Verificar o status do provisionamento do usuário
O serviço de provisionamento Microsoft Entra executa um ciclo de provisionamento inicial no sistema de origem e no sistema de destino, seguido por ciclos incrementais periódicos. Ao configurar o provisionamento para um aplicativo, você pode verificar o status atual do serviço de provisionamento e ver quando um usuário pode acessar um aplicativo.
Exibir a barra de progresso de provisionamento
Na página Provisionamento de um aplicativo, você pode exibir o status do serviço de provisionamento do Microsoft Entra. A seção Status Atual na parte inferior da página mostra se um ciclo de provisionamento começou a provisionar contas de usuário. Você pode observar o progresso do ciclo, ver quantos usuários e grupos foram provisionados e quantas funções foram criadas.
Quando você configura o provisionamento automático pela primeira vez, a seção Status atual na parte inferior da página mostra o status do ciclo de provisionamento inicial. Esta seção é atualizada sempre que um ciclo incremental é executado. Os seguintes detalhes são mostrados:
- O tipo de ciclo de provisionamento (inicial ou incremental) que está em execução atualmente ou foi concluído pela última vez.
- Uma barra de progresso mostrando a porcentagem do ciclo de provisionamento concluído. A porcentagem reflete a contagem de páginas provisionadas. Cada página pode conter vários usuários ou grupos, portanto, a porcentagem não se correlaciona diretamente com o número de usuários, grupos ou funções provisionadas.
- Um botão Atualizar que você pode usar para manter a exibição atualizada.
- O número de Usuários e Grupos no armazenamento de dados do conector. A contagem aumenta sempre que um objeto é adicionado ao escopo do provisionamento. A contagem não diminui se um usuário for excluído ou excluído porque a operação não remove o objeto do armazenamento de dados do conector. A contagem é recalculada na primeira sincronização após o CDS ser redefinido
- Um link Exibir logs de auditoria, que abre os logs de provisionamento do Microsoft Entra. Para saber mais sobre as operações executadas pelo serviço de provisionamento de usuário, incluindo o status de provisionamento para usuários individuais, consulte Usar logs de provisionamento mais adiante no artigo.
Após a conclusão de um ciclo de provisionamento, a seção Estatísticas até a data mostra os números acumulados de usuários e grupos que foram provisionados até a data, juntamente com a data de conclusão e a duração do último ciclo. O ID de atividade identifica exclusivamente o ciclo de provisionamento mais recente. A ID do Trabalho é um identificador exclusivo para o trabalho de provisionamento e é específica para o aplicativo em seu locatário.
O progresso do provisionamento é exibido no centro de administração do Microsoft Entra em Provisionamento>> de aplicativos> corporativos de aplicativos corporativos [nome do aplicativo]. >
Você também pode usar o Microsoft Graph para monitorar programaticamente o status do provisionamento para um aplicativo. Para obter mais informações, consulte monitorar o provisionamento.
Usar logs de provisionamento para verificar o status de provisionamento de um usuário
Para ver o status de provisionamento de um usuário selecionado, consulte os logs de provisionamento na ID do Microsoft Entra. Todas as operações executadas pelo serviço de provisionamento do usuário são registradas nos logs de provisionamento do Microsoft Entra. Os logs incluem operações de leitura e gravação feitas nos sistemas de origem e destino. Os dados de usuário associados relacionados a operações de leitura e gravação também são registrados.
Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra selecionando Aplicativos de identidade>>, Aplicativos corporativos>, Logs de provisionamento, na seção Atividade. Você pode pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Para obter detalhes, consulte Provisionamento de logs.
Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo:
- Consultando a ID do Microsoft Entra para usuários atribuídos que estão no escopo para provisionamento
- Consultando o aplicativo de destino para a existência desses usuários
- Comparando os objetos do usuário entre o sistema
- Adicionar, atualizar ou desativar a conta de usuário no sistema de destino com base na comparação
Para obter mais informações sobre como ler os logs de provisionamento no centro de administração do Microsoft Entra, consulte o guia de relatórios de provisionamento.
Quanto tempo levará para provisionar usuários?
Quando você estiver usando o provisionamento automático de usuários com um aplicativo, há algumas coisas a ter em mente. Primeiro, o Microsoft Entra ID provisiona e atualiza automaticamente as contas de usuário em um aplicativo com base em coisas como atribuição de usuário e grupo. A sincronização acontece em um intervalo de tempo agendado regularmente, normalmente a cada 40 minutos.
O tempo que leva para um determinado usuário ser provisionado depende principalmente se seu trabalho de provisionamento está executando um ciclo inicial ou um ciclo incremental.
Para o ciclo inicial, o tempo de trabalho depende de muitos fatores, incluindo o número de usuários e grupos no escopo para provisionamento e o número total de usuários e grupos no sistema de origem. A primeira sincronização entre o Microsoft Entra ID e um aplicativo acontece em até 20 minutos ou leva até várias horas. O tempo depende do tamanho do diretório do Microsoft Entra e do número de usuários no escopo de provisionamento. Uma lista abrangente de fatores que afetam o desempenho do ciclo inicial é resumida mais adiante nesta seção.
Para ciclos incrementais, após o ciclo inicial, os tempos de trabalho tendem a ser mais rápidos (dentro de 10 minutos), pois o serviço de provisionamento armazena marcas d'água que representam o estado de ambos os sistemas após o ciclo inicial, melhorando o desempenho das sincronizações subsequentes. O tempo de trabalho depende do número de alterações detetadas nesse ciclo de provisionamento. Se houver menos de 5.000 alterações de membros de usuários ou grupos, o trabalho poderá ser concluído em um único ciclo de provisionamento incremental.
A tabela a seguir resume os tempos de sincronização para cenários comuns de provisionamento. Nesses cenários, o sistema de origem é o Microsoft Entra ID e o sistema de destino é um aplicativo SaaS. Os tempos de sincronização são derivados de uma análise estatística de trabalhos de sincronização para os aplicativos SaaS ServiceNow, Workplace, Salesforce e G Suite.
Configuração do escopo | Usuários, grupos e membros no escopo | Tempo de ciclo inicial |
---|---|---|
Sincronizar apenas utilizadores e grupos atribuídos | < 1,000 | < 30 minutos |
Sincronizar apenas utilizadores e grupos atribuídos | 1.000 - 10.000 | 142 - 708 minutos |
Sincronizar apenas utilizadores e grupos atribuídos | 10,000 - 100,000 | 1.170 - 2.340 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | < 1,000 | < 30 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | 1.000 - 10.000 | < 30 - 120 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | 10,000 - 100,000 | 713 - 1.425 minutos |
Sincronizar todos os usuários no Microsoft Entra ID | < 1,000 | < 30 minutos |
Sincronizar todos os usuários no Microsoft Entra ID | 1.000 - 10.000 | 43 - 86 minutos |
Somente para a configuração Sincronizar usuários e grupos atribuídos, você pode usar as seguintes fórmulas para determinar os tempos de ciclo inicial mínimos e máximos esperados aproximados:
- Minutos mínimos = 0,01 x [Número de usuários, grupos e membros do grupo atribuídos]
- Máximo de minutos = 0,08 x [Número de usuários, grupos e membros do grupo atribuídos]
Resumo dos fatores que influenciam o tempo necessário para completar um ciclo inicial:
O número total de usuários e grupos no escopo para provisionamento.
O número total de usuários, grupos e membros do grupo presentes no sistema de origem (ID do Microsoft Entra).
Se os usuários no escopo para provisionamento correspondem aos usuários existentes no aplicativo de destino ou precisam ser criados pela primeira vez. Os trabalhos de sincronização para os quais todos os usuários são criados pela primeira vez levam cerca de duas vezes mais tempo do que os trabalhos de sincronização para os quais todos os usuários são correspondidos aos usuários existentes.
Número de erros nos logs de provisionamento. O desempenho é mais lento se houver muitos erros e o serviço de provisionamento tiver entrado em um estado de quarentena.
Limites de taxa de solicitação e limitação implementados pelo sistema de destino. Alguns sistemas de destino implementam limites de taxa de solicitação e limitação, o que pode afetar o desempenho durante grandes operações de sincronização. Nessas condições, um aplicativo que recebe muitas solicitações muito rápido pode diminuir sua taxa de resposta ou fechar a conexão. Para melhorar o desempenho, o conector precisa se ajustar não enviando as solicitações do aplicativo mais rápido do que o aplicativo pode processá-las. Os conectores de provisionamento criados pela Microsoft fazem esse ajuste.
O número e os tamanhos dos grupos atribuídos. A sincronização de grupos atribuídos leva mais tempo do que a sincronização de usuários. Tanto o número quanto o tamanho dos grupos atribuídos afetam o desempenho. Se um aplicativo tiver mapeamentos habilitados para sincronização de objetos de grupo, as propriedades do grupo, como nomes de grupo e associações, serão sincronizadas além dos usuários. Essas sincronizações levam mais tempo do que apenas sincronizar objetos de usuário.
Se o desempenho se tornar um problema e você estiver tentando provisionar a maioria dos usuários e grupos em seu locatário, use filtros de escopo. Os filtros de escopo permitem ajustar os dados que o serviço de provisionamento extrai da ID do Microsoft Entra filtrando os usuários com base em valores de atributos específicos. Para obter mais informações sobre filtros de escopo, consulte Provisionamento de aplicativos baseado em atributos com filtros de escopo.
Na maioria dos casos, o ciclo incremental termina em 30 minutos. No entanto, quando há centenas ou milhares de alterações de usuários ou alterações de associação de grupo, o tempo de ciclo incremental aumentará proporcionalmente com o número de alterações a serem processadas e pode levar várias horas. Usar a sincronização de usuários e grupos atribuídos e minimizar o número de usuários/grupos no escopo para provisionamento ajudará a reduzir o tempo de sincronização.
Recomendações para reduzir o tempo de provisionamento de um usuário e/ou grupo:
- Defina o escopo de provisionamento para sincronizar
assigned users and groups
, em vez desync all users and groups
. - Minimize o número de usuários e grupos no escopo do provisionamento.
- Crie vários trabalhos de provisionamento direcionados ao mesmo sistema. Ao fazer isso, cada trabalho de sincronização funcionará de forma independente, reduzindo o tempo para processar alterações. Certifique-se de que o escopo dos usuários seja distinto entre esses trabalhos de provisionamento para evitar que as alterações de um trabalho afetem outro.
- Adicione filtros de escopo para limitar ainda mais o número de usuários e grupos no escopo do provisionamento.
Auditar alterações na configuração de provisionamento
As alterações de configuração de provisionamento são registradas nos logs de auditoria. Os usuários com as permissões necessárias, como administrador de aplicativos e leitor de relatórios, podem acessar logs por meio da interface do usuário de logs de auditoria, da API e do PowerShell. Você pode usar o filtro de atividade nos logs de auditoria para identificar as seguintes ações.
Nota
Para ações que o serviço de provisionamento executa, como criar usuários, atualizar usuários e excluir usuários, recomendamos o uso dos logs de provisionamento. Para monitorar as alterações na configuração de provisionamento, recomendamos o uso dos logs de auditoria.
Ação | Atividade (filtrar os logs nesta propriedade) |
---|---|
Atualizar credenciais (por exemplo, adicionar um novo token de portador) | Atualizar configuração ou credenciais de provisionamento |
Alterar as configurações em seu trabalho de provisionamento (por exemplo, e-mail de notificação, sincronizar todos vs. sincronizar usuários e grupos atribuídos, prevenção de exclusões acidentais) | Atualizar configuração ou credenciais de provisionamento |
Iniciar o provisionamento | Ativar/iniciar a configuração de provisionamento |
Interromper o provisionamento | Desativar/pausar a configuração de provisionamento |
Reiniciar o aprovisionamento | Ativar/reiniciar a configuração de provisionamento |
Atualizar mapeamentos de atributos ou regras de escopo | Atualizar mapeamentos de atributos ou escopo |