Поделиться через

Проверка состояния подготовки пользователей

  • Статья

Служба подготовки Microsoft Entra запускает начальный цикл подготовки к исходной системе и целевой системе, а затем периодические добавочные циклы. При настройке подготовки для приложения можно проверить текущее состояние службы подготовки и увидеть, когда пользователь сможет получить доступ к приложению.

Просмотр индикатора выполнения предоставления

На странице подготовки приложения можно просмотреть состояние службы подготовки Microsoft Entra. В разделе Текущее состояние внизу страницы показано, начался ли цикл подготовки учетных записей пользователей. Здесь можно отслеживать ход выполнения цикла и узнавать, сколько пользователей и групп подготовлено, а также сколько ролей создано.

При первой настройке автоматической подготовки в разделе Текущее состояние внизу страницы отображается состояние начального цикла подготовки. Этот раздел обновляется при каждом запуске добавочного цикла. В нем отображаются следующие сведения.

  • Тип цикла подготовки (начальный или добавочный), который сейчас выполняется или был завершён последним.
  • Индикатор выполнения, показывающий процент завершения цикла подготовки ресурсов. Процент отражает количество подготовленных страниц. Каждая страница может содержать несколько пользователей или групп, поэтому процент напрямую не сопоставляется с количеством пользователей, групп или ролей, подготовленных.
  • Кнопка Обновить, с помощью которой можно обновлять представление.
  • Число пользователей и групп в хранилище данных соединителя. Счетчик увеличивается каждый раз, когда в область предоставления ресурсов добавляется объект. Количество не уменьшается, если пользователь мягко удален или жестко удален, потому что операция не удаляет объект из хранилища данных коннектора. Счетчик пересчитывается при первой синхронизации после сброса CDS
  • Ссылка «Просмотр журналов предоставления», которая открывает журналы предоставления Microsoft Entra. Дополнительные сведения об операциях, выполняемых службой подготовки пользователей, включая состояние обеспечения для отдельных пользователей, см. Использование журналов обеспечения далее в статье.

По завершении цикла подготовки в разделе Статистика до текущей даты отображается совокупное число подготовленных к работе пользователей и групп с указанием даты завершения и длительности последнего цикла. Идентификатор действия однозначно идентифицирует последний цикл провизии. Идентификатор задания — это уникальный идентификатор задания настройки, который относится к приложению в вашей среде арендатора.

Ход провизирования просматривается в Центре администрирования Microsoft Entra на Identity>Applications>Enterprise applications [имя приложения] >Провизирование.

Индикатор выполнения на странице подготовки

Microsoft Graph также можно использовать для программного мониторинга состояния подготовки приложения. Для получения дополнительной информации см. "порядок настройки мониторинга"c0>.

Использование журналов подготовки для проверки состояния подготовки пользователя

Чтобы просмотреть состояние подготовки для выбранного пользователя, обратитесь к журналам подготовки в идентификаторе Microsoft Entra. Все операции, выполняемые службой подготовки пользователей, записываются в журналы подготовки Microsoft Entra. Журналы включают операции чтения и записи, выполненные для исходных и целевых систем. Связанные с пользователем данные, связанные с операциями чтения и записи, также регистрируются.

Вы можете получить доступ к журналам подготовки в Центре администрирования Microsoft Entra, выбрав Идентичность>Приложения>Корпоративные приложения>Журналы подготовки в разделе Активность. Вы можете произвести поиск данных о предоставлении услуг по имени пользователя или идентификатору в исходной или целевой системе. Для получения подробной информации см. Журналы подготовки.

В журналах аудита регистрируются все операции, которые выполняются службой предоставления, в том числе:

  • Запрос данных Microsoft Entra ID для назначенных пользователей, находящихся в области предоставления ресурсов
  • Запрос в целевое приложение о наличии этих пользователей
  • Сравнение объектов пользователя в разных системах
  • Добавление, обновление или отключение учетной записи пользователя в целевой системе на основе сравнения

Дополнительные сведения о том, как читать журналы настройки в Центре администрирования Microsoft Entra, см. в руководстве по созданию отчетов.

Сколько времени занимает подготовка пользователей?

Время предоставления пользователя, группы или членства в группах зависит от нескольких факторов.

  • Чем больше пользователей, групп и членства в группах в процессе подготовки, тем больше времени потребуется для завершения задания синхронизации. Например, задание синхронизации с 10 группами, каждый из которых имеет 20K участников, займет больше времени, чем задание синхронизации с 1 группой членов 20K.
  • Если область синхронизации настроена на "синхронизацию всех пользователей и групп", механизм синхронизации будет оценивать каждого пользователя и каждую группу в аренде во время начального цикла. Это позволяет подсистеме синхронизации определить, какие объекты находятся в области. В результате общее количество пользователей, групп и участников групп, присутствующих в исходной системе (например, Идентификатор Microsoft Entra) влияет на производительность.
  • Количество изменений в исходной системе влияет на время подготовки обновлений во время добавочного цикла. Изменения пользователей или групп, которые не входят в область распространения (например, новые пользователи, созданные в тенанте, или обновление членства в группах), могут повлиять на производительность, так как службе потребуется оценить изменения и пропустить их. Это особенно важно, если область — "синхронизация всех пользователей и групп"
  • В некоторых целевых системах реализуется ограничение и регулирование частоты запросов, что может повлиять на производительность во время выполнения крупных операций синхронизации. В этих условиях приложение, получающее слишком много запросов за короткий промежуток времени, может снизить частоту реагирования или закрыть подключение. Приложения галереи настроены на соблюдение лимитов скорости, установленных разработчиком приложений, и администратору не требуется предпринимать каких-либо действий для настройки предоставления.
  • Задания синхронизации, для которых все пользователи создаются в первый раз, занимают примерно в два раза больше времени, чем задания синхронизации, для которых все пользователи соответствуют уже существующим.
  • Количество сбоев, которые служба подготовки должна повторить в заданном цикле синхронизации, влияет на производительность. Проверьте индикатор хода выполнения и журналы подготовки на наличие сбоев и устраните их.
  • Задания по обеспечению ресурсов в карантине выполняются с меньшей частотой. Просмотрите причину карантина и исправьте ее, чтобы восстановить типичную частоту выполнения.

Для назначенной пользователем и группами конфигурациисинхронизации можно использовать следующие формулы, чтобы определить приблизительное минимальное и максимальное ожидаемое начального цикла:

  • Минимальная длительность (мин) = 0,01 x [число назначенных пользователей, групп и членов групп]
  • Максимальная длительность (мин) = 0,08 x [число назначенных пользователей, групп и членов групп]

Рекомендации по сокращению времени подготовки пользователя и /или группы:

  1. Задайте область подготовки для синхронизации assigned users and groups вместо sync all users and groups.
  2. Свести к минимуму количество пользователей и групп в области автоматизации.
  3. Создайте несколько заданий подготовки, предназначенных для одной системы. При этом каждое задание синхронизации будет работать независимо, уменьшая время обработки изменений. Убедитесь, что область действия пользователей отличается от этих заданий подготовки, чтобы избежать изменений из одного задания, влияющего на другое.
  4. Добавьте фильтры области, чтобы дополнительно ограничить количество пользователей и групп в области подготовки. Если производительность становится проблемой, и вы пытаетесь настроить большинство пользователей и групп в вашем клиенте, то используйте фильтры области. Фильтры области позволяют точно настроить данные, извлеченные службой подготовки из идентификатора Microsoft Entra, отфильтровав пользователей на основе определенных значений атрибутов. Дополнительные сведения о фильтрах области см. в статье Подготовка приложений на основе атрибутов с использованием фильтров области.

Проверка изменений конфигурации предоставления ресурсов

Изменения конфигурации обеспечения регистрируются в журналах аудита. Пользователи с необходимыми разрешениями, такими как администратор приложений и средство чтения отчетов, могут получать доступ к журналам через пользовательский интерфейс журнала аудита, API и PowerShell. Фильтр действий можно использовать в журналах аудита, чтобы определить следующие действия.

Примечание.

Для действий, выполняемых службой подготовки, таких как создание пользователей, обновление пользователей и удаление пользователей, рекомендуется использовать журналы подготовки. Для мониторинга изменений конфигурации предоставления рекомендуется использовать журналы аудита.

Снимок экрана: журналы аудита.

Действие Действие (отфильтровать журналы по этому свойству)
Обновление учетных данных (например, добавление нового маркера носителя) Обновите параметры провизирования или учетные данные
Измените параметры вашего задания подготовки (например, уведомления по электронной почте, синхронизация всех пользователей и групп по сравнению с синхронизацией только назначенных пользователей и групп, предотвращение случайных удалений) Обновление настройки предоставления или учетных данных
Начать развертывание Включение/запуск настройки провиженинга
Остановка предоставления услуг Отключить или приостановить настройку предоставления
Перезапуск подготовки Включение и перезапуск конфигурации подготовки
Обновление сопоставлений атрибутов или правил ограничения области Обновление сопоставлений атрибутов или области действия

Следующие шаги

Автоматизация подключения и отключения пользователей для SaaS-приложений с помощью Microsoft Entra ID