检查用户预配状态
Microsoft Entra 预配服务针对源系统和目标系统运行初始预配周期,然后运行定期的增量周期。 配置应用的预配时,可以检查预配服务的当前状态,并查看用户何时可以访问应用。
查看预配进度条
在应用的“预配”页上,你可以查看 Microsoft Entra 预配服务的状态。 页面底部的“当前状态”部分显示预配周期是否已开始预配用户帐户。 可以查看周期的进度,查看已预配的用户和组的数量,并查看已创建的角色数。
首次配置自动预配时,页面底部的“当前状态”部分会显示初始预配周期的状态。 每次运行增量循环后,这一部分都会更新。 显示以下详细信息:
- 当前正在运行或最后完成的预配周期的类型(初始或增量)。
- 显示已完成预配周期百分比的进度条。 百分比反映预配页的计数。 每个页面可能包含多个用户或组,因此该百分比并不与预配的用户、组或角色的数目直接相关。
- 可以使用“刷新”按钮来更新视图。
- 连接器数据存储中的用户和组的数目。 只要向预配作用域中添加了某个对象,计数将立即增加。 如果用户被软删除或硬删除,则计数不会关闭,因为此操作不会从连接器数据存储中删除对象。 在 CDS 重置后的第一次同步时,将重新计算计数
- “查看审核日志”链接,用于打开 Microsoft Entra 预配日志。 要详细了解用户预配服务运行的操作,包括各用户的预配状态,请参阅本文后面的使用预配日志。
预配周期完成后,“到目前为止的统计信息”部分显示到目前为止已经预配的用户和组的累计数量,以及最后一个周期的完成日期和持续时间。 活动 ID 可唯一标识最新的预配周期。 作业 ID 是预配作业的唯一标识符,特定于租户中的应用。
可在 Microsoft Entra 管理中心的“标识”>“应用程序”>“企业应用程序”> [“应用程序名称”] >“预配”中查看预配进度。
还可以使用 Microsoft Graph 以编程方式监视向应用程序进行预配的状态。 有关详细信息,请参阅监视预配。
使用预配日志检查用户的预配状态
要查看选定用户的预配状态,请查阅 Microsoft Entra ID 中的预配日志。 Microsoft Entra 预配日志(预览版)中记录了用户预配服务运行的所有操作。 日志包括对源和目标系统所做的读取和写入操作。 还会记录与读取和写入操作相关的关联用户数据。
可以通过在“活动”部分中选择“标识”>“应用程序”>“企业应用程序”>“预配日志”来访问 Microsoft Entra 管理中心中的预配日志。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅预配日志。
预配审核日志记录了预配服务执行的全部操作,包括:
- 查询 Microsoft Entra ID 以找到预配作用域中分配的用户
- 查询目标应用以验证是否存在这些用户
- 比较系统之间的用户对象
- 根据比较结果在目标系统中添加、更新或禁用用户帐户
有关如何在 Microsoft Entra 管理中心中读取预配日志的详细信息,请参阅预配报告指南。
预配用户需要多长时间?
对应用程序使用自动用户预配时,需注意以下事项。 首先,Microsoft Entra ID 会基于用户和组分配等自动预配和更新应用中的用户帐户。 同步按计划的定期时间间隔进行,通常每 40 分钟一次。
预配给定用户所用的时间主要取决于你的预配作业是正在运行初始周期还是增量周期。
对于初始周期,作业时间取决于各种因素,包括预配范围中用户和组的数目,以及源系统中用户和组的总数。 Microsoft Entra ID 与应用之间的第一次同步最快 20 分钟,最长可达数小时。 时间取决于 Microsoft Entra 目录的大小,以及预配范围内的用户数。 本部分稍后将概述影响初始周期性能的因素的综合列表。
对于初始周期之后的“增量周期”,作业速度趋向于变快(10 分钟内完成),因为在初始周期后,预配服务已存储代表两个系统状态的水印,这提高了后续同步的性能。 作业时间取决于在该预配周期中检测到的更改数量。 如果有少于 5000 个用户或组成员身份更改,则作业可以在单个增量预配周期内完成。
下表总结了常见的预配方案的同步时间。 在这些方案中,源系统是 Microsoft Entra ID,目标系统是 SaaS 应用程序。 同步时间是通过对 SaaS 应用程序 ServiceNow、Workplace、Salesforce 和 G Suite 的同步作业进行统计分析得出的。
| 范围配置 | 作用域中的用户、组和成员 | 初始周期时间 |
|---|---|---|
| 仅同步已分配的用户和组 | < 1,000 | < 30 分钟 |
| 仅同步已分配的用户和组 | 1,000 - 10,000 | 142 - 708 分钟 |
| 仅同步已分配的用户和组 | 10,000 - 100,000 | 1,170 - 2,340 分钟 |
| 同步 Microsoft Entra ID 中的所有用户和组 | < 1,000 | < 30 分钟 |
| 同步 Microsoft Entra ID 中的所有用户和组 | 1,000 - 10,000 | < 30 - 120 分钟 |
| 同步 Microsoft Entra ID 中的所有用户和组 | 10,000 - 100,000 | 713 - 1,425 分钟 |
| 同步 Microsoft Entra ID 中的所有用户 | < 1,000 | < 30 分钟 |
| 同步 Microsoft Entra ID 中的所有用户 | 1,000 - 10,000 | 43 - 86 分钟 |
对于“仅同步已分配的用户和组”配置,可以使用以下公式来确定大概的最小和最大预计初始周期时间:
- 最小分钟数 = 0.01 x [分配的用户、组和组成员的数目]
- 最大分钟数 = 0.08 x [分配的用户、组和组成员的数目]
影响初始周期的完成时间的因素汇总:
预配范围内用户和组的总数。
源系统 (Microsoft Entra ID) 中存在的用户、组和组成员的总数。
预配范围中的用户与目标应用程序中的现有用户匹配,还是需要首次创建。 要首次为其创建所有用户的同步作业花费的时间大约是所有用户都与现有用户匹配的同步作业花费的时间的“两倍”。
预配日志中的错误数。 如果有许多错误,并且预配服务已进入“隔离”状态,则性能较低。
目标系统实现的请求速率限制。 某些目标系统实施了请求速率限制和调节,这一特性在大型同步操作期间可能会影响性能。 在这些情况下,太快地接收太多请求的应用可能会拖慢其响应速率或关闭连接。 为提高性能,连接器需要进行调整,以不高于应用可以应对的处理速率的速率来向应用发送请求。 Microsoft 构建的预配连接器进行此调整。
已分配的组的数量和大小。 同步已分配的组比同步用户花费的时间要长。 已分配的组的数量和大小都会影响性能。 如果应用程序为组对象同步启用了映射,则除了用户之外,还会同步组名称和成员身份等组属性。 这些同步比仅同步用户对象需要花费更长的时间。
如果需要考虑性能问题,并且你正在尝试预配租户中的大部分用户和组,请使用范围筛选器。 使用范围筛选器,可优化预配服务通过筛选用户(基于特定属性值)从 Microsoft Entra ID 提取的数据。 有关作用域筛选器的详细信息,请参阅通过作用域筛选器基于属性预配应用程序。
在大多数情况下,增量周期会在 30 分钟内完成。 但是,当有数百或数千个用户更改或组成员身份更改时,增量周期时间会随着要处理的更改数成比例增加,并且可能需要几个小时。 使用同步分配的用户和组并将预配范围内的用户/组数降至最低,这将有助于缩短同步时间。
有关减少预配用户和/或组时间的建议:
- 将预配范围设置为同步
assigned users and groups,而不是sync all users and groups。 - 在最大程度上减小预配范围内用户和组的数量。
- 创建多个面向同一系统的预配作业。 执行此操作时,每个同步作业将独立运行,从而减少处理更改的时间。 请确保这些预配作业之间的用户范围不同,以避免一个作业的更改影响另一个作业。
- 添加范围筛选器以进一步限制预配范围内的用户和组数。
审核对预配配置的更改
预配配置更改记录在审核日志中。 具有必要权限(例如应用程序管理员和报表读者)的用户可以通过审核日志 UI、API 和 PowerShell 访问日志。 可以使用审核日志中的活动筛选器来标识以下操作。
| 操作 | 活动(筛选此属性上的日志) |
|---|---|
| 更新凭据(例如:添加新的持有者令牌) | 更新预配设置或凭据 |
| 更改预配作业的设置(例如:通知电子邮件、同步所有与同步分配的用户和组、意外删除防护) | 更新预配设置或凭据 |
| 开始预配 | 启用/启动预配配置 |
| 停止预配 | 禁用/暂停预配配置 |
| 重新启动预配 | 启用/重启预配配置 |
| 更新特性映射或范围限定规则 | 更新属性映射或范围 |