Provisionamento de aplicativo em status de quarentena
O serviço de provisionamento do Microsoft Entra monitora a integridade da sua configuração. Ele também coloca aplicativos não íntegros em um estado de "quarentena". Se a maioria ou todas as chamadas feitas em relação ao sistema de destino falharem consistentemente, o trabalho de provisionamento será marcado como estando em quarentena. Um exemplo de uma falha é um erro recebido devido a credenciais de administrador inválidas.
Em quarentena:
- A frequência de ciclos incrementais é reduzida gradualmente para uma por dia.
- O trabalho de provisionamento é removido da quarentena depois que todos os erros são corrigidos e o próximo ciclo de sincronização é iniciado.
- Se permanecer em quarentena por mais de quatro semanas, o trabalho de provisionamento será desabilitado (a execução é interrompida).
Como saber se o meu aplicativo está em quarentena?
Há três maneiras de verificar se um aplicativo está em quarentena:
No Centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Aplicativos empresariais><nome do aplicativo>>Provisionamento e verifique se há uma mensagem de quarentena na barra de progresso.
No Centro de administração do Microsoft Entra, navegue até Identidade>Monitoramento e integridade>Logs de auditoria> filtre em Atividade: Quarentena e examine o histórico de quarentena. A exibição na barra de progresso, conforme descrito acima, mostra se o provisionamento está em quarentena no momento. Os logs de auditoria mostram o histórico da quarentena de um aplicativo.
Use a solicitação do Microsoft Graph Obter synchronizationJob para obter programaticamente o status do trabalho de provisionamento:
GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/
Verifique seu email. Quando um aplicativo é colocado em quarentena, um email de notificação de uso único é enviado. Se o motivo da quarentena for alterado, um email atualizado será enviado mostrando o novo motivo para a quarentena. Casoi não veja um email:
- Certifique-se de que tenha especificado um Email de notificação válido na configuração de provisionamento para o aplicativo.
- Certifique-se de que não haja nenhuma filtragem de spam na caixa de entrada de email de notificação.
- Certifique-se de que não tenha cancelado a assinatura de emails.
- Verificar emails de
azure-noreply@microsoft.com
Por que meu aplicativo está em quarentena?
Abaixo estão os motivos comuns pelos quais o aplicativo pode ser posto em quarentena
Descrição | Ação recomendada |
---|---|
Problema de conformidade do SCIM: Uma resposta HTTP/404 não encontrada foi retornada em vez da resposta HTTP/200 OK esperada. Nesse caso, o serviço de provisionamento do Microsoft Entra fez uma solicitação ao aplicativo de destino e recebeu uma resposta inesperada. | Verifique a seção de credenciais de administrador. Veja se o aplicativo requer a especificação da URL do locatário e se a URL está correta. Caso não veja nenhum problema, entre em contato com o desenvolvedor do aplicativo para garantir que seu serviço seja compatível com o SCIM. https://tools.ietf.org/html/rfc7644#section-3.4.2 |
Credenciais inválidas: Ao tentar autorizar acesso ao aplicativo de destino, recebemos uma resposta do aplicativo de destino que indica que as credenciais fornecidas são inválidas. | Navegue até a seção credenciais de administrador da IU de configuração de provisionamento e autorize o acesso novamente com credenciais válidas. Se o aplicativo estiver na galeria, examine o tutorial de configuração do aplicativo para obter mais etapas necessárias. |
Funções duplicadas: as funções importadas de determinados aplicativos, como o Salesforce e o Zendesk, devem ser exclusivas. | Navegue até o manifesto do aplicativo no Centro de administração do Microsoft Entra e remova a função duplicada. |
Uma solicitação do Microsoft Graph para obter o status do trabalho de provisionamento mostra o seguinte motivo para a quarentena:
EncounteredQuarantineException
indica que foram fornecidas credenciais inválidas. O serviço de provisionamento não pode estabelecer uma conexão entre o sistema de origem e o sistema de destino.EncounteredEscrowProportionThreshold
indica que o provisionamento excedeu o limite de caução. Essa condição ocorre quando mais de 40% dos eventos de provisionamento falharam. Para obter mais informações, consulte detalhes do limite de caução abaixo.QuarantineOnDemand
significa que detectamos um problema com o aplicativo e o definimos manualmente como quarentena.
Limites de caução
Se o limite de caução proporcional for atendido, o trabalho de provisionamento entrará em quarentena. Essa lógica está sujeita a alterações, mas funciona, aproximadamente, conforme descrito abaixo:
Um trabalho pode entrar em quarentena independentemente das contagens de falhas para problemas como credenciais de administrador ou conformidade do SCIM. No entanto, em geral, 5.000 falhas são o mínimo para começar a avaliar se é necessário colocar em quarentena devido a muitas falhas. Por exemplo, um trabalho com 4.000 falhas não entrará em quarentena. Mas, um trabalho com 5.000 falhas dispararia uma avaliação. Uma avaliação usa os seguintes critérios:
- Se mais de 40% dos eventos de provisionamento falharem ou houver mais de 40.000 falhas, o trabalho de provisionamento entrará em quarentena. Falhas de referência não serão contadas como parte do limite de 40% ou de 40.000. Por exemplo, uma falha ao atualizar um gerente ou um membro do grupo é uma falha de referência.
- Um trabalho em que 45.000 usuários não foram provisionados com êxito resultaria em quarentena, pois excede o limite de 40.000.
- Um trabalho em que 30.000 usuários tiveram falha no provisionamento e 5.000 foram bem-sucedidos resultaria em quarentena, pois excede o limite de 40% e o mínimo de 5.000.
- Um trabalho com 20.000 falhas e 100.000 êxitos não entraria em quarentena, pois não excede o limite de falha de 40% ou o máximo de 40.000 falhas.
- Há um limite absoluto de 60.000 falhas que conta tanto para falhas de referência e como de não referência. Por exemplo, 40.000 usuários não obtiveram êxito no provisionamento e 21.000 atualizações do gerenciador falharam. O total é de 61.000 falhas e excede o limite de 60.000.
Duração da repetição
A lógica documentada aqui pode ser diferente para determinados conectores para garantir a melhor experiência do cliente, mas geralmente temos os ciclos de repetição abaixo após uma falha:
Após a falha, a primeira repetição ocorrerá em seis horas.
- A segunda repetição ocorre 12 horas após a primeira falha.
- A terceira repetição ocorre 24 horas após a primeira falha.
Haverá novas tentativas a cada 24 horas após a terceira tentativa. As novas tentativas continuarão por 28 dias após a primeira falha, após o que a entrada de garantia será removida e o trabalho será desabilitado.
Se qualquer uma das tentativas acima receber uma resposta bem-sucedida, o trabalho será automaticamente retirado da quarentena e retomará o comportamento regular de sincronização.
Como fazer para tirar meu aplicativo da quarentena?
Primeiro, resolva o problema que fez com que o aplicativo fosse colocado em quarentena.
Verifique as configurações de provisionamento do aplicativo para se certificar de que tenha inserido credenciais de administrador válidas. A ID do Microsoft Entra deve estabelecer uma relação de confiança com o aplicativo de destino. Certifique-se de que tenha inserido credenciais válidas e se sua conta tem as permissões necessárias.
Examine os logs de provisionamento para investigar melhor quais erros estão causando a quarentena e resolver o erro. Vá até Microsoft Entra ID>Aplicativos Empresariais>Logs de provisionamento na seção Atividade.
Depois de resolver o problema, reinicie o trabalho de provisionamento. Determinadas alterações nas configurações de provisionamento do aplicativo, como mapeamentos de atributos ou filtros de escopos, reiniciarão o provisionamento automaticamente para você. A barra de progresso na página de Provisionamento do aplicativo indica quando o provisionamento foi iniciado pela última vez. Caso precise reiniciar o trabalho de provisionamento manualmente, use um dos seguintes métodos:
Use o Centro de administração do Microsoft Entra para reiniciar o trabalho de provisionamento. Na página de Provisionamento do aplicativo, selecione Reiniciar provisionamento. Essa ação reinicia completamente o serviço de provisionamento, o que pode levar algum tempo. Um ciclo inicial completo será executado novamente, o que limpa as cauções, remove o aplicativo da quarentena e limpa as marcas d' água. O serviço, então, avaliará todos os usuários no sistema de origem novamente e determinará se eles estão no escopo do provisionamento. Isso pode ser útil quando o aplicativo está em quarentena no momento, conforme discutido neste artigo, ou quando é necessário fazer uma alteração nos mapeamentos de atributos. Observe que o ciclo inicial leva mais tempo para ser concluído do que o ciclo incremental típico, devido ao número de objetos que precisam ser avaliados. Saiba mais sobre o desempenho dos ciclos iniciais e incrementais aqui.
Use o Microsoft Graph para reiniciar o trabalho de provisionamento. Você terá controle total sobre o que reinicia. É possível optar por limpar as cauções (para reiniciar o contador de cauções que se acumula para o status de quarentena), limpar a quarentena (para remover o aplicativo da quarentena) ou limpar as marcas d' água. Envie a seguinte solicitação:
POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart
Substitua "{ID}" pelo valor da ID do aplicativo e substitua "{jobId}" pela ID do trabalho de sincronização.