Jak pobrać i przeanalizować dzienniki aprowizacji firmy Microsoft
Dzienniki aprowizacji firmy Microsoft zawierają szczegółowe informacje o zdarzeniach aprowizacji występujących w dzierżawie. Możesz użyć informacji przechwyconych w dziennikach aprowizacji, aby rozwiązać problemy z aprowizowanego użytkownika.
W tym artykule opisano opcje pobierania dzienników aprowizacji z centrum administracyjnego firmy Microsoft Entra i sposobu analizowania dzienników. Uwzględniono również kody błędów i specjalne zagadnienia.
Wymagania wstępne
- Działająca dzierżawa firmy Microsoft Entra z skojarzoną licencją Microsoft Entra ID P1 lub P2.
- Czytelnik raportów jest najmniej uprzywilejowaną rolą wymaganą do uzyskania dostępu do dzienników aprowizacji.
- Aby uzyskać pełną listę ról, zobacz Najmniej uprzywilejowana rola według zadania.
Jak wyświetlić dzienniki aprowizacji
Istnieje kilka sposobów wyświetlania lub analizowania dzienników aprowizacji:
- Wyświetl w centrum administracyjnym firmy Microsoft Entra.
- Przesyłanie strumieniowe dzienników do usługi Azure Monitor za pomocą ustawień diagnostycznych.
- Analizowanie dzienników za pomocą szablonów skoroszytów .
- Programowe uzyskiwanie dostępu do dzienników za pośrednictwem interfejsu API programu Microsoft Graph.
- Pobierz dzienniki jako plik CSV lub JSON.
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby uzyskać dostęp do dzienników w centrum administracyjnym firmy Microsoft Entra:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
- Przejdź do dzienników monitorowania tożsamości>i aprowizacji kondycji.>
Jak pobrać dzienniki aprowizacji
Aby pobrać dzienniki aprowizacji, wybierz pozycję Pobierz na stronie Dzienniki aprowizacji. Ustaw filtry tak konkretne, jak to możliwe, aby zmniejszyć rozmiar i czas pobierania.
Format CSV
Pobieranie pliku CSV obejmuje trzy pliki:
- ProvisioningLogs: pobiera wszystkie dzienniki, z wyjątkiem kroków aprowizacji i zmodyfikowanych właściwości.
- ProvisioningLogs_ProvisioningSteps: zawiera kroki aprowizacji i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.
- ProvisioningLogs_ModifiedProperties: zawiera atrybuty, które zostały zmienione i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.
Format JSON
Aby otworzyć plik JSON, użyj edytora tekstów, takiego jak Microsoft Visual Studio Code. Program Visual Studio Code ułatwia odczytywanie pliku, zapewniając wyróżnianie składni. Możesz również otworzyć plik JSON przy użyciu przeglądarek w formacie niezmienialnym, takim jak Microsoft Edge.
Prettify pliku JSON
Plik JSON jest pobierany w formacie, aby zmniejszyć rozmiar pobierania. Ten format może sprawić, że ładunek będzie trudny do odczytania. Aby wywrzeć plik, dostępne są dwie opcje:
Użyj programu PowerShell, aby sformatować kod JSON. Ten skrypt tworzy dane wyjściowe JSON w formacie zawierającym karty i spacje:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analizowanie pliku JSON
Możesz użyć dowolnego języka programowania, z którym się czujesz. Poniższe przykłady znajdują się w programie PowerShell.
Przeczytaj plik JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Teraz możesz przeanalizować dane zgodnie ze swoim scenariuszem. Oto kilka przykładów:
Wyprowadź wszystkie identyfikatory zadań w pliku JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }
Wyprowadź wszystkie identyfikatory zmian dla zdarzeń, w których akcja miała wartość "create":
foreach ($provitem in $JSONContent) {
if ($provItem.action -eq 'Create') {
$provitem.changeId
}
}
Co należy wiedzieć
Poniżej przedstawiono kilka wskazówek i zagadnień dotyczących analizowania dzienników aprowizacji:
Centrum administracyjne firmy Microsoft Entra przechowuje zgłoszone dane aprowizacji przez 30 dni, jeśli masz wersję Premium i 7 dni, jeśli masz bezpłatną wersję. Dzienniki aprowizacji można kierować do dzienników usługi Azure Monitor w celu przechowywania przez 30 dni.
Możesz użyć atrybutu change ID jako unikatowego identyfikatora, co może być przydatne podczas interakcji z pomocą techniczną produktu, na przykład.
Możesz zobaczyć pominięte zdarzenia dla użytkowników, którzy nie są w zakresie.
- Przykład 1: Jeśli zakres jest ustawiony na i skonfigurować
all users and groups
filtry określania zakresu, mogą zostać wyświetlone pominięte dzienniki dla użytkowników, którzy nie spełniają kryteriów określania zakresu. - Przykład 2: Jeśli zakres jest ustawiony na
assigned users and groups
, możesz nadal widzieć użytkowników w dziennikach jako pominiętych, mimo że nie są przypisane do aplikacji. Sposób, w jaki usługa aprowizacji odbiera zmiany z katalogu, powoduje wyświetlenie tych użytkowników.
- Przykład 1: Jeśli zakres jest ustawiony na i skonfigurować
Dzienniki aprowizacji nie pokazują importów ról (dotyczy usług Amazon Web Services, Salesforce i Zendesk). Dzienniki importu ról można znaleźć w dziennikach inspekcji.
Kody błędów
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji.
Kod błędu | opis |
---|---|
Konflikt EntryConflict |
Popraw sprzeczne wartości atrybutów w identyfikatorze Entra firmy Microsoft lub aplikacji. Możesz też przejrzeć konfigurację pasującego atrybutu, jeśli konto użytkownika powodujące konflikt miało być dopasowane i przejęte. Aby uzyskać więcej informacji na temat konfigurowania pasujących atrybutów, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID. |
TooManyRequests | Aplikacja docelowa odrzuciła tę próbę zaktualizowania użytkownika, ponieważ aplikacja odbiera zbyt wiele żądań. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana, a firma Microsoft została powiadomiona o tym problemie. |
InternalServerError | Aplikacja docelowa zwróciła nieoczekiwany błąd. Problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
InsufficientRights, MethodNotAllowed, NotPermitted, Brak autoryzacji |
Identyfikator Entra firmy Microsoft uwierzytelniony w aplikacji docelowej, ale nie został autoryzowany do wykonania aktualizacji. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft). |
Nieprzetworzonaentność | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji docelowej może nie być poprawna lub problem z usługą w aplikacji docelowej może uniemożliwić jej działanie. |
Błąd WebExceptionProtocolError | Wystąpił błąd protokołu HTTP podczas nawiązywania połączenia z aplikacją docelową. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
InvalidAnchor | Użytkownik, który został wcześniej utworzony lub dopasowany przez usługę aprowizacji, już nie istnieje. Upewnij się, że użytkownik istnieje. Aby wymusić nowe dopasowanie wszystkich użytkowników, użyj interfejsu API programu Microsoft Graph, aby ponownie uruchomić zadanie. Ponowne uruchamianie aprowizacji wyzwala początkowy cykl, który może zająć trochę czasu. Ponowne uruchamianie aprowizacji powoduje również usunięcie pamięci podręcznej używanej przez usługę aprowizacji do działania. Oznacza to, że wszyscy użytkownicy i grupy w dzierżawie muszą zostać ponownie ocenione, a niektóre zdarzenia aprowizacji mogą zostać porzucone. |
Nieimplementowane | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji może nie być poprawna lub problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft). |
ObowiązkoweFieldsMissing, MissingValues |
Nie można utworzyć użytkownika, ponieważ brakuje wymaganych wartości. Popraw brakujące wartości atrybutów w rekordzie źródłowym lub przejrzyj konfigurację pasujących atrybutów, aby upewnić się, że wymagane pola nie zostały pominięte. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft. |
SchemaAttributeNotFound | Nie można wykonać operacji, ponieważ określono atrybut, który nie istnieje w aplikacji docelowej. Upewnij się, że konfiguracja jest poprawna, korzystając z artykułu Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID. |
InternalError | Wystąpił wewnętrzny błąd usługi w usłudze aprowizacji firmy Microsoft. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
InvalidDomain | Nie można wykonać operacji, ponieważ wartość atrybutu zawiera nieprawidłową nazwę domeny. Zaktualizuj nazwę domeny użytkownika lub dodaj ją do listy dozwolonych w aplikacji docelowej. |
Timeout | Nie można ukończyć operacji, ponieważ odpowiadanie aplikacji docelowej trwało zbyt długo. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
LicenseLimitExceed | Nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Pozyskiwanie większej liczby licencji dla aplikacji docelowej. Możesz też przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy mają przypisane odpowiednie atrybuty. |
DuplicateTargetEntries | Nie można ukończyć operacji, ponieważ więcej niż jeden użytkownik w aplikacji docelowej został znaleziony ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika z aplikacji docelowej lub skonfiguruj ponownie mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft. |
DuplicateSourceEntries | Nie można ukończyć operacji, ponieważ znaleziono więcej niż jednego użytkownika ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika lub ponownie skonfiguruj mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft. |
ImportSkipped | Po ocenie każdego użytkownika system próbuje zaimportować użytkownika z systemu źródłowego. Ten błąd występuje często, gdy użytkownik, który jest importowany, nie ma pasującej właściwości zdefiniowanej w mapowaniach atrybutów. Bez wartości znajdującej się w obiekcie użytkownika dla pasującego atrybutu system nie może ocenić zakresu, dopasowania ani wyeksportowania zmian. Obecność tego błędu nie wskazuje, że użytkownik jest w zakresie, ponieważ nie oceniono jeszcze zakresu dla użytkownika. |
EntrySynchronizationSkipped | Usługa aprowizacji pomyślnie odpytyła system źródłowy i zidentyfikowała użytkownika. Nie podjęto żadnych dalszych działań na użytkowniku i zostały pominięte. Użytkownik mógł być poza zakresem lub już istniał w systemie docelowym bez konieczności wprowadzania dalszych zmian. |
SystemForCrossDomainIdentity ZarządzanieMultipleEntriesInResponse |
Żądanie GET pobrania użytkownika lub grupy odebrało wielu użytkowników lub grup w odpowiedzi. System oczekuje, że w odpowiedzi otrzyma tylko jednego użytkownika lub grupę. Jeśli na przykład wykonasz żądanie GRUPY GET w celu pobrania grupy, podaj filtr wykluczania elementów członkowskich, a punkt końcowy system zarządzania tożsamościami między domenami (SCIM) zwróci elementy członkowskie, zostanie wyświetlony ten błąd. |
SystemForCrossDomainIdentity ZarządzanieUsługi Niezgodne |
Usługa aprowizacji firmy Microsoft nie może przeanalizować odpowiedzi z aplikacji innej niż Microsoft. Skontaktuj się z deweloperem aplikacji, aby upewnić się, że serwer SCIM jest zgodny z klientem Microsoft Entra SCIM. |
SchemaPropertyCanOnlyAcceptValue | Właściwość w systemie docelowym może akceptować tylko jedną wartość, ale właściwość w systemie źródłowym ma wiele. Upewnij się, że mapujesz atrybut o pojedynczej wartości na właściwość, która zgłasza błąd, zaktualizuj wartość w źródle jako pojedynczą wartość lub usuń atrybut z mapowań. |
Kody błędów synchronizacji między dzierżawami
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji synchronizacji między dzierżawami.
Kod błędu | Przyczyna | Rozwiązanie |
---|---|---|
AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
Źródłem urzędu dla użytkownika jest usługa Exchange Online. Usługa aprowizacji nie może zaktualizować co najmniej jednego atrybutu wymiany użytkownika (np. extensionAttribute 1–15). Ma to wpływ na użytkowników, którzy istniały w dzierżawie docelowej, gdy właściwość dirSyncEnabled zmieniła się z "True" na "False". | Zaktualizuj atrybut bezpośrednio w lokalnej usłudze exchange dzierżawy w trybie online. Na przykład: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" . |
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Aparat synchronizacji nie może zaktualizować co najmniej jednej właściwości użytkownika w dzierżawie docelowej. Operacja nie powiodła się w interfejsie MICROSOFT Graph API z powodu wymuszania źródła urzędu (SOA). Obecnie na liście są wyświetlane następujące właściwości: Mail showInAddressList |
W niektórych przypadkach (na przykład gdy showInAddressList właściwość jest częścią aktualizacji użytkownika), aparat synchronizacji może automatycznie ponowić próbę aktualizacji (użytkownika) bez właściwości naruszającej. W przeciwnym razie należy zaktualizować właściwość bezpośrednio w dzierżawie docelowej. |
AzureDirectory B2BManagementPolicy CheckFailure |
Zasady synchronizacji między dzierżawami zezwalające na automatyczne wykup nie powiodły się. Aparat synchronizacji sprawdza, czy administrator dzierżawy docelowej utworzył zasady synchronizacji ruchu przychodzącego między dzierżawami umożliwiające automatyczne wykup. Aparat synchronizacji sprawdza również, czy administrator dzierżawy źródłowej włączył zasady ruchu wychodzącego na potrzeby automatycznego realizacji. |
Upewnij się, że dla dzierżaw źródłowych i docelowych włączono ustawienie automatycznego realizacji. Aby uzyskać więcej informacji, zobacz Automatyczne ustawienie wykupu. |
Microsoft Entra ID QuotaLimitExceed |
Liczba obiektów w dzierżawie przekracza limit katalogu. Identyfikator Entra firmy Microsoft ma limity liczby obiektów, które można utworzyć w dzierżawie. |
Sprawdź, czy można zwiększyć limit przydziału. Aby uzyskać informacje na temat limitów katalogów i kroków w celu zwiększenia limitu przydziału, zobacz Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Firmy Microsoft Entra). |
InvitationCreationFailure | Usługa aprowizacji firmy Microsoft próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się. | Dalsze badanie prawdopodobnie wymaga skontaktowania się z pomocą techniczną. |
InvitationCreationFailureUserAccountDisabled | Usługa aprowizacji firmy Microsoft próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się. | Użytkownik istnieje w dzierżawie docelowej, ale konto jest wyłączone i oczekuje na zaproszenie. Włącz konto użytkownika w dzierżawie docelowej i spróbuj ponownie aprowizować użytkownika. |
Microsoft Entra ID Dostęp zabroniony |
Ustawienia współpracy zewnętrznej zablokowały zaproszenia. | Przejdź do ustawień użytkownika i upewnij się, że ustawienia współpracy zewnętrznej są dozwolone. |
InvitationCreation (Tworzenie zaproszenia) FailureInvalidPropertyValue |
Prawdopodobne przyczyny: * Podstawowy adres SMTP jest nieprawidłową wartością. * Typ użytkownika nie jest gościem ani członkiem * Adres e-mail grupy nie jest obsługiwany |
Potencjalne rozwiązania: * Podstawowy adres SMTP ma nieprawidłową wartość. Rozwiązanie tego problemu prawdopodobnie wymaga zaktualizowania właściwości poczty użytkownika źródłowego. Aby uzyskać więcej informacji, zobacz Przygotowanie do synchronizacji katalogów na platformie Microsoft 365 * Upewnij się, że właściwość userType jest aprowizowana jako typ gość lub członek. Sprawdź mapowania atrybutów, aby dowiedzieć się, jak jest mapowany atrybut userType. * Adres e-mail użytkownika jest zgodny z adresem e-mail grupy w dzierżawie. Zaktualizuj adres e-mail dla jednego z dwóch obiektów. |
InvitationCreation (Tworzenie zaproszenia) Błąd Niejednoznaczny użytkownik |
Zaproszony użytkownik ma adres proxy zgodny z użytkownikiem wewnętrznym w dzierżawie docelowej. Adres serwera proxy musi być unikatowy. | Aby rozwiązać ten błąd, usuń istniejącego użytkownika wewnętrznego w dzierżawie docelowej lub usuń tego użytkownika z zakresu synchronizacji. |
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Jeśli użytkownik w dzierżawie docelowej został pierwotnie zsynchronizowany z usługi AD do identyfikatora Entra firmy Microsoft i przekonwertowany na użytkownika zewnętrznego, źródło urzędu jest nadal lokalne i nie można go zaktualizować. | Nie można zaktualizować użytkownika za pomocą synchronizacji między dzierżawami. |
EntityTypeNotSupported | Grupy mogą służyć do określania zakresu aprowizacji użytkowników. Nie można zsynchronizować obiektów grup. | Nie jest wymaga żadna akcja klienta. Jest to pominięte zdarzenie. Jeśli używasz aprowizacji na żądanie, upewnij się, że wybierzesz użytkownika, a nie grupę do aprowizacji. |