Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API

Artikel
07/19/2024

In diesem Artikel werden die wichtigsten Schritte zum Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API beschrieben. Bei der Konfiguration stellt Microsoft Entra ID automatisch B2B-Benutzer*innen in Ihrem Zielmandanten bereit und hebt diese Bereitstellung auf. Ausführliche Schritte zur Verwendung des Microsoft Entra Admin Centers finden Sie unter Konfigurieren der mandantenübergreifenden Synchronisierung.

Voraussetzungen

Symbol für den Quellmandanten.
Quellmandant

Microsoft Entra ID-P1- oder P2-Lizenz Weitere Informationen finden Sie unter Lizenzanforderungen.
Die Rolle Sicherheitsadministrator zum Konfigurieren der Einstellungen für den mandantenübergreifenden Zugriff.
Die Rolle Hybrid-Identitätsadministrator zum Konfigurieren der mandantenübergreifenden Synchronisierung.
Die Rolle Cloud-Anwendungsadministrator oder Anwendungsadministrator zum Zuweisen von Benutzern zu einer Konfiguration und zum Löschen einer Konfiguration.
Die Rolle Globaler Administratorzum Zustimmen zu den erforderlichen Berechtigungen.

Symbol für den Zielmandanten.
Zielmandant

Microsoft Entra ID-P1- oder P2-Lizenz Weitere Informationen finden Sie unter Lizenzanforderungen.
Die Rolle Sicherheitsadministrator zum Konfigurieren der Einstellungen für den mandantenübergreifenden Zugriff.
Die Rolle Globaler Administratorzum Zustimmen zu den erforderlichen Berechtigungen.

Symbol für den Zielmandanten.
Zielmandant

PowerShell
Microsoft Graph

Starten Sie PowerShell.
Installieren Sie bei Bedarf das Microsoft Graph PowerShell SDK.
Rufen Sie die Mandanten-ID der Quell- und Zielmandanten ab, und initialisieren Sie Variablen.
```
$SourceTenantId = "<SourceTenantId>"
$TargetTenantId = "<TargetTenantId>"
```
Verwenden Sie den Befehl Connect-MgGraph, um sich beim Zielmandanten anzumelden und den folgenden erforderlichen Berechtigungen zuzustimmen.
- Policy.Read.All
- Policy.ReadWrite.CrossTenantAccess
```
Connect-MgGraph -TenantId $TargetTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess"
```

In diesen Schritten wird beschrieben, wie Sie Microsoft Graph-Tester verwenden, aber Sie können auch einen anderen REST-API-Client verwenden.

Starten Sie das Tool Microsoft Graph-Tester.
Melden Sie sich beim Zielmandanten an.
Wählen Sie Ihr Profil aus, und wählen Sie dann Berechtigungen zustimmen aus.
Stimmen Sie den folgenden erforderlichen Berechtigungen zu.
- Policy.Read.All
- Policy.ReadWrite.CrossTenantAccess
Rufen Sie die Mandanten-ID des Quellmandanten und des Zielmandanten ab. In der in diesem Artikel beschriebenen Beispielkonfiguration werden die folgenden Mandanten-IDs verwendet.
- Quellmandanten-ID: {sourceTenantId}
- Zielmandanten-ID: {targetTenantId}

Schritt 2: Aktivieren der Benutzersynchronisierung im Zielmandanten

Symbol für den Zielmandanten.
Zielmandant

PowerShell
Microsoft Graph

Verwenden Sie im Zielmandanten den Befehl New-MgPolicyCrossTenantAccessPolicyPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Zielmandanten und dem Quellmandanten zu erstellen. Verwenden Sie die Quellmandanten-ID in der Anforderung.

Wenn Sie den Fehler New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create.

$Params = @{
    TenantId = $SourceTenantId
}
New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List

AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
IsServiceProvider            :
TenantId                     : <SourceTenantId>
TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                               [crossCloudMeetingConfiguration,
                               System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                               System.Collections.Generic.Dictionary`2[System.String,System.Object]]}

Verwenden Sie den Befehl Invoke-MgGraphRequest, um die Benutzersynchronisierung im Zielmandanten zu aktivieren.

Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Richtlinie. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.
```
$Params = @{
    userSyncInbound = @{
        isSyncAllowed = $true
    }
}
Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/$SourceTenantId/identitySynchronization" -Body $Params
```

Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, um zu überprüfen, ob IsSyncAllowed auf „true“ festgelegt ist.

(Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound

IsSyncAllowed
-------------
True

Verwenden Sie im Zielmandanten die API Create crossTenantAccessPolicyConfigurationPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Zielmandanten und dem Quellmandanten zu erstellen. Verwenden Sie die Quellmandanten-ID in der Anforderung.

Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Konfiguration. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

Anforderung

POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
Content-Type: application/json

{
  "tenantId": "{sourceTenantId}"
}

Antwort

HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
  "tenantId": "{sourceTenantId}",
  "isServiceProvider": null,
  "inboundTrust": null,
  "b2bCollaborationOutbound": null,
  "b2bCollaborationInbound": null,
  "b2bDirectConnectOutbound": null,
  "b2bDirectConnectInbound": null,
  "tenantRestrictions": null,
  "crossCloudMeetingConfiguration":
  {
    "inboundAllowed": null,
    "outboundAllowed": null
  },
  "automaticUserConsentSettings":
  {
    "inboundAllowed": null,
    "outboundAllowed": null
  }
}

Verwenden Sie die API Create identitySynchronization, um die Benutzersynchronisierung im Zielmandanten zu ermöglichen.

Wenn Sie einen Fehler vom Typ Request_MultipleObjectsWithSameKeyValue erhalten, verfügen Sie möglicherweise bereits über eine vorhandene Richtlinie. Weitere Informationen finden Sie unter Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“.

Anforderung
```
PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}/identitySynchronization
Content-type: application/json

{
   "displayName": "Fabrikam",
   "userSyncInbound": 
    {
      "isSyncAllowed": true
    }
}
```
Antwort
```
HTTP/1.1 204 No Content
```

Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten

Symbol für den Zielmandanten.
Zielmandant

PowerShell
Microsoft Graph

Verwenden Sie im Zielmandanten den Befehl Update-MgPolicyCrossTenantAccessPolicyPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für eingehenden Zugriff zu unterdrücken.

$AutomaticUserConsentSettings = @{
    "InboundAllowed"="True"
}
Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings

Verwenden Sie im Zielmandanten die API Update crossTenantAccessPolicyConfigurationPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für eingehenden Zugriff zu unterdrücken.

Anforderung

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{sourceTenantId}
Content-Type: application/json

{
    "inboundTrust": null,
    "automaticUserConsentSettings":
    {
        "inboundAllowed": true
    }
}

Antwort

HTTP/1.1 204 No Content

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Starten Sie eine Instanz von PowerShell.
Rufen Sie die Mandanten-ID der Quell- und Zielmandanten ab, und initialisieren Sie Variablen.
```
$SourceTenantId = "<SourceTenantId>"
$TargetTenantId = "<TargetTenantId>"
```
Verwenden Sie den Befehl Connect-MgGraph, um sich beim Quellmandanten anzumelden und den folgenden erforderlichen Berechtigungen zuzustimmen.
- Policy.Read.All
- Policy.ReadWrite.CrossTenantAccess
- Application.ReadWrite.All
- Directory.ReadWrite.All
- AuditLog.Read.All
```
Connect-MgGraph -TenantId $SourceTenantId -Scopes "Policy.Read.All","Policy.ReadWrite.CrossTenantAccess","Application.ReadWrite.All","Directory.ReadWrite.All","AuditLog.Read.All"
```

Starten Sie eine Instanz des Tools Microsoft Graph-Tester.
Melden Sie sich beim Quellmandanten an.
Stimmen Sie den folgenden erforderlichen Berechtigungen zu.
- Policy.Read.All
- Policy.ReadWrite.CrossTenantAccess
- Application.ReadWrite.All
- Directory.ReadWrite.All
- AuditLog.Read.All
Wenn die Seite Administratorgenehmigung erforderlich angezeigt wird, müssen Sie sich als Benutzer mit der Rolle „Globaler Administrator“ anmelden, um Ihre Zustimmung erteilen zu können.

Schritt 5: Automatisches Einlösen von Einladungen im Quellmandanten

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl New-MgPolicyCrossTenantAccessPolicyPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Quellmandanten und dem Zielmandanten zu erstellen. Verwenden Sie die Zielmandanten-ID in der Anforderung.

$Params = @{
    TenantId = $TargetTenantId
}
New-MgPolicyCrossTenantAccessPolicyPartner -BodyParameter $Params | Format-List

AutomaticUserConsentSettings : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInboundOutboundPolicyConfiguration
B2BCollaborationInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BCollaborationOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BDirectConnectInbound      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
B2BDirectConnectOutbound     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyB2BSetting
IdentitySynchronization      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantIdentitySyncPolicyPartner
InboundTrust                 : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyInboundTrust
IsServiceProvider            :
TenantId                     : <TargetTenantId>
TenantRestrictions           : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCrossTenantAccessPolicyTenantRestrictions
AdditionalProperties         : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity],
                               [crossCloudMeetingConfiguration,
                               System.Collections.Generic.Dictionary`2[System.String,System.Object]], [protectedContentSharing,
                               System.Collections.Generic.Dictionary`2[System.String,System.Object]]}

Verwenden Sie den Befehl Update-MgPolicyCrossTenantAccessPolicyPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für ausgehenden Zugriff zu unterdrücken.

$AutomaticUserConsentSettings = @{
    "OutboundAllowed"="True"
}
Update-MgPolicyCrossTenantAccessPolicyPartner -CrossTenantAccessPolicyConfigurationPartnerTenantId $TargetTenantId -AutomaticUserConsentSettings $AutomaticUserConsentSettings

Verwenden Sie im Quellmandanten die API Create crossTenantAccessPolicyConfigurationPartner, um eine neue Partnerkonfiguration in einer mandantenübergreifenden Zugriffsrichtlinie zwischen dem Quellmandanten und dem Zielmandanten zu erstellen. Verwenden Sie die Zielmandanten-ID in der Anforderung.

Anforderung

POST https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners
Content-Type: application/json

{
  "tenantId": "{targetTenantId}"
}

Antwort

HTTP/1.1 201 Created
Content-Type: application/json

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#policies/crossTenantAccessPolicy/partners/$entity",
  "tenantId": "{targetTenantId}",
  "isServiceProvider": null,
  "inboundTrust": null,
  "b2bCollaborationOutbound": null,
  "b2bCollaborationInbound": null,
  "b2bDirectConnectOutbound": null,
  "b2bDirectConnectInbound": null,
  "tenantRestrictions": null,
  "crossCloudMeetingConfiguration":
  {
    "inboundAllowed": null,
    "outboundAllowed": null
  },
  "automaticUserConsentSettings":
  {
    "inboundAllowed": null,
    "outboundAllowed": null
  }
}

Verwenden Sie die API Update crossTenantAccessPolicyConfigurationPartner, um Einladungen automatisch einzulösen und Einwilligungsaufforderungen für ausgehenden Zugriff zu unterdrücken.

Anforderung

PATCH https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/{targetTenantId}
Content-Type: application/json

{
    "automaticUserConsentSettings":
    {
        "outboundAllowed": true
    }
}

Antwort

HTTP/1.1 204 No Content

Schritt 6: Erstellen einer Konfigurationsanwendung im Quellmandanten

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl Invoke-MgInstantiateApplicationTemplate, um Ihrem Mandanten eine Instanz einer Konfigurationsanwendung aus dem Microsoft Entra-Anwendungskatalog hinzuzufügen.
```
Invoke-MgInstantiateApplicationTemplate -ApplicationTemplateId "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7" -DisplayName "Fabrikam"
```

Verwenden Sie den Befehl Get-MgServicePrincipal, um die Dienstprinzipal-ID und die App-Rollen-ID abzurufen.

Get-MgServicePrincipal -Filter "DisplayName eq 'Fabrikam'" | Format-List

AccountEnabled                      : True
AddIns                              : {}
AlternativeNames                    : {}
AppDescription                      :
AppDisplayName                      : Fabrikam
AppId                               : <AppId>
AppManagementPolicies               :
AppOwnerOrganizationId              : <AppOwnerOrganizationId>
AppRoleAssignedTo                   :
AppRoleAssignmentRequired           : True
AppRoleAssignments                  :
AppRoles                            : {<AppRoleId>}
ApplicationTemplateId               : 518e5f48-1fc8-4c48-9387-9fdf28b0dfe7
ClaimsMappingPolicies               :
CreatedObjects                      :
CustomSecurityAttributes            : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCustomSecurityAttributeValue
DelegatedPermissionClassifications  :
DeletedDateTime                     :
Description                         :
DisabledByMicrosoftStatus           :
DisplayName                         : Fabrikam
Endpoints                           :
ErrorUrl                            :
FederatedIdentityCredentials        :
HomeRealmDiscoveryPolicies          :
Homepage                            : https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z
Id                                  : <ServicePrincipalId>
Info                                : Microsoft.Graph.PowerShell.Models.MicrosoftGraphInformationalUrl
KeyCredentials                      : {}
LicenseDetails                      :

...

Initialisieren Sie eine Variable für die Dienstprinzipal-ID.

Achten Sie darauf, die Dienstprinzipal-IDs anstelle der Anwendungs-ID zu verwenden.
```
$ServicePrincipalId = "<ServicePrincipalId>"
```
Initialisieren Sie eine Variable für die App-Rollen-ID.
```
$AppRoleId= "<AppRoleId>"
```

Verwenden Sie im Quellmandanten die API applicationTemplate: instantiate, um Ihrem Mandanten eine Instanz einer Konfigurationsanwendung aus dem Microsoft Entra-Anwendungskatalog hinzuzufügen.

Anforderung

POST https://graph.microsoft.com/v1.0/applicationTemplates/518e5f48-1fc8-4c48-9387-9fdf28b0dfe7/instantiate
Content-type: application/json

{
  "displayName": "Fabrikam"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.applicationServicePrincipal",
    "application": {
        "id": "{id}",
        "appId": "{appId}",
        "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
        "createdDateTime": "2023-07-31T23:26:24Z",
        "deletedDateTime": null,
        "displayName": "Fabrikam",
        "description": null,
        "groupMembershipClaims": null,
        "identifierUris": [],
        "isFallbackPublicClient": false,
        "signInAudience": "AzureADMyOrg",
        "tags": [],
        "tokenEncryptionKeyId": null,
        "defaultRedirectUri": null,
        "optionalClaims": null,
        "addIns": [],
        "api": {
            "acceptMappedClaims": null,
            "knownClientApplications": [],
            "requestedAccessTokenVersion": null,
            "oauth2PermissionScopes": [
                {
                    "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                    "adminConsentDisplayName": "Access Fabrikam",
                    "id": "{id}",
                    "isEnabled": true,
                    "type": "User",
                    "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                    "userConsentDisplayName": "Access Fabrikam",
                    "value": "user_impersonation"
                }
            ],
            "preAuthorizedApplications": []
        },
        "appRoles": [
            {
                "allowedMemberTypes": [
                    "User"
                ],
                "displayName": "msiam_access",
                "id": "{appRoleId}",
                "isEnabled": true,
                "description": "msiam_access",
                "value": null,
                "origin": "Application"
            }
        ],
        "info": {
            "logoUrl": null,
            "marketingUrl": null,
            "privacyStatementUrl": null,
            "supportUrl": null,
            "termsOfServiceUrl": null
        },
        "keyCredentials": [],
        "parentalControlSettings": {
            "countriesBlockedForMinors": [],
            "legalAgeGroupRule": "Allow"
        },
        "passwordCredentials": [],
        "publicClient": {
            "redirectUris": []
        },
        "requiredResourceAccess": [],
        "verifiedPublisher": {
            "displayName": null,
            "verifiedPublisherId": null,
            "addedDateTime": null
        },
        "web": {
            "homePageUrl": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
            "redirectUris": [],
            "logoutUrl": null
        }
    },
    "servicePrincipal": {
        "id": "{servicePrincipalId}",
        "deletedDateTime": null,
        "accountEnabled": true,
        "appId": "{appId}",
        "applicationTemplateId": "518e5f48-1fc8-4c48-9387-9fdf28b0dfe7",
        "appDisplayName": "Fabrikam",
        "alternativeNames": [],
        "appOwnerOrganizationId": "{appOwnerOrganizationId}",
        "displayName": "Fabrikam",
        "appRoleAssignmentRequired": true,
        "loginUrl": null,
        "logoutUrl": null,
        "homepage": "https://account.activedirectory.windowsazure.com:444/applications/default.aspx?metadata=aad2aadsync|ISV9.1|primary|z",
        "notificationEmailAddresses": [],
        "preferredSingleSignOnMode": null,
        "preferredTokenSigningKeyThumbprint": null,
        "replyUrls": [],
        "servicePrincipalNames": [
            "{appId}"
        ],
        "servicePrincipalType": "Application",
        "tags": [
            "WindowsAzureActiveDirectoryIntegratedApp"
        ],
        "tokenEncryptionKeyId": null,
        "samlSingleSignOnSettings": null,
        "addIns": [],
        "appRoles": [
            {
                "allowedMemberTypes": [
                    "User"
                ],
                "displayName": "msiam_access",
                "id": "{appRoleId}",
                "isEnabled": true,
                "description": "msiam_access",
                "value": null,
                "origin": "Application"
            }
        ],
        "info": {
            "logoUrl": null,
            "marketingUrl": null,
            "privacyStatementUrl": null,
            "supportUrl": null,
            "termsOfServiceUrl": null
        },
        "keyCredentials": [],
        "oauth2PermissionScopes": [
            {
                "adminConsentDescription": "Allow the application to access Fabrikam on behalf of the signed-in user.",
                "adminConsentDisplayName": "Access Fabrikam",
                "id": "{id}",
                "isEnabled": true,
                "type": "User",
                "userConsentDescription": "Allow the application to access Fabrikam on your behalf.",
                "userConsentDisplayName": "Access Fabrikam",
                "value": "user_impersonation"
            }
        ],
        "passwordCredentials": [],
        "verifiedPublisher": {
            "displayName": null,
            "verifiedPublisherId": null,
            "addedDateTime": null
        }
    }
}

Speichern Sie die servicePrincipalId.

Achten Sie darauf, die Dienstprinzipal-IDs anstelle der Anwendungs-ID zu verwenden.
Speichern Sie die appRoleId.

Schritt 7: Testen der Verbindung mit dem Zielmandanten

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl Invoke-MgGraphRequest, um die Verbindung mit dem Zielmandanten zu testen und die Anmeldeinformationen zu überprüfen.

$Params = @{
    "useSavedCredentials" = $false
    "templateId" = "Azure2Azure"
    "credentials" = @(
        @{
            "key" = "CompanyId"
            "value" = $TargetTenantId
        }
        @{
            "key" = "AuthenticationType"
            "value" = "SyncPolicy"
        }
    )
}
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/jobs/validateCredentials" -Body $Params

Verwenden Sie im Quellmandanten die API synchronizationJob: validateCredentials, um die Verbindung mit dem Zielmandanten zu testen und die Anmeldeinformationen zu überprüfen.

Anforderung

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/validateCredentials
Content-Type: application/json

{
    "useSavedCredentials": false,
    "templateId": "Azure2Azure",
    "credentials": [
        {
            "key": "CompanyId",
            "value": "{targetTenantId}"
        },
        {
            "key": "AuthenticationType",
            "value": "SyncPolicy"
        }
    ]
}

Antwort

HTTP/1.1 204 No Content

Schritt 8: Erstellen eines Bereitstellungsauftrags im Quellmandanten

Symbol für den Quellmandanten
Quellmandant

Erstellen Sie im Quellmandanten einen Bereitstellungsauftrag, um die Bereitstellung zu aktivieren.

PowerShell
Microsoft Graph

Bestimmen Sie die zu verwendende Synchronisierungsvorlage, z. B. Azure2Azure.

Eine Vorlage verfügt über vorkonfigurierte Synchronisierungseinstellungen.

Verwenden Sie im Quellmandanten den Befehl New-MgServicePrincipalSynchronizationJob, um einen Bereitstellungsauftrag basierend auf einer Vorlage zu erstellen.

New-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -TemplateId "Azure2Azure" | Format-List

Id                         : <JobId>
Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
TemplateId                 : Azure2Azure
AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                             nization/jobs/$entity]}

Initialisieren Sie eine Variable für die Auftrags-ID.
```
$JobId = "<JobId>"
```

Bestimmen Sie die zu verwendende Synchronisierungsvorlage, z. B. Azure2Azure.

Eine Vorlage verfügt über vorkonfigurierte Synchronisierungseinstellungen.

Verwenden Sie im Quellmandanten die API Create synchronizationJob, um einen Bereitstellungsauftrag basierend auf einer Vorlage zu erstellen.

Anforderung

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs
Content-type: application/json

{
    "templateId": "Azure2Azure"
}

Antwort

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs/$entity",
    "id": "{jobId}",
    "templateId": "Azure2Azure",
    "schedule": {
        "expiration": null,
        "interval": "PT40M",
        "state": "Disabled"
    },
    "status": {
        "countSuccessiveCompleteFailures": 0,
        "escrowsPruned": false,
        "code": "Paused",
        "lastExecution": null,
        "lastSuccessfulExecution": null,
        "lastSuccessfulExecutionWithExports": null,
        "quarantine": null,
        "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
        "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
        "troubleshootingUrl": null,
        "progress": [],
        "synchronizedEntryCountByType": []
    },
    "synchronizationJobSettings": [
        {
            "name": "AzureIngestionAttributeOptimization",
            "value": "False"
        },
        {
            "name": "LookaheadQueryEnabled",
            "value": "False"
        }
    ]
}

Speichern Sie die jobId.

Schritt 9: Speichern Ihrer Anmeldeinformationen

Symbol für den Quellmandanten
Quellmandant

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl Invoke-MgGraphRequest, um Ihre Anmeldeinformationen zu speichern.

$Params = @{
    "value" = @(
        @{
            "key" = "AuthenticationType"
            "value" = "SyncPolicy"
        }
        @{
            "key" = "CompanyId"
            "value" = $TargetTenantId
        }
    )
}
Invoke-MgGraphRequest -Method PUT -Uri "https://graph.microsoft.com/v1.0/servicePrincipals/$ServicePrincipalId/synchronization/secrets" -Body $Params

Verwenden Sie im Quellmandanten die API für Geheime Synchronisierungsschlüssel hinzufügen, um Ihre Anmeldeinformationen zu speichern.

Anforderung

PUT https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/secrets 
Content-Type: application/json

{
    "value": [
        {
            "key": "AuthenticationType",
            "value": "SyncPolicy"
        },
        {
            "key": "CompanyId",
            "value": "{targetTenantId}"
        },
        {
            "key": "SyncNotificationSettings",
            "value": "{\"Enabled\":false,\"DeleteThresholdEnabled\":false,\"HumanResourcesLookaheadQueryEnabled\":false}"
        },
        {
            "key": "SyncAll",
            "value": "false"
        }
    ]
}

Antwort

HTTP/1.1 204 No Content

Schritt 10: Zuweisen eines Benutzenden zur Konfiguration

Symbol für den Quellmandanten.
Quellmandant

Damit die mandantenübergreifende Synchronisierung funktioniert, muss der Konfiguration mindestens ein interner Benutzer zugewiesen sein.

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl New-MgServicePrincipalAppRoleAssignedTo, um der Konfiguration einen internen Benutzenden zuzuweisen.

$Params = @{
    PrincipalId = "<PrincipalId>"
    ResourceId = $ServicePrincipalId
    AppRoleId = $AppRoleId
}
New-MgServicePrincipalAppRoleAssignedTo -ServicePrincipalId $ServicePrincipalId -BodyParameter $Params | Format-List

AppRoleId            : <AppRoleId>
CreatedDateTime      : 7/31/2023 10:27:12 PM
DeletedDateTime      :
Id                   : <Id>
PrincipalDisplayName : User1
PrincipalId          : <PrincipalId>
PrincipalType        : User
ResourceDisplayName  : Fabrikam
ResourceId           : <ServicePrincipalId>
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#appRoleAssignments/$entity]}

Verwenden Sie im Quellmandanten die API zum Zuweisen von appRoleAssignment für einen Dienstprinzipal, um der Konfiguration einen internen Benutzer zuzuweisen.

Anforderung

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/appRoleAssignedTo
Content-type: application/json

{
    "appRoleId": "{appRoleId}",
    "resourceId": "{servicePrincipalId}",
    "principalId": "{principalId}"
}

Antwort

HTTP/1.1 201 Created
Content-Type: application/json
{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/appRoleAssignedTo/$entity",
    "id": "{keyId}",
    "deletedDateTime": null,
    "appRoleId": "{appRoleId}",
    "createdDateTime": "2023-07-31T22:23:48.6541804Z",
    "principalDisplayName": "User1",
    "principalId": "{principalId}",
    "principalType": "User",
    "resourceDisplayName": "Fabrikam",
    "resourceId": "{servicePrincipalId}"
}

Schritt 11: Testen der bedarfsorientierten Bereitstellung

Symbol für den Quellmandanten.
Quellmandant

Nachdem Sie nun über eine Konfiguration verfügen, können Sie die bedarfsorientierte Bereitstellung mit einem Ihrer Benutzer testen.

PowerShell
Microsoft Graph

Verwenden Sie im Quellmandanten den Befehl Get-MgServicePrincipalSynchronizationJobSchema, um die Schemaregel-ID abzurufen.

$SynchronizationSchema = Get-MgServicePrincipalSynchronizationJobSchema -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
$SynchronizationSchema.SynchronizationRules | Format-List

ContainerFilter      : Microsoft.Graph.PowerShell.Models.MicrosoftGraphContainerFilter
Editable             : True
GroupFilter          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphGroupFilter
Id                   : <RuleId>
Metadata             : {defaultSourceObjectMappings, supportsProvisionOnDemand}
Name                 : USER_INBOUND_USER
ObjectMappings       : {Provision Azure Active Directory Users, , , ...}
Priority             : 1
SourceDirectoryName  : Azure Active Directory
TargetDirectoryName  : Azure Active Directory (target tenant)
AdditionalProperties : {}

Initialisieren Sie eine Variable für die Regel-ID.
```
$RuleId = "<RuleId>"
```

Verwenden Sie den Befehl New-MgServicePrincipalSynchronizationJobOnDemand, um bei Bedarf einen Testbenutzer bereitzustellen.

$Params = @{
    Parameters = @(
        @{
            Subjects = @(
                @{
                    ObjectId = "<UserObjectId>"
                    ObjectTypeName = "User"
                }
            )
            RuleId = $RuleId
        }
    )
}
New-MgServicePrincipalSynchronizationJobOnDemand -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId -BodyParameter $Params | Format-List

Key                  : Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo
Value                : [{"provisioningSteps":[{"name":"EntryImport","type":"Import","status":"Success","description":"Retrieved User
                       'user1@fabrikam.com' from Azure Active Directory","timestamp":"2023-07-31T22:31:15.9116590Z","details":{"objectId":
                       "<UserObjectId>","accountEnabled":"True","displayName":"User1","mailNickname":"user1","userPrincipalName":"use
                       ...
AdditionalProperties : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair]}

Verwenden Sie im Quellmandanten die Get synchronizationSchema-API, um die Schemaregel-ID abzurufen.

Anforderung

GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/schema

Antwort

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('{servicePrincipalId}')/synchronization/jobs('{jobId}')/schema/$entity",
    "id": "{jobId}",
    "version": "v1.2",
    "synchronizationRules": [
        {
            "containerFilter": null,
            "editable": true,
            "groupFilter": null,
            "id": "{ruleId}",
            "name": "USER_INBOUND_USER",
            "priority": 1,
            "sourceDirectoryName": "Azure Active Directory",
            "targetDirectoryName": "Azure Active Directory (target tenant)",
            "metadata": [

            ...

Verwenden Sie im Quellmandanten die API synchronizationJob: provisionOnDemand, um bei Bedarf einen Testbenutzer bereitzustellen.

Anforderung

POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/provisionOnDemand
Content-Type: application/json

{
    "parameters": [
        {
            "ruleId": "{ruleId}",
            "subjects": [
                {
                    "objectId": "{userObjectId}",
                    "objectTypeName": "User"
                }
            ]
        }
    ]
}

Antwort

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#microsoft.graph.stringKeyStringValuePair",
    "key": "Microsoft.Identity.Health.CPP.Common.DataContracts.SyncFabric.StatusInfo",
    "value": "[{\"provisioningSteps\":[{\"name\":\"EntryImport\",\"type\":\"Import\",\"status\":\"Success\",\"description\":\"Retrieved User 'user1@fabrikam.com' from Azure Active Directory\",\"timestamp\":\"2023-07-31T00:00:16.7866324Z\",\"details\":{\"objectId\":\"{userObjectId}\",\"accountEnabled\":\"True\",\"displayName\":\"User1\",\"mailNickname\":\"user1\",\"userPrincipalName\":\"user1@fabrikam.com\",}

    ...

Schritt 12: Starten des Bereitstellungsauftrags

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Verwenden Sie nach der Konfiguration des Bereitstellungsauftrags jetzt im Quellmandanten den Befehl Start-MgServicePrincipalSynchronizationJob, um den Bereitstellungsauftrag zu starten.
```
Start-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId
```

Verwenden Sie nach der Konfiguration des Bereitstellungsauftrags jetzt im Quellmandanten die API Start synchronizationJob, um den Bereitstellungsauftrag zu starten.

Anforderung
```
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}/start
```
Antwort
```
HTTP/1.1 204 No Content
```

Schritt 13: Überwachen der Bereitstellung

Symbol für den Quellmandanten.
Quellmandant

PowerShell
Microsoft Graph

Nun, da der Bereitstellungsauftrag ausgeführt wird, verwenden Sie im Quellmandanten den Befehl Get-MgServicePrincipalSynchronizationJob, um den Fortschritt des aktuellen Bereitstellungszyklus sowie die bisherigen Statistiken zu überwachen, z. B. die Anzahl der Benutzenden und Gruppen, die im Zielsystem erstellt wurden.

Get-MgServicePrincipalSynchronizationJob -ServicePrincipalId $ServicePrincipalId -SynchronizationJobId $JobId | Format-List

Id                         : <JobId>
Schedule                   : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchedule
Schema                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationSchema
Status                     : Microsoft.Graph.PowerShell.Models.MicrosoftGraphSynchronizationStatus
SynchronizationJobSettings : {AzureIngestionAttributeOptimization, LookaheadQueryEnabled}
TemplateId                 : Azure2Azure
AdditionalProperties       : {[@odata.context, https://graph.microsoft.com/v1.0/$metadata#servicePrincipals('<ServicePrincipalId>')/synchro
                             nization/jobs/$entity]}

Verwenden Sie zusätzlich zur Überwachung des Status des Bereitstellungsauftrags den Befehl Get-MgAuditLogProvisioning, um die Bereitstellungsprotokolle abzurufen und alle aufgetretenen Bereitstellungsereignisse zu erhalten. Sie können beispielsweise einen bestimmten Benutzer abfragen, um zu ermitteln, ob dieser erfolgreich bereitgestellt wurde.

Get-MgAuditLogDirectoryAudit | Select -First 10 | Format-List

ActivityDateTime     : 7/31/2023 12:08:17 AM
ActivityDisplayName  : Export
AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
Category             : ProvisioningManagement
CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778479
InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
LoggedByService      : Account Provisioning
OperationType        :
Result               : success
ResultReason         : User 'user2@fabrikam.com' was created in Azure Active Directory (target tenant)
TargetResources      : {<ServicePrincipalId>, }
AdditionalProperties : {}

ActivityDateTime     : 7/31/2023 12:08:17 AM
ActivityDisplayName  : Export
AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
Category             : ProvisioningManagement
CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778264
InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
LoggedByService      : Account Provisioning
OperationType        :
Result               : success
ResultReason         : User 'user2@fabrikam.com' was updated in Azure Active Directory (target tenant)
TargetResources      : {<ServicePrincipalId>, }
AdditionalProperties : {}

ActivityDateTime     : 7/31/2023 12:08:14 AM
ActivityDisplayName  : Synchronization rule action
AdditionalDetails    : {Details, ErrorCode, EventName, ipaddr...}
Category             : ProvisioningManagement
CorrelationId        : aaaa0000-bb11-2222-33cc-444444dddddd
Id                   : Sync_aaaa0000-bb11-2222-33cc-444444dddddd_L5BFV_161778395
InitiatedBy          : Microsoft.Graph.PowerShell.Models.MicrosoftGraphAuditActivityInitiator1
LoggedByService      : Account Provisioning
OperationType        :
Result               : success
ResultReason         : User 'user2@fabrikam.com' will be created in Azure Active Directory (target tenant) (User is active and assigned
                       in Azure Active Directory, but no matching User was found in Azure Active Directory (target tenant))
TargetResources      : {<ServicePrincipalId>, }
AdditionalProperties : {}

Da der Bereitstellungsauftrag jetzt ausgeführt wird, verwenden Sie im Quellmandanten die API Get synchronizationJob, um den Fortschritt des aktuellen Bereitstellungszyklus sowie die bisherigen Statistiken zu überwachen, z. B. die Anzahl der Benutzer und Gruppen, die im Zielsystem erstellt wurden.

Anforderung

GET https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalId}/synchronization/jobs/{jobId}

Antwort

HTTP/1.1 200 OK
Content-type: application/json

{
    "id": "{jobId}",
    "templateId": "Azure2Azure",
    "schedule": {
        "expiration": null,
        "interval": "PT40M",
        "state": "Active"
    },
    "status": {
        "countSuccessiveCompleteFailures": 0,
        "escrowsPruned": false,
        "code": "NotRun",
        "lastSuccessfulExecution": null,
        "lastSuccessfulExecutionWithExports": null,
        "quarantine": null,
        "steadyStateFirstAchievedTime": "0001-01-01T00:00:00Z",
        "steadyStateLastAchievedTime": "0001-01-01T00:00:00Z",
        "troubleshootingUrl": "",
        "lastExecution": {
            "activityIdentifier": null,
            "countEntitled": 0,
            "countEntitledForProvisioning": 0,
            "countEscrowed": 0,
            "countEscrowedRaw": 0,
            "countExported": 0,
            "countExports": 0,
            "countImported": 0,
            "countImportedDeltas": 0,
            "countImportedReferenceDeltas": 0,
            "state": "Failed",
            "timeBegan": "0001-01-01T00:00:00Z",
            "timeEnded": "0001-01-01T00:00:00Z",
            "error": {
                "code": "None",
                "message": "",
                "tenantActionable": false
            }
        },
        "progress": [],
        "synchronizedEntryCountByType": []
    },
    "synchronizationJobSettings": [
        {
            "name": "AzureIngestionAttributeOptimization",
            "value": "False"
        },
        {
            "name": "LookaheadQueryEnabled",
            "value": "False"
        }
    ]
}

Verwenden Sie zusätzlich zur Überwachung des Status des Bereitstellungsauftrags die API List provisioningObjectSummary, um die Bereitstellungsprotokolle abzurufen und alle aufgetretenen Bereitstellungsereignisse abzurufen. Sie können beispielsweise einen bestimmten Benutzer abfragen, um zu ermitteln, ob dieser erfolgreich bereitgestellt wurde.

Anforderung

GET https://graph.microsoft.com/v1.0/auditLogs/provisioning?$filter=((contains(tolower(servicePrincipal/id), '{servicePrincipalId}') or contains(tolower(servicePrincipal/displayName), '{servicePrincipalId}')) and activityDateTime gt 2023-07-30 and activityDateTime lt 2023-07-31)&$top=500&$orderby=activityDateTime desc

Antwort

Das hier gezeigte Antwortobjekt wurde aus Gründen der Lesbarkeit gekürzt.

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#auditLogs/provisioning",
    "value": [
        {
            "id": "{id}",
            "activityDateTime": "2023-07-31T00:40:37Z",
            "tenantId": "{targetTenantId}",
            "jobId": "{jobId}",
            "cycleId": "{cycleId}",
            "changeId": "{changeId}",
            "provisioningAction": "create",
            "durationInMilliseconds": 4375,
            "servicePrincipal": {
                "id": "{servicePrincipalId}",
                "displayName": "Fabrikam"
            },
            "sourceSystem": {
                "id": "{id}",
                "displayName": "Azure Active Directory",
                "details": {}
            },
            "targetSystem": {
                "id": "{id}",
                "displayName": "Azure Active Directory (target tenant)",
                "details": {
                    "ApplicationId": "{applicationId}",
                    "ServicePrincipalId": "{servicePrincipalId}",
                    "ServicePrincipalDisplayName": "Fabrikam"
                }
            },
            "initiatedBy": {
                "id": "",
                "displayName": "Azure AD Provisioning Service",
                "initiatorType": "system"
            },
            "sourceIdentity": {
                "id": "{sourceUserObjectId}",
                "displayName": "User4",
                "identityType": "User",
                "details": {
                    "id": "{sourceUserObjectId}",
                    "odatatype": "User",
                    "DisplayName": "User4",
                    "UserPrincipalName": "user4@fabrikam.com"
                }
            },
            "targetIdentity": {
                "id": "{targetUserObjectId}",
                "displayName": "",
                "identityType": "User",
                "details": {}
            },
            "provisioningStatusInfo": {
                "status": "success",
                "errorInformation": null
            },
        "provisioningSteps": [
            {
                "name": "EntryImportAdd",
                "provisioningStepType": "import",
                "status": "success",
                "description": "Received User 'user4@fabrikam.com' change of type (Add) from Azure Active Directory",
                "details": {
                    "objectId": "{sourceUserObjectId}",
                    "accountEnabled": "True",
                    "department": "Marketing",
                    "displayName": "User4",
                    "mailNickname": "user4",
                    "userPrincipalName": "user4@fabrikam.com",
                    "netId": "{netId}",
                    "showInAddressList": "",
                    "alternativeSecurityIds": "None",
                    "IsSoftDeleted": "False",
                    "appRoleAssignments": "msiam_access"
                }
            },
            {
                "name": "EntrySynchronizationScoping",
                "provisioningStepType": "scoping",
                "status": "success",
                "description": "Determine if User in scope by evaluating against each scoping filter",
                "details": {
                    "Active in the source system": "True",
                    "Assigned to the application": "True",
                    "User has the required role": "True",
                    "Scoping filter evaluation passed": "True",
                    "ScopeEvaluationResult": "{\"Marketing department filter.department EQUALS 'Marketing'\":true}"
                }
            },

            ...

        }
    ]
}

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Wenn Sie versuchen, eine Aktion auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ursache

Entweder verfügt der angemeldete Benutzer nicht über ausreichende Berechtigungen, oder Sie müssen einer der erforderlichen Berechtigungen zustimmen.

Lösung

Stellen Sie sicher, dass Ihnen die erforderlichen Rollen zugewiesen sind. Siehe Abschnitt Voraussetzungen weiter oben in diesem Artikel.
Wenn Sie sich mit Connect-MgGraph anmelden, stellen Sie sicher, dass Sie die erforderlichen Bereiche angeben. Weitere Informationen finden Sie unter Schritt 1: Anmelden beim Zielmandanten und Schritt 4: Anmelden beim Quellmandanten weiter oben in diesem Artikel.

Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create

Wenn Sie versuchen, eine neue Partnerkonfiguration zu erstellen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

New-MgPolicyCrossTenantAccessPolicyPartner_Create: Another object with the same value for property tenantId already exists.

Ursache

Sie versuchen wahrscheinlich, eine bereits vorhandene Konfiguration oder ein bereits vorhandenes Objekt zu erstellen, das möglicherweise aus einer vorherigen Konfiguration stammt.

Lösung

Überprüfen Sie Ihre Syntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.
Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartner, um das vorhandene Objekt auflisten.
Wenn Sie ein bestehendes Objekt haben, müssen Sie möglicherweise mit Update-MgPolicyCrossTenantAccessPolicyPartner eine Aktualisierung vornehmen.

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Wenn Sie versuchen, die Benutzersynchronisierung zu aktivieren, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

Invoke-MgGraphRequest: PUT https://graph.microsoft.com/v1.0/policies/crossTenantAccessPolicy/partners/<SourceTenantId>/identitySynchronization
HTTP/1.1 409 Conflict
...
{"error":{"code":"Request_MultipleObjectsWithSameKeyValue","message":"A conflicting object with one or more of the specified property values is present in the directory.","details":[{"code":"ConflictingObjects","message":"A conflicting object with one or more of the specified property values is present in the directory.", ... }}}

Ursache

Sie versuchen wahrscheinlich, eine Richtlinie zu erstellen, die bereits existiert, möglicherweise aus einer früheren Konfiguration.

Lösung

Überprüfen Sie Ihre Syntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.

Verwenden Sie den Befehl Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization, um die Einstellung IsSyncAllowed aufzuführen.

(Get-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId).UserSyncInbound

Wenn Sie über eine vorhandene Richtlinie verfügen, müssen Sie möglicherweise mit dem Befehl Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization eine Aktualisierung vornehmen, um die Benutzersynchronisierung zu aktivieren.
```
$Params = @{
    userSyncInbound = @{
        isSyncAllowed = $true
    }
}
Set-MgPolicyCrossTenantAccessPolicyPartnerIdentitySynchronization -CrossTenantAccessPolicyConfigurationPartnerTenantId $SourceTenantId -BodyParameter $Params
```

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Wenn Sie versuchen, eine Aktion auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Authorization_RequestDenied
message: Insufficient privileges to complete the operation.

Ursache

Entweder verfügt der angemeldete Benutzer nicht über ausreichende Berechtigungen, oder Sie müssen einer der erforderlichen Berechtigungen zustimmen.

Lösung

Stellen Sie sicher, dass Ihnen die erforderlichen Rollen zugewiesen sind. Siehe Abschnitt Voraussetzungen weiter oben in diesem Artikel.
Stimmen Sie im Tool Microsoft Graph-Tester unbedingt den erforderlichen Berechtigungen zu. Weitere Informationen finden Sie unter Schritt 1: Anmelden beim Zielmandanten und Schritt 4: Anmelden beim Quellmandanten weiter oben in diesem Artikel.

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Wenn Sie versuchen, einen Microsoft Graph-API-Aufruf auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Request_MultipleObjectsWithSameKeyValue
message: Another object with the same value for property tenantId already exists.
message: A conflicting object with one or more of the specified property values is present in the directory.

Ursache

Sie versuchen wahrscheinlich, eine bereits vorhandene Konfiguration oder ein bereits vorhandenes Objekt zu erstellen, das möglicherweise aus einer vorherigen Konfiguration stammt.

Lösung

Überprüfen Sie Ihre Anforderungssyntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.
Senden Sie eine GET-Anforderung zum Auflisten des vorhandenen Objekts.
Wenn ein Objekt vorhanden ist, müssen Sie anstelle einer Erstellungsanforderungen mit POST oder PUT möglicherweise eine Aktualisierungsanforderung mithilfe von PATCH senden.
- Aktualisieren von crossTenantAccessPolicyConfigurationPartner
- Aktualisieren von crossTenantIdentitySyncPolicyPartner

Symptom: Fehler „Directory_ObjectNotFound“

Wenn Sie versuchen, einen Microsoft Graph-API-Aufruf auszuführen, erhalten Sie eine Fehlermeldung ähnlich der folgenden:

code: Directory_ObjectNotFound
message: Unable to read the company information from the directory.

Ursache

Sie versuchen wahrscheinlich, mithilfe von PATCH ein Objekt zu aktualisieren, das nicht vorhanden ist.

Lösung

Überprüfen Sie Ihre Anforderungssyntax, und stellen Sie sicher, dass Sie die richtige Mandanten-ID verwenden.
Senden Sie eine GET-Anforderung, um sich zu vergewissern, dass das Objekt nicht vorhanden ist.
Wenn das Objekt nicht vorhanden ist, müssen Sie anstelle einer Aktualisierungsanforderung mit PUT möglicherweise eine Erstellungsanforderungen mithilfe von PATCH oder POST senden.
- Create identitySynchronization (Erstellen eines identitySynchronization-Elements)

Freigeben über

Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API

Voraussetzungen

Schritt 2: Aktivieren der Benutzersynchronisierung im Zielmandanten

Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten

Schritt 5: Automatisches Einlösen von Einladungen im Quellmandanten

Schritt 6: Erstellen einer Konfigurationsanwendung im Quellmandanten

Schritt 7: Testen der Verbindung mit dem Zielmandanten

Schritt 8: Erstellen eines Bereitstellungsauftrags im Quellmandanten

Schritt 9: Speichern Ihrer Anmeldeinformationen

Schritt 10: Zuweisen eines Benutzenden zur Konfiguration

Schritt 11: Testen der bedarfsorientierten Bereitstellung

Schritt 12: Starten des Bereitstellungsauftrags

Schritt 13: Überwachen der Bereitstellung

Tipps zur Problembehandlung

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Symptom: Fehler „Directory_ObjectNotFound“

Nächste Schritte

Feedback

Zusätzliche Ressourcen

Freigeben über

Konfigurieren der mandantenübergreifenden Synchronisierung mithilfe von Microsoft Graph PowerShell oder der Microsoft Graph-API

Voraussetzungen

Schritt 1: Anmelden beim Zielmandanten

Schritt 2: Aktivieren der Benutzersynchronisierung im Zielmandanten

Schritt 3: Automatisches Einlösen von Einladungen im Zielmandanten

Schritt 4: Anmelden beim Quellmandanten

Schritt 5: Automatisches Einlösen von Einladungen im Quellmandanten

Schritt 6: Erstellen einer Konfigurationsanwendung im Quellmandanten

Schritt 7: Testen der Verbindung mit dem Zielmandanten

Schritt 8: Erstellen eines Bereitstellungsauftrags im Quellmandanten

Schritt 9: Speichern Ihrer Anmeldeinformationen

Schritt 10: Zuweisen eines Benutzenden zur Konfiguration

Schritt 11: Testen der bedarfsorientierten Bereitstellung

Schritt 12: Starten des Bereitstellungsauftrags

Schritt 13: Überwachen der Bereitstellung

Tipps zur Problembehandlung

Symptom: Fehler aufgrund von unzureichenden Berechtigungen

Symptom – Fehler: New-MgPolicyCrossTenantAccessPolicyPartner_Create

Symptom: Fehler „Request_MultipleObjectsWithSameKeyValue“

Nächste Schritte

Feedback

Zusätzliche Ressourcen