Freigeben über


Herunterladen und Analysieren der Microsoft Entra-Bereitstellungsprotokolle

Die Microsoft Entra-Bereitstellungsprotokolle enthalten Details zu den Bereitstellungsereignissen in Ihrem Mandanten. Sie können die in den Bereitstellungsprotokollen erfassten Informationen verwenden, um Probleme mit einem/einer bereitgestellten Benutzer*in zu beheben.

In diesem Artikel werden die Optionen zum Herunterladen der Bereitstellungsprotokolle aus dem Microsoft Entra Admin Center und die Analyse der Protokolle beschrieben. Fehlercodes und besondere Überlegungen sind ebenfalls enthalten.

Voraussetzungen

  • Ein funktionierender Microsoft Entra-Mandant mit einer Microsoft Entra ID P1- oder P2-Lizenz, die ihm zugeordnet ist.
  • Der Berichtsleser ist die am wenigsten privilegierte Rolle, die für den Zugriff auf Bereitstellungsprotokolle erforderlich ist.

Anzeigen der Bereitstellungsprotokolle

Es gibt mehrere Möglichkeiten, die Bereitstellungsprotokolle anzuzeigen oder zu analysieren:

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

Zugreifen auf die Protokolle im Microsoft Entra Admin Center:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Navigieren Sie zu IdentitätÜberwachung IntegritätBereitstellungsprotokolle.

Herunterladen der Bereitstellungsprotokolle

Wählen Sie zum Herunterladen der Bereitstellungsprotokolle auf der Seite Bereitstellungsprotokolle die Option Herunterladen aus. Setzen Sie möglichst spezifische Filter, um Größe und Dauer des Downloads zu verringern.

Screenshot der Schaltfläche „Download“ für die Bereitstellungsprotokolle.

CSV-Format

Der CSV-Download umfasst drei Dateien:

  • ProvisioningLogs: Lädt alle Protokolle mit Ausnahme der Bereitstellungsschritte und der geänderten Eigenschaften herunter
  • ProvisioningLogs_ProvisioningSteps: Enthält die Bereitstellungsschritte und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.
  • ProvisioningLogs_ModifiedProperties: Enthält die geänderten Attribute und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.

JSON-Format

Verwenden Sie zum Öffnen der JSON-Datei einen Text-Editor wie Microsoft Visual Studio Code. Visual Studio Code vereinfacht das Lesen der Datei mittels Syntaxhervorhebung. Alternativ kann die JSON-Datei auch in einem Browser wie Microsoft Edge in einem nicht bearbeitbaren Format geöffnet werden.

Verbessern der Lesbarkeit der JSON-Datei

Die JSON-Datei wird in einem Format heruntergeladen, das die Größe des Downloads verringert. In diesem Format sind die Nutzdaten unter Umständen nur schwer lesbar. Zum Verbessern der Lesbarkeit der Datei gibt es zwei Optionen:

  • Formatieren des JSON-Codes mit Visual Studio Code.

  • Formatieren des JSON-Codes mit PowerShell. Dieses Skript erzeugt eine JSON-Ausgabe in einem Format, das Tabulatoren und Leerzeichen beinhaltet:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Analysieren der JSON-Datei

Sie können Ihre bevorzugte Programmiersprache verwenden. Die folgenden Beispiele werden in PowerShell ausgeführt.

Nun können Sie die Daten gemäß Ihrem Szenario analysieren. Hier sind einige Beispiele angegeben:

  • Ausgeben aller Auftrags-IDs in der JSON-Datei:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Ausgeben aller Änderungs-IDs für Ereignisse mit der Aktion „Create“ (Erstellen):

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Wichtige Informationen

Hier finden Sie einige Tipps und Überlegungen zum Analysieren der Bereitstellungsprotokolle:

  • Gemeldete Bereitstellungsdaten werden bei Verwendung einer Premium-Edition 30 Tage und bei Verwendung einer kostenlosen Edition sieben Tage im Microsoft Entra Admin Center gespeichert. Wenn Sie die Bereitstellungsprotokolle länger als 30 Tage aufbewahren möchten, können Sie sie an Azure Monitor-Protokolle weiterleiten.

  • Sie können das Attribut „Änderungs-ID“ als eindeutigen Bezeichner verwenden. Dies kann beispielsweise nützlich sein, wenn Sie mit dem Produktsupport interagieren.

  • Möglicherweise werden übersprungene Ereignisse für Benutzer angezeigt, die außerhalb des Geltungsbereichs liegen.

    • Beispiel 1: Wenn der Bereich auf all users and groups und Bereichsdefinitionsfilter festgelegt und eingerichtet ist, werden möglicherweise übersprungene Protokolle für Benutzer angezeigt, die die Bereichsdefinitionskriterien nicht erfüllen.
    • Beispiel 2: Wenn der Bereich auf assigned users and groups festgelegt ist, werden Benutzer möglicherweise weiterhin in den Protokollen als übersprungen angezeigt, obwohl sie der Anwendung nicht zugewiesen sind. Die Art und Weise, wie der Bereitstellungsdienst Änderungen aus dem Verzeichnis empfängt, bewirkt, dass diese Benutzer angezeigt werden.
  • Die Bereitstellungsprotokolle enthalten keine Rollenimporte (gilt für Amazon Web Services, Salesforce und Zendesk). Die Protokolle für Rollenimporte finden Sie in den Überwachungsprotokollen.

Fehlercodes

Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen enthalten sein können.

Fehlercode BESCHREIBUNG
Conflict,
EntryConflict
Korrigieren Sie die in Konflikt stehenden Attributwerte entweder in Microsoft Entra ID oder in der Anwendung.

Oder: Überprüfen Sie die Konfiguration der übereinstimmenden Attribute, wenn das in Konflikt stehende Benutzerkonto hätte abgeglichen und übernommen werden sollen. Weitere Informationen zum Konfigurieren übereinstimmender Attribute finden Sie unter Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID.
TooManyRequests Die Ziel-App hat diesen Versuch zum Aktualisieren des Benutzers abgelehnt, weil die App zu viele Anforderungen empfängt. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird automatisch wiederholt, und Microsoft wurde über dieses Problem informiert.
InternalServerError Die Ziel-App hat einen unerwarteten Fehler zurückgegeben. Möglicherweise liegt ein Dienstproblem mit der Zielanwendung vor, sodass diese nicht funktioniert. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InsufficientRights,
MethodNotAllowed,
NotPermitted,
Nicht autorisiert
Microsoft Entra hat sich bei der Zielanwendung authentifiziert, war aber nicht zum Ausführen des Updates autorisiert. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie die entsprechende Anwendung. Weitere Informationen finden Sie unter Tutorials zum Integrieren von Anwendungen mit Microsoft Entra ID.
UnprocessableEntity Die Zielanwendung hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der Zielanwendung ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Zielanwendung vor.
WebExceptionProtocolError Beim Herstellen einer Verbindung mit der Zielanwendung ist ein HTTP-Protokollfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InvalidAnchor Ein Benutzer, der zuvor vom Bereitstellungsdienst erstellt oder abgeglichen wurde, ist nicht mehr vorhanden. Stellen Sie sicher, dass der Benutzer vorhanden ist. Um einen erneuten Abgleich aller Benutzer zu erzwingen, können Sie mithilfe der Microsoft Graph-API den Auftrag neu starten.

Durch den Neustart der Bereitstellung wird ein Startzyklus auslöst, der einige Zeit dauern kann. Außerdem wird der vom Bereitstellungsdienst verwendete Cache gelöscht. Das bedeutet, dass alle Benutzer und Gruppen im Mandanten erneut ausgewertet werden müssen und bestimmte Bereitstellungsereignisse möglicherweise verworfen werden.
NotImplemented Die Ziel-App hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der App ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Ziel-App vor. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie die entsprechende Anwendung. Weitere Informationen finden Sie unter Tutorials zum Integrieren von Anwendungen mit Microsoft Entra ID.
MandatoryFieldsMissing,
MissingValues
Der Benutzer konnte nicht erstellt werden, da erforderliche Werte fehlten. Korrigieren Sie die fehlenden Attributwerte im Quelldatensatz, oder überprüfen Sie die Konfiguration der übereinstimmenden Attribute, um sicherzustellen, dass die erforderlichen Felder nicht ausgelassen wurden. Weitere Informationen finden Sie unter Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID.
SchemaAttributeNotFound Der Vorgang konnte nicht ausgeführt werden, da ein Attribut angegeben wurde, das in der Zielanwendung nicht vorhanden ist. Ziehen Sie zum Sicherstellen, dass Ihre Konfiguration korrekt ist, Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID heran.
InternalError Im Microsoft Entra-Bereitstellungsdienst ist ein interner Dienstfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InvalidDomain Der Vorgang konnte aufgrund eines Attributwerts mit einem ungültigen Domänennamen nicht ausgeführt werden. Aktualisieren Sie den Domänennamen für den Benutzer, oder fügen Sie ihn der Liste zulässiger Domänen in der Zielanwendung hinzu.
Timeout Der Vorgang konnte nicht abgeschlossen werden, da die Antwort der Zielanwendung zu lange gedauert hat. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
LicenseLimitExceeded Der Benutzer konnte in der Zielanwendung nicht erstellt werden, da für diesen Benutzer keine Lizenzen verfügbar sind. Erwerben Sie weitere Lizenzen für die Zielanwendung.

Oder: Überprüfen Sie die Konfiguration der Benutzerzuweisungen und Attributzuordnungen, um sicherzustellen, dass die richtigen Attribute den richtigen Benutzern zugewiesen sind.
DuplicateTargetEntries Der Vorgang konnte nicht abgeschlossen werden, da in der Zielanwendung mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer aus der Zielanwendung, oder konfigurieren Sie die Attributzuordnungen neu. Weitere Informationen finden Sie unter Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID.
DuplicateSourceEntries Der Vorgang konnte nicht abgeschlossen werden, da mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer, oder konfigurieren Sie die Attributzuordnungen neu. Weitere Informationen finden Sie unter Anpassen von Attributzuordnungen für die Benutzerbereitstellung für SaaS-Anwendungen in Microsoft Entra ID.
ImportSkipped Bei der Auswertung von Benutzern wird jeweils versucht, den Benutzer aus dem Quellsystem zu importieren. Dieser Fehler tritt in der Regel auf, wenn für den zu importierenden Benutzer die in den Attributzuordnungen definierte Übereinstimmungseigenschaft fehlt. Wenn im Benutzerobjekt kein Wert für das entsprechende Attribut vorhanden ist, können keine Bereichs-, Vergleichs- oder Exportänderungen ausgewertet werden. Dieser Fehler bedeutet nicht, dass sich der Benutzer innerhalb des Gültigkeitsbereichs befindet, da der Gültigkeitsbereich für den Benutzer noch nicht ausgewertet wurde.
EntrySynchronizationSkipped Der Bereitstellungsdienst hat das Quellsystem erfolgreich abgefragt und den Benutzer identifiziert. Es wurden keine weiteren Aktionen für den Benutzer durchgeführt, und er wurde übersprungen. Der Benutzer befand sich möglicherweise außerhalb des Gültigkeitsbereichs, oder er war im Zielsystem bereits vorhanden, und es waren keine weiteren Änderungen erforderlich.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
Bei einer GET-Anforderung zum Abrufen eines Benutzers oder einer Gruppe wurden in der Antwort mehrere Benutzer oder Gruppen empfangen. In der Antwort wird vom System nur ein einzelner Benutzer bzw. eine einzelne Gruppe erwartet. Dieser Fehler wird beispielsweise angezeigt, wenn Sie eine GET-Anforderung zum Abrufen einer Gruppe mit einem Filter zum Ausschließen von Mitgliedern ausführen und Ihr SCIM-Endpunkt (System for Cross-Domain Identity Management) die Mitglieder zurückgibt.
SystemForCrossDomainIdentity
ManagementServiceIncompatible
Der Microsoft Entra-Bereitstellungsdienst kann die Antwort der Nicht-Microsoft-Anwendung nicht analysieren. Arbeiten Sie mit dem Anwendungsentwickler zusammen, um sicherzustellen, dass der SCIM-Server mit dem Microsoft Entra-SCIM-Client kompatibel ist.
SchemaPropertyCanOnlyAcceptValue Die Eigenschaft im Zielsystem kann nur einen Wert akzeptieren, aber die Eigenschaft im Quellsystem weist mehrere auf. Stellen Sie sicher, dass Sie der Eigenschaft, die einen Fehler auslöst, ein Attribut mit einem einzigen Wert zuordnen, den Wert in der Quelle so aktualisieren, dass er einwertig ist, oder das Attribut aus den Zuordnungen entfernen.

Fehlercodes für die mandantenübergreifende Synchronisierung

Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen für die mandantenübergreifende Synchronisierung enthalten sein können.

Fehlercode Ursache Lösung
AzureActiveDirectoryCannot
UpdateObjectsOriginated
InExternalService
Die Quelle der Autorität für die Benutzerin oder den Benutzer ist Exchange Online. Der Bereitstellungsdienst kann mindestens ein Exchange-Attribut für die Benutzerin oder den Benutzer nicht aktualisieren (z. B. extensionAttribute 1 - 15). Dies wirkt sich auf Benutzerinnen und Benutzer aus, die im Zielmandanten vorhanden sind, wenn die Eigenschaft „dirSyncEnabled“ von „True“ in „False“ geändert wurde. Aktualisieren Sie das Attribut direkt in Exchange Online des Zielmandanten. Zum Beispiel: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell"
Microsoft Entra ID
CannotUpdateObjectsOriginated
InExternalService
Das Synchronisierungsmodul konnte mindestens eine Benutzereigenschaft im Zielmandanten nicht aktualisieren.

Der Vorgang ist in der Microsoft Graph-API aufgrund der Erzwingung der Autoritätsquelle (Source of Authority, SOA) fehlgeschlagen. Aktuell werden die folgenden Eigenschaften in der Liste angezeigt:
Mail
showInAddressList
In einigen Fällen (z. B. wenn die showInAddressList-Eigenschaft Teil der Benutzeraktualisierung ist) versucht das Synchronisierungsmodul möglicherweise, die Aktualisierung (Benutzer) ohne die betreffende Eigenschaft automatisch zu wiederholen. Andernfalls müssen Sie die Eigenschaft direkt im Zielmandanten aktualisieren.
AzureDirectory
B2BManagementPolicy
CheckFailure
Fehler beim Überprüfen der Richtlinie für die mandantenübergreifende Synchronisierung, die eine automatische Einlösung ermöglicht.

Das Synchronisierungsmodul überprüft, ob der Administrator des Zielmandanten eine Richtlinie für die mandantenübergreifende Synchronisierung für eingehenden Datenverkehr erstellt hat, die eine automatische Einlösung ermöglicht. Das Synchronisierungsmodul überprüft auch, ob der Administrator des Quellmandanten eine Richtlinie für ausgehenden Datenverkehr für die automatische Einlösung aktiviert hat.
Stellen Sie sicher, dass die Einstellung für die automatische Einlösung sowohl für den Quellmandanten als auch für den Zielmandanten aktiviert wurde. Weitere Informationen finden Sie unter Einstellung für die automatische Einlösung.
Microsoft Entra ID
QuotaLimitExceeded
Die Anzahl der Objekte im Mandanten überschreitet den Grenzwert für das Verzeichnis.

In Microsoft Entra ID gibt es Grenzwerte für die Anzahl von Objekten, die in einem Mandanten erstellt werden können.
Überprüfen Sie, ob das Kontingent erhöht werden kann. Informationen zu den Verzeichnisgrenzwerten und den Schritten zum Erhöhen des Kontingents finden Sie unter Dienst- und andere Einschränkungen für Microsoft Entra.
InvitationCreationFailure Der Microsoft Entra-Bereitstellungsdienst hat versucht, den/die Benutzer*in in den Zielmandanten einzuladen. Bei dieser Benutzereinladung ist ein Fehler aufgetreten. Weitere Untersuchungen erfordern wahrscheinlich die Kontaktaufnahme mit dem Support.
InvitationCreationFailureUserAccountDisabled Der Microsoft Entra-Bereitstellungsdienst hat versucht, den/die Benutzer*in in den Zielmandanten einzuladen. Bei dieser Benutzereinladung ist ein Fehler aufgetreten. Der Benutzer ist im Zielmandanten vorhanden, aber das Konto ist deaktiviert, und die Einladung steht aus. Aktivieren Sie das Benutzerkonto im Zielmandanten, und versuchen Sie erneut, den Benutzer bereitzustellen.
Microsoft Entra ID
Verboten
Externe Zusammenarbeitseinstellungen haben Einladungen blockiert. Navigieren Sie zu den Benutzereinstellungen, und stellen Sie sicher, dass Einstellungen für die externe Zusammenarbeit erlaubt sind.
InvitationCreation
FailureInvalidPropertyValue
Mögliche Ursachen:
* Die primäre SMTP-Adresse ist ein ungültiger Wert.
* UserType ist weder ein Gast noch ein Mitglied
* Gruppen-E-Mail-Adresse ist nicht unterstützt
Mögliche Lösungen:
* Die primäre SMTP-Adresse hat einen ungültigen Wert. Um dieses Problem zu beheben, muss wahrscheinlich die E-Mail-Eigenschaft des Quellbenutzers aktualisiert werden. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung zu Microsoft 365
* Stellen Sie sicher, dass die userType-Eigenschaft als Typ „Gast“ oder „Mitglied“ bereitgestellt wird. Überprüfen Sie Ihre Attributzuordnungen, um zu verstehen, wie das userType-Attribut zugeordnet ist.
* Die E-Mail-Adresse des Benutzers stimmt mit der E-Mail-Adresse einer Gruppe im Mandanten überein. Aktualisieren Sie die E-Mail-Adresse für eines der beiden Objekte.
InvitationCreation
FailureAmbiguousUser
Der eingeladene Benutzer verfügt über eine Proxyadresse, die mit einem internen Benutzer im Zielmandanten übereinstimmt. Die Proxyadresse muss eindeutig sein. Um diesen Fehler zu beheben, löschen Sie den vorhandenen internen Benutzer im Zielmandanten, oder entfernen Sie diesen Benutzer aus dem Synchronisierungsbereich.
Microsoft Entra ID
CannotUpdateObjects
MasteredOnPremises
Wenn der Benutzer im Zielmandanten ursprünglich von AD zu Microsoft Entra ID synchronisiert und in einen externen Benutzer konvertiert wurde, ist die Autoritätsquelle weiterhin lokal, und der Benutzer kann nicht aktualisiert werden. Der Benutzer kann nicht mit mandantenübergreifender Synchronisierung aktualisiert werden.
EntityTypeNotSupported Gruppen können verwendet werden, um zu bestimmen, welche Benutzer im Umfang der Bereitstellung enthalten sind. Gruppenobjekte können nicht synchronisiert werden. Es ist keine Kundenaktion erforderlich. Dies ist ein ausgelassenes Ereignis. Wenn Sie die Bereitstellung bei Bedarf verwenden, stellen Sie sicher, dass Sie einen Benutzer anstelle einer Gruppe auswählen, die bereitgestellt werden soll.