩個租用戶中啟用跨雲端設定。

症狀 - 自動兌換核取方塊被停用

設定跨租使用者同步處理時，自動兌換 複選框會停用。

原因

您的租用戶沒有 Microsoft Entra ID P1 或 P2 授權。

溶液

您必須 Microsoft Entra ID P1 或 P2 才能設定信任設定。

問題 - 目標租用戶中最近被刪除的使用者未被還原

在目標租用戶中暫時刪除同步的用戶後，在下一個同步週期中無法還原用戶。 若您嘗試使用隨選佈建暫時刪除使用者，然後還原使用者，可能會出現重複的使用者。

原因

無法支援還原在目標租用戶中之前以軟刪除方式刪除的使用者。

溶液

手動恢復目標租戶中的軟刪除使用者。 如需詳細資訊，請參閱 使用 Microsoft Entra ID 還原或移除最近刪除的使用者。

症狀 - 因為使用者啟用了 SMS 登入，導致這些使用者被略過

使用者未被納入同步處理。 範圍步驟包含狀態為 false 的下列篩選："篩選外部使用者.alternativeSecurityIds 等於 'None'"

原因

如果使用者已啟用 SMS 登入，佈建服務將會略過他們。

溶液

停用使用者的 SMS 登入。 下列指令碼示範如何使用 PowerShell 停用 SMS 登入。

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

症狀 - 使用者因發生 AzureActiveDirectoryForbidden 錯誤而無法佈建

範圍中的使用者無法配置。 佈建記錄詳細資料包含下列錯誤訊息：

Guest invitations not allowed for your company. Contact your company administrator for more details.

原因

此錯誤表示目標租用戶中的來賓邀請設定是使用最嚴格的設定來設定：「組織中沒有人可以邀請來賓使用者，包括系統管理員 (最嚴格)」。

溶液

將目標租用戶中的來賓邀請設定變更為較不嚴格的設定。 如需詳細資訊，請參閱 設定外部共同作業設定。

症狀 - UserPrincipalName 不會為處於待接受狀態的現有 B2B 使用者更新

第一次透過手動 B2B 邀請來邀請使用者時，邀請會傳送至來源使用者電子郵件地址。 因此，在目標租戶中，來賓使用者將會以來源郵件值屬性作為 UserPrincipalName（UPN）字首來建立。 有一個環境，來源使用者物件屬性 UPN 和 Mail 有不同的值，例如 Mail == user.mail@domain.com 和 UPN == user.upn@otherdomain.com。 在此情況下，目標租戶中的來賓使用者將會以UPN建立為 user.mail_domain.com#EXT#@contoso.onmicrosoft.com。

當來源物件納入跨租用戶同步範疇時，問題會出現，因為預期除了其他屬性之外，還需要將目標來賓使用者的 UPN 前綴更新，以符合來源使用者的 UPN（使用上述範例，其值將為：user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com）。 不過，這並不會在增量同步週期期間發生，因此該變更被忽略。

原因

當被手動邀請加入目標租戶的 B2B 使用者未接受或兌換邀請時，就會發生此問題，因此其狀態為等待接受。 透過電子郵件邀請使用者時，物件會以一組從郵件填入的屬性來建立，其中一個是 UPN，其指向來源使用者的郵件值。 如果您稍後決定將使用者新增至跨租戶同步的範圍，系統會根據 alternativeSecurityIdentifier 屬性嘗試將來源租戶的使用者與目標租戶的 B2B 使用者聯結，但先前建立的使用者並未填入 alternativeSecurityIdentifier 屬性，因為邀請尚未兌換。 因此，系統不會將此視為新的用戶物件，也不會更新UPN值。 下列案例中不會更新 UserPrincipalName：

1. 手動邀請某個使用者時，該使用者的 UPN 和郵件會有所不同。
2. 啟用跨租戶同步之前，已邀請使用者。
3. 使用者從未接受過邀請，因此他們處於「待接受狀態」。
4. 使用者已被納入跨租戶同步範圍。

溶液

若要解決此問題，請針對受影響的使用者執行隨選佈建來更新 UPN。 您也可以重新啟動佈建程序，以更新所有受影響使用者的 UPN。 請注意，這會觸發初始迴圈，這對大型租用戶來說可能需要很長的時間。 若要取得處於擱置接受狀態的手動受邀使用者清單，您可以使用腳本，請參閱下列範例。

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

然後，您可以 針對每個使用者使用 provisionOnDemand 與 PowerShell 。 此 API 的速率限制為每 10 秒 5 個要求。 如需詳細資訊，請參閱 隨選布建的已知限制。

下一步

• 教學操作：自動化使用者帳戶配置報告
• 在 Azure 入口網站中管理企業應用程式的用戶帳戶布建
• Microsoft Entra ID 中的單一登錄是什麼？