Delen via


De inrichtingslogboeken van Microsoft Entra downloaden en analyseren

De microsoft Entra-inrichtingslogboeken bevatten details over de inrichtingsevenementen die in uw tenant plaatsvinden. U kunt de gegevens die zijn vastgelegd in de inrichtingslogboeken gebruiken om problemen met een ingerichte gebruiker op te lossen.

In dit artikel worden de opties beschreven voor het downloaden van de inrichtingslogboeken vanuit het Microsoft Entra-beheercentrum en het analyseren van de logboeken. Foutcodes en speciale overwegingen zijn ook opgenomen.

Vereisten

  • Een werkende Microsoft Entra-tenant waaraan een Microsoft Entra ID P1- of P2-licentie is gekoppeld.
  • Rapportenlezer is de minst bevoegde rol die is vereist voor toegang tot de inrichtingslogboeken.

De inrichtingslogboeken weergeven

Er zijn verschillende manieren om de inrichtingslogboeken weer te geven of te analyseren:

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Voor toegang tot de logboeken in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
  2. Blader naar logboeken voor identiteitsbewaking>en statusinrichting>.

De inrichtingslogboeken downloaden

Als u de inrichtingslogboeken wilt downloaden, selecteert u Downloaden op de pagina Inrichtingslogboeken. Stel de filters zo specifiek mogelijk in om de grootte en tijd van de download te verminderen.

Schermopname van de downloadknop in de inrichtingslogboeken.

CSV-indeling

De CSV-download bevat drie bestanden:

  • ProvisioningLogs: downloadt alle logboeken, met uitzondering van de inrichtingsstappen en gewijzigde eigenschappen.
  • ProvisioningLogs_ProvisioningSteps: bevat de inrichtingsstappen en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
  • ProvisioningLogs_ModifiedProperties: bevat de kenmerken die zijn gewijzigd en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.

JSON-indeling

Als u het JSON-bestand wilt openen, gebruikt u een teksteditor zoals Microsoft Visual Studio Code. Visual Studio Code maakt het bestand gemakkelijker te lezen door syntaxismarkeringen op te geven. U kunt het JSON-bestand ook openen met behulp van browsers in een niet-bewerkbare indeling, zoals Microsoft Edge.

Het JSON-bestand prettificeren

Het JSON-bestand wordt gedownload in een indeling om de grootte van de download te verkleinen. Met deze indeling kan de nettolading moeilijk te lezen zijn. Er zijn twee opties om het bestand te prettificeren:

  • Visual Studio Code gebruiken om de JSON op te maken.

  • Gebruik PowerShell om de JSON op te maken. Dit script produceert een JSON-uitvoer in een indeling met tabbladen en spaties:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Het JSON-bestand parseren

U kunt elke programmeertaal gebruiken waarmee u vertrouwd bent. De volgende voorbeelden zijn beschikbaar in PowerShell.

  • Lees het JSON-bestand:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

U kunt de gegevens nu parseren op basis van uw scenario. Hier volgen enkele voorbeelden:

  • Voer alle taak-id's uit in het JSON-bestand:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Voer alle wijzigings-id's uit voor gebeurtenissen waarbij de actie 'maken' was:

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Wat u moet weten

Hier volgen enkele tips en overwegingen voor het analyseren van de inrichtingslogboeken:

  • In het Microsoft Entra-beheercentrum worden gerapporteerde inrichtingsgegevens gedurende 30 dagen opgeslagen als u een premium-editie en 7 dagen hebt als u een gratis editie hebt. U kunt de inrichtingslogboeken omleiden naar Azure Monitor-logboeken voor retentie na 30 dagen.

  • U kunt het kenmerk wijzigings-id gebruiken als unieke id, wat handig kan zijn wanneer u bijvoorbeeld communiceert met productondersteuning.

  • Mogelijk ziet u overgeslagen gebeurtenissen voor gebruikers die niet binnen het bereik vallen.

    • Voorbeeld 1: Als het bereik is ingesteld op all users and groups en bereikfilters instelt, ziet u mogelijk overgeslagen logboeken voor gebruikers die niet voldoen aan de bereikcriteria.
    • Voorbeeld 2: Als het bereik is ingesteld op assigned users and groups, kunt u gebruikers in de logboeken blijven zien als overgeslagen, ook al zijn ze niet toegewezen aan de toepassing. De manier waarop de inrichtingsservice wijzigingen van de directory ontvangt, zorgt ervoor dat deze gebruikers worden weergegeven.
  • In de inrichtingslogboeken worden geen rolimporten weergegeven (van toepassing op Amazon Web Services, Salesforce en Zendesk). U vindt de logboeken voor het importeren van rollen in de auditlogboeken.

Foutcodes

Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt.

Foutcode Beschrijving
Conflict
EntryConflict
Corrigeer de conflicterende kenmerkwaarden in Microsoft Entra ID of de toepassing.

Of controleer de configuratie van uw overeenkomende kenmerk als het conflicterende gebruikersaccount moet worden vergeleken en overgenomen. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie over het configureren van overeenkomende kenmerken.
TooManyRequests De doel-app heeft deze poging om de gebruiker bij te werken geweigerd omdat de app te veel aanvragen ontvangt. Er is niets te doen. Deze poging wordt automatisch opnieuw geprobeerd en Microsoft is op de hoogte gesteld van dit probleem.
InternalServerError De doel-app heeft een onverwachte fout geretourneerd. Een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InsufficientRights,
MethodNotAllowed,
NotPermitted,
Niet geautoriseerd
Microsoft Entra-id geverifieerd met de doeltoepassing, maar is niet gemachtigd om de update uit te voeren. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie.
UnprocessableEntity De doeltoepassing heeft een onverwacht antwoord geretourneerd. De configuratie van de doeltoepassing is mogelijk niet juist of een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt.
WebExceptionProtocolError Er is een HTTP-protocolfout opgetreden tijdens het maken van verbinding met de doeltoepassing. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InvalidAnchor Een gebruiker die eerder is gemaakt of overeenkomt met de inrichtingsservice, bestaat niet meer. Zorg ervoor dat de gebruiker bestaat. Als u een nieuwe overeenkomst van alle gebruikers wilt afdwingen, gebruikt u de Microsoft Graph API om de taak opnieuw op te starten.

Het opnieuw starten van de inrichting activeert een initiële cyclus. Dit kan enige tijd duren. Als u de inrichting opnieuw start, wordt ook de cache verwijderd die door de inrichtingsservice wordt gebruikt. Dit betekent dat alle gebruikers en groepen in de tenant opnieuw moeten worden geëvalueerd en dat bepaalde inrichtingsgebeurtenissen mogelijk worden verwijderd.
Niet geïmplementeerd De doel-app heeft een onverwacht antwoord geretourneerd. De configuratie van de app is mogelijk niet juist of een serviceprobleem met de doel-app kan verhinderen dat deze werkt. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie.
MandatoryFieldsMissing,
MissingValues
De gebruiker kan niet worden gemaakt omdat de vereiste waarden ontbreken. Corrigeer de ontbrekende kenmerkwaarden in de bronrecord of controleer de configuratie van het overeenkomende kenmerk om ervoor te zorgen dat de vereiste velden niet worden weggelaten. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie.
SchemaAttributeNotFound De bewerking kan niet worden uitgevoerd omdat er een kenmerk is opgegeven dat niet bestaat in de doeltoepassing. Zorg ervoor dat uw configuratie juist is door te verwijzen naar kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID.
InternalError Er is een interne servicefout opgetreden in de Microsoft Entra-inrichtingsservice. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InvalidDomain De bewerking kan niet worden uitgevoerd omdat een kenmerkwaarde een ongeldige domeinnaam bevat. Werk de domeinnaam van de gebruiker bij of voeg deze toe aan de toegestane lijst in de doeltoepassing.
Timeout De bewerking kan niet worden voltooid omdat de doeltoepassing te lang duurde om te reageren. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
LicenseLimitExceeded De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop meer licenties voor de doeltoepassing.

Of controleer uw gebruikerstoewijzingen en kenmerktoewijzingsconfiguratie om ervoor te zorgen dat de juiste gebruikers worden toegewezen met de juiste kenmerken.
DuplicateTargetEntries De bewerking kan niet worden voltooid omdat meer dan één gebruiker in de doeltoepassing is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker uit de doeltoepassing of configureer uw kenmerktoewijzingen opnieuw. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie.
DuplicateSourceEntries De bewerking kan niet worden voltooid omdat er meer dan één gebruiker is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker of configureer uw kenmerktoewijzingen opnieuw. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie.
ImportSkipped Wanneer elke gebruiker wordt geëvalueerd, probeert het systeem de gebruiker te importeren uit het bronsysteem. Deze fout treedt meestal op wanneer de gebruiker die wordt geïmporteerd, de overeenkomende eigenschap mist die is gedefinieerd in uw kenmerktoewijzingen. Zonder een waarde die aanwezig is in het gebruikersobject voor het overeenkomende kenmerk, kan het systeem geen bereik-, overeenkomende of exportwijzigingen evalueren. De aanwezigheid van deze fout geeft niet aan dat de gebruiker binnen het bereik valt, omdat u het bereik van de gebruiker nog niet hebt geëvalueerd.
EntrySynchronizationSkipped De inrichtingsservice heeft een query uitgevoerd op het bronsysteem en de gebruiker geïdentificeerd. Er is geen verdere actie ondernomen voor de gebruiker en deze zijn overgeslagen. De gebruiker is mogelijk buiten het bereik of bestaat al in het doelsysteem zonder verdere wijzigingen.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
Een GET-aanvraag voor het ophalen van een gebruiker of groep heeft meerdere gebruikers of groepen ontvangen in het antwoord. Het systeem verwacht slechts één gebruiker of groep in het antwoord te ontvangen. Als u bijvoorbeeld een GET-groepsaanvraag uitvoert om een groep op te halen, geeft u een filter op om leden uit te sluiten en retourneert het SCIM-eindpunt (System for Cross-Domain Identity Management) de leden. Deze fout wordt weergegeven.
SystemForCrossDomainIdentity
ManagementServiceIncompatible
De Microsoft Entra-inrichtingsservice kan het antwoord van de niet-Microsoft-toepassing niet parseren. Werk samen met de toepassingsontwikkelaar om ervoor te zorgen dat de SCIM-server compatibel is met de Microsoft Entra SCIM-client.
SchemaPropertyCanOnlyAcceptValue De eigenschap in het doelsysteem kan slechts één waarde accepteren, maar de eigenschap in het bronsysteem heeft meerdere. Zorg ervoor dat u een kenmerk met één waarde toe te wijzen aan de eigenschap die een fout genereert, de waarde in de bron bijwerkt zodat deze één waarde heeft, of verwijder het kenmerk uit de toewijzingen.

Foutcodes voor synchronisatie tussen tenants

Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt voor synchronisatie tussen tenants.

Foutcode Oorzaak Oplossing
AzureActiveDirectoryCannot
UpdateObjectsOriginated
InExternalService
De bron van autoriteit voor de gebruiker is Exchange Online. De inrichtingsservice kan een of meer exchange-kenmerken van de gebruiker niet bijwerken (bijvoorbeeld extensionAttribute 1 - 15). Dit is van invloed op gebruikers die in de doeltenant bestonden wanneer de eigenschap dirSyncEnabled is gewijzigd van 'True' in 'False'. Werk het kenmerk rechtstreeks bij in exchange online van de doeltenant. Bijvoorbeeld: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell"
Microsoft Entra ID
CannotUpdateObjectsOriginated
InExternalService
De synchronisatie-engine kan een of meer gebruikerseigenschappen in de doeltenant niet bijwerken.

De bewerking is mislukt in Microsoft Graph API vanwege afdwinging van bron van autoriteit (SOA). Momenteel worden de volgende eigenschappen weergegeven in de lijst:
Mail
showInAddressList
In sommige gevallen (bijvoorbeeld wanneer showInAddressList de eigenschap deel uitmaakt van de update van de gebruiker), kan de synchronisatie-engine de update (gebruiker) automatisch opnieuw proberen zonder de beledige eigenschap. Anders moet u de eigenschap rechtstreeks in de doeltenant bijwerken.
AzureDirectory
B2BManagementPolicy
CheckFailure
Het synchronisatiebeleid voor meerdere tenants waardoor automatisch inwisselen is mislukt.

De synchronisatie-engine controleert of de beheerder van de doeltenant een binnenkomend synchronisatiebeleid voor meerdere tenants heeft gemaakt, waardoor automatische inwisseling mogelijk is. De synchronisatie-engine controleert ook of de beheerder van de brontenant uitgaand beleid heeft ingeschakeld voor automatische inwisseling.
Zorg ervoor dat de instelling voor automatisch inwisselen is ingeschakeld voor zowel de bron- als doeltenant. Zie De instelling Voor automatisch inwisselen voor meer informatie.
Microsoft Entra ID
QuotaLimitExceeded
Het aantal objecten in de tenant overschrijdt de maplimiet.

Microsoft Entra ID heeft limieten voor het aantal objecten dat in een tenant kan worden gemaakt.
Controleer of het quotum kan worden verhoogd. Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie over de adreslijstlimieten en -stappen om het quotum te verhogen.
InvitationCreationFailure De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. Verder onderzoek vereist waarschijnlijk contact opnemen met ondersteuning.
InvitationCreationFailureUserAccountDisabled De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. De gebruiker bestaat in de doeltenant, maar het account is uitgeschakeld en de uitnodiging is in behandeling. Schakel het gebruikersaccount in de doeltenant in en probeer de gebruiker opnieuw in te richten.
Microsoft Entra ID
Verboden
Uitnodigingen voor externe samenwerking zijn geblokkeerd. Navigeer naar gebruikersinstellingen en zorg ervoor dat externe samenwerkingsinstellingen zijn toegestaan.
Uitnodiging maken
FailureInvalidPropertyValue
Mogelijke oorzaken:
* Het primaire SMTP-adres is een ongeldige waarde.
* UserType is geen gast of lid
* Groeps-e-mailadres wordt niet ondersteund
Mogelijke oplossingen:
* Het primaire SMTP-adres heeft een ongeldige waarde. Voor het oplossen van dit probleem moet waarschijnlijk de e-maileigenschap van de brongebruiker worden bijgewerkt. Zie Voorbereiden voor adreslijstsynchronisatie met Microsoft 365 voor meer informatie
* Zorg ervoor dat de eigenschap userType is ingericht als gast of lid van het type. Controleer uw kenmerktoewijzingen om te begrijpen hoe het kenmerk userType is toegewezen.
* Het e-mailadres van de gebruiker komt overeen met het e-mailadres van een groep in de tenant. Werk het e-mailadres voor een van de twee objecten bij.
Uitnodiging maken
FailureAmbiguousUser
De uitgenodigde gebruiker heeft een proxyadres dat overeenkomt met een interne gebruiker in de doeltenant. Het proxyadres moet uniek zijn. Als u deze fout wilt oplossen, verwijdert u de bestaande interne gebruiker in de doeltenant of verwijdert u deze gebruiker uit het synchronisatiebereik.
Microsoft Entra ID
CannotUpdateObjects
MasteredOnPremises
Als de gebruiker in de doeltenant oorspronkelijk is gesynchroniseerd van AD naar Microsoft Entra-id en is geconverteerd naar een externe gebruiker, is de bron van autoriteit nog steeds on-premises en kan de gebruiker niet worden bijgewerkt. De gebruiker kan niet worden bijgewerkt met synchronisatie tussen tenants.
EntityTypeNotSupported Groepen kunnen worden gebruikt om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Groepsobjecten kunnen niet worden gesynchroniseerd. De gebruiker hoeft verder niets te doen. Dit is een overgeslagen gebeurtenis. Als u de inrichting op aanvraag gebruikt, moet u ervoor zorgen dat u een gebruiker kiest in plaats van een groep die u wilt inrichten.