De provisioninglogboeken van Microsoft Entra downloaden en analyseren
De microsoft Entra-inrichtingslogboeken bevatten details over de inrichtingsevenementen die in uw tenant plaatsvinden. U kunt de gegevens die zijn vastgelegd in de inrichtingslogboeken gebruiken om problemen met een geprovisioneerde gebruiker op te lossen.
In dit artikel worden de opties beschreven voor het downloaden van de inrichtingslogboeken vanuit het Microsoft Entra-beheercentrum en het analyseren van de logboeken. Foutcodes en speciale overwegingen zijn ook opgenomen.
Vereisten
- Een werkende Microsoft Entra-tenant waaraan een Microsoft Entra ID P1- of P2-licentie is gekoppeld.
-
Rapportenlezer is de minst bevoegde rol die is vereist voor toegang tot de inrichtingslogboeken.
- Zie voor een volledige lijst met rollen Minst bevoorrechte rol per taak.
Hoe de inrichtingslogboeken weer te geven
Er zijn verschillende manieren om de inrichtingslogboeken weer te geven of te analyseren:
- Weergeven in het Microsoft Entra-beheercentrum.
- Stream logboeken naar Azure Monitor via diagnostische instellingen.
- Analyseer logboeken via Werkboek-sjablonen.
- Toegang tot logboeken via programmacode via de Microsoft Graph API.
- Download de logboeken als een CSV- of JSON-bestand.
Voor toegang tot de logboeken in het Microsoft Entra-beheercentrum:
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
- Blader naar
Identity Monitoring & gezondheid Provisioning-logboeken .
De inrichtingslogboeken downloaden
Als u de inrichtingslogboeken wilt downloaden, selecteert u Downloaden op de pagina Inrichtingslogboeken. Stel de filters zo specifiek mogelijk in om de grootte en tijd van de download te verminderen.
CSV-indeling
De CSV-download bevat drie bestanden:
- ProvisioningLogs: downloadt alle logboeken, met uitzondering van de inrichtingsstappen en gewijzigde eigenschappen.
- ProvisioningLogs_ProvisioningSteps: bevat de inrichtingsstappen en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
- ProvisioningLogs_ModifiedProperties: bevat de kenmerken die zijn gewijzigd en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
JSON-indeling
Als u het JSON-bestand wilt openen, gebruikt u een teksteditor zoals Microsoft Visual Studio Code. Visual Studio Code maakt het bestand gemakkelijker te lezen door syntaxismarkeringen op te geven. U kunt het JSON-bestand ook openen met behulp van browsers in een niet-bewerkbare indeling, zoals Microsoft Edge.
Het JSON-bestand prettificeren
Het JSON-bestand wordt gedownload in een formaat dat is geoptimaliseerd om de bestandsgrootte van de download te verkleinen. Dit formaat kan de payload moeilijk leesbaar maken. Er zijn twee opties om het bestand te prettificeren:
Visual Studio Code gebruiken om de JSON op te maken.
Gebruik PowerShell om de JSON op te maken. Dit script produceert een JSON-uitvoer in een indeling met tabbladen en spaties:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Het JSON-bestand parseren
U kunt elke programmeertaal gebruiken waarmee u vertrouwd bent. De volgende voorbeelden zijn beschikbaar in PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
U kunt de gegevens nu parseren op basis van uw scenario. Hier volgen enkele voorbeelden:
Voer alle taak-id's uit in het JSON-bestand:
foreach ($provitem in $JSONContent) { $provitem.jobId }Voer alle wijzigings-id's uit voor gebeurtenissen waarbij de actie 'maken' was:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Wat u moet weten
Hier volgen enkele tips en overwegingen voor het analyseren van de inrichtingslogboeken:
In het Microsoft Entra-beheercentrum worden gerapporteerde inrichtingsgegevens gedurende 30 dagen opgeslagen als u een premium-editie en 7 dagen hebt als u een gratis editie hebt. U kunt de inrichtingslogboeken omleiden naar Azure Monitor-logboeken voor retentie na 30 dagen.
U kunt het kenmerk wijzigings-id gebruiken als unieke id, wat handig kan zijn wanneer u bijvoorbeeld communiceert met productondersteuning.
Mogelijk ziet u gebeurtenissen die worden overgeslagen voor gebruikers die niet binnen de reikwijdte vallen.
- Voorbeeld 1: Als het bereik is ingesteld op
all users and groupsen bereikfilters instelt, ziet u mogelijk overgeslagen logboeken voor gebruikers die niet voldoen aan de bereikcriteria. - Voorbeeld 2: Als het bereik is ingesteld op
assigned users and groups, kunt u gebruikers in de logboeken blijven zien als overgeslagen, ook al zijn ze niet toegewezen aan de toepassing. De manier waarop de inrichtingsservice wijzigingen van de directory ontvangt, leidt ertoe dat deze gebruikers zichtbaar worden.
- Voorbeeld 1: Als het bereik is ingesteld op
In de inrichtingslogboeken worden geen rolimporten weergegeven (van toepassing op Amazon Web Services, Salesforce en Zendesk). U vindt de logboeken voor het importeren van rollen in de auditlogboeken.
Foutcodes
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt.
| Foutcode | Beschrijving |
|---|---|
| Conflict Toegangsconflict |
Corrigeer de conflicterende kenmerkwaarden in Microsoft Entra ID of de toepassing. Of controleer de configuratie van uw overeenkomende kenmerk als het conflicterende gebruikersaccount moet worden vergeleken en overgenomen. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie over het configureren van overeenkomende kenmerken. |
| TeVeelVerzoeken | De doel-app heeft deze poging om de gebruiker bij te werken geweigerd omdat de app te veel aanvragen ontvangt. Er is niets te doen. Deze poging wordt automatisch opnieuw geprobeerd en Microsoft is op de hoogte gesteld van dit probleem. |
| InternalServerError | De doel-app heeft een onverwachte fout geretourneerd. Een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| OnvoldoendeRechten MethodNotAllowed (Methode niet toegestaan) Niet toegestaan Niet geautoriseerd |
Microsoft Entra ID werd geverifieerd met de doeltoepassing, maar was niet geautoriseerd om de update uit te voeren. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie. |
| OnverwerkbareEntiteit | De doeltoepassing heeft een onverwacht antwoord geretourneerd. De configuratie van de doeltoepassing is mogelijk niet juist of een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. |
| WebExceptionProtocolError | Er is een HTTP-protocolfout opgetreden tijdens het maken van verbinding met de doeltoepassing. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InvalidAnchor | Een gebruiker die eerder is aangemaakt of gematcht door de voorzieningsservice, bestaat niet meer. Zorg ervoor dat de gebruiker bestaat. Als u een nieuwe overeenkomst van alle gebruikers wilt afdwingen, gebruikt u de Microsoft Graph API om de taak opnieuw op te starten. Het opnieuw starten van het inrichtingsproces activeert een initiële cyclus die enige tijd kan duren om te voltooien. Als u de inrichting opnieuw start, wordt ook de cache verwijderd die door de inrichtingsservice gebruikt wordt. Dit betekent dat alle gebruikers en groepen in de tenant opnieuw moeten worden geëvalueerd en dat bepaalde provisioning-gebeurtenissen mogelijk worden overgeslagen. |
| Niet geïmplementeerd | De doelapplicatie heeft een onverwacht antwoord geretourneerd. De configuratie van de app is mogelijk niet juist of een serviceprobleem met de doel-app kan verhinderen dat deze werkt. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie. |
| VerplichteVeldenOntbreken OntbrekendeWaarden |
De gebruiker kan niet worden gemaakt omdat de vereiste waarden ontbreken. Corrigeer de ontbrekende kenmerkwaarden in de bronrecord of controleer de configuratie van het overeenkomende kenmerk om ervoor te zorgen dat de vereiste velden niet worden weggelaten. Voor meer informatie, zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID. |
| Atributuut voor schema niet gevonden | De bewerking kan niet worden uitgevoerd omdat er een kenmerk is opgegeven dat niet bestaat in de doeltoepassing. Zorg ervoor dat uw configuratie juist is door te verwijzen naar kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID. |
| InternalError | Er is een interne servicefout opgetreden in de Microsoft Entra-voorzieningsservice. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| OngeldigeDomein | De bewerking kan niet worden uitgevoerd omdat een kenmerkwaarde een ongeldige domeinnaam bevat. Werk de domeinnaam van de gebruiker bij of voeg deze toe aan de toegestane lijst in de doeltoepassing. |
| Timeout | De bewerking kan niet worden voltooid omdat de doeltoepassing te lang duurde om te reageren. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| LicentielimietOverschreden | De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop meer licenties voor de doeltoepassing. Of controleer uw gebruikerstoewijzingen en kenmerktoewijzingsconfiguratie om ervoor te zorgen dat de juiste gebruikers worden toegewezen met de juiste kenmerken. |
| Dubbele Doelvermeldingen | De bewerking kan niet worden voltooid omdat meer dan één gebruiker in de doeltoepassing is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker uit de doeltoepassing of configureer uw kenmerktoewijzingen opnieuw. Voor meer informatie, zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID. |
| Duplicaatbronvermeldingen | De bewerking kan niet worden voltooid omdat er meer dan één gebruiker is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker of configureer uw kenmerktoewijzingen opnieuw. Voor meer informatie, zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID. |
| Import overgeslagen | Wanneer elke gebruiker wordt geëvalueerd, probeert het systeem de gebruiker te importeren uit het bronsysteem. Deze fout treedt meestal op wanneer de gebruiker die wordt geïmporteerd, de overeenkomende eigenschap mist die is gedefinieerd in uw kenmerktoewijzingen. Zonder een waarde die aanwezig is in het gebruikersobject voor het overeenkomende kenmerk, kan het systeem geen wijzigingen evalueren in bereik, overeenkomsten of export. De aanwezigheid van deze fout geeft niet aan dat de gebruiker binnen het bereik valt, omdat u het bereik van de gebruiker nog niet hebt geëvalueerd. |
| InvoerSynchronisatieOvergeslagen | De inrichtingsservice heeft een query uitgevoerd op het bronsysteem en de gebruiker geïdentificeerd. Er is geen verdere actie ondernomen voor de gebruiker en deze zijn overgeslagen. De gebruiker is mogelijk buiten het bereik of bestaat al in het doelsysteem zonder verdere wijzigingen. |
| SysteemVoorDomeinoverstijgendeIdentiteit BeheerMeerdereItemsInAntwoord |
Een GET-aanvraag voor het ophalen van een gebruiker of groep heeft meerdere gebruikers of groepen ontvangen in het antwoord. Het systeem verwacht slechts één gebruiker of groep in het antwoord te ontvangen. Als u bijvoorbeeld een GET-groepsaanvraag uitvoert om een groep op te halen, geeft u een filter op om leden uit te sluiten en retourneert het SCIM-eindpunt (System for Cross-Domain Identity Management) de leden. Deze fout wordt weergegeven. |
| SysteemVoorDomeinOverstijgendeIdentiteit ManagementDienstOnverenigbaar |
De Microsoft Entra-inrichtingsservice kan het antwoord van de niet-Microsoft-toepassing niet parseren. Werk samen met de toepassingsontwikkelaar om ervoor te zorgen dat de SCIM-server compatibel is met de Microsoft Entra SCIM-client. |
| Schema-eigenschapKanAlleenWaardeAccepteren | De eigenschap in het doelsysteem kan slechts één waarde accepteren, maar de eigenschap in het bronsysteem heeft meerdere. Zorg ervoor dat u een kenmerk met één waarde toe te wijzen aan de eigenschap die een fout genereert, de waarde in de bron bijwerkt zodat deze één waarde heeft, of verwijder het kenmerk uit de toewijzingen. |
Foutcodes voor synchronisatie tussen tenants
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt voor synchronisatie tussen tenants.
| Foutcode | Oorzaak | Oplossing |
|---|---|---|
| AzureActiveDirectoryCannot UpdateVoorwerpenAfkomstig InExternalService |
De bron van autoriteit voor de gebruiker is Exchange Online. De inrichtingsservice kan een of meer exchange-kenmerken van de gebruiker niet bijwerken (bijvoorbeeld extensionAttribute 1 - 15). Dit is van invloed op gebruikers die in de doeltenant bestonden wanneer de eigenschap dirSyncEnabled is gewijzigd van 'True' in 'False'. | Werk het kenmerk rechtstreeks bij in de Exchange Online van de doeltenant. Bijvoorbeeld: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID KanOorspronkelijkeObjectenNietBijwerken InExternalService |
De synchronisatie-engine kan een of meer gebruikerseigenschappen in de doeltenant niet bijwerken. De bewerking is mislukt in Microsoft Graph API vanwege de handhaving van de autoriteitsbron (SOA). Momenteel worden de volgende eigenschappen weergegeven in de lijst: MailshowInAddressList |
In sommige gevallen (bijvoorbeeld wanneer showInAddressList eigenschap onderdeel is van de update van de gebruiker), kan de synchronisatie-motor de update van de gebruiker automatisch opnieuw proberen zonder de overtredende eigenschap. Anders moet u de eigenschap rechtstreeks in de doeltenant bijwerken. |
| AzureDirectory B2B-beleid voor beheer CheckFailure |
Het synchronisatiebeleid voor meerdere tenants dat automatische inwisseling mogelijk maakt, is mislukt. De synchronisatie-engine controleert of de beheerder van de doeltenant een binnenkomend cross-tenant synchronisatiebeleid heeft gemaakt dat automatische inwisseling toestaat. De synchronisatie-engine controleert ook of de beheerder van de brontenant een uitgaand beleid heeft ingeschakeld voor automatische verzilvering. |
Zorg ervoor dat de instelling voor automatisch inwisselen is ingeschakeld voor zowel de bron- als doeltenant. Zie Automatische inwisselinstelling voor meer informatie. |
| Microsoft Entra ID QuotalimietOverschreden |
Het aantal objecten in de tenant overschrijdt de directorylimiet. Microsoft Entra ID heeft limieten voor het aantal objecten dat in een tenant kan worden gemaakt. |
Controleer of het quotum kan worden verhoogd. Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie over de adreslijstlimieten en -stappen om het quotum te verhogen. |
| Fout bij aanmaken van uitnodiging | De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. | Verder onderzoek vereist waarschijnlijk contact opnemen met ondersteuning. |
| UitnodigingMisluktGebruikersaccountUitgeschakeld | De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. | De gebruiker bestaat in de doeltenant, maar het account is uitgeschakeld en de uitnodiging is in behandeling. Schakel het gebruikersaccount in de doeltenant in en probeer de gebruiker opnieuw in te richten. |
| Microsoft Entra ID Verboden |
Uitnodigingen voor externe samenwerking zijn geblokkeerd. | Navigeer naar gebruikersinstellingen en zorg ervoor dat externe samenwerkingsinstellingen zijn toegestaan. |
| Uitnodiging maken OngeldigeEigenschapWaardeFout |
Mogelijke oorzaken: * Het primaire SMTP-adres is een ongeldige waarde. * UserType is niet gast noch lid * Groeps-e-mailadres wordt niet ondersteund |
Mogelijke oplossingen: * Het primaire SMTP-adres heeft een ongeldige waarde. Voor het oplossen van dit probleem moet waarschijnlijk de e-maileigenschap van de brongebruiker worden bijgewerkt. Zie Voorbereiden voor adreslijstsynchronisatie met Microsoft 365 voor meer informatie Zorg ervoor dat de eigenschap userType is ingesteld als type 'gast' of 'lid'. Controleer uw kenmerktoewijzingen om te zien hoe het kenmerk userType is toegewezen. * Het e-mailadres van de gebruiker komt overeen met het e-mailadres van een groep in de tenant. Werk het e-mailadres voor een van de twee objecten bij. |
| Uitnodiging maken FoutOnduidelijkeGebruiker |
De uitgenodigde gebruiker heeft een proxyadres dat overeenkomt met een interne gebruiker in de doeltenant. Het proxyadres moet uniek zijn. | Als u deze fout wilt oplossen, verwijdert u de bestaande interne gebruiker in de doeltenant of verwijdert u deze gebruiker uit het synchronisatiebereik. |
| Microsoft Entra ID KanObjectenNietBijwerken MasteredOnPremises |
Als de gebruiker in de doeltenant oorspronkelijk is gesynchroniseerd van AD naar Microsoft Entra-id en is geconverteerd naar een externe gebruiker, is de bron van autoriteit nog steeds on-premises en kan de gebruiker niet worden bijgewerkt. | De gebruiker kan niet worden bijgewerkt met synchronisatie tussen tenants. |
| EntiteitstypeNietOndersteund | Groepen kunnen worden gebruikt om te bepalen welke gebruikers binnen de reikwijdte van provisioning vallen. Groepsobjecten kunnen niet worden gesynchroniseerd. | De gebruiker hoeft verder niets te doen. Dit is een overgeslagen gebeurtenis. Als u de on-demand voorziening gebruikt, zorg er dan voor dat u een gebruiker kiest in plaats van een groep. |