Solução de problemas de colaboração B2B do Azure Active DirectoryTroubleshooting Azure Active Directory B2B collaboration

Confira aqui algumas correções para problemas comuns da colaboração B2B do Azure Active Directory (Azure AD).Here are some remedies for common problems with Azure Active Directory (Azure AD) B2B collaboration.

Importante

Adicionei um usuário externo, mas não consigo vê-lo em meu Catálogo de Endereços Global ou no seletor de pessoasI’ve added an external user but do not see them in my Global Address Book or in the people picker

Para casos nos quais os usuários externos não são preenchidos na lista, o objeto pode demorar alguns minutos para replicar.In cases where external users are not populated in the list, the object might take a few minutes to replicate.

Um usuário convidado de B2B não está aparecendo no seletor de pessoas do SharePoint Online/OneDriveA B2B guest user is not showing up in SharePoint Online/OneDrive people picker

A capacidade de pesquisar por usuários convidados existentes no seletor de pessoas do SharePoint Online (SPO) está desativado por padrão para coincidir com o comportamento herdado.The ability to search for existing guest users in the SharePoint Online (SPO) people picker is OFF by default to match legacy behavior.

Esse recurso pode ser habilitado usando a configuração 'ShowPeoplePickerSuggestionsForGuestUsers' na coleta do site e do locatário.You can enable this feature by using the setting 'ShowPeoplePickerSuggestionsForGuestUsers' at the tenant and site collection level. Defina esse recurso usando os cmdlets Set-SPOTenant e SPOSite, que permitem aos membros pesquisar todos os usuários convidados existentes no diretório.You can set the feature using the Set-SPOTenant and Set-SPOSite cmdlets, which allow members to search all existing guest users in the directory. Alterações no escopo de locatário não afetam sites SPO já provisionados.Changes in the tenant scope do not affect already provisioned SPO sites.

Os convites foram desabilitados para o diretórioInvitations have been disabled for directory

Se você for notificado de que não tem permissões para convidar usuários, verifique se sua conta de usuário está autorizada a convidar usuários externos em Azure Active Directory > configurações de usuário > usuários externos > gerenciar configurações de colaboração externas:If you are notified that you do not have permissions to invite users, verify that your user account is authorized to invite external users under Azure Active Directory > User settings > External users > Manage external collaboration settings:

Captura de tela mostrando as configurações de usuários externos

Se você tiver modificado essas configurações recentemente ou se tiver atribuído a função Emissor de convite convidado a um usuário, talvez ocorra um atraso de 15 a 60 minutos até que as alterações tenham efeito.If you have recently modified these settings or assigned the Guest Inviter role to a user, there might be a 15-60 minute delay before the changes take effect.

O usuário que eu convidei está recebendo um erro durante o resgateThe user that I invited is receiving an error during redemption

Os erros comuns incluem:Common errors include:

O Admin do convidado não permite a criação de Usuários Verificados por Email em seu locatárioInvitee’s Admin has disallowed EmailVerified Users from being created in their tenant

Ao convidar usuários cuja organização está usando o Azure Active Directory onde a conta do usuário específico não existe (por exemplo, o usuário não existe no Azure AD contoso.com).When inviting users whose organization is using Azure Active Directory, but where the specific user’s account does not exist (for example, the user does not exist in Azure AD contoso.com). O administrador de contoso.com pode ter uma política em vigor para impedir a criação de usuários.The administrator of contoso.com may have a policy in place preventing users from being created. O usuário deve verificar com o administrador para determinar se os usuários externos são permitidos.The user must check with their admin to determine if external users are allowed. A administração de usuário externo pode ter que permitir usuários verificados por email em seu domínio (consulte este artigo sobre como permitir Usuários de Email Verificados).The external user’s admin may need to allow Email Verified users in their domain (see this article on allowing Email Verified Users).

Erro informando que o locatário não permite usuários verificados por email

O usuário externo ainda não existe em um domínio federadoExternal user does not exist already in a federated domain

Se você estiver usando a autenticação de Federação e o usuário ainda não existir no Azure Active Directory, o usuário não poderá ser convidado.If you are using federation authentication and the user does not already exist in Azure Active Directory, the user cannot be invited.

Para resolver esse problema, o administrador do usuário externo deve sincronizar a conta do usuário ao Azure Active Directory.To resolve this issue, the external user’s admin must synchronize the user’s account to Azure Active Directory.

Como ‘#’, que normalmente não é um caractere válido, é sincronizado com o Azure AD?How does ‘#’, which is not normally a valid character, sync with Azure AD?

"#" é um caractere reservado no UPNs para colaboração B2B do Azure AD ou usuários externos, pois a conta convidada user@contoso.com se torna user_contoso.com#EXT#@fabrikam.onmicrosoft.com.“#” is a reserved character in UPNs for Azure AD B2B collaboration or external users, because the invited account user@contoso.com becomes user_contoso.com#EXT#@fabrikam.onmicrosoft.com. Portanto, não há permissão para # em UPNs provenientes do local entrar no Portal do Azure.Therefore, # in UPNs coming from on-premises aren't allowed to sign in to the Azure portal.

Recebo um erro ao adicionar usuários externos a um grupo sincronizadoI receive an error when adding external users to a synchronized group

Os usuários externos podem ser adicionados apenas a grupos de "Segurança" ou "atribuído", e não a grupos que são masterizados localmente.External users can be added only to “assigned” or “Security” groups and not to groups that are mastered on-premises.

Meu usuário externo não recebeu um email para o resgateMy external user did not receive an email to redeem

O convidado deve verificar com seu ISP ou o filtro de spam para garantir que o seguinte endereço tem permissão: Invites@microsoft.comThe invitee should check with their ISP or spam filter to ensure that the following address is allowed: Invites@microsoft.com

Observei que, às vezes, a mensagem personalizada não é incluída nas mensagens de conviteI notice that the custom message does not get included with invitation messages at times

Para cumprir as leis de privacidade, nossas APIs não incluem mensagens personalizadas no convite por email quando:To comply with privacy laws, our APIs do not include custom messages in the email invitation when:

  • O emissor do convite não tem um endereço de email no locatário que está convidandoThe inviter doesn’t have an email address in the inviting tenant
  • Quando uma entidade do serviço de aplicativo envia o conviteWhen an appservice principal sends the invitation

Se esse cenário for importante para você, suprima nosso email de convite de API e envie-o por meio de um mecanismo de email de sua escolha.If this scenario is important to you, you can suppress our API invitation email, and send it through the email mechanism of your choice. Consulte o departamento jurídico de sua organização para verificar se todo email enviado dessa forma também está em conformidade com as leis de privacidade.Consult your organization’s legal counsel to make sure any email you send this way also complies with privacy laws.

Você recebe um erro "AADSTS65005" ao tentar fazer logon em um recurso do AzureYou receive an “AADSTS65005” error when you try to log in to an Azure resource

Um usuário que tem uma conta de convidado não pode fazer logon e está recebendo a seguinte mensagem de erro:A user who has a guest account cannot log on, and is receiving the following error message:

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

O usuário tem uma conta de usuário do Azure e é um locatário viral que foi abandonado ou não gerenciado.The user has an Azure user account and is a viral tenant who has been abandoned or unmanaged. Além disso, não há administradores globais no locatário.Additionally, there are no Global Administrators in the tenant.

Para resolver esse problema, você deve assumir o locatário abandonado.To resolve this problem, you must take over the abandoned tenant. Consulte assumir um diretório não gerenciado como administrador em Azure Active Directory.Refer to Take over an unmanaged directory as administrator in Azure Active Directory. Você também deve acessar o DNS voltado para a Internet para o sufixo de domínio em questão a fim de fornecer evidências diretas de que você está no controle do namespace.You must also access the internet-facing DNS for the domain suffix in question in order to provide direct evidence that you are in control of the namespace. Depois que o locatário for retornado a um estado gerenciado, discuta com o cliente se deixar os usuários e o nome de domínio verificado é a melhor opção para sua organização.After the tenant is returned to a managed state, please discuss with the customer whether leaving the users and verified domain name is the best option for their organization.

Um usuário convidado com um locatário just-in-time ou "viral" não pode redefinir sua senhaA guest user with a just-in-time or "viral" tenant is unable to reset their password

Se o locatário de identidade for um locatário JIT (just-in-time) ou viral (ou seja, um locatário do Azure não gerenciado e separado), somente o usuário convidado poderá redefinir sua senha.If the identity tenant is a just-in-time (JIT) or viral tenant (meaning it's a separate, unmanaged Azure tenant), only the guest user can reset their password. Às vezes, uma organização assumirá o gerenciamento de locatários virais que são criados quando os funcionários usam seus emails de trabalho para se inscrever em serviços.Sometimes an organization will take over management of viral tenants that are created when employees use their work email addresses to sign up for services. Depois que a organização assumir um locatário viral, somente um administrador da organização poderá redefinir a senha do usuário ou habilitar a SSPR.After the organization takes over a viral tenant, only an administrator in that organization can reset the user's password or enable SSPR. Se necessário, como a organização de convite, você pode remover a conta de usuário convidado do diretório e reenviar um convite.If necessary, as the inviting organization, you can remove the guest user account from your directory and resend an invitation.

Um usuário convidado não pode usar o módulo AzureAD do PowerShell v1A guest user is unable to use the AzureAD PowerShell V1 module

A partir de 18 de novembro de 2019, os usuários convidados em seu diretório (definidos como contas de usuário em que a propriedade UserType é igual a Guest) são impedidos de usar o módulo AzureAD do PowerShell v1.As of November 18, 2019, guest users in your directory (defined as user accounts where the userType property equals Guest) are blocked from using the AzureAD PowerShell V1 module. No futuro, um usuário precisará ser um usuário membro (em que UserType é igual a Member) ou usar o módulo AzureAD do PowerShell v2.Going forward, a user will need to either be a member user (where userType equals Member) or use the AzureAD PowerShell V2 module.

Em um locatário do governo dos EUA do Azure, não consigo convidar um usuário convidado de colaboração B2BIn an Azure US Government tenant, I can't invite a B2B collaboration guest user

Na nuvem do governo dos EUA do Azure, atualmente, a colaboração B2B só tem suporte entre locatários que estão na nuvem do governo dos EUA do Azure e que ambos dão suporte à colaboração B2B.Within the Azure US Government cloud, B2B collaboration is currently only supported between tenants that are both within Azure US Government cloud and that both support B2B collaboration. Se você convidar um usuário em um locatário que não faz parte da nuvem do governo dos EUA do Azure ou que ainda não dá suporte à colaboração B2B, você receberá um erro.If you invite a user in a tenant that isn't part of the Azure US Government cloud or that doesn't yet support B2B collaboration, you'll get an error. Para obter detalhes e limitações, consulte Azure Active Directory Premium as variações P1 e P2.For details and limitations, see Azure Active Directory Premium P1 and P2 Variations.

Recebi o erro que o Azure AD não consegue localizar o AAD-Extensions-app em meu locatárioI receive the error that Azure AD cannot find the aad-extensions-app in my tenant

Ao usar recursos de inscrição de autoatendimento, como atributos de usuário personalizados ou fluxos de usuário, um aplicativo chamado aad-extensions-app. Do not modify. Used by AAD for storing user data. é criado automaticamente.When using self-service sign-up features, like custom user attributes or user flows, an app called aad-extensions-app. Do not modify. Used by AAD for storing user data. is automatically created. Ele é usado pelas identidades externas do Azure AD para armazenar informações sobre usuários que se inscrevem e atributos personalizados coletados.It's used by Azure AD External Identities to store information about users who sign up and custom attributes collected.

Se você excluiu acidentalmente o aad-extensions-app, é possível recuperá-lo em até 30 dias.If you accidentally deleted the aad-extensions-app, you have 30 days to recover it. Você pode restaurar o aplicativo usando o módulo do PowerShell do Azure AD.You can restore the app using the Azure AD PowerShell module.

  1. Inicie o módulo do PowerShell do Azure AD e execute Connect-AzureAD .Launch the Azure AD PowerShell module and run Connect-AzureAD.
  2. Entre como um administrador global para o locatário do Azure AD do qual você deseja recuperar o aplicativo excluído.Sign in as a global administrator for the Azure AD tenant that you want to recover the deleted app for.
  3. Execute o comando do PowerShell Get-AzureADDeletedApplication .Run the PowerShell command Get-AzureADDeletedApplication.
  4. Localize o aplicativo na lista em que o nome de exibição começa aad-extensions-app e copie seu ObjectId valor de propriedade.Find the application in the list where the display name begins with aad-extensions-app and copy its ObjectId property value.
  5. Execute o comando do PowerShell Restore-AzureADDeletedApplication -ObjectId {id} .Run the PowerShell command Restore-AzureADDeletedApplication -ObjectId {id}. Substitua a {id} parte do comando pelo da ObjectId etapa anterior.Replace the {id} portion of the command with the ObjectId from the previous step.

Agora você deve ver o aplicativo restaurado no portal do Azure.You should now see the restored app in the Azure portal.

Próximas etapasNext steps

Obtenção de suporte para colaboração B2BGet support for B2B collaboration