Microsoft Entra B2B-együttműködés – hibaelhárítás
Íme néhány megoldás a Microsoft Entra B2B együttműködéssel kapcsolatos gyakori problémákra.
A vendégbejelentkezési hibakód AADSTS50020
Ha egy identitásszolgáltató (IdP) vendégfelhasználója nem tud bejelentkezni egy erőforrás-bérlőbe a Microsoft Entra-azonosítóban, és hibaüzenetet kap AADSTS50020, több lehetséges oka is lehet. A hiba AADSTS50020 a hibaelhárítási cikkben található.
A B2B közvetlen kapcsolattal rendelkező felhasználó nem tud hozzáférni egy megosztott csatornához (hiba AADSTS90071)
Amikor egy közvetlen B2B-kapcsolat a következő hibaüzenetet látja egy másik szervezet Teams megosztott csatornájának elérésekor, a többtényezős hitelesítés megbízhatósági beállításait a külső szervezet nem konfigurálta:
Az elérni kívánt szervezetnek frissítenie kell a beállításokat, hogy lehetővé teszi a bejelentkezést.
AADSTS90071: A szervezet> rendszergazdáinak <frissíteniük kell a hozzáférési beállításokat a bejövő többtényezős hitelesítés elfogadásához.
A Megosztott Teams-csatornát üzemeltető szervezetnek engedélyeznie kell a többtényezős hitelesítés megbízhatósági beállítását a B2B közvetlen kapcsolódási felhasználók hozzáférésének engedélyezéséhez. A megbízhatósági beállítások a szervezet bérlők közötti hozzáférési beállításaiban konfigurálhatók.
A bérlők közötti hozzáférési beállítások konfigurálásakor a "Szabályzat objektumkorlát miatti frissítésének hibája" hibához hasonló hibaüzenet jelenik meg
A bérlők közötti hozzáférési beállítások konfigurálása során, ha "A szabályzat objektumkorlát miatti frissítésének hibája" hibaüzenet jelenik meg, elérte a szabályzat objektumkorlátjának 25 KB-os korlátját. Dolgozunk a korlát növelésén. Ha ki kell számítania, hogy az aktuális szabályzat milyen közel van ehhez a korláthoz, tegye a következőket:
Nyissa meg a Microsoft Graph Explorert, és futtassa a következőket:
GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicyMásolja ki a teljes JSON-választ,
policyobject.txtés mentse például txt fájlként.Nyissa meg a PowerShellt, és futtassa a következő szkriptet, és helyettesítse a fájl helyét az első sorban a szövegfájllal:
$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy)
write-host "Remaining Bytes available in policy object"
$maxSize - $size
write-host "Is current policy within limits?"
if ($size -le $maxSize) { return “valid” }; else { return “invalid” }
A felhasználók már nem olvashatják a Microsoft Rights Management Service (OME) szolgáltatással titkosított e-maileket)
A bérlők közötti hozzáférési beállítások konfigurálásakor, ha alapértelmezés szerint letiltja az összes alkalmazáshoz való hozzáférést, a felhasználók nem fogják tudni olvasni a Microsoft Rights Management Szolgáltatással (más néven OME-vel) titkosított e-maileket. A probléma elkerülése érdekében javasoljuk, hogy konfigurálja a kimenő beállításokat, hogy a felhasználók elérhessék ezt az alkalmazásazonosítót: 00000012-0000-0000-c000-00000000000. Ha ez az egyetlen engedélyezett alkalmazás, az összes többi alkalmazáshoz való hozzáférés alapértelmezés szerint le lesz tiltva.
Hozzáadtam egy külső felhasználót, de nem látom őket a globális címjegyzékemben vagy a személyválasztóban
Ha a külső felhasználók nincsenek kitöltve a listában, az objektum replikálása eltarthat néhány percig.
A B2B-vendégfelhasználók nem jelennek meg a SharePoint Online-ban/OneDrive-személyekválasztóban
A Meglévő vendégfelhasználók keresése a SharePoint Online (SPO) felhasználóinakválasztójában alapértelmezés szerint ki van kapcsolva az örökölt viselkedésnek megfelelően.
Ezt a funkciót a "Show Kapcsolatok PickerSuggestionsForGuestUsers" beállítással engedélyezheti a bérlő és a webhelycsoport szintjén. A funkciót a Set-SPOTenant és a Set-SPOSite parancsmagokkal állíthatja be, amelyek lehetővé teszik a tagok számára, hogy a címtárban lévő összes meglévő vendégfelhasználóban kereshessenek. A bérlői hatókör változásai nem érintik a már kiépített SPO-helyeket.
A SharePoint Online/OneDrive nem tartja be a vendégmeghívó beállításait és tartománykorlátozásait
Alapértelmezés szerint a SharePoint Online és a OneDrive saját külső felhasználói beállításokkal rendelkezik, és nem használja a Microsoft Entra-azonosító beállításait. Engedélyeznie kell a SharePoint és a OneDrive integrációját a Microsoft Entra B2B-vel , hogy a lehetőségek konzisztensek legyenek az alkalmazások között.
A meghívók le lettek tiltva a címtárban
Ha értesítést kap arról, hogy nem rendelkezik jogosultságokkal a felhasználók meghívására, ellenőrizze, hogy a felhasználói fiókja jogosult-e külső felhasználók meghívására a Microsoft Entra ID > Felhasználói > beállítások > alatt Külső felhasználók > A külső együttműködési beállítások kezelése:
Ha nemrég módosította ezeket a beállításokat, vagy hozzárendelte a Vendégmeghívó szerepkört egy felhasználóhoz, a módosítások érvénybe lépése előtt 15–60 perces késés lehet.
A meghívott felhasználó hibaüzenetet kap a beváltási folyamat során
Gyakori hibák a következők:
Az Invitee Rendszergazda letiltotta az e-mailes felhasználók létrehozását a bérlőjükben
Amikor meghívja azokat a felhasználókat, akiknek a szervezete Microsoft Entra-azonosítót használ, de ahol az adott felhasználó fiókja nem létezik (például a felhasználó nem létezik a Microsoft Entra contoso.com). Előfordulhat, hogy a contoso.com rendszergazdája olyan szabályzattal rendelkezik, amely megakadályozza a felhasználók létrehozását. A felhasználónak a rendszergazdával kell ellenőriznie, hogy engedélyezve vannak-e külső felhasználók. Előfordulhat, hogy a külső felhasználó rendszergazdájának engedélyeznie kell az e-mail-ellenőrzött felhasználókat a tartományukban (lásd ezt a cikket az e-mail-ellenőrzött felhasználók engedélyezéséről).
A külső felhasználó még nem létezik összevont tartományban
Ha összevonási hitelesítést használ, és a felhasználó még nem létezik a Microsoft Entra-azonosítóban, a felhasználó nem hívható meg.
A probléma megoldásához a külső felhasználó rendszergazdájának szinkronizálnia kell a felhasználó fiókját a Microsoft Entra-azonosítóval.
A külső felhasználó proxyCíme ütközik egy meglévő helyi felhasználó proxyCímével
Amikor ellenőrizzük, hogy egy felhasználó meghívható-e a bérlőjéhez, az egyik dolog, amit ellenőrizünk, az ütközés a proxyAddressben. Ide tartoznak az otthoni bérlőben lévő felhasználóhoz tartozó proxyAddresses és a bérlőben lévő helyi felhasználók proxyAddressei. Külső felhasználók esetén hozzáadjuk az e-mailt a meglévő B2B-felhasználó proxyCíméhez. Helyi felhasználók esetén megkérheti őket, hogy jelentkezzenek be a már meglévő fiókkal.
Nem tudok meghívni egy e-mail-címet a proxyAddress címek ütközése miatt
Ez akkor fordul elő, ha a címtár egy másik objektuma ugyanazzal a meghívott e-mail-címmel rendelkezik, mint az egyik hozzá tartozó proxyAddress. Az ütközés kijavításához távolítsa el az e-mailt a felhasználói objektumból, és törölje a társított partnerobjektumot , mielőtt újra megkísérlené meghívni ezt az e-mailt.
A vendégfelhasználói objektum nem rendelkezik proxyCímkével
Előfordulhat, hogy a meghívni kívánt külső vendégfelhasználó ütközik egy meglévő partnerobjektummal. Ha ez történik, a vendégfelhasználó proxyAddress nélkül jön létre. Ez azt jelenti, hogy a felhasználó nem fogja tudni beváltani ezt a fiókot az egyszeri visszaváltással vagy az egyszeri pin-kód hitelesítésével. Ha a helyszíni AD-ből szinkronizált névjegyobjektum ütközik egy meglévő vendégfelhasználóval, az ütköző proxyAddress el lesz távolítva a meglévő vendégfelhasználóból.
Hogyan szinkronizálja a "#" karaktert, amely általában nem érvényes karakter, hogyan szinkronizálódik a Microsoft Entra-azonosítóval?
A "#" egy fenntartott karakter a Microsoft Entra B2B együttműködéshez vagy külső felhasználókhoz készült UPN-ben, mert a meghívott fiók user@contoso.com user_contoso.com#EXT#@fabrikam.onmicrosoft.com lesz. Ezért a helyszíni UPN-ekben nem lehet bejelentkezni a Microsoft Entra felügyeleti központba.
Hibaüzenet jelenik meg, amikor külső felhasználókat ad hozzá egy szinkronizált csoporthoz
A külső felhasználók csak a "hozzárendelt" vagy a "Biztonsági" csoportokhoz vehetők fel, a helyszíni elsajátított csoportokhoz nem.
A külső felhasználóm nem kapott e-mailt a beváltásához
A meghívottnak ellenőriznie kell az internetszolgáltatót vagy a levélszemétszűrőt, hogy a következő cím engedélyezve legyen: Invites@microsoft.com.
Feljegyzés
- A 21Vianet által Kínában üzemeltetett Azure-szolgáltatás esetében a feladó címe .Invites@oe.21vianet.com
- A Microsoft Entra Government felhő esetében a feladó címe .invites@azuread.us
Észrevettem, hogy az egyéni üzenet időnként nem kerül bele a meghívóüzenetekbe
Az adatvédelmi törvények betartása érdekében AZ API-k nem tartalmaznak egyéni üzeneteket az e-mail-meghívóban, ha:
- A meghívó nem rendelkezik e-mail-címmel a meghívó bérlőben
- Amikor egy appservice-tag elküldi a meghívót
Ha ez a forgatókönyv fontos Önnek, letilthatja az API-meghívó e-mailünket, és elküldheti a választott e-mail-mechanizmuson keresztül. Forduljon a szervezet jogi tanácsadójához, és győződjön meg arról, hogy az ily módon küldött e-mailek megfelelnek az adatvédelmi törvényeknek is.
"AADSTS65005" hibaüzenet jelenik meg, amikor megpróbál bejelentkezni egy Azure-erőforrásba
Egy vendégfiókkal rendelkező felhasználó nem tud bejelentkezni, és a következő hibaüzenetet kapja:
AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.
A felhasználó rendelkezik Azure-felhasználói fiókkal, és egy vírusos bérlő, akit felhagytak vagy nem felügyeltek. Emellett nincsenek globális Rendszergazda istratorok a bérlőben.
A probléma megoldásához át kell vennie az elhagyott bérlőt. Tekintse meg, hogy a Microsoft Entra ID-ban rendszergazdaként átvehet egy nem felügyelt címtárat. A szóban forgó tartomány utótagjának internetes DNS-éhez is hozzá kell férnie, hogy közvetlen bizonyítékokkal szolgálhasson arról, hogy Ön irányítja a névteret. Miután a bérlő visszakerül egy felügyelt állapotba, beszélje meg az ügyféllel, hogy a felhasználók elhagyása és az ellenőrzött tartománynév a legjobb megoldás-e a szervezet számára.
Az igény szerint vagy "vírusos" bérlővel rendelkező vendégfelhasználók nem tudják alaphelyzetbe állítani a jelszavukat
Ha az identitásbérlõ egy igény szerinti (JIT) vagy vírusos bérlő (ami azt jelenti, hogy egy külön, nem felügyelt Azure-bérlő), csak a vendégfelhasználó állíthatja vissza a jelszavát. Előfordulhat, hogy egy szervezet átveszi a vírusbérlők kezelését, amelyek akkor jönnek létre, amikor az alkalmazottak a munkahelyi e-mail-címükkel regisztrálnak a szolgáltatásokra. Miután a szervezet átvesz egy vírusbérlelőt, csak a szervezet rendszergazdája állíthatja alaphelyzetbe a felhasználó jelszavát, vagy engedélyezheti az SSPR-t. Szükség esetén a meghívó szervezetként eltávolíthatja a vendégfelhasználói fiókot a címtárból, és újra megadhatja a meghívót.
Egy vendégfelhasználó nem tudja használni az Azure AD PowerShell V1 modult
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.
2019. november 18-tól a címtárban lévő vendégfelhasználók (olyan felhasználói fiókok, amelyekben a userType tulajdonság megegyezik a Vendégkel) le lesz tiltva az Azure AD PowerShell V1 modul használata. A jövőben a felhasználónak tagfelhasználónak kell lennie (ahol a userType egyenlő a tagokkal), vagy az Azure AD PowerShell V2 modult kell használnia.
Egy Azure US Government-bérlőben nem tudok B2B együttműködési vendégfelhasználót meghívni
Az Azure US Government-felhőben engedélyezve van a B2B-együttműködés az Azure US Government-felhőben lévő bérlők között, és mindkettő támogatja a B2B-együttműködést. Ha olyan bérlői felhasználót hív meg, aki még nem támogatja a B2B-együttműködést, hibaüzenet jelenik meg. További részletekért és korlátozásokért lásd a Microsoft Entra P1 és P2 változatainak azonosítóját.
Ha az Azure US Government-felhőn kívüli Microsoft Entra-szervezettel kell együttműködnie, a Microsoft felhőbeállításaival engedélyezheti a B2B-együttműködést.
A meghívás bérlők közötti hozzáférési szabályzatok miatt le van tiltva
Amikor egy B2B együttműködési felhasználót próbál meghívni, a következő hibaüzenet jelenhet meg: "Ezt a meghívást a bérlők közötti hozzáférési beállítások blokkolják. Rendszergazda szervezetében és a meghívott felhasználó szervezetében is konfigurálnia kell a bérlők közötti hozzáférési beállításokat a meghívás engedélyezéséhez." Ez a hibaüzenet akkor jelenik meg, ha a B2B-együttműködés támogatott, de a bérlők közötti hozzáférési beállítások blokkolják. Ellenőrizze a bérlők közötti hozzáférési beállításokat, és győződjön meg arról, hogy a beállítások lehetővé teszik a B2B-együttműködést a felhasználóval. Ha egy másik Microsoft Entra-szervezettel próbál együttműködni egy külön Microsoft Azure-felhőben, a Microsoft felhőbeállításaival engedélyezheti a Microsoft Entra B2B-együttműködést.
A meghívás le van tiltva, mert a Microsoft B2B Cross Cloud Worker alkalmazás le van tiltva
Ritkán jelenik meg ez az üzenet: "Ez a művelet nem hajtható végre, mert a Microsoft B2B Cross Cloud Worker alkalmazás le lett tiltva a meghívott felhasználó bérlőjében. Kérje meg a meghívott felhasználó rendszergazdáját, hogy engedélyezze újra, majd próbálkozzon újra." Ez a hiba azt jelenti, hogy a Microsoft B2B Felhőalapú feldolgozók közötti alkalmazás le lett tiltva a B2B együttműködési felhasználó otthoni bérlőjében. Ez az alkalmazás általában engedélyezve van, de előfordulhat, hogy egy rendszergazda letiltotta a felhasználó otthoni bérlőjében a PowerShell vagy a Microsoft Entra felügyeleti központban keresztül (lásd: Felhasználó bejelentkezésének letiltása). A felhasználó otthoni bérlőjének rendszergazdája újra engedélyezheti az alkalmazást a PowerShellen vagy a Microsoft Entra felügyeleti központban. A Felügyeleti központban keressen rá a "Microsoft B2B Cross Cloud Worker" kifejezésre az alkalmazás megkereséséhez, jelölje ki, majd válassza újra az engedélyezést.
Azt a hibát kapom, hogy a Microsoft Entra-azonosító nem találja a aad-extensions-app bérlőmben
Ha önkiszolgáló regisztrációs funkciókat használ, például egyéni felhasználói attribútumokat vagy felhasználói folyamatokat, a rendszer automatikusan létrehoz egy alkalmazáshívást aad-extensions-app. Do not modify. Used by AAD for storing user data. . A Microsoft Entra Külső ID a feliratkozó felhasználók adatait és az összegyűjtött egyéni attribútumokat tárolja.
Ha véletlenül törölte a aad-extensions-app alkalmazást, 30 napig helyreállíthatja. Az alkalmazást a Microsoft Graph PowerShell-modullal állíthatja vissza.
- Indítsa el a Microsoft Graph PowerShell-modult, és futtassa
Connect-MgGraph. - Jelentkezzen be globális Rendszergazda istratorként annak a Microsoft Entra-bérlőnek, amelyhez helyre szeretné állítani a törölt alkalmazást.
- Futtassa a PowerShell parancsot
Get-MgDirectoryDeletedItem -DirectoryObjectId {id}. Lássunk erre egy példát:
Get-MgDirectoryDeletedItem -DirectoryObjectId '00aa00aa-bb11-cc22-dd33-44ee44ee44ee'
Id DeletedDateTime
-- ---------------
d4142c52-179b-4d31-b5b9-08940873507b 8/30/2021 7:37:37 AM
- Futtassa a PowerShell parancsot
Restore-MgDirectoryDeletedItem -DirectoryObjectId {id}. Cserélje le a{id}parancs egy részét azDirectoryObjectIdelőző lépésre.
Ekkor megjelenik a visszaállított alkalmazás a Microsoft Entra Felügyeleti központban.
A vendégfelhasználót sikeresen meghívták, de az e-mail attribútum nem aktiválódik
Tegyük fel, hogy véletlenül meghív egy vendégfelhasználót egy olyan e-mail-címmel, amely megfelel a címtárban lévő felhasználói objektumnak. Létrejön a vendégfelhasználó objektum, de az e-mail-cím a tulajdonsághoz otherMail lesz hozzáadva a mail tulajdonságok helyett proxyAddresses . A probléma elkerülése érdekében az alábbi PowerShell-lépések végrehajtásával kereshet ütköző felhasználói objektumokat a Microsoft Entra-címtárban:
- Nyissa meg a Microsoft Graph PowerShell-modult, és futtassa
Connect-MgGraph. - Jelentkezzen be globális Rendszergazda istratorként annak a Microsoft Entra-bérlőnek, amelyben meg szeretné keresni az ismétlődő partnerobjektumokat.
- Futtassa a PowerShell parancsot
Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'}.
A bejelentkezési képernyőn szabályzathiba által blokkolt külső hozzáférés
Amikor megpróbál bejelentkezni a bérlőbe, a következő hibaüzenet jelenhet meg: "A hálózati rendszergazda korlátozta a szervezetek hozzáférését. A hozzáférés letiltásának feloldásához forduljon az informatikai részleghez." Ez a hiba a bérlőkorlátozási beállításokhoz kapcsolódik. A probléma megoldásához kérje meg az informatikai csapatot, hogy kövesse az ebben a cikkben szereplő utasításokat.
A meghívó nem érhető el, mert hiányoznak a bérlők közötti hozzáférési beállítások
A következő üzenet jelenhet meg: "Ezt a meghívást a szervezet bérlők közötti hozzáférési beállításai blokkolják. A meghívás engedélyezéséhez a rendszergazdának konfigurálnia kell a bérlők közötti hozzáférési beállításokat." Ebben az esetben kérje meg a rendszergazdát, hogy ellenőrizze a bérlők közötti hozzáférési beállításokat.