Microsoft Entra 佈建服務會先對來源系統和目標系統執行初始佈建週期,後續再執行定期增量週期。 為應用程式設定佈建時,您可以檢查佈建服務的目前狀態,並查看使用者何時將能夠存取應用程式。
檢視佈建進度列
在應用程式的 [佈建] 頁面上,您可以檢視 Microsoft Entra 佈建服務的狀態。 頁面底部的 [目前狀態] 區段會顯示佈建週期是否已開始佈建使用者帳戶。 您可以監看週期的進度、查看已佈建的使用者和群組數目,以及查看已建立的角色數目。
當您第一次設定自動佈建時,頁面底部的 [目前狀態] 區段會顯示初始佈建週期的狀態。 此區段會在每次執行增量週期時更新。 其中會顯示下列詳細資料:
- 目前正在執行或上次已完成的佈建週期類型 (初始或增量)。
- 顯示佈建週期已完成百分比的進度列。 百分比會反映已準備好頁面的數量。 每個頁面可能包含多個使用者或群組,因此百分比不會直接與佈建的使用者、群組或角色數目相互關聯。
- 您可以使用 [重新整理] 按鈕將檢視保持在最新狀態。
- 連接器資料存放區中的使用者和群組數目。 每當將物件新增至佈建範圍時,此計數都會增加。 如果使用者遭到虛刪除或實刪除,此計數不會減少,因為該作業不會將物件從連接器資料存放區中移除。 在 重設 CDS 後的第一次同步時,系統會重新計算。
- 檢視布建記錄 連結,這會開啟Microsoft Entra 布建記錄。 若要深入了解使用者佈建服務所執行的作業 (包括個別使用者的佈建狀態),請參閱本文稍後的使用佈建記錄。
佈建週期完成之後,[迄今的統計資料] 區段會顯示迄今已佈建的使用者和群組累計數目,以及最後一個週期的完成日期和持續時間。 [活動識別碼] 可唯一識別最近的佈建週期。 [作業識別碼] 是佈建作業的唯一識別碼,並且專為您租用戶中的應用程式設計。
您可以在 Microsoft Entra 系統管理中心的 [身分識別]> [應用程式]> [企業應用程式]> [應用程式名稱] >[佈建] 中檢視佈建進度。
您也可以使用 Microsoft Graph,以程式設計方式監視佈建至應用程式的狀態。 如需詳細資訊,請參閱監視佈建。
使用佈建記錄來檢查使用者的佈建狀態
若要查看所選使用者的佈建狀態,請參閱 Microsoft Entra ID 中的佈建記錄。 使用者佈建服務所執行的所有作業,都會記錄在 Microsoft Entra 佈建記錄中。 記錄包含對來源和目標系統所做的讀取和寫入作業。 還會記錄與讀取和寫入作業相關的相關聯使用者資料。
您可以在 [活動] 區段中選取 [身分識別]> [應用程式]> [企業應用程式]> [佈建記錄],以存取 Microsoft Entra 系統管理中心的佈建記錄。 您可以根據使用者的名稱或識別碼,在來源系統或目標系統中搜尋佈建資料。 如需詳細資訊,請參閱佈建記錄。
佈建記錄會記錄佈建服務所執行的所有作業,包括:
- 查詢在佈建範圍中已指派使用者的 Microsoft Entra ID
- 查詢目標應用程式以確定那些使用者是否存在
- 比較系統之間的使用者物件
- 根據比較,在目標系統中新增、更新或停用使用者帳戶
如需如何在 Microsoft Entra 系統管理中心讀取佈建記錄的詳細資訊,請參閱佈建報告指南。
配置使用者需要多久時間?
配置使用者、群組或群組成員資格所需的時間會根據數個因素而有所不同。
- 布建範圍中的使用者、群組和群組成員資格越多,同步作業完成所需的時間就越長。 例如,具有10個群組的同步作業,每個群組都有20K個成員,比擁有1個群組20K成員的同步作業需要更長的時間才能布建。
- 如果同步範圍設定為「同步所有使用者和群組」,同步處理引擎將會在初始週期期間評估租使用者中的每個使用者群組。 這可讓同步處理引擎判斷哪些對象位於範圍內。 因此,來源系統中存在的使用者、群組和群組成員總數(例如:Microsoft Entra ID)會影響效能。
- 來源系統中的變更數目會影響在累加循環期間布建更新的時間。 未在佈建範圍內的使用者或群組之變更(例如:在租戶中建立的新使用者或群組成員資格已更新)可能會影響效能,因為服務需要評估並略過此變更。 當範圍是「同步所有使用者和群組」時,這特別重要
- 某些目標系統會實作要求速率限制和節流設定,這可能會影響大型同步作業的效能。 在這樣的情況下,太快收到太多要求的應用程式,可能會因此降低其回應速率或關閉連線。 應用程式庫被設定以遵守由應用程式開發人員設定的速率限制,不需要系統管理員進行任何動作來配置供應。
- 初次建立所有使用者的同步作業所需的時間,大約是將所有使用者與現有使用者匹配的同步作業的兩倍。
- 布建服務必須針對指定的同步週期重試的失敗數目會影響效能。 檢查進度列以及 佈建記錄,查看是否有任何錯誤並加以修正。
- 隔離區中的布建作業會以較低的頻率執行。 檢閱隔離原因並重新考量,以恢復典型的執行頻率。
針對僅 同步指派的使用者和群組設定,您可以使用下列公式來判斷 大約 最小和最大預期 初始週期 時間:
- 最小分鐘數 = 0.01 x [已指派的使用者、群組和群組成員數目]
- 最大分鐘數 = 0.08 x [已指派的使用者、群組和群組成員數目]
縮短佈建使用者和/或群組時間的建議:
- 將配置範圍設定為同步
assigned users and groups,而不是sync all users and groups。 - 將佈建範圍中的使用者和群組數目降到最低。
- 建立多個以相同系統為目標的佈建任務。 執行此動作時,每個同步工作都會獨立運作,以縮短處理變更的時間。 請確定這些佈建工作之間的使用者範圍不同,以避免某個工作的變更影響另一個工作。
- 新增範圍篩選條件,以進一步限制佈建範圍中的使用者和群組數目。 如果效能變成問題,而且您嘗試在租戶中佈建大部分的使用者和群組,請使用範圍篩選器。 範圍篩選條件可讓您根據特定的屬性值篩選出使用者,以微調佈建服務從 Microsoft Entra ID 擷取的資料。 如需範圍設定篩選條件的詳細資訊,請參閱含範圍篩選器的屬性型應用程式佈建。
審核您的配置設定變更
佈建設定變更會記錄在稽核記錄中。 具有必要許可權的使用者,例如應用程式管理員和報表讀取者,可以透過稽核記錄 UI、API,以及透過 PowerShell 存取記錄。 您可以使用稽核記錄中的活動篩選條件來識別下列動作。
| 動作 | 活動 (篩選此屬性上的記錄) |
|---|---|
| 更新認證 (例如:新增持有人權杖) | 更新佈建設定或認證 |
| 變更佈建工作的設定 (例如:通知電子郵件、全部同步與同步已指派的使用者和群組、意外刪除防護) | 更新佈建設定或認證 |
| 開始佈建 | 啟用/啟動佈建設定 |
| 停止提供 | 停用/暫停佈建設定 |
| 重新開始部署 | 啟用/重新啟動佈建設定 |
| 更新屬性映射或範圍規則 | 更新屬性對應或範圍 |