De status van gebruikersinrichting controleren
De Microsoft Entra-inrichtingsservice voert een eerste inrichtingscyclus uit op het bronsysteem en het doelsysteem, gevolgd door periodieke incrementele cycli. Wanneer u het inrichten voor een app configureert, kunt u de huidige status van de inrichtingsservice controleren en zien wanneer een gebruiker toegang heeft tot een app.
Bekijk de voortgangsbalk van de configuratie
Op de pagina Inrichten voor een app kunt u de status van de Microsoft Entra-inrichtingsservice bekijken. In de sectie Huidige status onder aan de pagina ziet u of een inrichtingscyclus is begonnen met het inrichten van gebruikersaccounts. U kunt de voortgang van de cyclus bekijken, zien hoeveel gebruikers en groepen zijn ingericht en zien hoeveel rollen er zijn gemaakt.
Wanneer u automatische inrichting voor het eerst configureert, wordt in de sectie Huidige status onder aan de pagina de status van de eerste inrichtingscyclus weergegeven. Deze sectie wordt bijgewerkt telkens wanneer een incrementele cyclus wordt uitgevoerd. De volgende details worden weergegeven:
- Het type inrichtingscyclus (initiƫle of incrementele) dat momenteel wordt uitgevoerd of dat voor het laatst is voltooid.
- Een voortgangsbalk met het percentage van de inrichtingscyclus dat is voltooid. Het percentage geeft het aantal voorziene pagina's weer. Elke pagina kan meerdere gebruikers of groepen bevatten, zodat het percentage niet rechtstreeks overeenkomt met het aantal gebruikers, groepen of rollen dat is ingericht.
- Een knop Vernieuwen die u kunt gebruiken om de weergave bijgewerkt te houden.
- Het aantal gebruikers en groepen in het gegevensarchief van de connector. Het aantal neemt telkens toe wanneer een object wordt toegevoegd aan de reikwijdte van provisioning. Het aantal gaat niet omlaag als een gebruiker zacht wordt verwijderd of definitief wordt verwijderd, omdat de bewerking het object niet verwijdert uit het gegevensarchief van de connector. Het aantal wordt opnieuw berekend bij de eerste synchronisatie nadat de CDS is reset.
- Een Inrichtingslogboeken weergeven koppeling, waarmee de Microsoft Entra-inrichtingslogboeken worden geopend. Zie Inrichtingslogboeken verderop in het artikel voor meer informatie over bewerkingen die worden uitgevoerd door de inrichtingsservice, inclusief de inrichtingsstatus voor afzonderlijke gebruikers.
Nadat een inrichtingscyclus is voltooid, worden in de sectie Statistieken tot heden de cumulatieve aantallen gebruikers en groepen weergegeven die tot nu toe zijn ingericht, samen met de voltooiingsdatum en duur van de laatste cyclus. De Activiteits-ID identificeert uniek de meest recente inrichtingscyclus. De Job ID is een unieke id voor de provisioningtaak en is specifiek voor de app in uw tenant.
De voortgang van de voorziening wordt weergegeven in het Microsoft Entra-beheercentrum onder
U kunt Microsoft Graph ook gebruiken om de status van het inrichten voor een toepassing programmatisch te controleren. Zie monitorvoorraadbeheer voor meer informatie.
Inrichtingslogboeken gebruiken om de inrichtingsstatus van een gebruiker te controleren
Raadpleeg de inrichtingslogboeken in Microsoft Entra-id om de inrichtingsstatus voor een geselecteerde gebruiker te bekijken. Alle bewerkingen die door de gebruikersinrichtingsservice worden uitgevoerd, worden vastgelegd in de Microsoft Entra-inrichtingslogboeken. De logboeken bevatten lees- en schrijfbewerkingen die zijn gemaakt in de bron- en doelsystemen. Gekoppelde gebruikersgegevens met betrekking tot lees- en schrijfbewerkingen worden ook geregistreerd.
U hebt toegang tot de voorzieningslogboeken in het Microsoft Entra-beheercentrum door Identiteit>Toepassingen>Bedrijfstoepassingen>Voorzieningslogboeken te selecteren in de sectie Activiteit. U kunt de inrichtingsgegevens doorzoeken op basis van de naam van de gebruiker of de id in het bronsysteem of het doelsysteem. Zie Inrichtingslogboeken voor meer informatie.
In de inrichtingslogboeken worden alle bewerkingen vastgelegd die door de inrichtingsservice worden uitgevoerd, waaronder:
- Het uitvoeren van query's op Microsoft Entra ID voor toegewezen gebruikers die onder de scope van voorziening vallen
- Een query uitvoeren op de doelapplicatie voor de aanwezigheid van deze gebruikers
- De gebruikersobjecten tussen het systeem vergelijken
- Het gebruikersaccount toevoegen, bijwerken of uitschakelen in het doelsysteem op basis van de vergelijking
Zie de handleiding voor inrichtingsrapportage voor meer informatie over het lezen van de inrichtingslogboeken in het Microsoft Entra-beheercentrum.
Hoe lang duurt het om gebruikers in te richten?
De tijd voor het inrichten van een gebruiker, groep of groepslidmaatschap varieert op basis van verschillende factoren.
- Hoe meer gebruikers, groepen en groepslidmaatschappen binnen het bereik voor inrichting vallen, hoe langer het duurt voordat de synchronisatietaak is voltooid. Een synchronisatietaak met 10 groepen, elk met 20.000 leden, duurt bijvoorbeeld langer om in te richten dan een synchronisatietaak met 1 groep van 20K-leden.
- Als het synchronisatiebereik is ingesteld op 'alle gebruikers en groepen synchroniseren', evalueert de synchronisatie-engine elke gebruiker, groep in de tenant tijdens de eerste cyclus. Hierdoor kan de synchronisatie-engine bepalen welke objecten binnen het bereik vallen. Als gevolg hiervan heeft het totale aantal gebruikers, groepen en groepsleden dat aanwezig is in het bronsysteem (bijvoorbeeld: Microsoft Entra ID) invloed op de prestaties.
- Het aantal wijzigingen in het bronsysteem is van invloed op de tijd voor het inrichten van updates tijdens een incrementele cyclus. Wijzigingen in gebruikers of groepen die niet binnen het bereik voor inrichting vallen (bijvoorbeeld nieuwe gebruikers die zijn gemaakt in de tenant of groepslidmaatschappen die zijn bijgewerkt), kunnen van invloed zijn op de prestaties omdat de service de wijziging moet evalueren en overslaan. Dit is met name belangrijk wanneer het bereik 'alle gebruikers en groepen synchroniseren' is
- Sommige doelsystemen implementeren aanvraagsnelheidslimieten en bandbreedtebeperking, wat invloed kan hebben op de prestaties tijdens grote synchronisatiebewerkingen. Onder deze omstandigheden kan een app die te veel aanvragen ontvangt, de reactiesnelheid vertragen of de verbinding sluiten. Galerietoepassingen worden geconfigureerd om te voldoen aan de frequentielimieten die zijn ingesteld door de ontwikkelaar van de toepassing, zonder dat een beheerder de inrichting hoeft te configureren.
- Synchronisatietaken waarvoor alle gebruikers voor het eerst worden aangemaakt, duren ongeveer twee keer zo lang als synchronisatietaken waarvoor alle gebruikers worden gekoppeld aan bestaande gebruikers.
- Het aantal fouten dat de inrichtingsservice tijdens een bepaalde synchronisatiecyclus opnieuw moet proberen, heeft invloed op de prestaties. Controleer de voortgangsbalk en configuratielogboeken op fouten en corrigeer deze.
- Inrichtingstaken in quarantaine worden uitgevoerd met een lagere frequentie. Controleer de reden voor quarantaine en herzie deze om de frequentie van uitvoering te herstellen.
Voor de configuratie alleentoegewezen gebruikers en groepen synchroniseren, kunt u de volgende formules gebruiken om de geschatte minimum- en maximumaantal verwachte initiƫle cyclus tijden te bepalen:
- Minimumminuten = 0,01 x [Aantal toegewezen gebruikers, groepen en groepsleden]
- Maximum aantal minuten = 0,08 x [Aantal toegewezen gebruikers, groepen en groepsleden]
Aanbevelingen voor het verminderen van de tijd voor het inrichten van een gebruiker en/of groep:
- Stel het inrichtingsbereik in om
assigned users and groups
te synchroniseren in plaats vansync all users and groups
. - Minimaliseer het aantal gebruikers en groepen in scope voor voorziening.
- Maak meerdere inrichtingstaken die gericht zijn op hetzelfde systeem. Wanneer u dit doet, werkt elke synchronisatietaak onafhankelijk, waardoor de tijd voor het verwerken van wijzigingen wordt verkort. Zorg ervoor dat het bereik van gebruikers verschilt tussen deze inrichtingstaken om wijzigingen van de ene taak te voorkomen die van invloed zijn op een andere taak.
- Voeg bereikfilters toe om het aantal gebruikers en groepen binnen het bereik voor inrichting verder te beperken. Als de prestaties een probleem worden en u probeert de meeste gebruikers en groepen in te richten in uw tenant, gebruikt u bereikfilters. Met bereikfilters kunt u de gegevens die de inrichtingsservice uit Microsoft Entra-id haalt, verfijnen door gebruikers te filteren op basis van specifieke kenmerkwaarden. Zie Toepassingsinrichting op basis van kenmerken met bereikfilters voor meer informatie over bereikfilters.
Wijzigingen in de provisioningconfiguratie auditeren
Wijzigingen in de inrichtingsconfiguratie worden vastgelegd in de auditlogboeken. Gebruikers met de benodigde machtigingen, zoals Toepassingsbeheerder en Rapportlezer, hebben toegang tot logboeken via de gebruikersinterface, API en Via PowerShell. U kunt het activiteitsfilter in de auditlogboeken gebruiken om de volgende acties te identificeren.
Notitie
Voor acties die de inrichtingsservice uitvoert, zoals het maken van gebruikers, het bijwerken van gebruikers en het verwijderen van gebruikers, raden we u aan de inrichtingslogboeken te gebruiken. Voor het controleren van wijzigingen in uw inrichtingsconfiguratie raden we u aan de auditlogboeken te gebruiken.
Actie | Activiteit (filter de logboeken op deze eigenschap) |
---|---|
Referenties bijwerken (bijvoorbeeld: een nieuw Bearer-token toevoegen) | Instellingen voor voorzieningen of inloggegevens bijwerken |
Instellingen voor uw inrichtingstaak wijzigen (bijvoorbeeld e-mailmelding, synchroniseren van alle versus gesynchroniseerde gebruikers en groepen, onbedoelde verwijderingen voorkomen) | Voorzieningsinstelling of inloggegevens bijwerken |
Voorziening starten | Provisioning-configuratie inschakelen of starten |
Provisioning stoppen | Provisioningconfiguratie uitschakelen/onderbreken |
Opnieuw inrichten starten | Voorzieningsconfiguratie inschakelen/opnieuw opstarten |
Kenmerktoewijzingen en scopingsregels bijwerken | Kenmerktoewijzingen of -bereik bijwerken |
Volgende stappen
Automatiseer gebruikersvoorziening en -onttrekking voor SaaS-toepassingen met Microsoft Entra ID