Como baixar e analisar os logs de provisionamento do Microsoft Entra
Os logs de provisionamento do Microsoft Entra fornecem detalhes sobre os eventos de provisionamento que ocorrem em seu locatário. Você pode usar as informações capturadas nos logs de provisionamento para ajudar a solucionar problemas com um usuário provisionado.
Este artigo descreve as opções para baixar os logs de provisionamento do centro de administração do Microsoft Entra e como analisar os logs. Códigos de erro e considerações especiais também estão incluídos.
Pré-requisitos
- Um inquilino do Microsoft Entra ativo com uma licença do Microsoft Entra ID P1 ou P2 associada a ele.
-
O Leitor de Relatórios é a função menos privilegiada necessária para acessar os logs de provisionamento.
- Para obter uma lista completa de funções, consulte Função menos privilegiada por tarefa.
Como exibir os logs de provisionamento
Há várias maneiras de exibir ou analisar os logs de provisionamento:
- Visualizar no centro de administração do Microsoft Entra.
- Transmita logs para o Azure Monitor por meio de configurações de diagnóstico.
- Analise logs através de modelos de Pasta de Trabalho.
- Acesse logs programaticamente por meio da API do Microsoft Graph.
- Baixe os logs como um arquivo CSV ou JSON.
Para acessar os logs no centro de administração do Microsoft Entra:
- Inicie sessão no Centro de Administração do Microsoft Entra com pelo menos as permissões de Leitor de Relatórios.
- Navegue até Identidade>Monitorização e saúde>Registos de provisionamento.
Como baixar os logs de provisionamento
Para fazer download dos logs de provisionamento, selecione Download na página de Logs de Provisionamento. Defina os filtros o mais específicos possível para reduzir o tamanho e o tempo do download.
Formato CSV
O download CSV inclui três arquivos:
- ProvisioningLogs: Baixa todos os logs, exceto as etapas de provisionamento e as propriedades modificadas.
- ProvisioningLogs_ProvisioningSteps: Contém as etapas de provisionamento e a ID de alteração. Você pode usar o ID da alteração para associar o evento aos outros dois arquivos.
- ProvisioningLogs_ModifiedProperties: Contém os atributos que foram alterados e a ID de alteração. Você pode usar o ID de mudança para associar ao evento os outros dois arquivos.
Formato JSON
Para abrir o arquivo JSON, use um editor de texto, como o Microsoft Visual Studio Code. O Visual Studio Code torna o arquivo mais fácil de ler fornecendo realce de sintaxe. Você também pode abrir o arquivo JSON usando navegadores em um formato não editável, como o Microsoft Edge.
Formate o ficheiro JSON
O arquivo JSON é baixado em um formato para reduzir o tamanho do download. Este formato pode tornar a carga útil difícil de ler. Para melhorar o formato do ficheiro, há duas opções:
Use o PowerShell para formatar o JSON. Esse script produz uma saída JSON em um formato que inclui guias e espaços:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analisar o arquivo JSON
Você pode usar qualquer linguagem de programação com a qual se sinta confortável. Os exemplos a seguir estão no PowerShell.
Leia o arquivo JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Agora você pode analisar os dados de acordo com seu cenário. Eis alguns exemplos:
Exiba todos os IDs de trabalho no arquivo JSON.
foreach ($provitem in $JSONContent) { $provitem.jobId }Saída de todas as IDs de alteração para eventos em que a ação foi "criada":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
O que deve saber
Aqui estão algumas dicas e considerações para analisar os logs de provisionamento:
O centro de administração do Microsoft Entra armazena dados de provisionamento relatados por 30 dias se você tiver uma edição premium e 7 dias se tiver uma edição gratuita. Você pode enviar os logs de provisionamento para o Azure Monitor Logs para retenção por mais de 30 dias.
Você pode usar o atributo change ID como identificador exclusivo, o que pode ser útil quando você está interagindo com o suporte ao produto, por exemplo.
Você pode ver eventos ignorados para usuários que não estão no escopo.
- Exemplo 1: Se o escopo estiver definido como
all users and groupse configurar filtros de escopo, você poderá ver logs ignorados para usuários que não atendem aos critérios de escopo. - Exemplo 2: Se o escopo estiver definido como
assigned users and groups, poderá continuar a ver os utilizadores nos registos como ignorados, mesmo que não estejam atribuídos à aplicação. A maneira como o serviço de provisionamento recebe alterações do diretório faz com que esses usuários apareçam.
- Exemplo 1: Se o escopo estiver definido como
Os logs de provisionamento não mostram importações de função (aplica-se à Amazon Web Services, Salesforce e Zendesk). Você encontra os logs das importações de funções nos logs de auditoria.
Códigos de erro
Use a tabela a seguir para entender melhor como resolver erros encontrados nos logs de provisionamento.
| Código de erro | Descrição |
|---|---|
| Conflito, ConflitoDeEntrada |
Corrija os valores de atributo conflitantes no ID do Microsoft Entra ou no aplicativo. Ou reveja a sua configuração de atributos de correspondência caso a conta de utilizador em conflito devesse ser reconciliada e assumida. Para obter mais informações sobre como configurar atributos correspondentes, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
| DemasiadosPedidos | O aplicativo de destino rejeitou essa tentativa de atualizar o usuário porque o aplicativo está recebendo muitas solicitações. Não há nada a fazer. Esta tentativa é automaticamente repetida e a Microsoft foi notificada deste problema. |
| Erro Interno do Servidor | O aplicativo de destino retornou um erro inesperado. Um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. Esta tentativa é repetida automaticamente em 40 minutos. |
| Direitos insuficientes, Método Não Permitido Não permitido, Não autorizado |
A ID do Microsoft Entra foi autenticada com o aplicativo de destino, mas não foi autorizada a executar a atualização. Analise todas as instruções fornecidas pelo aplicativo de destino, juntamente com o respetivo aplicativo. Para obter mais informações, consulte Tutoriais para integrar aplicativos com o Microsoft Entra ID. |
| Entidade Não Processável | O aplicativo de destino retornou uma resposta inesperada. A configuração do aplicativo de destino pode não estar correta ou um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. |
| WebExceptionProtocolError | Ocorreu um erro de protocolo HTTP ao conectar-se ao aplicativo de destino. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
| Âncora Inválida | Um usuário que foi criado anteriormente ou correspondido pelo serviço de provisionamento não existe mais. Certifique-se de que o usuário existe. Para forçar uma nova associação de todos os utilizadores, use a API do Microsoft Graph para reiniciar a tarefa. A reinicialização do provisionamento aciona um ciclo inicial, que pode levar tempo para ser concluído. A reinicialização do provisionamento também exclui o cache que o serviço de provisionamento usa para operar. Isso significa que todos os utilizadores e grupos no inquilino devem ser novamente avaliados e que certos eventos de aprovisionamento podem ser descartados. |
| Não Implementado | O aplicativo de destino retornou uma resposta inesperada. A configuração do aplicativo pode não estar correta ou um problema de serviço com o aplicativo de destino pode estar impedindo que ele funcione. Analise todas as instruções fornecidas pelo aplicativo de destino, juntamente com o respetivo aplicativo. Para obter mais informações, consulte Tutoriais para integrar aplicativos com o Microsoft Entra ID. |
| Campos obrigatóriosAusentes, Valores em falta |
O usuário não pôde ser criado porque os valores necessários estão faltando. Corrija os valores de atributo ausentes no registro de origem ou revise sua configuração de atributo correspondente para garantir que os campos obrigatórios não sejam omitidos. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
| AtributoDoEsquemaNãoEncontrado | A operação não pôde ser executada porque foi especificado um atributo que não existe no aplicativo de destino. Certifique-se de que sua configuração está correta consultando Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
| Erro interno | Ocorreu um erro de serviço interno no serviço de provisionamento do Microsoft Entra. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
| Domínio Inválido | A operação não pôde ser executada porque um valor de atributo contém um nome de domínio inválido. Atualize o nome de domínio no usuário ou adicione-o à lista de permissões no aplicativo de destino. |
| Limite de tempo excedido | A operação não pôde ser concluída porque o aplicativo de destino demorou muito para responder. Não há nada a fazer. Esta tentativa é repetida automaticamente em 40 minutos. |
| Limite de Licença Excedido | O usuário não pôde ser criado no aplicativo de destino porque não há licenças disponíveis para esse usuário. Obtenha mais licenças para o aplicativo de destino. Ou revise suas atribuições de usuário e configuração de mapeamento de atributos para garantir que os usuários corretos sejam atribuídos com os atributos corretos. |
| EntradasDeDestinoDuplicadas | A operação não pôde ser concluída porque mais de um usuário no aplicativo de destino foi encontrado com os atributos de correspondência configurados. Remova o usuário duplicado do aplicativo de destino ou reconfigure seus mapeamentos de atributo. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
| EntradasFonteDuplicadas | A operação não pôde ser concluída porque mais de um usuário foi encontrado com os atributos de correspondência configurados. Remova o usuário duplicado ou reconfigure os mapeamentos de atributos. Para obter mais informações, consulte Personalizar mapeamentos de atributos de provisionamento de usuário para aplicativos SaaS no Microsoft Entra ID. |
| ImportIgnorado | Quando cada usuário é avaliado, o sistema tenta importá-lo do sistema de origem. Esse erro geralmente ocorre quando o usuário que está sendo importado não tem a propriedade correspondente definida em seus mapeamentos de atributo. Sem um valor presente no objeto de usuário para o atributo de correspondência, o sistema não pode avaliar o escopo, a correspondência ou as alterações de exportação. A presença desse erro não indica que o usuário está no escopo, porque você ainda não avaliou o escopo para o usuário. |
| SincronizaçãoDeEntradaIgnorada | O serviço de provisionamento consultou com êxito o sistema de origem e identificou o usuário. Nenhuma outra ação foi tomada em relação ao utilizador e este foi ignorado. O usuário pode estar fora do escopo ou já existir no sistema de destino sem mais alterações necessárias. |
| SystemForCrossDomainIdentity GestãoDeMúltiplasEntradasNaResposta |
Uma solicitação GET para recuperar um usuário ou grupo recebeu vários usuários ou grupos na resposta. O sistema espera receber apenas um usuário ou grupo na resposta. Por exemplo, se fizeres uma solicitação GET para Grupo para recuperar um grupo, forneces um filtro para excluir membros, e o teu ponto final do Sistema de Gestão de Identidade entre Domínios (SCIM) devolver os membros, este erro aparece. |
| SistemaParaIdentidadeEntreDomínios ManagementServiceIncompatível |
O serviço de provisionamento Microsoft Entra não consegue analisar a resposta do aplicativo que não é da Microsoft. Trabalhe com o desenvolvedor de aplicativos para garantir que o servidor SCIM seja compatível com o cliente Microsoft Entra SCIM. |
| A propriedade de esquema só pode aceitar o valor | A propriedade no sistema de destino só pode aceitar um valor, mas a propriedade no sistema de origem tem vários. Certifique-se de mapear um atributo de valor único para a propriedade que está gerando um erro, atualizar o valor na origem para ser de valor único ou remover o atributo dos mapeamentos. |
Códigos de erro para sincronização entre locatários
Use a tabela a seguir para entender melhor como resolver erros encontrados nos logs de aprovisionamento para sincronização entre locatários.
| Código de erro | Causa | Solução |
|---|---|---|
| AzureActiveDirectoryCannot UpdateObjectsOriginado InExternalService |
A fonte de autoridade para o usuário é o Exchange Online. O serviço de provisionamento não pode atualizar um ou mais atributos de troca no usuário (por exemplo: extensionAttribute 1 - 15). Isso afeta os utilizadores que existiam no locatário de destino quando a propriedade "dirSyncEnabled" mudou de "True" para "False". | Atualize o atributo diretamente no Exchange Online do locatário de destino. Por exemplo: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID NãoÉPossívelAtualizarObjetosOriginados InExternalService |
O mecanismo de sincronização não pôde atualizar uma ou mais propriedades de usuário no locatário de destino. A operação falhou na API do Microsoft Graph devido à imposição de Source of Authority (SOA). Atualmente, as seguintes propriedades aparecem na lista: MailshowInAddressList |
Em alguns casos (por exemplo, quando showInAddressList a propriedade faz parte da atualização do usuário), o mecanismo de sincronização pode repetir automaticamente a atualização (do usuário) sem a propriedade ofensiva. Caso contrário, precisas atualizar a propriedade diretamente no locatário de destino. |
| AzureDirectory Política de Gestão B2B Falha de verificação |
A política de sincronização entre locatários que permite o resgate automático falhou. O mecanismo de sincronização verifica se o administrador do locatário de destino criou uma política de sincronização entre locatários de entrada que permite o resgate automático. O mecanismo de sincronização também verifica se o administrador do locatário de origem habilitou uma política de saída para resgate automático. |
Verifique se a configuração de resgate automático foi habilitada para os locatários de origem e de destino. Para obter mais informações, consulte Configuração de resgate automático. |
| Microsoft Entra ID Limite de quota excedido |
O número de objetos no locatário excede o limite de diretório. O Microsoft Entra ID tem limites para o número de objetos que podem ser criados em um locatário. |
Verifique se a quota pode ser aumentada. Para obter informações sobre os limites de diretório e as etapas para aumentar a cota, consulte Limites e restrições de serviço do Microsoft Entra. |
| FalhaNaCriaçãoDoConvite | O serviço de provisionamento do Microsoft Entra tentou convidar o usuário no locatário de destino. Esse convite fracassou. | Uma investigação mais aprofundada provavelmente requer entrar em contato com o suporte. |
| FalhaNaCriaçãoDeConviteContaDeUtilizadorDesativada | O serviço de provisionamento do Microsoft Entra tentou convidar o utilizador no locatário de destino. Esse convite fracassou. | O usuário existe no locatário de destino, mas a conta está desativada e o convite está pendente. Habilite a conta de usuário no locatário de destino e tente provisionar o usuário novamente. |
| Microsoft Entra ID Proibido |
As configurações de colaboração externa bloquearam convites. | Navegue até as configurações do usuário e verifique se as configurações de colaboração externa são permitidas. |
| Criação de Convite FalhaValorPropriedadeInválido |
Possíveis causas: * O endereço SMTP primário é um valor inválido. * UserType não é convidado ou membro * O endereço de e-mail do grupo não é suportado |
Soluções potenciais: * O endereço SMTP primário tem um valor inválido. Resolver esse problema provavelmente requer a atualização da propriedade mail do usuário de origem. Para obter mais informações, consulte Preparar para a sincronização de diretórios com o Microsoft 365 * Certifique-se de que a propriedade userType está provisionada como tipo convidado ou membro. Verifique seus mapeamentos de atributos para entender como o atributo userType é mapeado. * O endereço de e-mail do usuário corresponde ao endereço de e-mail de um grupo no locatário. Atualize o endereço de e-mail de um dos dois objetos. |
| CriaçãoDeConvite FalhaUtilizadorAmbíguo |
O usuário convidado tem um endereço proxy que corresponde a um usuário interno no locatário de destino. O endereço do proxy deve ser exclusivo. | Para resolver esse erro, exclua o usuário interno existente no locatário de destino ou remova esse usuário do escopo de sincronização. |
| Microsoft Entra ID Não é possível atualizar objetos. MasteredOnPremises |
Se o utilizador no locatário de destino foi originalmente sincronizado do AD para o Microsoft Entra ID e convertido em um utilizador externo, a fonte de autoridade permanece no local (on-premises) e o utilizador não pode ser atualizado. | O usuário não pode ser atualizado com a sincronização entre locatários. |
| TipoDeEntidadeNãoSuportado | Os grupos podem ser usados para determinar quais usuários estão no escopo para provisionamento. Os objetos de grupos não podem ser sincronizados. | Não é precisa qualquer ação da parte do cliente. Este é um evento ignorado. Se você estiver usando o provisionamento sob demanda, certifique-se de escolher um usuário em vez de um grupo para provisionar. |