Så här laddar du ned och analyserar Microsoft Entra-etableringsloggarna
Microsoft Entra-etableringsloggarna innehåller information om de etableringshändelser som inträffar i din klientorganisation. Du kan använda informationen som samlas in i etableringsloggarna för att felsöka problem med en etablerad användare.
I den här artikeln beskrivs alternativen för att ladda ned etableringsloggarna från administrationscentret för Microsoft Entra och hur du analyserar loggarna. Felkoder och särskilda överväganden ingår också.
Förutsättningar
- En fungerande Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens som är associerad med den.
- Rapportläsare är den minst privilegierade roll som krävs för att komma åt etableringsloggarna.
- En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.
Så här visar du etableringsloggarna
Det finns flera sätt att visa eller analysera etableringsloggarna:
- Visa i administrationscentret för Microsoft Entra.
- Strömma loggar till Azure Monitor via diagnostikinställningar.
- Analysera loggar via arbetsboksmallar .
- Få åtkomst till loggar programmatiskt via Microsoft Graph-API:et.
- Ladda ned loggarna som en CSV- eller JSON-fil.
Dricks
Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.
Så här kommer du åt loggarna i administrationscentret för Microsoft Entra:
- Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
- Bläddra till Loggar för identitetsövervakning>och hälsoetablering.>
Ladda ned etableringsloggarna
Om du vill ladda ned etableringsloggarna väljer du Ladda ned från sidan Etableringsloggar . Ange filtren så specifika som möjligt för att minska nedladdningens storlek och tid.
CSV-format
CSV-nedladdningen innehåller tre filer:
- ProvisioningLogs: Laddar ned alla loggar, förutom etableringsstegen och ändrade egenskaper.
- ProvisioningLogs_ProvisioningSteps: Innehåller etableringsstegen och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
- ProvisioningLogs_ModifiedProperties: Innehåller attributen som har ändrats och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
JSON-format
Om du vill öppna JSON-filen använder du en textredigerare som Microsoft Visual Studio Code. Visual Studio Code gör filen enklare att läsa genom att ange syntaxmarkering. Du kan också öppna JSON-filen med hjälp av webbläsare i ett namnlös format, till exempel Microsoft Edge.
Prettifiera JSON-filen
JSON-filen laddas ned i ett format för att minska storleken på nedladdningen. Det här formatet kan göra nyttolasten svår att läsa. Det finns två alternativ för att prettifiera filen:
Använd PowerShell för att formatera JSON. Det här skriptet genererar JSON-utdata i ett format som innehåller flikar och blanksteg:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Parsa JSON-filen
Du kan använda valfritt programmeringsspråk som du är bekväm med. Följande exempel finns i PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Nu kan du parsa data enligt ditt scenario. Här är några exempel:
Mata ut alla jobb-ID:t i JSON-filen:
foreach ($provitem in $JSONContent) { $provitem.jobId }Mata ut alla ändrings-ID:t för händelser där åtgärden var "create":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Det här bör du känna till
Här följer några tips och överväganden för att analysera etableringsloggarna:
Administrationscentret för Microsoft Entra lagrar rapporterade etableringsdata i 30 dagar om du har en premiumversion och 7 dagar om du har en kostnadsfri utgåva. Du kan dirigera etableringsloggarna till Azure Monitor-loggar för kvarhållning längre än 30 dagar.
Du kan till exempel använda attributet ändrings-ID som unik identifierare, vilket kan vara användbart när du interagerar med produktsupport.
Du kan se överhoppade händelser för användare som inte är i omfånget.
- Exempel 1: Om omfånget är inställt på
all users and groupsoch konfigurerar omfångsfilter kan du se överhoppade loggar för användare som inte uppfyller omfångsvillkoren. - Exempel 2: Om omfånget är inställt på
assigned users and groupskan du fortsätta att se användare i loggarna som överhoppade, även om de inte har tilldelats till programmet. Det sätt på vilket etableringstjänsten tar emot ändringar från katalogen gör att dessa användare visas.
- Exempel 1: Om omfånget är inställt på
Etableringsloggarna visar inte rollimporter (gäller för Amazon Web Services, Salesforce och Zendesk). Du hittar loggarna för rollimporter i granskningsloggarna.
Felkoder
Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna.
| Felkod | beskrivning |
|---|---|
| Konflikt EntryConflict |
Korrigera de motstridiga attributvärdena i antingen Microsoft Entra-ID eller programmet. Eller granska konfigurationen av matchande attribut om det motstridiga användarkontot skulle matchas och tas över. Mer information om hur du konfigurerar matchande attribut finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| TooManyRequests | Målappen avvisade det här försöket att uppdatera användaren eftersom appen tar emot för många begäranden. Det finns inget att göra. Det här försöket görs automatiskt på nytt och Microsoft har fått ett meddelande om det här problemet. |
| InternalServerError | Målappen returnerade ett oväntat fel. Ett tjänstproblem med målprogrammet kan hindra det från att fungera. Det här försöket görs automatiskt om 40 minuter. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Behörighet saknas |
Microsoft Entra-ID autentiserades med målprogrammet men hade inte behörighet att utföra uppdateringen. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive program. Mer information finns i Självstudier för att integrera program med Microsoft Entra-ID. |
| UnprocessableEntity | Målprogrammet returnerade ett oväntat svar. Konfigurationen av målprogrammet kanske inte är korrekt, eller så kan ett tjänstproblem med målprogrammet hindra det från att fungera. |
| WebExceptionProtocolError | Ett HTTP-protokollfel uppstod vid anslutning till målprogrammet. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter. |
| InvalidAnchor | En användare som tidigare har skapats eller matchats av etableringstjänsten finns inte längre. Kontrollera att användaren finns. Om du vill tvinga fram en ny matchning av alla användare använder du Microsoft Graph API för att starta om jobbet. Omstart av etablering utlöser en inledande cykel, vilket kan ta tid att slutföra. Om du startar om etableringen tas även det cacheminne som etableringstjänsten använder för att fungera. Det innebär att alla användare och grupper i klientorganisationen måste utvärderas igen och vissa etableringshändelser kan komma att tas bort. |
| Inteimplementerad | Målappen returnerade ett oväntat svar. Konfigurationen av appen kanske inte är korrekt, eller så kan ett tjänstproblem med målappen hindra den från att fungera. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive program. Mer information finns i Självstudier för att integrera program med Microsoft Entra-ID. |
| MandatoryFieldsMissing, MissingValues |
Det gick inte att skapa användaren eftersom nödvändiga värden saknas. Korrigera de saknade attributvärdena i källposten eller granska konfigurationen av matchande attribut för att säkerställa att de obligatoriska fälten inte utelämnas. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| SchemaAttributeNotFound | Det gick inte att utföra åtgärden eftersom ett attribut angavs som inte finns i målprogrammet. Kontrollera att konfigurationen är korrekt genom att referera till Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| InternalError | Ett internt tjänstfel uppstod i Microsoft Entra-etableringstjänsten. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter. |
| InvalidDomain | Det gick inte att utföra åtgärden eftersom ett attributvärde innehåller ett ogiltigt domännamn. Uppdatera domännamnet för användaren eller lägg till det i listan över tillåtna i målprogrammet. |
| Timeout | Det gick inte att slutföra åtgärden eftersom målprogrammet tog för lång tid att svara. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter. |
| LicenseLimitExceededed | Det gick inte att skapa användaren i målprogrammet eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa fler licenser för målprogrammet. Eller granska konfigurationen för användartilldelningar och attributmappning för att säkerställa att rätt användare tilldelas rätt attribut. |
| DuplicateTargetEntries | Det gick inte att slutföra åtgärden eftersom fler än en användare i målprogrammet hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren från målprogrammet eller konfigurera om attributmappningarna. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| DuplicateSourceEntries | Det gick inte att slutföra åtgärden eftersom fler än en användare hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren eller konfigurera om attributmappningarna. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| ImportSkipped | När varje användare utvärderas försöker systemet importera användaren från källsystemet. Det här felet uppstår ofta när den användare som importeras saknar den matchande egenskapen som definierats i attributmappningarna. Utan ett värde som finns på användarobjektet för det matchande attributet kan systemet inte utvärdera omfångs-, matchnings- eller exportändringar. Förekomsten av det här felet indikerar inte att användaren är i omfånget, eftersom du ännu inte har utvärderat omfånget för användaren. |
| EntrySynchronizationSkipped | Etableringstjänsten har frågat källsystemet och identifierat användaren. Ingen ytterligare åtgärd vidtogs på användaren och de hoppades över. Användaren kan ha varit utanför omfånget eller redan fanns i målsystemet utan ytterligare ändringar. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
En GET-begäran om att hämta en användare eller grupp tog emot flera användare eller grupper i svaret. Systemet förväntar sig att endast ta emot en användare eller grupp i svaret. Om du till exempel gör en GET-gruppbegäran för att hämta en grupp, anger ett filter för att exkludera medlemmar och din SCIM-slutpunkt (System for Cross-Domain Identity Management) returnerar medlemmarna visas det här felet. |
| SystemForCrossDomainIdentity ManagementServiceInkompatibel |
Microsoft Entra-etableringstjänsten kan inte parsa svaret från programmet som inte kommer från Microsoft. Samarbeta med programutvecklaren för att säkerställa att SCIM-servern är kompatibel med Microsoft Entra SCIM-klienten. |
| SchemaPropertyCanOnlyAcceptValue | Egenskapen i målsystemet kan bara acceptera ett värde, men egenskapen i källsystemet har flera. Se till att du antingen mappar ett attribut med ett envärdesvärde till egenskapen som utlöser ett fel, uppdaterar värdet i källan så att det är envärdesvärde eller tar bort attributet från mappningarna. |
Felkoder för synkronisering mellan klientorganisationer
Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna för synkronisering mellan klientorganisationer.
| Felkod | Orsak | Lösning |
|---|---|---|
| AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
Källan till behörigheten för användaren är Exchange Online. Etableringstjänsten kan inte uppdatera ett eller flera exchange-attribut för användaren (t.ex. extensionAttribute 1–15). Detta påverkar användare som fanns i målklientorganisationen när egenskapen dirSyncEnabled ändrades från "True" till "False". | Uppdatera attributet direkt i målklientorganisationens exchange online. Till exempel: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Synkroniseringsmotorn kunde inte uppdatera en eller flera användaregenskaper i målklientorganisationen. Åtgärden misslyckades i Microsoft Graph-API:et på grund av att SOA-tvingande (Source of Authority). För närvarande visas följande egenskaper i listan: MailshowInAddressList |
I vissa fall (till exempel när showInAddressList egenskapen är en del av användaruppdateringen) kan synkroniseringsmotorn automatiskt försöka uppdatera (användaren) igen utan den felaktiga egenskapen. Annars måste du uppdatera egenskapen direkt i målklientorganisationen. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Synkroniseringsprincipen mellan klientorganisationer som tillåter automatisk inlösen misslyckades. Synkroniseringsmotorn kontrollerar att administratören för målklientorganisationen har skapat en princip för synkronisering mellan klienter som tillåter automatisk inlösen. Synkroniseringsmotorn kontrollerar också om administratören för källklientorganisationen har aktiverat en utgående princip för automatisk inlösning. |
Kontrollera att inställningen för automatisk inlösning har aktiverats för både käll- och målklientenheterna. Mer information finns i inställningen Automatisk inlösen. |
| Microsoft Entra ID QuotaLimitExceededed |
Antalet objekt i klientorganisationen överskrider kataloggränsen. Microsoft Entra-ID har gränser för antalet objekt som kan skapas i en klientorganisation. |
Kontrollera om kvoten kan ökas. Information om kataloggränser och steg för att öka kvoten finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten. |
| InvitationCreationFailure | Microsoft Entra-etableringstjänsten försökte bjuda in användaren i målklientorganisationen. Inbjudan misslyckades. | Ytterligare undersökning kräver sannolikt att du kontaktar supporten. |
| InvitationCreationFailureUserAccountDisabled | Microsoft Entra-etableringstjänsten försökte bjuda in användaren i målklientorganisationen. Inbjudan misslyckades. | Användaren finns i målklientorganisationen, men kontot är inaktiverat och inbjudan väntar. Aktivera användarkontot i målklientorganisationen och försök att etablera användaren igen. |
| Microsoft Entra ID Förbjudet |
Externa samarbetsinställningar blockerade inbjudningar. | Gå till användarinställningar och se till att externa samarbetsinställningar är tillåtna. |
| InbjudanSkapa FailureInvalidPropertyValue |
Möjliga orsaker: * Den primära SMTP-adressen är ett ogiltigt värde. * UserType är inte gäst eller medlem * Grupp-e-postadress stöds inte |
Potentiella lösningar: * Den primära SMTP-adressen har ett ogiltigt värde. För att lösa det här problemet måste du förmodligen uppdatera källanvändarens e-postegenskap. Mer information finns i Förbereda för katalogsynkronisering till Microsoft 365 * Kontrollera att egenskapen userType har etablerats som typgäst eller medlem. Kontrollera attributmappningarna för att förstå hur attributet userType mappas. * E-postadressen för användaren matchar e-postadressen för en grupp i klientorganisationen. Uppdatera e-postadressen för ett av de två objekten. |
| InbjudanSkapa FailureAmbiguousUser |
Den inbjudna användaren har en proxyadress som matchar en intern användare i målklientorganisationen. Proxyadressen måste vara unik. | Lös det här felet genom att ta bort den befintliga interna användaren i målklientorganisationen eller ta bort den här användaren från synkroniseringsomfånget. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Om användaren i målklientorganisationen ursprungligen synkroniserades från AD till Microsoft Entra-ID och konverterades till en extern användare är auktoritetskällan fortfarande lokal och användaren kan inte uppdateras. | Användaren kan inte uppdateras med synkronisering mellan klientorganisationer. |
| EntityTypeNotSupported | Grupper kan användas för att avgöra vilka användare som är i omfånget för etablering. Det går inte att synkronisera gruppobjekt. | Ingen kundåtgärd krävs. Det här är en överhoppad händelse. Om du använder etableringen på begäran kontrollerar du att du väljer en användare i stället för en grupp som ska etableras. |