Jak pobrać i przeanalizować dzienniki aprowizacji Microsoft Entra
Dzienniki aprowizacji Microsoft Entra zawierają szczegółowe informacje o zdarzeniach aprowizacji występujących w twojej dzierżawie. Możesz użyć informacji przechwyconych w dziennikach aprowizacji, aby rozwiązać problemy dotyczące aprowizowanego użytkownika.
W tym artykule opisano opcje pobierania dzienników aprowizacji z centrum administracyjnego firmy Microsoft Entra i sposobu analizowania dzienników. Uwzględniono również kody błędów i specjalne zagadnienia.
Wymagania wstępne
- Działająca dzierżawa firmy Microsoft Entra ze skojarzoną licencją Microsoft Entra ID P1 lub P2.
-
Reports Reader jest najmniej uprzywilejowaną rolą potrzebną do dostępu do dzienników aprowizacji.
- Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.
Jak wyświetlić dzienniki aprowizacji
Istnieje kilka sposobów wyświetlania lub analizowania dzienników aprowizacji:
- Wyświetl w centrum administracyjnym firmy Microsoft Entra.
- Przekazuj dzienniki do usługi Azure Monitor poprzez ustawienia diagnostyczne.
- Analizowanie dzienników za pomocą szablonów skoroszytów .
- Programowe uzyskiwanie dostępu do dzienników za pośrednictwem interfejsu API programu Microsoft Graph.
- Pobierz dzienniki jako plik CSV lub JSON.
Aby uzyskać dostęp do dzienników w centrum administracyjnym firmy Microsoft Entra:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
- Przejdź do Tożsamość>Monitorowanie i kondycja>Dzienniki udostępniania.
Jak pobrać dzienniki aprowizacji
Aby pobrać dzienniki aprowizacji, wybierz pozycję Pobierz na stronie Dzienniki aprowizacji. Ustaw filtry tak konkretne, jak to możliwe, aby zmniejszyć rozmiar i czas pobierania.
Format CSV
Pobieranie pliku CSV obejmuje trzy pliki:
- ProvisioningLogs: pobiera wszystkie dzienniki, z wyjątkiem kroków aprowizacji i zmodyfikowanych właściwości.
- ProvisioningLogs_ProvisioningSteps: zawiera kroki aprowizacji i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby połączyć zdarzenie z dwoma pozostałymi plikami.
- ProvisioningLogs_ModifiedProperties: zawiera atrybuty, które zostały zmienione i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby połączyć zdarzenie z dwoma pozostałymi plikami.
Format JSON
Aby otworzyć plik JSON, użyj edytora tekstów, takiego jak Microsoft Visual Studio Code. Program Visual Studio Code ułatwia odczytywanie pliku, zapewniając wyróżnianie składni. Możesz również otworzyć plik JSON przy użyciu przeglądarek w formacie niezmienialnym, takim jak Microsoft Edge.
Upiększanie pliku JSON
Plik JSON jest pobierany w formacie, aby zmniejszyć rozmiar pobierania. Ten format może sprawić, że ładunek będzie trudny do odczytania. Aby upiększyć plik, dostępne są dwie opcje:
Użyj programu PowerShell, aby sformatować kod JSON. Ten skrypt tworzy dane wyjściowe JSON w formacie zawierającym karty i spacje:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analizowanie pliku JSON
Możesz użyć dowolnego języka programowania, z którym czujesz się swobodnie. Poniższe przykłady znajdują się w programie PowerShell.
Przeczytaj plik JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Teraz możesz przeanalizować dane zgodnie ze swoim scenariuszem. Oto kilka przykładów:
Wyprowadź wszystkie identyfikatory zadań w pliku JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Wyprowadź wszystkie identyfikatory zmian dla zdarzeń, w których akcja miała wartość "create":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Co należy wiedzieć
Poniżej przedstawiono kilka wskazówek i zagadnień dotyczących analizowania dzienników konfiguracji:
Centrum administracyjne firmy Microsoft Entra przechowuje zgłoszone dane aprowizacji przez 30 dni, jeśli masz wersję Premium i 7 dni, jeśli masz bezpłatną wersję. Można kierować dzienniki aprowizacji do dzienników usługi Azure Monitor w celu przechowywania ich przez okres dłuższy niż 30 dni.
Możesz użyć atrybutu change ID jako unikatowego identyfikatora, co może być przydatne podczas interakcji z pomocą techniczną produktu, na przykład.
Możesz zobaczyć pominięte zdarzenia dla użytkowników, którzy nie są objęci zakresem.
- Przykład 1: Jeśli zakres jest ustawiony na
all users and groupsi skonfigurowane są filtry określania zakresu, mogą zostać wyświetlone pominięte dzienniki dla użytkowników, którzy nie spełniają kryteriów określania zakresu. - Przykład 2: Jeśli zakres jest ustawiony na
assigned users and groups, możesz wciąż widzieć użytkowników w dziennikach jako pominiętych, nawet jeśli nie są przypisani do aplikacji. Sposób, w jaki usługa aprowizacji odbiera zmiany z katalogu, powoduje wyświetlenie tych użytkowników.
- Przykład 1: Jeśli zakres jest ustawiony na
Dzienniki aprowizacji nie pokazują importów ról (dotyczy usług Amazon Web Services, Salesforce i Zendesk). Dzienniki importu ról można znaleźć w dziennikach audytu.
Kody błędów
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji.
| Kod błędu | opis |
|---|---|
| Konflikt KonfliktWejścia |
Popraw sprzeczne wartości atrybutów w identyfikatorze Entra firmy Microsoft lub aplikacji. Możesz też przejrzeć konfigurację pasującego atrybutu, jeśli konto użytkownika powodujące konflikt miało być dopasowane i przejęte. Aby uzyskać więcej informacji na temat konfigurowania pasujących atrybutów, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID. |
| Zbyt wiele żądań | Aplikacja docelowa odrzuciła tę próbę zaktualizowania użytkownika, ponieważ aplikacja odbiera zbyt wiele żądań. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana, a firma Microsoft została powiadomiona o tym problemie. |
| Wewnętrzny Błąd Serwera | Aplikacja docelowa zwróciła nieoczekiwany błąd. Problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| Brak wystarczających uprawnień MethodNotAllowed, Niedozwolone Brak autoryzacji |
Identyfikator Microsoft Entra został uwierzytelniony w aplikacji docelowej, ale nie był autoryzowany do wykonania aktualizacji. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft). |
| Nieprzetworzona jednostka | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji docelowej może nie być poprawna lub problem z usługą w aplikacji docelowej może uniemożliwić jej działanie. |
| WebExceptionProtocolError | Wystąpił błąd protokołu HTTP podczas nawiązywania połączenia z aplikacją docelową. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| InvalidAnchor | Użytkownik, który został wcześniej utworzony lub dopasowany przez usługę aprowizacji, już nie istnieje. Upewnij się, że użytkownik istnieje. Aby wymusić nowe dopasowanie wszystkich użytkowników, użyj interfejsu API programu Microsoft Graph, aby ponownie uruchomić zadanie. Ponowne uruchamianie aprowizacji wyzwala początkowy cykl, który może chwilę potrwać. Ponowne uruchamianie aprowizacji powoduje również usunięcie pamięci podręcznej używanej przez usługę aprowizacji do działania. Oznacza to, że wszyscy użytkownicy i grupy w dzierżawie muszą zostać ponownie ocenione, a niektóre zdarzenia aprowizacji mogą zostać porzucone. |
| Niezrealizowane | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji może nie być poprawna lub problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft). |
| Brak wymaganych pól BrakująceWartości |
Nie można utworzyć użytkownika, ponieważ brakuje wymaganych wartości. Popraw brakujące wartości atrybutów w rekordzie źródłowym lub przejrzyj konfigurację pasujących atrybutów, aby upewnić się, że wymagane pola nie zostały pominięte. Aby uzyskać więcej informacji, zobacz Konfigurowanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w Microsoft Entra ID. |
| Nie znaleziono atrybutu w schemacie | Nie można wykonać operacji, ponieważ określono atrybut, który nie istnieje w aplikacji docelowej. Upewnij się, że konfiguracja jest poprawna, odwołując się do Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w Microsoft Entra ID. |
| Błąd Wewnętrzny | Wystąpił wewnętrzny błąd w usłudze udostępniania w Microsoft Entra. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| NieprawidłowaDomena | Nie można wykonać operacji, ponieważ wartość atrybutu zawiera nieprawidłową nazwę domeny. Zaktualizuj nazwę domeny użytkownika lub dodaj ją do listy dozwolonych w aplikacji docelowej. |
| Timeout | Nie można ukończyć operacji, ponieważ odpowiadanie aplikacji docelowej trwało zbyt długo. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| Przekroczono limit licencji | Nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Pozyskiwanie większej liczby licencji dla aplikacji docelowej. Możesz też przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy mają przypisane odpowiednie atrybuty. |
| ZduplikowaneWpisyDocelowe | Nie można ukończyć operacji, ponieważ więcej niż jeden użytkownik w aplikacji docelowej został znaleziony ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika z aplikacji docelowej lub skonfiguruj ponownie mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w Microsoft Entra ID. |
| Zduplikowane wpisy źródłowe | Nie można ukończyć operacji, ponieważ znaleziono więcej niż jednego użytkownika ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika lub ponownie skonfiguruj mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft. |
| ImportPominięty | Po ocenie każdego użytkownika system próbuje zaimportować użytkownika z systemu źródłowego. Ten błąd występuje często, gdy użytkownik, który jest importowany, nie ma pasującej właściwości zdefiniowanej w mapowaniach atrybutów. Bez wartości znajdującej się w obiekcie użytkownika dla pasującego atrybutu system nie może ocenić zakresu, dopasowania ani wyeksportowania zmian. Obecność tego błędu nie wskazuje, że użytkownik jest objęty zakresem, ponieważ nie dokonano jeszcze oceny zakresu dla tego użytkownika. |
| Synchronizacja wpisu pominięta | Usługa aprowizacji pomyślnie odpytyła system źródłowy i zidentyfikowała użytkownika. Nie podjęto żadnych dalszych działań na użytkowniku i zostały pominięte. Użytkownik mógł być poza zakresem lub już istniał w systemie docelowym bez konieczności wprowadzania dalszych zmian. |
| System dla Tożsamości Międzydomenowej ZarządzanieMultipleEntriesInResponse |
Żądanie GET pobrania użytkownika lub grupy odebrało wielu użytkowników lub grup w odpowiedzi. System oczekuje, że w odpowiedzi otrzyma tylko jednego użytkownika lub grupę. Jeśli na przykład wykonasz żądanie GET Group w celu pobrania grupy, podaj filtr wykluczający członków, a punkt końcowy Systemu Zarządzania Tożsamościami Między Domenami (SCIM) zwróci członków, zostanie wyświetlony ten błąd. |
| System dla Tożsamości Międzydomenowej Niezgodna Usługa Zarządzania |
Usługa aprowizacji Microsoft Entra nie może przeanalizować odpowiedzi z aplikacji spoza Microsoft. Skontaktuj się z deweloperem aplikacji, aby upewnić się, że serwer SCIM jest zgodny z klientem Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | Właściwość w systemie docelowym może akceptować tylko jedną wartość, ale właściwość w systemie źródłowym ma wiele. Upewnij się, że mapujesz atrybut o pojedynczej wartości na właściwość, która zgłasza błąd, zaktualizuj wartość w źródle jako pojedynczą wartość lub usuń atrybut z mapowań. |
Kody błędów synchronizacji między dzierżawami
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak rozwiązać błędy, które można znaleźć w dziennikach udostępniania synchronizacji między dzierżawami.
| Kod błędu | Przyczyna | Rozwiązanie |
|---|---|---|
| AzureActiveDirectoryCannot AktualizujPochodzenieObiektów InExternalService |
Źródłem autorytetu dla użytkownika jest Exchange Online. Usługa wdrażania nie może zaktualizować jednego lub więcej atrybutów Exchange dla użytkownika (np. extensionAttribute 1–15). Wpływa to na użytkowników, którzy istnieli w docelowej dzierżawie, gdy właściwość dirSyncEnabled zmieniła się z "True" na "False". | Zaktualizuj atrybut bezpośrednio w usłudze Exchange Online w docelowej dzierżawie. Na przykład: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell". |
| Microsoft Entra ID Nie można zaktualizować pochodzących obiektów InExternalService |
Silnik synchronizacji nie mógł zaktualizować co najmniej jednej właściwości użytkownika w dzierżawie docelowej. Operacja nie powiodła się w interfejsie Microsoft Graph API z powodu wymuszania źródła autoryzacji (SOA). Obecnie na liście są wyświetlane następujące właściwości: MailshowInAddressList |
W niektórych przypadkach (na przykład gdy showInAddressList właściwość jest częścią aktualizacji użytkownika), silnik synchronizacji może automatycznie ponowić próbę aktualizacji użytkownika bez sprawiającej problemu właściwości. W przeciwnym razie należy zaktualizować właściwość bezpośrednio w dzierżawie docelowej. |
| AzureDirectory Polityka Zarządzania B2B CheckFailure |
Zasady synchronizacji między dzierżawami zezwalające na automatyczne wykup nie powiodły się. Aparat synchronizacji sprawdza, czy administrator dzierżawy docelowej utworzył zasady synchronizacji ruchu przychodzącego między dzierżawami umożliwiające automatyczne wykup. Silnik synchronizacji sprawdza również, czy administrator dzierżawy źródłowej włączył politykę wychodzącą dla automatycznego wykorzystania. |
Upewnij się, że dla dzierżawcy źródłowego i docelowego włączono ustawienie automatycznego wykupu. Aby uzyskać więcej informacji, zobacz Ustawienia automatycznego wykupu. |
| Microsoft Entra ID Przekroczono limit kwoty |
Liczba obiektów w ramach dzierżawy przekracza limit katalogu. Identyfikator Entra firmy Microsoft ma limity liczby obiektów, które można utworzyć w dzierżawie. |
Sprawdź, czy można zwiększyć limit przydziału. Aby uzyskać informacje na temat limitów usługi katalogowej i kroków w celu zwiększenia kwoty, zobacz Limity i ograniczenia usługi Microsoft Entra. |
| BłądTworzeniaZaproszenia | Usługa aprowizacji Microsoft Entra próbowała zaprosić użytkownika do dzierżawy docelowej. To zaproszenie nie powiodło się. | Dalsze badanie prawdopodobnie wymaga skontaktowania się z pomocą techniczną. |
| Nie udało się utworzyć zaproszenia: konto użytkownika jest zablokowane. | Usługa aprowizacji Microsoft Entra próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się. | Użytkownik istnieje w dzierżawie docelowej, ale konto jest wyłączone i oczekuje na zaproszenie. Włącz konto użytkownika w dzierżawie docelowej i spróbuj ponownie aprowizować użytkownika. |
| Microsoft Entra ID Dostęp zabroniony |
Ustawienia współpracy zewnętrznej zablokowały zaproszenia. | Przejdź do ustawień użytkownika i upewnij się, że ustawienia współpracy zewnętrznej są dozwolone. |
| InvitationCreation (Tworzenie zaproszenia) BłądNieprawidłowaWartośćWłaściwości |
Prawdopodobne przyczyny: * Podstawowy adres SMTP jest nieprawidłową wartością. * Typ użytkownika nie jest gościem ani członkiem * Adres e-mail grupy nie jest obsługiwany |
Potencjalne rozwiązania: * Podstawowy adres SMTP ma nieprawidłową wartość. Rozwiązanie tego problemu prawdopodobnie wymaga zaktualizowania właściwości poczty użytkownika źródłowego. Aby uzyskać więcej informacji, zobacz Przygotowanie do synchronizacji katalogów na platformie Microsoft 365 * Upewnij się, że właściwość userType jest aprowizowana jako typ gość lub członek. Sprawdź mapowania atrybutów, aby dowiedzieć się, jak mapowany jest atrybut typu użytkownika. * Adres e-mail użytkownika jest zgodny z adresem e-mail grupy w najemcy. Zaktualizuj adres e-mail dla jednego z dwóch obiektów. |
| InvitationCreation (Tworzenie zaproszenia) Błąd: niejednoznaczny użytkownik |
Zaproszony użytkownik ma adres proxy zgodny z użytkownikiem lokalnym w dzierżawie docelowej. Adres serwera proxy musi być unikatowy. | Aby rozwiązać ten błąd, usuń istniejącego użytkownika wewnętrznego w dzierżawie docelowej lub usuń tego użytkownika z zakresu synchronizacji. |
| Microsoft Entra ID Nie można zaktualizować obiektów MasteredOnPremises |
Jeśli użytkownik w dzierżawie docelowej został pierwotnie zsynchronizowany z Active Directory (AD) do Microsoft Entra ID i przekonwertowany na użytkownika zewnętrznego, źródło uprawnień jest nadal lokalne i nie można go zaktualizować. | Nie można zaktualizować użytkownika za pomocą synchronizacji między dzierżawami. |
| TypPodmiotuNieobsługiwany | Grupy mogą służyć do określenia, którzy użytkownicy są objęci zakresem aprowizacji. Nie można zsynchronizować obiektów grup. | Nie jest wymagane żadne działanie klienta. Jest to pominięte zdarzenie. Jeśli używasz aprowizacji na żądanie, upewnij się, że wybierzesz użytkownika, a nie grupę do aprowizacji. |