Configurer la synchronisation interclient

Cet article décrit les étapes de configuration de la synchronisation entre locataires à l’aide du centre d’administration Microsoft Entra. Une fois configuré, Microsoft Entra ID approvisionne et déprovisionne automatiquement les utilisateurs B2B dans votre locataire cible. Pour découvrir les informations importantes sur ce que fait ce service, comment il fonctionne et consulter le forum aux questions, reportez-vous à l’article Automatiser l’approvisionnement et le désapprovisionnement d’utilisateurs dans les applications SaaS avec Microsoft Entra ID.

Diagramme montrant la synchronisation entre locataires entre le locataire source et le locataire cible.

Objectifs d’apprentissage

À la fin de cet article, vous serez en mesure d’effectuer les opérations suivantes :

  • Créer des utilisateurs B2B dans votre locataire cible
  • Supprimer des utilisateurs B2B dans votre locataire cible
  • Conserver les attributs utilisateur synchronisés entre vos locataires source et cible

Prérequis

Icône du locataire source.
Locataire source

Icône du locataire cible.
Locataire cible

Étape 1 : Planifier votre déploiement de l’approvisionnement

  1. Définissez la façon dont vous souhaitez structurer les locataires dans votre organisation.

  2. En savoir plus sur le fonctionnement du service d’approvisionnement.

  3. Déterminez qui sera concerné par l’approvisionnement.

  4. Déterminer les données à mapper entre les locataires.

Étape 2 : Activer la synchronisation des utilisateurs dans le locataire cible

Conseil

Les étapes décrites dans cet article peuvent varier légèrement en fonction du portail de départ.

Icône du locataire cible.
Locataire cible

  1. Connectez-vous au centre d’administration Microsoft Entra du locataire cible.

  2. Accédez à Identité>Azure Active Directory for External Identities>Paramètres d’accès entre locataires.

  3. Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.

  4. Ajoutez le locataire source en tapant l’ID de locataire ou le nom de domaine, puis en sélectionnant Ajouter.

    Capture d’écran montrant le volet Ajouter une organisation pour ajouter le locataire source.

  5. Sous Accès entrant de l’organisation ajoutée, sélectionnez Hérité par défaut.

  6. Sélectionnez l’onglet Synchronisation interlocataire.

  7. Cochez la case Autoriser les utilisateurs à se synchroniser dans ce locataire.

    Capture d’écran montrant l’onglet Synchronisation interlocataire avec la case à cocher Autoriser les utilisateurs à se synchroniser avec ce locataire.

  8. Cliquez sur Enregistrer.

  9. Si une boîte de dialogue Activer la synchronisation entre clients et l'échange automatique s'affiche et vous demande si vous souhaitez activer l'échange automatique, sélectionnez Oui.

    En sélectionnant Oui, les invitations seront automatiquement échangées dans le locataire cible.

    Capture d’écran montrant la boîte de dialogue Activer la synchronisation entre locataires et l’échange automatique pour échanger automatiquement des invitations dans le locataire cible.

Étape 3 : échanger automatiquement les invitations dans le locataire cible

Icône du locataire cible.
Locataire cible

Dans cette étape, vous échangez automatiquement les invitations afin que les utilisateurs du locataire source n’aient pas à accepter l’invite de consentement. Ce paramètre doit être archivé dans le locataire source (sortant) et le locataire cible (entrant). Pour plus d’informations, consultez Paramètre d’échange automatique.

  1. Dans le locataire cible, dans la même page Paramètres d’accès entrant, sélectionnez l’onglet Paramètres d’approbation.

  2. Cochez la case Utiliser automatiquement les invitations avec le locataire<locataire>.

    Cette case peut déjà être cochée si vous avez précédemment sélectionné Oui dans la boîte de dialogue Activer la synchronisation entre clients et l'échange automatique.

    Capture d’écran montrant la case à cocher Échange automatique du trafic entrant.

  3. Cliquez sur Enregistrer.

Étape 4 : échanger automatiquement les invitations dans le locataire source

Icône du locataire source.
Locataire source

Dans cette étape, vous échangez automatiquement les invitations dans le locataire source.

  1. Connectez-vous au centre d’administration Microsoft Entra du locataire source.

  2. Accédez à Identité>Azure Active Directory for External Identities>Paramètres d’accès entre locataires.

  3. Sous l’onglet Paramètres de l’organisation, sélectionnez Ajouter une organisation.

  4. Ajoutez le locataire cible en tapant l’ID de locataire ou le nom de domaine et en sélectionnant Ajouter.

    Capture d’écran montrant le volet Ajouter une organisation pour ajouter le locataire cible.

  5. Sous Accès sortant pour l’organisation cible, sélectionnez Hérité par défaut.

  6. Sélectionnez l’onglet Paramètres de confiance.

  7. Cochez la case Utiliser automatiquement les invitations avec le locataire<locataire>.

    Capture d’écran montrant la case à cocher Échange automatique du trafic sortant.

  8. Cliquez sur Enregistrer.

Étape 5 : créer une configuration dans le locataire source

Icône du locataire source.
Locataire source

  1. Dans le locataire source, accédez à Identité>Azure Active Directory for External Identities>Synchronisation entre locataires.

    Capture d’écran montrant la navigation de la synchronisation entre clients dans le centre d’administration Microsoft Entra.

    Si vous utilisez le portail Azure, accédez à Microsoft Entra ID>Gérer>Synchronisation entre clients.

    Capture d’écran montrant la navigation de la synchronisation entre clients dans le portail Azure.

  2. Sélectionnez Configurations.

  3. En haut de la page, sélectionnez Nouvelle configuration.

  4. Fournissez un nom pour la configuration et sélectionnez Créer.

    L’affichage de la configuration que vous venez de créer dans la liste peut prendre jusqu’à 15 secondes.

Étape 6 : Tester la connexion au locataire cible

Icône du locataire source.
Locataire source

  1. Dans le locataire source, vous devez voir votre nouvelle configuration. Dans le cas contraire, sélectionnez votre configuration dans la liste de configuration.

    Capture d’écran montrant la page Configurations de synchronisation interlocataire et une nouvelle configuration.

  2. Sélectionnez Prise en main.

  3. Définissez le Mode d’approvisionnement sur Automatique.

  4. Dans la section Informations d’identification Administration, remplacez la méthode d’authentification par Stratégie de synchronisation entre locataires.

    Capture d’écran montrant la page Approvisionnement avec la stratégie de synchronisation entre locataires sélectionnée.

  5. Dans la zone Id de locataire, entrez l’ID de locataire du locataire cible.

  6. Sélectionnez Tester la connexion pour tester la connexion.

    Vous devez voir un message indiquant que les informations d’identification fournies sont autorisées à activer l’approvisionnement. Si la connexion de test échoue, consultez Conseils de résolution des problèmes plus loin dans cet article.

    Capture d’écran montrant une notification de connexion de test.

  7. Sélectionnez Enregistrer.

    Les sections Mappages et Paramètres s’affichent.

  8. Fermer la page Approvisionnement.

Étape 7 : Définir qui est concerné par l’approvisionnement

Icône du locataire source.
Locataire source

Le service d’approvisionnement Microsoft Entra vous permet de définir qui sera approvisionné de l’une ou des deux manières suivantes :

  • En fonction de l’affectation à la configuration
  • Basé sur les attributs de l’utilisateur

Commencez progressivement. Testez avec un petit ensemble d’utilisateurs avant d’effectuer un déploiement général. Lorsque l’étendue du provisionnement est définie sur des utilisateurs et des groupes assignés, vous pouvez la contrôler en assignant un ou deux utilisateurs à la configuration. Vous pouvez affiner l’étendue de l’approvisionnement en créant des filtres d’étendue basés sur les attributs, décrits à l’étape suivante.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .

    Capture d’écran de la page Provisionnement montrant la section Paramètres avec les options Étendue et État de l’approvisionnement.

  2. Dans la liste Étendue, indiquez s’il faut synchroniser tous les utilisateurs du locataire source ou uniquement les utilisateurs affectés à la configuration.

    Il est recommandé de sélectionner Synchroniser uniquement les utilisateurs et les groupes affectés au lieu de Synchroniser tous les utilisateurs et groupes. La réduction du nombre d’utilisateurs dans l’étendue améliore les performances.

  3. Si vous avez apporté des modifications, sélectionnez Enregistrer.

  4. Dans la page de configuration, sélectionnez Utilisateurs et groupes.

    Pour que la synchronisation interlocataire fonctionne, au moins un utilisateur interne doit être affecté à la configuration.

  5. Sélectionner Ajouter un utilisateur/groupe.

  6. Dans la page Ajouter une affectation, sous Utilisateurs et groupes, sélectionnez Aucune sélection.

  7. Dans le volet Utilisateurs et groupes , recherchez et sélectionnez un ou plusieurs utilisateurs ou groupes internes que vous souhaitez affecter à la configuration.

    Si vous sélectionnez un groupe à affecter à la configuration, seuls les utilisateurs qui sont des membres directs du groupe seront dans l’étendue de l’approvisionnement. Vous pouvez sélectionner un groupe statique ou un groupe dynamique. L’affectation n’est pas en cascade vers les groupes imbriqués.

  8. Sélectionnez Sélectionner.

  9. Sélectionnez Attribuer.

    Capture d’écran montrant la page Utilisateurs et groupes avec un utilisateur affecté à la configuration.

    Pour plus d’informations, consultez Affecter des utilisateurs et des groupes à une application.

Étape 8 : (Facultatif) Définir qui est dans l’étendue de l’approvisionnement avec des filtres d’étendue

Icône du locataire source.
Locataire source

Quelle que soit la valeur que vous avez sélectionnée pour Étendue à l’étape précédente, vous pouvez limiter davantage les utilisateurs qui sont synchronisés en créant des filtres d’étendue basés sur les attributs.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.

    Capture d’écran montrant la page Approvisionnement avec la section Mappages développée.

  2. Sélectionnez Provisionner les utilisateurs de Microsoft Entra ID pour ouvrir la page Mappage d'attributs.

  3. Sous Étendue de l’objet source, sélectionnez Tous les enregistrements.

    Capture d'écran qui montre la page de mappage d'attributs avec l'étendue de l'objet source.

  4. Dans la page Étendue de l’objet source , sélectionnez Ajouter un filtre d’étendue.

  5. Ajoutez des filtres d’étendue pour définir les utilisateurs dans l’étendue de l’approvisionnement.

    Pour configurer des filtres d’étendue, reportez-vous aux instructions fournies dans Étendue des utilisateurs ou des groupes à approvisionner avec des filtres d’étendue.

    Capture d’écran montrant la page Ajouter un filtre d’étendue avec un exemple de filtre.

  6. Sélectionnez Ok et Enregistrer pour enregistrer les modifications.

    Si vous avez ajouté un filtre, vous verrez un message indiquant que l’enregistrement de vos modifications entraîne la resynchronisation de tous les utilisateurs et groupes affectés. Cela peut prendre beaucoup de temps en fonction de la taille de votre répertoire.

  7. Sélectionnez Oui et fermez la page Mappage d’attributs .

Étape 9 : Passer en revue les mappages d’attributs

Icône du locataire source.
Locataire source

Les mappages d’attributs vous permettent de définir le flux des données entre le locataire source et le locataire cible. Pour plus d’informations sur la personnalisation des mappages d’attributs par défaut, consultez le tutoriel Personnaliser les mappages d’attributs d’approvisionnement d’utilisateurs pour les applications SaaS dans Microsoft Entra ID.

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Mappages.

  2. Sélectionnez Provisionner les utilisateurs de Microsoft Entra ID.

  3. Dans la page Mappage d’attributs , faites défiler vers le bas pour passer en revue les attributs utilisateur qui sont synchronisés entre les locataires dans la section Mappages d’attributs .

    Le premier attribut, alternativeSecurityIdentifier, est un attribut interne utilisé pour identifier de manière unique l’utilisateur entre les locataires, faire correspondre les utilisateurs du locataire source avec les utilisateurs du locataire cible et s’assurer que chaque utilisateur n’a qu’un seul compte. Impossible de modifier l’attribut correspondant. Toute tentative de modification de l'attribut de correspondance ou d'ajout d'attributs de correspondance supplémentaires entraînera une erreur schemaInvalid.

    Capture d’écran de la page Mappage d’attributs montrant la liste des attributs Microsoft Entra.

  4. Sélectionnez l'attribut Membre (type d'utilisateur) pour ouvrir la page Modifier l'attribut.

  5. Passez en revue le paramètre Valeur constante pour l’attribut userType .

    Ce paramètre définit le type d’utilisateur qui sera créé dans le locataire cible et peut être l’une des valeurs du tableau suivant. Par défaut, les utilisateurs sont créés en tant que membre externe (utilisateurs B2B Collaboration). Pour plus d’informations, consultez l’article Propriétés d’un utilisateur de collaboration Microsoft Entra B2B.

    Valeur constante Description
    Membre Par défaut. Les utilisateurs seront créés en tant que membre externe (utilisateurs B2B Collaboration) dans le locataire cible. Les utilisateurs pourront fonctionner en tant que n’importe quel membre interne du locataire cible.
    Invité Les utilisateurs seront créés en tant qu’invités externes (utilisateurs B2B Collaboration) dans le locataire cible.

    Remarque

    Si l’utilisateur B2B existe déjà dans le locataire cible, Membre (userType) n’est pas changé en Membre, sauf si le paramètre Appliquer ce mappage est défini sur Toujours.

    Le type d’utilisateur que vous choisissez présente les limitations suivantes pour les applications ou les services (mais ne sont pas limités à) :

    Application ou service Limites
    Power BI - La prise en charge du membre UserType dans Power BI est actuellement en préversion. Pour plus d’informations, consultez l’article Distribuer du contenu Power BI à des utilisateurs invités externes avec Microsoft Entra B2B.
    Azure Virtual Desktop - Les membres externes et les invités externes ne sont pas pris en charge dans Azure Virtual Desktop.

    Capture d’écran de la page Modifier l’attribut qui montre l’attribut Member.

  6. Si vous souhaitez définir des transformations, dans la page Mappage d’attributs , sélectionnez l’attribut que vous souhaitez transformer, tel que displayName.

  7. Définissez le type de mappage sur Expression.

  8. Dans la zone Expression, entrez l’expression de transformation. Par exemple, avec le nom complet, vous pouvez effectuer les opérations suivantes :

    • Retournez le prénom et le nom et ajoutez une virgule entre les deux.
    • Ajoutez le nom de domaine entre parenthèses à la fin du nom d’affichage.

    Pour obtenir des exemples, consultez l’article Informations de référence sur l’écriture d’expressions pour les mappages d’attributs dans Microsoft Entra ID.

    Capture d’écran de la page Modifier l’attribut qui montre l’attribut displayName avec la zone Expression.

Conseil

Vous pouvez mapper les extensions de répertoire en mettant à jour le schéma de la synchronisation entre clients. Pour plus d'informations, consulter Mapper les extensions de répertoire dans la synchronisation entre clients.

Étape 10 : Spécifier des paramètres d’approvisionnement supplémentaires

Icône du locataire source.
Locataire source

  1. Dans le locataire source, sélectionnez Approvisionnement et développez la section Paramètres .

    Capture d’écran de la page Provisionnement montrant la section Paramètres avec les options Étendue et État de l’approvisionnement.

  2. Cochez la case Envoyer une notification par e-mail en cas de défaillance.

  3. Dans la zone E-mail de notification, entrez l’adresse e-mail d’une personne ou d’un groupe qui doit recevoir les notifications d’erreur de provisionnement.

    Les notifications Email sont envoyées dans les 24 heures suivant l’entrée de la tâche dans l’état de quarantaine. Pour les alertes personnalisées, consultez Comprendre comment l’approvisionnement s’intègre aux journaux Azure Monitor.

  4. Pour empêcher la suppression accidentelle, sélectionnez Empêcher la suppression accidentelle et spécifiez une valeur de seuil. Par défaut, le seuil est défini sur 500.

    Pour plus d’informations, consultez l’article Activer la prévention des suppressions accidentelles dans le service d’approvisionnement Microsoft Entra.

  5. Sélectionnez Save (Enregistrer) pour enregistrer les modifications.

Étape 11 : Tester l’approvisionnement à la demande

Icône du locataire source.
Locataire source

Maintenant que vous avez une configuration, vous pouvez tester l’approvisionnement à la demande avec l’un de vos utilisateurs.

  1. Dans le locataire source, accédez à Identité>Azure Active Directory for External Identities>Synchronisation entre locataires.

  2. Sélectionnez Configurations , puis sélectionnez votre configuration.

  3. Sélectionnez Approvisionner à la demande.

  4. Dans la zone Sélectionner un utilisateur ou un groupe, recherchez et sélectionnez l’un de vos utilisateurs de test.

    Capture d’écran de la page Approvisionner à la demande montrant un utilisateur de test sélectionné.

  5. Sélectionnez Approvisionner.

    Après quelques instants, la page Exécuter l’action s’affiche avec des informations sur l’approvisionnement de l’utilisateur de test dans le locataire cible.

    Capture d’écran de la page Effectuer une action qui montre l’utilisateur de test et la liste des attributs modifiés.

    Si l’utilisateur n’est pas dans l’étendue, une page contenant des informations sur la raison pour laquelle l’utilisateur de test a été ignoré s’affiche.

    Capture d’écran de la page Déterminer si l’utilisateur se trouve dans l’étendue qui montre des informations sur la raison pour laquelle l’utilisateur de test a été ignoré.

    Dans la page Approvisionner à la demande, vous pouvez afficher des détails sur l’approvisionnement et avoir la possibilité de réessayer.

    Capture d’écran de la page Approvisionner à la demande qui montre des détails sur l’approvisionnement.

  6. Dans le locataire cible, vérifiez que l’utilisateur de test a été provisionné.

    Capture d’écran de la page Utilisateurs du locataire cible qui montre l’utilisateur de test approvisionné.

  7. Si tout fonctionne comme prévu, affectez des utilisateurs supplémentaires à la configuration.

    Pour plus d’informations, consultez l’article Approvisionnement à la demande dans Microsoft Entra ID.

Étape 12 : Démarrer le travail d’approvisionnement

Icône du locataire source.
Locataire source

Cette tâche d’approvisionnement démarre le cycle de synchronisation initiale de tous les utilisateurs définis sous Étendue, dans la section Paramètres. L'exécution du cycle initial prend plus de temps que les cycles suivants, qui se produisent environ toutes les 40 minutes tant que le service de provisionnement Microsoft Entra est en cours d'exécution.

  1. Dans le locataire source, accédez à Identité>Azure Active Directory for External Identities>Synchronisation entre locataires.

  2. Sélectionnez Configurations , puis sélectionnez votre configuration.

  3. Dans la page Vue d’ensemble, passez en revue les détails de l’approvisionnement.

    Capture d’écran de la page Vue d’ensemble des configurations qui répertorie les détails de l’approvisionnement.

  4. Sélectionnez Démarrer l’approvisionnement pour démarrer le travail d’approvisionnement.

Étape 13 : Superviser l’approvisionnement

Icône du locataire source. Icône du locataire cible.
Locataires sources et cibles

Une fois que vous avez démarré un travail d’approvisionnement, vous pouvez surveiller l’état.

  1. Dans le locataire source, dans la page Vue d’ensemble, vérifiez la barre de progression pour voir l’état du cycle d’approvisionnement et la façon dont il est terminé. Pour plus d’informations, consultez Vérifier l’état de l’approvisionnement d’utilisateurs.

    Si le provisionnement semble être dans un état malsain, la configuration sera mise en quarantaine. Pour plus d’informations, consultez Provisionnement d’applications en état de quarantaine.

    Capture d’écran de la page Vue d’ensemble des configurations qui montre l’état du cycle d’approvisionnement.

  2. Sélectionnez Journaux d’approvisionnement pour déterminer quels utilisateurs ont été configurés avec succès ou ceux pour laquelle la procédure a échoué. Par défaut, les journaux sont filtrés par l’ID de principal de service de la configuration. Pour plus d’informations, consultez l’article Journaux d’approvisionnement dans Microsoft Entra ID.

    Capture d’écran de la page Journaux d’approvisionnement qui répertorie les entrées de journal et leur état.

  3. Sélectionnez Journaux d’audit pour afficher tous les événements journalisés dans Microsoft Entra ID. Pour plus d’informations, consultez l’article Journaux d’audit dans Microsoft Entra ID.

    Capture d’écran de la page Journaux d’audit qui répertorie les entrées de journal et leur état.

    Vous pouvez également afficher les journaux d’audit dans le locataire cible.

  4. Dans le locataire cible, sélectionnez Utilisateurs> Journaux d’audit pour afficher les événements journalisés pour la gestion des utilisateurs.

    Capture d’écran de la page Journaux d’audit dans le locataire cible qui répertorie les entrées de journal pour la gestion des utilisateurs.

Étape 14 : Configurer les paramètres de congé

Icône du locataire cible.
Locataire cible

Même si les utilisateurs sont approvisionnés dans le locataire cible, ils peuvent toujours être en mesure de se supprimer eux-mêmes. Si les utilisateurs se suppriment eux-mêmes et qu’ils sont dans l’étendue, ils sont à nouveau approvisionnés au cours du prochain cycle d’approvisionnement. Si vous souhaitez interdire la possibilité pour les utilisateurs de se supprimer eux-mêmes de votre organisation, vous devez configurer les paramètres de sortie d’utilisateur externe.

  1. Dans le locataire cible, accédez à Identité>Azure Active Directory for External Identities>Paramètres de collaboration externe.

  2. Sous les paramètres de sortie des utilisateurs externes, choisissez s’il faut autoriser les utilisateurs externes à quitter votre organisation par eux-mêmes.

Ce paramètre s’applique également à B2B Collaboration et à la connexion directe B2B. Par conséquent, si vous définissez les paramètres de sortie utilisateur externe sur Non, les utilisateurs B2B Collaboration et les utilisateurs de connexion directe B2B ne peuvent pas quitter votre organisation eux-mêmes. Pour plus d’informations, consultez Quitter une organisation en tant qu’utilisateur externe.

Conseils de dépannage

Supprimer une configuration

Suivez ces étapes pour supprimer une configuration dans la page Configurations.

  1. Dans le locataire source, accédez à Identité>Azure Active Directory for External Identities>Synchronisation entre locataires.

  2. Dans la page Configurations, ajoutez une coche en regard de la configuration que vous souhaitez supprimer.

  3. Sélectionnez Supprimer, puis OK pour supprimer la configuration.

    Capture d’écran de la page Configurations montrant comment supprimer une configuration.

Scénarios et solutions courants

Symptôme - Échec de la connexion de test avec AzureDirectoryB2BManagementPolicyCheckFailure

Lors de la configuration de la synchronisation interlocataire dans le locataire source et que vous testez la connexion, elle échoue avec le message d’erreur suivant :

You appear to have entered invalid credentials. Please confirm you are using the correct information for an administrative account.
Error code: AzureDirectoryB2BManagementPolicyCheckFailure
Details: Policy permitting auto-redemption of invitations not configured.

Capture d’écran montrant l’erreur lorsque le test de connexion échoue avec AzureDirectoryB2BManagementPolicyCheckFailure.

Cause

Cette erreur indique que la stratégie d’échange automatique des invitations dans les locataires source et cible n’a pas été configurée.

Solution

Suivez les étapes décrites à l’Etape 3 : échanger automatiquement les invitations dans le locataire cible et à l’Étape 4 : échanger automatiquement des invitations dans le locataire source.

Symptôme : La case à cocher Échange automatique est désactivée

Pendant la configuration de la synchronisation entre locataires, la case à cocher Échange automatique est désactivée.

Capture d’écran montrant la case à cocher Échange automatique désactivée.

Cause

Votre locataire ne dispose pas d’une licence Microsoft Entra ID P1 ou P2.

Solution

Vous devez avoir une licence Microsoft Entra ID P1 ou P2 pour configurer les paramètres d’approbation.

Symptôme : l’utilisateur récemment supprimé dans le locataire cible n’est pas restauré

Après la suppression réversible d’un utilisateur synchronisé dans le locataire cible, l’utilisateur n’est pas restauré au cours du cycle de synchronisation suivant. Si vous essayez de supprimer de manière réversible un utilisateur avec un approvisionnement à la demande, puis de le restaurer, cela peut entraîner des doublons d’utilisateurs.

Cause

La restauration d’un utilisateur précédemment supprimé de manière réversible dans le locataire cible n’est pas prise en charge.

Solution

Restaurez manuellement l’utilisateur supprimé de manière réversible dans le locataire cible. Pour plus d’informations, consultez l’article Restaurer ou supprimer un utilisateur récemment supprimé à l’aide de Microsoft Entra ID.

Symptôme : les utilisateurs sont ignorés, car la connexion par SMS est activée pour l’utilisateur

Les utilisateurs sont ignorés lors de la synchronisation. L’étape de l’étendue comprend le filtre suivant avec statut false : « Filtrer les users.alternativeSecurityIds externes EQUALS "None" »

Cause

Si la connexion par SMS est activée pour un utilisateur, il sera ignoré par le service d’approvisionnement.

Solution

Désactivez la connexion par SMS pour les utilisateurs. Le script ci-dessous montre comment désactiver la connexion par SMS avec PowerShell.

##### Disable SMS Sign-in options for the users

#### Import module
Install-Module Microsoft.Graph.Users.Actions
Install-Module Microsoft.Graph.Identity.SignIns
Import-Module Microsoft.Graph.Users.Actions

Connect-MgGraph -Scopes "User.Read.All", "Group.ReadWrite.All", "UserAuthenticationMethod.Read.All","UserAuthenticationMethod.ReadWrite","UserAuthenticationMethod.ReadWrite.All"

##### The value for phoneAuthenticationMethodId is 3179e48a-750b-4051-897c-87b9720928f7

$phoneAuthenticationMethodId = "3179e48a-750b-4051-897c-87b9720928f7"

#### Get the User Details

$userId = "objectid_of_the_user_in_Entra_ID"

#### validate the value for SmsSignInState

$smssignin = Get-MgUserAuthenticationPhoneMethod -UserId $userId


    if($smssignin.SmsSignInState -eq "ready"){   
      #### Disable Sms Sign-In for the user is set to ready

      Disable-MgUserAuthenticationPhoneMethodSmsSignIn -UserId $userId -PhoneAuthenticationMethodId $phoneAuthenticationMethodId
      Write-Host "SMS sign-in disabled for the user" -ForegroundColor Green
    }
    else{
    Write-Host "SMS sign-in status not set or found for the user " -ForegroundColor Yellow
    }



##### End the script

Symptôme : les utilisateurs ne parviennent pas à approvisionner en raison de l’erreur « AzureActiveDirectoryForbidden »

Les utilisateurs dans l’étendue ne parviennent pas à provisionner. Les détails des journaux d’approvisionnement incluent le message d’erreur suivant :

Guest invitations not allowed for your company. Contact your company administrator for more details.

Cause

Cette erreur indique que les paramètres d’invitation d’invité dans le locataire cible sont configurés avec le paramètre le plus restrictif : « Personne dans l’organisation ne peut inviter d’utilisateurs invités, y compris les administrateurs (les plus restrictifs) ».

Solution

Remplacez les paramètres d’invitation d’invité dans le locataire cible par un paramètre moins restrictif. Pour plus d’informations, consultez Configurer les paramètres de collaboration externe.

Symptôme : le nom d’utilisateur principal ne se met pas à jour pour les utilisateurs B2B existants dans un état d’acceptation en attente

Lorsqu’un utilisateur est invité pour la première fois par le biais d’une invitation B2B manuelle, l’invitation est envoyée à l’adresse de messagerie de l’utilisateur source. Par conséquent, l’utilisateur invité dans le locataire cible est créé avec un préfixe UPN (User Principal Name) en utilisant la propriété de valeur d’e-mail source. Il existe des environnements où les propriétés d’objet utilisateur source, UPN et Mail, ont des valeurs différentes, par exemple Mail == user.mail@domain.com et UPN == user.upn@otherdomain.com. Dans ce cas, l’utilisateur invité dans le locataire cible est créé avec l’UPN en tant que user.mail_domain.com#EXT#@contoso.onmicrosoft.com.

Le problème survient lorsque l’objet source est placé dans l’étendue de la synchronisation entre locataires et que l’attente est qu’outre d’autres propriétés, le préfixe UPN de l’utilisateur invité cible est mis à jour pour correspondre à l’UPN de l’utilisateur source (pour le case de l’exemple ci-dessus, la valeur serait : user.upn_otherdomain.com#EXT#@contoso.onmicrosoft.com). Toutefois, il ne se produit pas pendant les cycles de synchronisation incrémentielle et la modification est ignorée.

Cause

Ce problème se produit lorsque l’utilisateur B2B qui a été invité manuellement dans le locataire cible n’a pas accepté ou utilisé l’invitation, de sorte que son état est en attente d’acceptation. Lorsqu’un utilisateur est invité par e-mail, un objet est créé avec un ensemble d’attributs renseignés à partir du courrier, l’un d’entre eux est l’UPN, qui pointe vers la valeur de messagerie de l’utilisateur source. Si vous décidez ultérieurement d’ajouter l’utilisateur à l’opération de synchronisation entre locataires, le système tente de joindre l’utilisateur source à un utilisateur B2B dans le locataire cible en fonction de l’attribut alternativeSecurityIdentifier. Cependant, l’utilisateur créé précédemment n’a pas de propriété alternativeSecurityIdentifier renseignée parce que l’invitation n’a pas été utilisée. Par conséquent, le système ne considère pas qu’il s’agit d’un nouvel objet utilisateur et ne met pas à jour la valeur UPN. Le nom d’utilisateur principal n’est pas mis à jour dans les scénarios suivants :

  1. L’UPN et le courrier sont différents pour un utilisateur lorsqu’il a été invité manuellement.
  2. L’utilisateur a été invité avant d’activer la synchronisation entre locataires.
  3. L’utilisateur n’a jamais accepté l’invitation, donc son état est « en attente d’acceptation ».
  4. L’utilisateur est introduit dans l’étendue de la synchronisation entre locataires.

Solution

Pour résoudre le problème, exécutez l’approvisionnement à la demande pour que les utilisateurs affectés mettent à jour l’UPN. Vous pouvez également redémarrer l’approvisionnement pour mettre à jour l’UPN pour tous les utilisateurs affectés. Notez que ce redémarrage déclenche un cycle initial, qui peut prendre beaucoup de temps pour les grands locataires. Pour obtenir la liste des utilisateurs invités manuels dans l’état d’acceptation en attente, vous pouvez utiliser un script. Consultez l’exemple ci-dessous.

Connect-MgGraph -Scopes "User.Read.All"
$users = Get-MgUser -Filter "userType eq 'Guest' and externalUserState eq 'PendingAcceptance'" 
$users | Select-Object DisplayName, UserPrincipalName | Export-Csv "C:\Temp\GuestUsersPending.csv"

Vous pouvez ensuite utiliser provisionOnDemand avec PowerShell pour chaque utilisateur. La limite de débit pour cette API est de 5 requêtes toutes les 10 secondes. Pour plus d’informations, consultez Limitations connues pour l’approvisionnement à la demande.

Étapes suivantes