Stažení a analýza protokolů zřizování Microsoft Entra
Protokoly zřizování Microsoft Entra poskytují podrobnosti o událostech zřizování, ke kterým dochází ve vašem tenantovi. Informace zachycené v protokolech zřizování můžete použít k řešení problémů se zřízeným uživatelem.
Tento článek popisuje možnosti stažení protokolů zřizování z Centra pro správu Microsoft Entra a postup analýzy protokolů. Součástí jsou také kódy chyb a zvláštní aspekty.
Požadavky
- Funkční tenant Microsoft Entra s přidruženou licencí Microsoft Entra ID P1 nebo P2.
-
Čtenář sestav je nejméně privilegovaná role požadovaná pro přístup k protokolům zřizování.
- Úplný seznam rolí najdete v tématu Nejméně privilegovaná role podle úkolu.
Zobrazení protokolů zřizování
Protokoly zřizování můžete zobrazit nebo analyzovat několika způsoby:
- Zobrazení v Centru pro správu Microsoft Entra
- Streamování protokolů do služby Azure Monitor prostřednictvím nastavení diagnostiky
- Analyzujte protokoly prostřednictvím šablon sešitu .
- Přístup k protokolům prostřednictvím kódu programu prostřednictvím rozhraní Microsoft Graph API
- Stáhněte si protokoly jako soubor CSV nebo JSON.
Přístup k protokolům v Centru pro správu Microsoft Entra:
- Přihlaste se do Centra pro správu Microsoft Entra jako alespoň čtenář sestav.
- Přejděte k protokolům>monitorování identit.>
Stažení protokolů zřizování
Pokud chcete stáhnout protokoly zřizování, vyberte možnost Stáhnout ze stránky Protokoly zřizování. Podle potřeby nastavte filtry tak, aby se zmenšila velikost a čas stahování.
Formát CSV
Soubor CSV ke stažení obsahuje tři soubory:
- ProvisioningLogs: Stáhne všechny protokoly s výjimkou kroků zřizování a upravených vlastností.
- ProvisioningLogs_ProvisioningSteps: Obsahuje kroky zřizování a ID změny. ID změny můžete použít k připojení události k ostatním dvěma souborům.
- ProvisioningLogs_ModifiedProperties: Obsahuje atributy, které byly změněny, a ID změny. ID změny můžete použít k připojení události k ostatním dvěma souborům.
Formát JSON
Pokud chcete otevřít soubor JSON, použijte textový editor, například Microsoft Visual Studio Code. Visual Studio Code usnadňuje čtení souboru tím, že zvýrazňuje syntaxi. Soubor JSON můžete otevřít také pomocí prohlížečů v neediovatelném formátu, jako je Microsoft Edge.
Prettify the JSON file
Soubor JSON se stáhne ve formátu, aby se zmenšila velikost stahování. Tento formát může datovou část usnadnit čtení. Chcete-li soubor předvést, existují dvě možnosti:
K formátování formátu JSON použijte Visual Studio Code.
K formátování FORMÁTU JSON použijte PowerShell. Tento skript vytvoří výstup JSON ve formátu, který obsahuje tabulátory a mezery:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Parsování souboru JSON
Můžete použít libovolný programovací jazyk, se kterým jste obeznámeni. Následující příklady jsou v PowerShellu.
Přečtěte si soubor JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Teď můžete data analyzovat podle svého scénáře. Tady je několik příkladů:
Výstup všech ID úloh v souboru JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Vypíše všechna ID změn událostí, ve kterých byla akce "vytvořit":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Co byste měli vědět
Tady je několik tipů a důležitých informací pro analýzu protokolů zřizování:
Centrum pro správu Microsoft Entra ukládá hlášená data zřizování po dobu 30 dnů, pokud máte edici Premium a 7 dní, pokud máte bezplatnou edici. Protokoly zřizování můžete směrovat do protokolů služby Azure Monitor pro uchovávání po dobu delší než 30 dnů.
Atribut ID změny můžete použít jako jedinečný identifikátor, což může být užitečné například při interakci s podporou produktů.
U uživatelů, kteří nejsou v oboru, se můžou zobrazit přeskočené události.
- Příklad 1: Pokud je obor nastavený na
all users and groupsfiltry oborů a nastavit ho, můžou se zobrazit přeskočené protokoly pro uživatele, kteří nesplňují kritéria rozsahu. - Příklad 2: Pokud je obor nastavený na
assigned users and groups, můžete uživatele v protokolech dál zobrazovat jako přeskočenou, i když nejsou přiřazeni k aplikaci. Způsob, jakým služba zřizování přijímá změny z adresáře, způsobí, že se tito uživatelé zobrazí.
- Příklad 1: Pokud je obor nastavený na
Protokoly zřizování nezobrazují importy rolí (platí pro Amazon Web Services, Salesforce a Zendesk). Protokoly pro importy rolí najdete v protokolech auditu.
Kódy chyb
Následující tabulka vám umožní lépe pochopit, jak vyřešit chyby, které najdete v protokolech zřizování.
| Kód chyby | Popis |
|---|---|
| Konflikt EntryConflict |
Opravte konfliktní hodnoty atributů buď v Microsoft Entra ID, nebo v aplikaci. Nebo zkontrolujte konfiguraci odpovídajícího atributu, pokud by se konfliktní uživatelský účet měl shodovat a převzít. Další informace o konfiguraci odpovídajících atributů naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID. |
| TooManyRequests | Cílová aplikace odmítla tento pokus o aktualizaci uživatele, protože aplikace přijímá příliš mnoho požadavků. Není co dělat. Tento pokus se automaticky opakuje a Společnost Microsoft o tomto problému byla upozorněna. |
| InternalServerError | Cílová aplikace vrátila neočekávanou chybu. Problém se službou v cílové aplikaci může bránit v práci. Tento pokus se automaticky opakuje za 40 minut. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Neautorizováno |
ID Microsoft Entra se ověřilo v cílové aplikaci, ale nemá oprávnění k provedení aktualizace. Projděte si všechny pokyny, které cílová aplikace poskytla, spolu s příslušnou aplikací. Další informace naleznete v kurzech pro integraci aplikací s Microsoft Entra ID. |
| Nezpracovanáentnost | Cílová aplikace vrátila neočekávanou odpověď. Konfigurace cílové aplikace nemusí být správná nebo problém se službou s cílovou aplikací může bránit v práci. |
| WebExceptionProtocolError | Při připojování k cílové aplikaci došlo k chybě protokolu HTTP. Není co dělat. Tento pokus se automaticky opakuje za 40 minut. |
| InvalidAnchor | Uživatel, který byl dříve vytvořen nebo spárován službou zřizování, již neexistuje. Ujistěte se, že uživatel existuje. Pokud chcete vynutit nové párování všech uživatelů, restartujte úlohu pomocí rozhraní Microsoft Graph API. Restartováním zřizování se aktivuje počáteční cyklus, který může nějakou dobu trvat. Restartováním zřizování se odstraní také mezipaměť, kterou služba zřizování používá k provozu. To znamená, že všichni uživatelé a skupiny v tenantovi musí být znovu vyhodnoceni a některé události zřizování se můžou vynechat. |
| NotImplemented | Cílová aplikace vrátila neočekávanou odpověď. Konfigurace aplikace nemusí být správná nebo problém se službou s cílovou aplikací může bránit v jeho fungování. Projděte si všechny pokyny, které cílová aplikace poskytla, spolu s příslušnou aplikací. Další informace naleznete v kurzech pro integraci aplikací s Microsoft Entra ID. |
| MandatoryFieldsMissing, MissingValues |
Uživatele nelze vytvořit, protože chybí požadované hodnoty. Opravte chybějící hodnoty atributů ve zdrojovém záznamu nebo zkontrolujte odpovídající konfiguraci atributu a ujistěte se, že požadovaná pole nejsou vynechána. Další informace naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID. |
| SchemaAttributeNotFound | Operaci nelze provést, protože byl zadán atribut, který v cílové aplikaci neexistuje. Ujistěte se, že je vaše konfigurace správná, a to tak, že odkazujete na přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID. |
| InternalError | V rámci služby Microsoft Entra provisioning došlo k vnitřní chybě služby. Není co dělat. Tento pokus se automaticky opakuje za 40 minut. |
| InvalidDomain | Operaci nelze provést, protože hodnota atributu obsahuje neplatný název domény. Aktualizujte název domény uživatele nebo ho přidejte do povoleného seznamu v cílové aplikaci. |
| Timeout | Operaci nešlo dokončit, protože odezva cílové aplikace trvala příliš dlouho. Není co dělat. Tento pokus se automaticky opakuje za 40 minut. |
| LicenseLimitExceed | Uživatele nebylo možné v cílové aplikaci vytvořit, protože pro tohoto uživatele nejsou k dispozici žádné licence. Pořizovat více licencí pro cílovou aplikaci. Nebo zkontrolujte přiřazení uživatelů a konfiguraci mapování atributů a ujistěte se, že jsou správné uživatele přiřazené správnými atributy. |
| DuplicateTargetEntries | Operaci nešlo dokončit, protože v cílové aplikaci bylo nalezeno více než jeden uživatel s nakonfigurovanými odpovídajícími atributy. Odeberte duplicitního uživatele z cílové aplikace nebo překonfigurujte mapování atributů. Další informace naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID. |
| DuplicateSourceEntries | Operaci nešlo dokončit, protože bylo nalezeno více než jednoho uživatele s nakonfigurovanými odpovídajícími atributy. Odeberte duplicitního uživatele nebo překonfigurujte mapování atributů. Další informace naleznete v tématu Přizpůsobení mapování atributů zřizování uživatelů pro aplikace SaaS v Microsoft Entra ID. |
| ImportSkipped | Při vyhodnocování každého uživatele se systém pokusí importovat uživatele ze zdrojového systému. K této chybě obvykle dochází, když uživateli, který se importuje, chybí odpovídající vlastnost definovaná v mapování atributů. Bez hodnoty, která se nachází u objektu uživatele pro odpovídající atribut, systém nemůže vyhodnotit rozsah, párování nebo exportovat změny. Přítomnost této chyby neznamená, že je uživatel v oboru, protože jste zatím nevyhodnotili rozsah uživatele. |
| EntrySynchronizationSkipped | Služba zřizování úspěšně dotazovala zdrojový systém a identifikovala uživatele. U uživatele nebyla provedena žádná další akce a byla vynechána. Uživatel mohl být mimo rozsah nebo už v cílovém systému existoval bez dalších změn. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Požadavek GET na načtení uživatele nebo skupiny obdržel v odpovědi více uživatelů nebo skupin. Systém očekává, že v odpovědi obdrží pouze jednoho uživatele nebo skupinu. Pokud například provedete požadavek skupiny GET na načtení skupiny, zadejte filtr pro vyloučení členů a koncový bod SCIM (System for Cross-Domain Identity Management) vrátí členy, zobrazí se tato chyba. |
| SystemForCrossDomainIdentity Služba ManagementServiceIncompatible |
Služba zřizování Microsoft Entra nemůže analyzovat odpověď z aplikace jiné společnosti než Microsoft. Ve spolupráci s vývojářem aplikací se ujistěte, že je server SCIM kompatibilní s klientem Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | Vlastnost v cílovém systému může přijmout pouze jednu hodnotu, ale vlastnost ve zdrojovém systému má více. Ujistěte se, že buď namapujete atribut s jednou hodnotou na vlastnost, která vyvolává chybu, aktualizujete hodnotu ve zdroji tak, aby byla jednohodnotová, nebo odeberte atribut z mapování. |
Kódy chyb pro synchronizaci mezi tenanty
Následující tabulka vám umožní lépe pochopit, jak vyřešit chyby, které najdete v protokolech zřizování pro synchronizaci mezi tenanty.
| Kód chyby | Příčina | Řešení |
|---|---|---|
| AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
Zdrojem autority pro uživatele je Exchange Online. Služba zřizování nemůže aktualizovat jeden nebo více atributů výměny pro uživatele (např. extensionAttribute 1 – 15). To má vliv na uživatele, kteří existovali v cílovém tenantovi, když se vlastnost dirSyncEnabled změnila z true na False. | Aktualizujte atribut přímo na exchangi cílového tenanta online. Příklad: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Synchronizační modul nemohl aktualizovat jednu nebo více vlastností uživatele v cílovém tenantovi. Operace v rozhraní Microsoft Graph API selhala kvůli vynucení zdroje autority (SOA). V současné době se v seznamu zobrazí následující vlastnosti: MailshowInAddressList |
V některých případech (například když showInAddressList je vlastnost součástí aktualizace uživatele), synchronizační modul může automaticky opakovat aktualizaci (uživatel) bez vlastnosti pro přesměrování. Jinak musíte vlastnost aktualizovat přímo v cílovém tenantovi. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Zásady synchronizace mezi tenanty, které umožňují automatické uplatnění, selhaly. Synchronizační modul kontroluje, jestli správce cílového tenanta vytvořil příchozí zásady synchronizace mezi tenanty, které umožňují automatické uplatnění. Synchronizační modul také zkontroluje, jestli správce zdrojového tenanta povolil odchozí zásadu pro automatické uplatnění. |
Ujistěte se, že pro zdrojového i cílového tenanta bylo povolené nastavení automatického uplatnění. Další informace najdete v tématu Nastavení automatického uplatnění. |
| Microsoft Entra ID QuotaLimitExceededed |
Počet objektů v tenantovi překračuje limit adresáře. ID Microsoft Entra má omezení počtu objektů, které je možné vytvořit v tenantovi. |
Zkontrolujte, jestli se dá kvóta zvýšit. Informace o omezeních adresářů a krocích pro zvýšení kvóty najdete v tématu Omezení a omezení služby Microsoft Entra. |
| InvitationCreationFailure | Služba zřizování Microsoft Entra se pokusila pozvat uživatele v cílovém tenantovi. Tato pozvánka se nezdařila. | Další šetření pravděpodobně vyžaduje kontaktování podpory. |
| InvitationCreationFailureUserAccountDisabled | Služba zřizování Microsoft Entra se pokusila pozvat uživatele v cílovém tenantovi. Tato pozvánka se nezdařila. | Uživatel existuje v cílovém tenantovi, ale účet je zakázaný a pozvánka čeká na vyřízení. Povolte uživatelský účet v cílovém tenantovi a zkuste ho zřídit znovu. |
| Microsoft Entra ID Zakázáno |
Nastavení externí spolupráce blokovala pozvánky. | Přejděte do uživatelských nastavení a ujistěte se, že jsou povolená externí nastavení spolupráce. |
| InvitationCreation FailureInvalidPropertyValue |
Možné příčiny: * Primární adresa SMTP je neplatná hodnota. * UserType není host nebo člen * E-mailová adresa skupiny není podporována. |
Potenciální řešení: * Primární adresa SMTP má neplatnou hodnotu. Řešení tohoto problému pravděpodobně vyžaduje aktualizaci vlastnosti pošty zdrojového uživatele. Další informace najdete v tématu Příprava synchronizace adresářů s Microsoftem 365. * Ujistěte se, že vlastnost userType je zřízena jako typ host nebo člen. Zkontrolujte mapování atributů, abyste porozuměli mapování atributu userType. * E-mailová adresa uživatele odpovídá e-mailové adrese skupiny v tenantovi. Aktualizujte e-mailovou adresu jednoho ze dvou objektů. |
| InvitationCreation Nejednoznačný uživatel |
Pozvaný uživatel má adresu proxy, která odpovídá internímu uživateli v cílovém tenantovi. Adresa proxy serveru musí být jedinečná. | Pokud chcete tuto chybu vyřešit, odstraňte existujícího interního uživatele v cílovém tenantovi nebo odeberte tohoto uživatele z oboru synchronizace. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Pokud byl uživatel v cílovém tenantovi původně synchronizován z AD do Microsoft Entra ID a převeden na externího uživatele, zdroj autority je stále místní a uživatel se nedá aktualizovat. | Uživatel nemůže být aktualizován synchronizací mezi tenanty. |
| EntityTypeNotSupported | Skupiny se dají použít k určení, kteří uživatelé mají obor zřizování. Objekty skupin nelze synchronizovat. | Nevyžaduje se žádná akce zákazníka. Jedná se o přeskočenou událost. Pokud používáte zřizování na vyžádání, ujistěte se, že zvolíte uživatele místo skupiny, kterou chcete zřídit. |