Как скачать и анализировать журналы подготовки Microsoft Entra
Журналы предоставления Microsoft Entra содержат сведения о событиях предоставления, происходящих в вашем арендаторе. Информацию, записанную в журналах предоставления, можно использовать для устранения неполадок с предоставленным пользователем.
Эта статья описывает варианты загрузки журналов настройки из Центра администрирования Microsoft Entra и проведение их анализа. Также включены коды ошибок и специальные рекомендации.
Предварительные требования
- Рабочий клиент Microsoft Entra с лицензией Microsoft Entra ID P1 или P2, связанной с ней.
-
Читатель отчетов — это наименее привилегированная роль, необходимая для доступа к журналам предоставления.
- Полный список ролей см. в разделе "Наименее привилегированная роль" по задачам.
Как просмотреть журналы подготовки
Существует несколько способов просмотра или анализа журналов настройки.
- Просматривайте в Центре администрирования Microsoft Entra.
- Передавайте журналы в Azure Monitor через параметры диагностики.
- Анализ журналов с помощью шаблонов Workbook.
- Осуществляйте доступ к журналам программно через Microsoft Graph API.
- Скачайте журналы в виде CSV-файла или JSON.
Чтобы получить доступ к журналам в Центре администрирования Microsoft Entra, выполните следующие действия.
- Войдите в центр администрирования Microsoft Entra как минимум в качестве читателя отчетов.
- Перейдите к Идентификация>Мониторинг и состояние>Логи предоставления.
Как скачать журналы конфигурации
Чтобы скачать журналы подготовки, выберите "Скачать " на странице журналов подготовки . Задайте фильтры как можно более конкретным, чтобы уменьшить размер и время загрузки.
Формат CSV
Загружаемый файл CSV содержит три файла:
- ProvisioningLogs: скачивает все журналы, за исключением шагов подготовки и измененных свойств.
- ProvisioningLogs_ProvisioningSteps: содержит шаги подготовки и идентификатор изменения. Идентификатор изменения можно использовать для объединения события с другими двумя файлами.
- ProvisioningLogs_ModifiedProperties: содержит атрибуты, которые были изменены, и идентификатор изменения. Идентификатор изменения можно использовать для объединения события с другими двумя файлами.
Формат JSON
Чтобы открыть JSON-файл, используйте текстовый редактор, например код Microsoft Visual Studio. Visual Studio Code упрощает чтение файла, предоставляя подсветку синтаксиса. Файл JSON также можно открыть с помощью браузеров в нередактируемом формате, таком как Microsoft Edge.
Улучшите формат JSON файла
JSON-файл загружается в формате, чтобы уменьшить размер загрузки. Этот формат может усложнить чтение полезных данных. Для улучшения файла существует два варианта:
Используйте PowerShell для форматирования JSON. Этот скрипт создает выходные данные JSON в формате, включающее вкладки и пробелы:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Проанализируйте файл JSON
Вы можете использовать любой язык программирования, с которым вам удобно работать. В PowerShell приведены следующие примеры.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Теперь данные можно проанализировать в соответствии с вашим сценарием. Вот несколько примеров.
Выводить все идентификаторы заданий в файл JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Вывести все идентификаторы изменений для событий с действием "создать".
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Что нужно знать
Ниже приведены некоторые советы и рекомендации по анализу журналов обеспечения:
Центр администрирования Microsoft Entra хранит данные о предоставлении в течение 30 дней, если у вас есть версия «Премиум», и 7 дней, если у вас бесплатная версия. Журналы подготовки можно направлять в журналы Azure Monitor для хранения более 30 дней.
Вы можете использовать атрибут идентификатора изменения в качестве уникального идентификатора, который может оказаться полезным при взаимодействии с поддержкой продуктов, например.
Вы можете увидеть пропущенные события для пользователей, которые не попадают в область охвата.
- Пример 1. Если область настроена на
all users and groupsи настроены фильтры области, могут появляться пропуски в журналах для пользователей, которые не соответствуют критериям фильтрации. - Пример 2: Если область установлена на
assigned users and groups, вы можете продолжать видеть пользователей в журналах как пропущенных, даже если они не назначены на приложение. Способ, которым служба подготовки получает изменения из каталога, приводит к тому, что появляются эти пользователи.
- Пример 1. Если область настроена на
Журналы развертывания не отображают импорт ролей (применяется к Amazon Web Services, Salesforce и Zendesk). Журналы для импорта ролей можно найти в журналах аудита.
Коды ошибок
Используйте следующую таблицу, чтобы лучше понять, как устранять ошибки, найденные в журналах конфигурации.
| Код ошибки | Описание |
|---|---|
| Конфликт КонфликтВвода |
Исправьте конфликтующие значения атрибутов в идентификаторе Microsoft Entra или приложении. Или проверьте конфигурацию соответствия атрибутов, если конфликтующая учетная запись пользователя должна быть сопоставлена и принята. Дополнительные сведения о конфигурации соответствующих атрибутов см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в Microsoft Entra ID. |
| Слишком много запросов | Целевое приложение отклонило эту попытку обновить пользователя, так как приложение получает слишком много запросов. Сделать ничего нельзя. Эта попытка автоматически повторяется, и корпорация Майкрософт была уведомлена об этой проблеме. |
| Внутренняя ошибка сервера | Целевое приложение вернуло непредвиденную ошибку. Проблема со службой целевого приложения может препятствовать его работе. Эта попытка автоматически повторяется через 40 минут. |
| Недостаточно прав Метод не разрешён Не разрешено Не авторизовано |
Microsoft Entra ID прошел проверку подлинности с помощью целевого приложения, но не был авторизован для выполнения обновления. Просмотрите все инструкции, предоставленные целевым приложением вместе с соответствующим приложением. Дополнительные сведения см. в руководствах по интеграции приложений с идентификатором Microsoft Entra. |
| НеобрабатываемаяСущность | Целевое приложение вернуло непредвиденный ответ. Конфигурация целевого приложения может быть неправильной, или проблема со службой с целевым приложением может препятствовать его работе. |
| WebExceptionProtocolError | При подключении к целевому приложению произошла ошибка протокола HTTP. Сделать ничего нельзя. Эта попытка автоматически повторяется через 40 минут. |
| Неверный якорь | Пользователь, который ранее был создан или сопоставлен с помощью службы предоставления, больше не существует. Убедитесь, что пользователь существует. Чтобы принудительно выполнить новое сопоставление всех пользователей, используйте API Microsoft Graph, чтобы перезапустить задание. Перезапуск предоставления активирует начальный цикл, на завершение которого может потребоваться время. При перезапуске процесса подготовки также удаляется кэш, который используется этой службой. Это означает, что все пользователи и группы в арендаторе должны быть повторно оценены, и некоторые события обеспечения могут быть удалены. |
| Не реализовано | Целевое приложение вернуло непредвиденный ответ. Конфигурация приложения может быть неправильной, или проблема службы с целевым приложением может препятствовать его работе. Просмотрите все инструкции, предоставленные целевым приложением вместе с соответствующим приложением. Дополнительные сведения см. в руководствах по интеграции приложений с идентификатором Microsoft Entra. |
| Отсутствуют обязательные поля Отсутствующие значения |
Пользователь не может быть создан, так как необходимые значения отсутствуют. Исправьте отсутствующие значения атрибутов в исходной записи или просмотрите конфигурацию соответствующего атрибута, чтобы убедиться, что обязательные поля не опущены. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в Microsoft Entra ID. |
| АтрибутСхемыНеНайден | Не удалось выполнить операцию, так как атрибут был указан, который не существует в целевом приложении. Убедитесь, что ваша конфигурация настроена правильно, обращаясь к адаптации сопоставления атрибутов подготовки пользователей для приложений SaaS в Microsoft Entra ID. |
| Внутренняя ошибка | Внутренняя ошибка произошла в службе предоставления доступа Microsoft Entra. Сделать ничего нельзя. Эта попытка автоматически повторяется через 40 минут. |
| Недопустимый домен | Не удалось выполнить операцию, так как значение атрибута содержит недопустимое имя домена. Обновите доменное имя пользователя или добавьте его в список разрешенных в целевом приложении. |
| Таймаут | Не удалось выполнить операцию, так как целевое приложение заняло слишком много времени для ответа. Сделать ничего нельзя. Эта попытка автоматически повторяется через 40 минут. |
| Превышен лимит лицензий | Не удалось создать пользователя в целевом приложении из-за отсутствия доступных лицензий для этого пользователя. Приобретение дополнительных лицензий для целевого приложения. Или проверьте назначения пользователей и конфигурацию сопоставления атрибутов, чтобы убедиться, что им назначены правильные атрибуты. |
| ДублирующиесяЦелевыеЗаписи | Не удалось выполнить операцию, так как найдено более одного пользователя в целевом приложении с настроенными атрибутами сопоставления. Удалите дублирующего пользователя из целевого приложения или перенастройте сопоставления атрибутов. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в Microsoft Entra ID. |
| Дублирование источниковых записей | Не удалось выполнить операцию, так как обнаружено несколько пользователей с настроенными соответствующими атрибутами. Удалите повторяющегося пользователя или перенастройте сопоставления атрибутов. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в Microsoft Entra ID. |
| Импорт пропущен | При оценке каждого пользователя система пытается импортировать пользователя из исходной системы. Эта ошибка обычно возникает, когда у импортируемого пользователя отсутствует совпадающее свойство, определенное в сопоставлении атрибутов. Если в объекте пользователя отсутствует значение для атрибута сопоставления, система не может оценить изменения области, сопоставления или экспорта. Наличие этой ошибки не означает, что пользователь находится в рамках охвата, так как вы еще не провели оценку охвата для пользователя. |
| Синхронизация записи пропущена. | Служба подготовки успешно запросила исходную систему и определила пользователя. Никаких дополнительных действий пользователя не было выполнено, и они были пропущены. Возможно, пользователь находился вне области видимости или уже существовал в целевой системе, и дополнительных изменений не требовалось. |
| СистемаДляКроссДоменнойИдентичности УправлениеНесколькимиЗаписямиВОтвете |
Запрос GET для получения пользователя или группы получил нескольких пользователей или групп в ответе. Система должна получить в ответе только одного пользователя или группу. Например, если вы выполняете запрос GET Group для получения группы, предоставив фильтр для исключения участников, а конечная точка Система управления идентификацией между доменами (SCIM) возвращает участников, эта ошибка появится. |
| СистемаДляКроссДоменнойИдентичности НесовместимостьСлужбыУправления |
Служба провизии Microsoft Entra не может проанализировать ответ от приложения, не принадлежащего Microsoft. Обратитесь к разработчику приложений, чтобы убедиться, что сервер SCIM совместим с клиентом Microsoft Entra SCIM. |
| Свойство схемы может принимать только значение | Свойство в целевой системе может принимать только одно значение, но свойство в исходной системе имеет несколько значений. Убедитесь, что атрибут с одним значением сопоставляется со свойством, вызывающим ошибку, обновите значение в источнике, чтобы быть однозначным, или удалите атрибут из сопоставлений. |
Коды ошибок для синхронизации между клиентами
Используйте следующую таблицу, чтобы лучше понять, как устранить ошибки, которые вы найдете в журналах настройки для синхронизации между клиентами.
| Код ошибки | Причина | Решение |
|---|---|---|
| AzureActiveDirectoryForbidden (Доступ к Azure Active Directory запрещен) | Для свойства dirSync включено значение true. В результате служба подготовки не может обновлять свойства пользователей, такие как immutableId и extensionProperty1-15. | Удалите атрибут из сопоставлений атрибутов, чтобы предотвратить сбои. |
| AzureActiveDirectory Запрещено |
Параметры внешней совместной работы блокируют приглашения. | Перейдите к параметрам пользователя и убедитесь, что разрешены параметры внешней совместной работы. |
| AzureActiveDirectoryCannot ОбновлениеИсходныхОбъектов InExternalService |
Источником полномочий для пользователя является Exchange Online. Служба подготовки не может обновить один или несколько атрибутов Exchange у пользователя (например, extensionAttribute 1 – 15). Это влияет на пользователей, которые существовали в целевом клиенте, когда свойство dirSyncEnabled изменилось с True на False. | Обновите атрибут непосредственно в Exchange Online целевого клиента. Например: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID Невозможно обновить объекты, поскольку они изначально настроены InExternalService |
Подсистема синхронизации не могла обновить одно или несколько свойств пользователя в целевом клиенте. Операция завершилась сбоем в API Microsoft Graph из-за контроля источника полномочий (SOA). В настоящее время в списке отображаются следующие свойства: MailshowInAddressList |
В некоторых случаях (например, если свойство showInAddressList является частью обновления пользователя), модуль синхронизации может автоматически повторить обновление пользователя без проблемного свойства. В противном случае необходимо обновить свойство непосредственно в целевом арендаторе. |
| AzureDirectory Политика управления B2B Ошибка проверки |
Политика синхронизации между клиентами, допускающая автоматическое активирование, не сработала. Подсистема синхронизации проверяет, что администратор целевой аренды создал политику входящей межарендной синхронизации, разрешающую автоматическое погашение. Подсистема синхронизации также проверяет, включил ли администратор исходного клиента политику для отправки на автоматическое погашение. |
Убедитесь, что параметр автоматической активации вознаграждения включен как для исходных, так и для целевых арендаторов. Дополнительные сведения см. в разделе Настройка автоматического погашения. |
| Microsoft Entra ID Превышен лимит квоты |
Число объектов в арендаторе превышает лимит каталога. Идентификатор Microsoft Entra имеет ограничения на количество объектов, которые можно создать в клиенте. |
Проверьте, можно ли увеличить квоту. Сведения об ограничениях каталога и шагах по увеличению квоты см. в ограничениях и ограничениях службы Microsoft Entra. |
| ОшибкаСозданияПриглашения | Служба подготовки Microsoft Entra попыталась пригласить пользователя в целевой клиент. Это приглашение завершилось ошибкой. | Для дальнейшего исследования, вероятно, требуется обратиться в службу поддержки. |
| Ошибка создания приглашения: учетная запись пользователя отключена | Служба подготовки Microsoft Entra попыталась пригласить пользователя в целевой клиент. Это приглашение завершилось ошибкой. | Пользователь существует в целевом клиенте, но учетная запись отключена и приглашение ожидается. Включите учетную запись пользователя в целевом арендаторе и повторите попытку предоставления доступа пользователю. |
| Создание приглашения FailureInvalidPropertyValue (Недопустимое значение свойства) |
Возможные причины: * Основной SMTP-адрес является недопустимым значением. * UserType не является ни гостем, ни членом * Адрес электронной почты группы не поддерживается |
Возможные решения: * Основной SMTP-адрес имеет недопустимое значение. Для устранения этой проблемы, скорее всего, требуется обновить свойство почты исходного пользователя. Дополнительные сведения см. в статье "Подготовка к синхронизации каталогов с Microsoft 365" * Убедитесь, что свойство userType назначено как тип гость или участник. Проверьте сопоставления атрибутов, чтобы понять, как сопоставляется атрибут userType. * Адрес электронной почты пользователя совпадает с адресом электронной почты группы в тенанте. Обновите адрес электронной почты для одного из двух объектов. |
| Создание приглашения ОшибкаНеоднозначныйПользователь |
Приглашенный пользователь имеет прокси-адрес, соответствующий внутреннему пользователю в целевом клиенте. Адрес прокси-сервера должен быть уникальным. | Чтобы устранить эту ошибку, удалите существующего внутреннего пользователя в целевом клиенте или удалите этого пользователя из области синхронизации. |
| Microsoft Entra ID Не удается обновить объекты MasteredOnPremises |
Если пользователь в целевом клиенте был изначально синхронизирован из Active Directory в Microsoft Entra ID и преобразован в внешнего пользователя, то источник полномочий всё ещё остаётся в локальной инфраструктуре, и обновление пользователя невозможно. | Пользователь не может быть обновлен с помощью синхронизации между клиентами. |
| Тип сущности не поддерживается | Группы можно использовать для определения того, какие пользователи включены в область предоставления услуг. Объекты групп не могут быть синхронизированы. | Вмешательство пользователя не требуется. Это пропущенное событие. Если вы используете подготовку по запросу, убедитесь, что вы выбрали пользователя, а не группу для подготовки. |