Delen via


De status van het inrichten van gebruikers controleren

De Microsoft Entra-inrichtingsservice voert een eerste inrichtingscyclus uit op het bronsysteem en het doelsysteem, gevolgd door periodieke incrementele cycli. Wanneer u het inrichten voor een app configureert, kunt u de huidige status van de inrichtingsservice controleren en zien wanneer een gebruiker toegang heeft tot een app.

De voortgangsbalk van de inrichting weergeven

Op de pagina Inrichten voor een app kunt u de status van de Microsoft Entra-inrichtingsservice bekijken. In de sectie Huidige status onder aan de pagina ziet u of een inrichtingscyclus is begonnen met het inrichten van gebruikersaccounts. U kunt de voortgang van de cyclus bekijken, zien hoeveel gebruikers en groepen zijn ingericht en zien hoeveel rollen er zijn gemaakt.

Wanneer u automatische inrichting voor het eerst configureert, wordt in de sectie Huidige status onder aan de pagina de status van de eerste inrichtingscyclus weergegeven. Deze sectie wordt bijgewerkt telkens wanneer een incrementele cyclus wordt uitgevoerd. De volgende details worden weergegeven:

  • Het type inrichtingscyclus (initiële of incrementele) dat momenteel wordt uitgevoerd of voor het laatst is voltooid.
  • Een voortgangsbalk met het percentage van de inrichtingscyclus dat is voltooid. Het percentage geeft het aantal ingerichte pagina's weer. Elke pagina kan meerdere gebruikers of groepen bevatten, zodat het percentage niet rechtstreeks overeenkomt met het aantal gebruikers, groepen of rollen dat is ingericht.
  • Een knop Vernieuwen die u kunt gebruiken om de weergave bijgewerkt te houden.
  • Het aantal gebruikers en groepen in het gegevensarchief van de connector. Het aantal neemt toe wanneer een object wordt toegevoegd aan het bereik van het inrichten. Het aantal gaat niet omlaag als een gebruiker voorlopig is verwijderd of is verwijderd omdat het object niet wordt verwijderd uit het gegevensarchief van de connector. Het aantal wordt opnieuw berekend na het opnieuw instellen van de CDS
  • Een koppeling Auditlogboeken weergeven, waarmee de Microsoft Entra-inrichtingslogboeken worden geopend. Zie Inrichtingslogboeken verderop in het artikel voor meer informatie over bewerkingen die worden uitgevoerd door de inrichtingsservice, inclusief de inrichtingsstatus voor afzonderlijke gebruikers.

Nadat een inrichtingscyclus is voltooid, worden in de sectie Statistieken tot heden de cumulatieve aantallen gebruikers en groepen weergegeven die tot nu toe zijn ingericht, samen met de voltooiingsdatum en duur van de laatste cyclus. De activiteits-id identificeert de meest recente inrichtingscyclus. De taak-id is een unieke id voor de inrichtingstaak en is specifiek voor de app in uw tenant.

De voortgang van de inrichting wordt weergegeven in het Microsoft Entra-beheercentrum op Identity>Applications Enterprise-toepassingen>> [toepassingsnaam] >Inrichten.

Voortgangsbalk van de inrichtingspagina

U kunt Microsoft Graph ook gebruiken om de status van het inrichten voor een toepassing programmatisch te controleren. Zie Inrichting controleren voor meer informatie.

Inrichtingslogboeken gebruiken om de inrichtingsstatus van een gebruiker te controleren

Raadpleeg de inrichtingslogboeken in Microsoft Entra-id om de inrichtingsstatus voor een geselecteerde gebruiker te bekijken. Alle bewerkingen die door de gebruikersinrichtingsservice worden uitgevoerd, worden vastgelegd in de Microsoft Entra-inrichtingslogboeken. De logboeken bevatten lees- en schrijfbewerkingen die zijn gemaakt in de bron- en doelsystemen. Gekoppelde gebruikersgegevens met betrekking tot lees- en schrijfbewerkingen worden ook geregistreerd.

U hebt toegang tot de inrichtingslogboeken in het Microsoft Entra-beheercentrum door identiteitstoepassingen>voor bedrijfstoepassingen>> te selecteren in de sectie Activiteit. U kunt de inrichtingsgegevens doorzoeken op basis van de naam van de gebruiker of de id in het bronsysteem of het doelsysteem. Zie Inrichtingslogboeken voor meer informatie.

In de inrichtingslogboeken worden alle bewerkingen vastgelegd die door de inrichtingsservice worden uitgevoerd, waaronder:

  • Query's uitvoeren op Microsoft Entra-id voor toegewezen gebruikers die binnen het bereik voor inrichting vallen
  • Een query uitvoeren op de doel-app voor het bestaan van deze gebruikers
  • De gebruikersobjecten tussen het systeem vergelijken
  • Het gebruikersaccount toevoegen, bijwerken of uitschakelen in het doelsysteem op basis van de vergelijking

Zie de handleiding voor inrichtingsrapportage voor meer informatie over het lezen van de inrichtingslogboeken in het Microsoft Entra-beheercentrum.

Hoe lang duurt het om gebruikers in te richten?

Wanneer u automatische inrichting van gebruikers met een toepassing gebruikt, zijn er enkele dingen waarmee u rekening moet houden. Ten eerste richt Microsoft Entra ID gebruikersaccounts automatisch in en werkt deze bij in een app op basis van zaken zoals gebruikers- en groepstoewijzing. De synchronisatie vindt plaats met een regelmatig gepland tijdsinterval, meestal om de 40 minuten.

De tijd die nodig is om een bepaalde gebruiker in te richten, is voornamelijk afhankelijk van of uw inrichtingstaak een initiële cyclus of een incrementele cyclus uitvoert.

  • Voor de eerste cyclus is de taaktijd afhankelijk van veel factoren, waaronder het aantal gebruikers en groepen binnen het bereik voor inrichting en het totale aantal gebruikers en groepen in het bronsysteem. De eerste synchronisatie tussen Microsoft Entra ID en een app vindt plaats zo snel als 20 minuten of duurt enkele uren. De tijd is afhankelijk van de grootte van de Microsoft Entra-directory en het aantal gebruikers binnen het bereik voor inrichting. Verderop in deze sectie vindt u een uitgebreide lijst met factoren die van invloed zijn op de prestaties van de eerste cyclus.

  • Voor incrementele cycli zijn de taaktijden na de eerste cyclus meestal sneller (binnen 10 minuten), omdat de inrichtingsservice watermerken opslaat die de status van beide systemen na de eerste cyclus vertegenwoordigen, waardoor de prestaties van volgende synchronisaties worden verbeterd. De taaktijd is afhankelijk van het aantal wijzigingen dat in die inrichtingscyclus is gedetecteerd. Als er minder dan 5000 wijzigingen in het gebruikers- of groepslidmaatschap zijn, kan de taak binnen één incrementele inrichtingscyclus worden voltooid.

De volgende tabel bevat een overzicht van de synchronisatietijden voor veelvoorkomende inrichtingsscenario's. In deze scenario's is het bronsysteem Microsoft Entra ID en is het doelsysteem een SaaS-toepassing. De synchronisatietijden worden afgeleid van een statistische analyse van synchronisatietaken voor de SaaS-toepassingen ServiceNow, Workplace, Salesforce en G Suite.

Bereikconfiguratie Gebruikers, groepen en leden binnen het bereik Initiële cyclustijd
Alleen toegewezen gebruikers en groepen synchroniseren < 1,000 < 30 minuten
Alleen toegewezen gebruikers en groepen synchroniseren 1.000 - 10.000 142 - 708 minuten
Alleen toegewezen gebruikers en groepen synchroniseren 10.000 - 100.000 1.170 - 2.340 minuten
Alle gebruikers en groepen synchroniseren in Microsoft Entra-id < 1,000 < 30 minuten
Alle gebruikers en groepen synchroniseren in Microsoft Entra-id 1.000 - 10.000 < 30 - 120 minuten
Alle gebruikers en groepen synchroniseren in Microsoft Entra-id 10.000 - 100.000 713 - 1425 minuten
Alle gebruikers synchroniseren in Microsoft Entra-id < 1,000 < 30 minuten
Alle gebruikers synchroniseren in Microsoft Entra-id 1.000 - 10.000 43 - 86 minuten

Voor alleen de configuratie gesynchroniseerde gebruikers en groepen kunt u de volgende formules gebruiken om de geschatte minimale en maximale verwachte initiële cyclustijden te bepalen:

  • Minimumminuten = 0,01 x [Aantal toegewezen gebruikers, groepen en groepsleden]
  • Maximum aantal minuten = 0,08 x [Aantal toegewezen gebruikers, groepen en groepsleden]

Samenvatting van factoren die van invloed zijn op de tijd die nodig is om een eerste cyclus te voltooien:

  • Het totale aantal gebruikers en groepen binnen het bereik voor inrichting.

  • Het totale aantal gebruikers, groepen en groepsleden dat aanwezig is in het bronsysteem (Microsoft Entra-id).

  • Of gebruikers binnen het bereik voor inrichting overeenkomen met bestaande gebruikers in de doeltoepassing of moeten voor het eerst worden gemaakt. Synchronisatietaken waarvoor alle gebruikers voor het eerst worden gemaakt, duren ongeveer twee keer zo lang als synchronisatietaken waarvoor alle gebruikers overeenkomen met bestaande gebruikers.

  • Aantal fouten in de inrichtingslogboeken. De prestaties zijn langzamer als er veel fouten zijn en de inrichtingsservice in quarantaine is gegaan.

  • Aanvraagfrequentielimieten en bandbreedtebeperking geïmplementeerd door het doelsysteem. Sommige doelsystemen implementeren aanvraagsnelheidslimieten en bandbreedtebeperking, wat invloed kan hebben op de prestaties tijdens grote synchronisatiebewerkingen. Onder deze omstandigheden kan een app die te veel aanvragen ontvangt, de reactiesnelheid vertragen of de verbinding sluiten. Om de prestaties te verbeteren, moet de connector worden aangepast door de app-aanvragen niet sneller te verzenden dan de app ze kan verwerken. Door Microsoft gebouwde connectors in te richten, kunt u deze aanpassing doorvoeren.

  • Het aantal en de grootte van toegewezen groepen. Het synchroniseren van toegewezen groepen duurt langer dan het synchroniseren van gebruikers. Zowel het aantal als de grootten van de toegewezen groepen zijn van invloed op de prestaties. Als voor een toepassing toewijzingen zijn ingeschakeld voor groepsobjectsynchronisatie, worden groepseigenschappen zoals groepsnamen en lidmaatschappen gesynchroniseerd naast gebruikers. Deze synchronisaties duren langer dan alleen het synchroniseren van gebruikersobjecten.

  • Als de prestaties een probleem worden en u probeert de meeste gebruikers en groepen in te richten in uw tenant, gebruikt u bereikfilters. Met bereikfilters kunt u de gegevens die de inrichtingsservice uit Microsoft Entra-id haalt, verfijnen door gebruikers te filteren op basis van specifieke kenmerkwaarden. Zie Toepassingsinrichting op basis van kenmerken met bereikfilters voor meer informatie over bereikfilters.

In de meeste gevallen wordt de incrementele cyclus in 30 minuten voltooid. Wanneer er echter honderden of duizenden wijzigingen van gebruikers of groepslidmaatschappen zijn, neemt de incrementele cyclustijd proportioneel toe met het aantal wijzigingen dat moet worden verwerkt en kan het enkele uren duren. Het gebruik van gesynchroniseerde gebruikers en groepen en het minimaliseren van het aantal gebruikers/groepen binnen het bereik voor inrichting helpt de synchronisatietijd te verminderen.

Aanbevelingen voor het verminderen van de tijd voor het inrichten van een gebruiker en/of groep:

  1. Stel het inrichtingsbereik in op synchronisatie assigned users and groupsin plaats sync all users and groupsvan .
  2. Minimaliseer het aantal gebruikers en groepen binnen het bereik voor inrichting.
  3. Maak meerdere inrichtingstaken die gericht zijn op hetzelfde systeem. Wanneer u dit doet, werkt elke synchronisatietaak onafhankelijk, waardoor de tijd voor het verwerken van wijzigingen wordt verkort. Zorg ervoor dat het bereik van gebruikers verschilt tussen deze inrichtingstaken om wijzigingen van de ene taak te voorkomen die van invloed zijn op een andere taak.
  4. Voeg bereikfilters toe om het aantal gebruikers en groepen binnen het bereik voor inrichting verder te beperken.

Wijzigingen in de inrichtingsconfiguratie controleren

Wijzigingen in de inrichtingsconfiguratie worden vastgelegd in de auditlogboeken. Gebruikers met de benodigde machtigingen, zoals de toepassingsbeheerder en de rapportlezer, hebben toegang tot logboeken via de gebruikersinterface van auditlogboeken, DE API en via PowerShell. U kunt het activiteitsfilter in de auditlogboeken gebruiken om de volgende acties te identificeren.

Notitie

Voor acties die de inrichtingsservice uitvoert, zoals het maken van gebruikers, het bijwerken van gebruikers en het verwijderen van gebruikers, raden we u aan de inrichtingslogboeken te gebruiken. Voor het controleren van wijzigingen in uw inrichtingsconfiguratie raden we u aan de auditlogboeken te gebruiken.

Schermopname van auditlogboeken.

Actie Activiteit (filter de logboeken op deze eigenschap)
Referenties bijwerken (bijvoorbeeld: een nieuw Bearer-token toevoegen) Inrichtingsinstelling of referenties bijwerken
Instellingen voor uw inrichtingstaak wijzigen (bijvoorbeeld e-mailmelding, synchroniseren van alle versus gesynchroniseerde gebruikers en groepen, onbedoelde verwijderingen voorkomen) Inrichtingsinstelling of referenties bijwerken
Inrichting starten Inrichtingsconfiguratie inschakelen/starten
Inrichting stoppen Inrichtingsconfiguratie uitschakelen/onderbreken
Inrichten opnieuw starten Inrichtingsconfiguratie inschakelen/opnieuw starten
Kenmerktoewijzingen of bereikregels bijwerken Kenmerktoewijzingen of -bereik bijwerken

Volgende stappen

Automate User Provisioning and Deprovisioning to SaaS Applications with Microsoft Entra ID (Automatisch gebruikers inrichten en de inrichting ongedaan maken voor SaaS-toepassingen met Microsoft Entra ID)