Risoluzione dei problemi relativi a Collaborazione B2B di Microsoft Entra

  • Articolo

Si applica a: Cerchio verde con segno di spunta bianco. Tenant delle risorse Cerchio bianco con il simbolo X grigio. Tenant esterni (altre informazioni)

Ecco alcuni rimedi per i problemi comuni di Collaborazione B2B di Microsoft Entra.

L'accesso guest non riesce con codice di errore AADSTS50020

Quando un utente guest di un provider di identità (IdP) non riesce ad accedere a un tenant di risorse in Microsoft Entra ID e riceve un codice di errore AADSTS50020, esistono diverse possibili cause. Vedere l'articolo sulla risoluzione dei problemi relativo all'errore AADSTS50020.

L'utente con connessione diretta B2B non è in grado di accedere a un canale condiviso (errore AADSTS90071)

Se in una connessione diretta B2B viene visualizzato il messaggio di errore seguente quando si tenta di accedere al canale condiviso di Teams di un'altra organizzazione, significa che le impostazioni di attendibilità dell'autenticazione a più fattori non sono state configurate dall'organizzazione esterna:

L'organizzazione che si sta tentando di raggiungere deve aggiornare le impostazioni per consentire l'accesso.

AADSTS90071: un amministratore dell'<organizzazione> deve aggiornare le impostazioni di accesso per accettare l'autenticazione a più fattori in ingresso.

L'organizzazione che ospita il canale condiviso di Teams deve abilitare l'impostazione di attendibilità per l'autenticazione a più fattori per consentire l'accesso agli utenti con connessione diretta B2B. Le impostazioni di attendibilità sono configurabili nelle impostazioni di accesso tra tenant di un'organizzazione.

Viene visualizzato un errore simile a "Errore di aggiornamento dei criteri a causa del limite di oggetti" durante la configurazione delle impostazioni di accesso tra tenant

Quando si configurano le impostazioni di accesso tra tenant, se viene visualizzato un errore indicante che non è possibile aggiornare i criteri a causa del limite di oggetti, significa che è stato raggiunto il limite di 25 kB per l'oggetto criteri. Si sta cercando di aumentare questo limite. Se è necessario calcolare la prossimità del criterio corrente a questo limite, eseguire le operazioni seguenti:

  1. Aprire Microsoft Graph explorer ed eseguire quanto segue:

    GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy

  2. Copiare l'intera risposta JSON e salvarla come file TXT, ad esempio policyobject.txt.

  3. Aprire PowerShell ed eseguire lo script seguente, sostituendo il percorso del file nella prima riga con il file di testo:

$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25 
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy) 
write-host "Remaining Bytes available in policy object" 
$maxSize - $size 
write-host "Is current policy within limits?" 
if ($size -le $maxSize) { return “valid” }; else { return “invalid” }

Gli utenti non possono più leggere la posta elettronica crittografata con Microsoft Azure RMS (OME)

Quando si configurano le impostazioni di accesso tra tenant, se si blocca l'accesso a tutte le app per impostazione predefinita, gli utenti non potranno leggere i messaggi di posta elettronica crittografati con Microsoft Azure RMS (noto anche come OME). Per evitare questo problema, è consigliabile configurare le impostazioni in uscita per consentire agli utenti di accedere a questo ID app: 00000012-0000-0000-c000-000000000000. Se si tratta dell'unica applicazione consentita, l'accesso a tutte le altre app verrà bloccato per impostazione predefinita.

L'utente esterno aggiunto non viene visualizzato nella rubrica globale o nella selezione utenti

Nei casi in cui gli utenti esterni non vengono inseriti nell'elenco, potrebbero essere necessari alcuni minuti per la replica dell'oggetto.

Un utente guest B2B non compare nella selezione utenti di SharePoint Online/OneDrive

La possibilità di cercare gli utenti guest esistenti nella selezione utenti di SharePoint Online è disattivata per impostazione predefinita per corrispondenza con il comportamento legacy.

È possibile abilitare questa funzionalità usando l'impostazione "ShowPeoplePickerSuggestionsForGuestUsers" a livello di tenant e di raccolta siti. Può essere impostata con i cmdlet Set-SPOTenant e Set-SPOSite, che consentono ai membri di cercare tutti gli utenti guest esistenti nella directory. Le modifiche nell'ambito tenant non influiscono sui siti di SPO di cui si è già stato eseguito il provisioning.

Le impostazioni dell'invito guest e le restrizioni del dominio non vengono rispettate da SharePoint Online/OneDrive

Per impostazione predefinita, SharePoint Online e OneDrive hanno un proprio set di opzioni per utente esterno e non usano le impostazioni di Microsoft Entra ID. È necessario abilitare l'integrazione di SharePoint e OneDrive con Microsoft Entra B2B per garantire che le opzioni siano coerenti tra tali applicazioni.

Gli inviti sono stati disabilitati per la directory

Se si riceve una notifica indicante che non si dispone delle autorizzazioni per invitare gli utenti, verificare che l'account utente sia autorizzato a invitare utenti esterni in Microsoft Entra ID > Utenti > Impostazioni utente > Utenti esterni > Gestisci le impostazioni di collaborazione esterna:

Screenshot che mostra le impostazioni degli utenti esterni.

Se di recente sono state modificate queste impostazioni o è stato assegnato il ruolo Mittente dell'invito guest a un utente, potrebbero essere necessari 15-60 minuti perché le modifiche abbiano effetto.

L'utente invitato riceve un errore durante il processo di riscatto

Di seguito sono riportati gli errori più comuni.

L'amministratore dell'invitato non consente la creazione di utenti EmailVerified nel tenant

Quando si invitano utenti la cui organizzazione usa Microsoft Entra ID, ma dove l'account dell'utente specifico non esiste (ad esempio, l'utente non esiste in contoso.com di Microsoft Entra). L'amministratore di contoso.com potrebbe aver impostato criteri che impediscono la creazione di utenti. L'utente deve rivolgersi all'amministratore per determinare se gli utenti esterni sono consentiti. L'amministratore dell'utente esterno potrebbe dover consentire gli utenti verificati tramite posta elettronica nel dominio (vedere questo articolo su come consentire gli utenti verificati tramite posta elettronica).

Screenshot dell'errore che informa che il tenant non consente utenti verificati tramite e-mail.

L'utente esterno non esiste già in un dominio federato

Se si usa l'autenticazione con federazione e l'utente non esiste già in Microsoft Entra ID, non è possibile invitare l'utente.

Per risolvere questo problema, l'amministratore dell'utente esterno deve sincronizzare l'account dell'utente con Microsoft Entra ID.

L'utente esterno ha una proprietà proxyAddress in conflitto con una proprietà proxyAddress di un utente locale esistente

Quando si verifica se un utente è in grado di essere invitato al tenant, una delle cose che viene verificata è la presenza di un conflitto nella proprietà proxyAddress. Sono incluse tutte le proprietà proxyAddress per l'utente nel tenant principale e qualsiasi proprietà proxyAddress per gli utenti locali nel tenant. Per gli utenti esterni, verrà aggiunto il messaggio di posta elettronica alla proprietà proxyAddress dell'utente B2B esistente. Per gli utenti locali, è possibile chiedere loro di accedere usando l'account già disponibile.

Non è possibile invitare un indirizzo di posta elettronica a causa di un conflitto negli indirizzi proxy

Questo problema si verifica quando un altro oggetto nella directory contiene lo stesso indirizzo di posta elettronica invitato di uno dei relativi indirizzi proxy. L'altro oggetto in conflitto può essere un utente, un gruppo o un contatto di Microsoft 365.

Per risolvere il conflitto, cercare l'indirizzo di posta elettronica nel interfaccia di amministrazione di Microsoft 365 per trovare l'oggetto in conflitto. È necessario rimuovere l'indirizzo di posta elettronica usando l'API Microsoft Graph.

Per risolvere il conflitto:

  1. Accedi all'interfaccia di amministrazione di Microsoft 365.
  2. Passare a Utenti>Tutti gli utenti e cercare l'indirizzo di posta elettronica che si sta tentando di invitare.
  3. Rimuovere il messaggio di posta elettronica dall'oggetto utente di Microsoft Graph.
  4. Passare a Contatti utenti>per verificare se è presente un contatto usando tale indirizzo di posta elettronica.
  5. Rimuovere l'oggetto contatto microsoft Graph associato.
  6. Passare a Teams e gruppi Team e gruppi> attivi e cercare l'indirizzo di posta elettronica che si sta tentando di invitare e modificare l'indirizzo di posta elettronica, se trovato.

Dopo aver rimosso l'indirizzo di posta elettronica in conflitto, è possibile invitare l'utente.

L'oggetto utente guest non ha una proprietà proxyAddress

In alcuni casi, l'utente guest esterno che si sta invitando è in conflitto con un oggetto contatto esistente. In questo caso, l'utente guest viene creato senza una proprietà proxyAddress. Ciò significa che l'utente non sarà in grado di riscattare questo account usando il riscatto JIT o l'autenticazione con passcode monouso tramite e-mail. Inoltre, se l'oggetto contatto che si sta sincronizzando da Active Directory locale è in conflitto con un utente guest esistente, la proprietà proxyAddress in conflitto viene rimossa dall'utente guest esistente.

In che modo '#', che normalmente non è un carattere valido, viene sincronizzato con Microsoft Entra ID?

"#" è un carattere riservato negli UPN per Collaborazione B2B di Microsoft Entra o utenti esterni, perché l'account invitato user@contoso.com diventa user_contoso.com#EXT#@fabrikam.onmicrosoft.com. Pertanto, # in UPN provenienti dall'ambiente locale non è autorizzato ad accedere all'Interfaccia di amministrazione di Microsoft Entra.

Viene visualizzato un errore durante l'aggiunta di utenti esterni a un gruppo sincronizzato

È possibile aggiungere utenti esterni solo a gruppi "assegnati" o "di sicurezza" e non a gruppi gestiti in locale.

L'utente esterno non ha ricevuto un messaggio di posta elettronica da riscattare

L'invitato deve rivolgersi al provider di servizi Internet o controllare il filtro della posta indesiderata per verificare che sia consentito l'indirizzo seguente: Invites@microsoft.com

Nota

  • Per il servizio di Azure gestito da 21Vianet in Cina, l'indirizzo del mittente è Invites@oe.21vianet.com.
  • Per il cloud di Microsoft Entra per enti pubblici, l'indirizzo del mittente è invites@azuread.us.

Il messaggio personalizzato a volte non viene incluso con i messaggi di invito

Per garantire la conformità alle leggi sulla privacy, le API non includono messaggi personalizzati nell'invito tramite e-mail nei casi seguenti:

  • Il mittente dell'invito non ha un indirizzo di posta elettronica nel tenant che emette l'invito
  • Un'entità servizio app invia l'invito

Se questo scenario è importante per l'utente, è possibile eliminare il messaggio di posta elettronica di invito dell'API e inviarlo tramite il meccanismo di posta elettronica preferito. Richiedere al consulente legale della propria organizzazione di verificare che qualsiasi messaggio di posta elettronica inviato in questo modo sia conforme alle leggi sulla privacy.

Viene visualizzato un errore "AADSTS65005" quando si tenta di accedere a una risorsa di Azure

Un utente con un account guest non può accedere e riceve il messaggio di errore seguente:

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

L'utente ha un account utente di Azure ed è un tenant virale abbandonato o non gestito. Inoltre, nel tenant non sono presenti amministratori.

Per risolvere questo problema, è necessario acquisire la proprietà del tenant abbandonato. Fare riferimento a Acquisire la proprietà di una directory non gestita come amministratore in Microsoft Entra ID. È inoltre necessario accedere al DNS con connessione Internet per il suffisso di dominio in questione per fornire prove dirette che si controlla lo spazio dei nomi. Dopo che il tenant viene restituito a uno stato gestito, discutere con il cliente se conservare gli utenti e il nome di dominio verificato sia l'opzione migliore per l'organizzazione.

Un utente guest con un tenant JIT o "virale" non può reimpostare la password

Se il tenant dell'identità è un tenant JIT o virale (ovvero un tenant di Azure non gestito separato), solo l'utente guest può reimpostare la propria password. A volte un'organizzazione acquisirà la gestione dei tenant virali che vengono creati quando i dipendenti usano gli indirizzi di posta elettronica aziendali per registrarsi ai servizi. Quando l'organizzazione acquisisce un tenant virale, solo l'amministratore dell'organizzazione può reimpostare la password dell'utente o abilitare la reimpostazione password self-service. Se necessario, l'organizzazione che emette l'invito può rimuovere l'account utente guest dalla directory e inviare di nuovo l'invito.

Un utente guest non è in grado di usare il modulo Azure AD PowerShell V1

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

A partire dal 18 novembre 2019, gli utenti guest nella directory (definiti come account utente in cui la proprietà userType è Guest) non possono usare il modulo Azure AD PowerShell V1. In futuro, un utente dovrà essere un utente membro (dove userType è Member) o usare il modulo Azure AD PowerShell V2.

In un tenant di Azure per enti pubblici degli Stati Uniti non è possibile invitare un utente guest di Collaborazione B2B

Nel cloud di Azure per enti pubblici degli Stati Uniti, la funzionalità Collaborazione B2B è abilitata per i tenant che si trovano nel cloud di Azure per enti pubblici degli Stati Uniti e supportano la collaborazione B2B. Se si invita un utente in un tenant che non supporta ancora la collaborazione B2B, verrà visualizzato un errore. Per i dettagli e le limitazioni, vedere Varianti P1 e P2 di Microsoft Entra ID.

Se è necessario collaborare con un'organizzazione Microsoft Entra esterna al cloud di Azure per enti pubblici degli Stati Uniti, è possibile usare le impostazioni cloud Microsoft per abilitare la collaborazione B2B.

L'invito è bloccato a causa dei criteri di accesso tra tenant

Quando si tenta di invitare un utente di Collaborazione B2B, è possibile che venga visualizzato questo messaggio di errore: "Questo invito è bloccato dalle impostazioni di accesso tra tenant. Gli amministratori dell'organizzazione e dell'organizzazione dell'utente invitato devono configurare le impostazioni di accesso tra tenant per consentire l'invito." Verrà visualizzato questo messaggio di errore, se la collaborazione B2B è supportata, ma è bloccata dalle impostazioni di accesso tra tenant. Controllare le impostazioni di accesso tra tenant e assicurarsi che le impostazioni consentano la collaborazione B2B con l'utente. Quando si tenta di collaborare con un'altra organizzazione Microsoft Entra in un cloud di Microsoft Azure separato, è possibile usare le impostazioni cloud Microsoft per abilitare Collaborazione B2B di Microsoft Entra.

L'invito è bloccato a causa della disabilitazione dell'applicazione Microsoft B2B Cross Cloud Worker

Raramente, potrebbe venire visualizzato questo messaggio: "Questa azione non può essere completata perché l'applicazione Microsoft B2B Cross Cloud Worker è stata disabilitata nel tenant dell'utente invitato. Chiedere all'amministratore dell'utente invitato di riabilitarlo, quindi riprovare." Questo errore indica che l'applicazione Microsoft B2B Cross Cloud Worker è stata disabilitata nel tenant principale dell'utente di Collaborazione B2B. Questa app è in genere abilitata, ma potrebbe essere stata disabilitata da un amministratore nel tenant principale dell'utente, tramite PowerShell o l'Interfaccia di amministrazione di Microsoft Entra (vedere Disabilitare l'accesso di un utente). Un amministratore nel tenant principale dell'utente può riabilitare l'app tramite PowerShell o l'Interfaccia di amministrazione di Microsoft Entra. Nell'Interfaccia di amministrazione cercare "Microsoft B2B Cross Cloud Worker" per trovare l'app, selezionarla e quindi scegliere di riabilitarla.

Viene visualizzato l'errore indicante che Microsoft Entra ID non riesce a trovare aad-extensions-app nel tenant

Quando si usano funzionalità di iscrizione self-service, ad esempio attributi utente personalizzati o flussi utente, viene creata automaticamente un'app denominata aad-extensions-app. Do not modify. Used by AAD for storing user data.. Viene usato Microsoft Entra per ID esterno per archiviare informazioni sugli utenti che si registrano e sugli attributi personalizzati raccolti.

Se aad-extensions-app è stata eliminata accidentalmente, è possibile eseguirne il recupero entro 30 giorni. È possibile ripristinare l'app usando il modulo PowerShell di Microsoft Graph.

  1. Avviare il modulo PowerShell di Microsoft Graph ed eseguire Connect-MgGraph.
  2. Accedere come almeno un amministratore dell'applicazione al tenant di Microsoft Entra per il quale si vuole ripristinare l'app eliminata.
  3. Eseguire il comando di PowerShell Get-MgDirectoryDeletedItem -DirectoryObjectId {id}. Ad esempio:
Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id                                   DeletedDateTime
--                                   ---------------
00aa00aa-bb11-cc22-dd33-44ee44ee44ee 8/30/2021 7:37:37 AM
  1. Eseguire il comando di PowerShell Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}. Sostituire la parte {id} del comando con il valore DirectoryObjectId del passaggio precedente.

L'app ripristinata dovrebbe ora essere visualizzata nell'Interfaccia di amministrazione di Microsoft Entra.

Un utente guest è stato invitato correttamente, ma l'attributo e-mail non viene popolato

Si supponga di invitare inavvertitamente un utente guest con un indirizzo e-mail corrispondente a un oggetto utente già nella directory. Viene creato l'oggetto utente guest, ma l'indirizzo e-mail viene aggiunto alla proprietà otherMail anziché alle proprietà mail o proxyAddresses. Per evitare questo problema, è possibile cercare oggetti utente in conflitto nella directory di Microsoft Entra seguendo questa procedura di PowerShell:

  1. Aprire il modulo PowerShell di Microsoft Graph ed eseguire Connect-MgGraph.
  2. Accedere come almeno un lettore di directory al tenant di Microsoft Entra per cui si desidera verificare la presenza di oggetti contatto duplicati.
  3. Eseguire il comando di PowerShell Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}.

Accesso esterno bloccato dall'errore dei criteri nella schermata di accesso

Quando si tenta di accedere al tenant, è possibile che venga visualizzato questo messaggio di errore: "L'amministratore di rete ha limitato le organizzazioni a cui è possibile accedere. Contattare il reparto IT per sbloccare l'accesso." Questo errore fa riferimento alle impostazioni delle restrizioni di tenant. Per risolvere questo problema, chiedere al team IT di seguire le istruzioni riportate in questo articolo.

L'invito è bloccato a causa delle impostazioni di accesso tra tenant mancanti

Potrebbe venire visualizzato questo messaggio: "Questo invito è bloccato dalle impostazioni di accesso tra tenant nell'organizzazione. L'amministratore deve configurare le impostazioni di accesso tra tenant per consentire l'invito." In questo caso, chiedere all'amministratore di controllare le impostazioni di accesso tra tenant.

Passaggio successivo