Como baixar e analisar os logs de provisionamento do Microsoft Entra
Os logs de provisionamento do Microsoft Entra fornecem detalhes sobre os eventos de provisionamento que ocorrem em seu locatário. Você pode usar as informações capturadas nos logs de provisionamento para ajudar a solucionar problemas com um usuário provisionado.
Este artigo descreve as opções para baixar os logs de provisionamento do centro de administração do Microsoft Entra e como analisar os logs. Códigos de erro e considerações especiais também estão incluídos.
Pré-requisitos
- Um locatário do Microsoft Entra em funcionamento com uma licença do Microsoft Entra ID P1 ou P2 associada a ele.
- O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de provisionamento.
- Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.
Como exibir os logs de provisionamento
Há várias maneiras de exibir ou analisar os logs de provisionamento:
- Ver no centro de administração do Microsoft Entra.
- Transmita logs para o Azure Monitor por meio de configurações de diagnóstico.
- Analise logs por meio de modelos de pasta de trabalho .
- Acesse logs programaticamente por meio da API do Microsoft Graph.
- Baixe os logs como um arquivo CSV ou JSON.
Gorjeta
As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.
Para acessar os logs no centro de administração do Microsoft Entra:
- Entre no centro de administração do Microsoft Entra como pelo menos um Leitor de Relatórios.
- Navegue até Monitoramento de identidade>& logs de provisionamento de integridade>.
Como baixar os logs de provisionamento
Para baixar os logs de provisionamento, selecione Baixar na página Logs de provisionamento. Defina os filtros o mais específicos possível para reduzir o tamanho e o tempo do download.
Formato CSV
O download CSV inclui três arquivos:
- ProvisioningLogs: Baixa todos os logs, exceto as etapas de provisionamento e as propriedades modificadas.
- ProvisioningLogs_ProvisioningSteps: Contém as etapas de provisionamento e a ID de alteração. Você pode usar o ID de alteração para ingressar no evento com os outros dois arquivos.
- ProvisioningLogs_ModifiedProperties: Contém os atributos que foram alterados e a ID de alteração. Você pode usar o ID de alteração para ingressar no evento com os outros dois arquivos.
Formato JSON
Para abrir o arquivo JSON, use um editor de texto, como o Microsoft Visual Studio Code. O Visual Studio Code torna o arquivo mais fácil de ler fornecendo realce de sintaxe. Você também pode abrir o arquivo JSON usando navegadores em um formato não editável, como o Microsoft Edge.
Prettify o arquivo JSON
O arquivo JSON é baixado em um formato para reduzir o tamanho do download. Este formato pode tornar a carga útil difícil de ler. Para prettify o arquivo, há duas opções:
Use o PowerShell para formatar o JSON. Esse script produz uma saída JSON em um formato que inclui guias e espaços:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analisar o arquivo JSON
Você pode usar qualquer linguagem de programação com a qual se sinta confortável. Os exemplos a seguir estão no PowerShell.
Leia o arquivo JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Agora você pode analisar os dados de acordo com seu cenário. Eis alguns exemplos:
Saída de todos os IDs de trabalho no arquivo JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }
Saída de todas as IDs de alteração para eventos em que a ação foi "criada":
foreach ($provitem in $JSONContent) {
if ($provItem.action -eq 'Create') {
$provitem.changeId
}
}
O que deve saber
Aqui estão algumas dicas e considerações para analisar os logs de provisionamento:
O centro de administração do Microsoft Entra armazena dados de provisionamento relatados por 30 dias se você tiver uma edição premium e 7 dias se tiver uma edição gratuita. Você pode rotear os logs de provisionamento para os logs do Azure Monitor para retenção além de 30 dias.
Você pode usar o atributo change ID como identificador exclusivo, o que pode ser útil quando você está interagindo com o suporte ao produto, por exemplo.
Você pode ver eventos ignorados para usuários que não estão no escopo.
- Exemplo 1: Se o escopo estiver definido como
all users and groups
e configurar filtros de escopo, você poderá ver logs ignorados para usuários que não atendem aos critérios de escopo. - Exemplo 2: Se o escopo estiver definido como
assigned users and groups
, você poderá continuar a ver os usuários nos logs como ignorados, mesmo que eles não estejam atribuídos ao aplicativo. A maneira como o serviço de provisionamento recebe alterações do diretório faz com que esses usuários apareçam.
- Exemplo 1: Se o escopo estiver definido como
Os logs de provisionamento não mostram importações de função (aplica-se à Amazon Web Services, Salesforce e Zendesk). Você pode encontrar os logs para importações de função nos logs de auditoria.
Códigos de erro
Use a tabela a seguir para entender melhor como resolver erros encontrados nos logs de provisionamento.
Código de erro | Description |
---|---|
Conflito, EntryConflict |
Corrija os valores de atributo conflitantes no ID do Microsoft Entra ou no aplicativo. Ou revise sua configuração de atributo correspondente se a conta de usuário conflitante deveria ser correspondida e assumida. Para obter mais informações sobre como configurar atributos correspondentes, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
TooManyRequests | O aplicativo de destino rejeitou essa tentativa de atualizar o usuário porque o aplicativo está recebendo muitas solicitações. Não há nada a fazer. Esta tentativa é automaticamente repetida e a Microsoft foi notificada deste problema. |
InternalServerError | O aplicativo de destino retornou um erro inesperado. Um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. Esta tentativa é repetida automaticamente em 40 minutos. |
Direitos insuficientes, MethodNotAllowed, Não permitido, Não autorizado |
A ID do Microsoft Entra foi autenticada com o aplicativo de destino, mas não foi autorizada a executar a atualização. Analise todas as instruções fornecidas pelo aplicativo de destino, juntamente com o respetivo aplicativo. Para obter mais informações, consulte Tutoriais para integrar aplicativos com o Microsoft Entra ID. |
UnprocessableEntity | O aplicativo de destino retornou uma resposta inesperada. A configuração do aplicativo de destino pode não estar correta ou um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. |
WebExceptionProtocolError | Ocorreu um erro de protocolo HTTP ao conectar-se ao aplicativo de destino. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
InvalidAnchor | Um usuário que foi criado anteriormente ou correspondido pelo serviço de provisionamento não existe mais. Certifique-se de que o usuário existe. Para forçar uma nova correspondência de todos os usuários, use a API do Microsoft Graph para reiniciar o trabalho. A reinicialização do provisionamento aciona um ciclo inicial, que pode levar tempo para ser concluído. A reinicialização do provisionamento também exclui o cache que o serviço de provisionamento usa para operar. Isso significa que todos os usuários e grupos no locatário devem ser avaliados novamente e certos eventos de provisionamento podem ser descartados. |
NãoImplementado | O aplicativo de destino retornou uma resposta inesperada. A configuração do aplicativo pode não estar correta ou um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. Analise todas as instruções fornecidas pelo aplicativo de destino, juntamente com o respetivo aplicativo. Para obter mais informações, consulte Tutoriais para integrar aplicativos com o Microsoft Entra ID. |
Campos obrigatóriosAusentes, MissingValues |
O usuário não pôde ser criado porque os valores necessários estão faltando. Corrija os valores de atributo ausentes no registro de origem ou revise sua configuração de atributo correspondente para garantir que os campos obrigatórios não sejam omitidos. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
SchemaAttributeNotFound | A operação não pôde ser executada porque foi especificado um atributo que não existe no aplicativo de destino. Certifique-se de que sua configuração está correta consultando Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
Erro interno | Ocorreu um erro de serviço interno no serviço de provisionamento do Microsoft Entra. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
Domínio Inválido | A operação não pôde ser executada porque um valor de atributo contém um nome de domínio inválido. Atualize o nome de domínio no usuário ou adicione-o à lista de permissões no aplicativo de destino. |
Limite de tempo excedido | A operação não pôde ser concluída porque o aplicativo de destino demorou muito para responder. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
LicenseLimitExceeded | O usuário não pôde ser criado no aplicativo de destino porque não há licenças disponíveis para esse usuário. Obtenha mais licenças para o aplicativo de destino. Ou revise suas atribuições de usuário e configuração de mapeamento de atributos para garantir que os usuários corretos sejam atribuídos com os atributos corretos. |
DuplicateTargetEntries | A operação não pôde ser concluída porque mais de um usuário no aplicativo de destino foi encontrado com os atributos de correspondência configurados. Remova o usuário duplicado do aplicativo de destino ou reconfigure seus mapeamentos de atributo. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
DuplicateSourceEntries | A operação não pôde ser concluída porque mais de um usuário foi encontrado com os atributos de correspondência configurados. Remova o usuário duplicado ou reconfigure os mapeamentos de atributos. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
ImportIgnorado | Quando cada usuário é avaliado, o sistema tenta importá-lo do sistema de origem. Esse erro geralmente ocorre quando o usuário que está sendo importado não tem a propriedade correspondente definida em seus mapeamentos de atributo. Sem um valor presente no objeto de usuário para o atributo de correspondência, o sistema não pode avaliar o escopo, a correspondência ou as alterações de exportação. A presença desse erro não indica que o usuário está no escopo, porque você ainda não avaliou o escopo para o usuário. |
EntrySynchronizationSkipped | O serviço de provisionamento consultou com êxito o sistema de origem e identificou o usuário. Nenhuma outra ação foi tomada sobre o usuário e eles foram ignorados. O usuário pode estar fora do escopo ou já existir no sistema de destino sem mais alterações necessárias. |
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Uma solicitação GET para recuperar um usuário ou grupo recebeu vários usuários ou grupos na resposta. O sistema espera receber apenas um usuário ou grupo na resposta. Por exemplo, se você fizer uma solicitação de Grupo GET para recuperar um grupo, fornecer um filtro para excluir membros e seu ponto de extremidade System for Cross-Domain Identity Management (SCIM) retornar os membros, esse erro será exibido. |
SystemForCrossDomainIdentity ManagementServiceIncompatível |
O serviço de provisionamento Microsoft Entra não consegue analisar a resposta do aplicativo que não é da Microsoft. Trabalhe com o desenvolvedor de aplicativos para garantir que o servidor SCIM seja compatível com o cliente Microsoft Entra SCIM. |
SchemaPropertyCanOnlyAcceptValue | A propriedade no sistema de destino só pode aceitar um valor, mas a propriedade no sistema de origem tem vários. Certifique-se de mapear um atributo de valor único para a propriedade que está gerando um erro, atualizar o valor na origem para ser de valor único ou remover o atributo dos mapeamentos. |
Códigos de erro para sincronização entre locatários
Use a tabela a seguir para entender melhor como resolver erros encontrados nos logs de provisionamento para sincronização entre locatários.
Código de erro | Causa | Solução |
---|---|---|
AzureActiveDirectoryCannot UpdateObjectsOriginado InExternalService |
A fonte de autoridade para o usuário é o Exchange Online. O serviço de provisionamento não pode atualizar um ou mais atributos de troca no usuário (por exemplo: extensionAttribute 1 - 15). Isso afeta os usuários que existiam no locatário de destino quando a propriedade dirSyncEnabled mudou de "True" para "False". | Atualize o atributo diretamente na troca online do locatário de destino. Por exemplo: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
Microsoft Entra ID CannotUpdateObjectsOriginado InExternalService |
O mecanismo de sincronização não pôde atualizar uma ou mais propriedades de usuário no locatário de destino. A operação falhou na API do Microsoft Graph devido à imposição de Source of Authority (SOA). Atualmente, as seguintes propriedades aparecem na lista: Mail showInAddressList |
Em alguns casos (por exemplo, quando showInAddressList a propriedade faz parte da atualização do usuário), o mecanismo de sincronização pode repetir automaticamente a atualização (do usuário) sem a propriedade ofensiva. Caso contrário, você precisa atualizar a propriedade diretamente no inquilino de destino. |
AzureDirectory B2BManagementPolicy Falha de verificação |
A política de sincronização entre locatários que permite o resgate automático falhou. O mecanismo de sincronização verifica se o administrador do locatário de destino criou uma política de sincronização entre locatários de entrada que permite o resgate automático. O mecanismo de sincronização também verifica se o administrador do locatário de origem habilitou uma política de saída para resgate automático. |
Verifique se a configuração de resgate automático foi habilitada para os locatários de origem e de destino. Para obter mais informações, consulte Configuração de resgate automático. |
Microsoft Entra ID QuotaLimitExceeded |
O número de objetos no locatário excede o limite de diretório. O Microsoft Entra ID tem limites para o número de objetos que podem ser criados em um locatário. |
Verifique se a quota pode ser aumentada. Para obter informações sobre os limites de diretório e as etapas para aumentar a cota, consulte Limites e restrições de serviço do Microsoft Entra. |
ConviteCriaçãoFalha | O serviço de provisionamento do Microsoft Entra tentou convidar o usuário no locatário de destino. Esse convite fracassou. | Uma investigação mais aprofundada provavelmente requer entrar em contato com o suporte. |
InvitationCreationFailureUserAccountDisabled | O serviço de provisionamento do Microsoft Entra tentou convidar o usuário no locatário de destino. Esse convite fracassou. | O usuário existe no locatário de destino, mas a conta está desativada e o convite está pendente. Habilite a conta de usuário no locatário de destino e tente provisionar o usuário novamente. |
Microsoft Entra ID Proibido |
As configurações de colaboração externa bloquearam convites. | Navegue até as configurações do usuário e verifique se as configurações de colaboração externa são permitidas. |
ConviteCriação FailureInvalidPropertyValue |
Possíveis causas: * O endereço SMTP primário é um valor inválido. * UserType não é convidado ou membro * O endereço de e-mail do grupo não é suportado |
Soluções potenciais: * O endereço SMTP primário tem um valor inválido. Resolver esse problema provavelmente requer a atualização da propriedade mail do usuário de origem. Para obter mais informações, consulte Preparar para a sincronização de diretórios com o Microsoft 365 * Certifique-se de que a propriedade userType está provisionada como tipo convidado ou membro. Verifique seus mapeamentos de atributos para entender como o atributo userType é mapeado. * O endereço de e-mail do usuário corresponde ao endereço de e-mail de um grupo no locatário. Atualize o endereço de e-mail de um dos dois objetos. |
ConviteCriação FailureAmbiguousUser |
O usuário convidado tem um endereço proxy que corresponde a um usuário interno no locatário de destino. O endereço do proxy deve ser exclusivo. | Para resolver esse erro, exclua o usuário interno existente no locatário de destino ou remova esse usuário do escopo de sincronização. |
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Se o usuário no locatário de destino foi originalmente sincronizado do AD para o ID do Microsoft Entra e convertido em um usuário externo, a fonte de autoridade ainda está no local e o usuário não pode ser atualizado. | O usuário não pode ser atualizado com a sincronização entre locatários. |
EntityTypeNotSupported | Os grupos podem ser usados para determinar quais usuários estão no escopo para provisionamento. Os objetos de grupos não podem ser sincronizados. | Não é precisa qualquer ação da parte do cliente. Este é um evento ignorado. Se você estiver usando o provisionamento sob demanda, certifique-se de escolher um usuário em vez de um grupo para provisionar. |