如何下載和分析 Microsoft Entra 佈建記錄
Microsoft Entra 佈建記錄檔提供有關您租用戶中發生的佈建事件的詳細資料。 您可以使用佈建記錄中擷取的資訊,協助針對已佈建使用者解決問題。
本文說明從 Microsoft Entra 系統管理中心下載佈建記錄的選項,以及如何分析記錄。 此外,還包括錯誤代碼和特殊考量。
必要條件
- 運行中的 Microsoft Entra 租戶,具備 Microsoft Entra ID P1 或 P2 授權。
-
報表讀者 是存取布建記錄所需權限最低的角色。
- 如需角色的完整清單,請參閱 依工作設定的最低許可權角色。
如何檢視佈建記錄
有數種方式可以檢視或分析佈建記錄:
- 在 Microsoft Entra 系統管理中心中檢視。
- 透過診斷設定將記錄串流至 Azure 監視器。
- 透過活頁簿範本分析記錄。
- 透過 Microsoft Graph API,以程式化方式存取記錄。
- 以 CSV 或 JSON 檔案形式下載記錄。
若要存取 Microsoft Entra 系統管理中心的活動記錄:
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]> [監控與健康狀態]> [佈建記錄]。
如何下載佈建記錄
若要下載布建記錄,請從 [布建記錄] 頁面選取 [下載]。 更具體地設定篩選,以減少下載的大小和時間。
![佈建記錄中 [下載] 按鈕的螢幕擷取畫面。](media/howto-analyze-provisioning-logs/download.png)
CSV 格式
CSV 下載包含三個檔案:
- ProvisioningLogs:下載所有記錄,除了佈建步驟和修改過的屬性。
- ProvisioningLogs_ProvisioningSteps:包含佈建步驟和變更識別碼。 您可以使用變更識別碼,將事件與另兩個檔案聯結。
- ProvisioningLogs_ModifiedProperties:包含已變更的屬性和變更識別碼。 您可以使用變更識別碼,將事件與另兩個檔案聯結。
JSON 格式
若要開啟 JSON 檔案,請使用文字編輯器,例如 Microsoft Visual Studio Code。 Visual Studio Code 藉由提供語法醒目提示,讓檔案更容易閱讀。 您也可以使用瀏覽器 (例如Microsoft Edge) 以無法編輯的格式開啟 JSON 檔案。
修飾 JSON 檔案
JSON 檔案會以縮小下載大小的格式下載。 此格式可能會讓數據負載難以閱讀。 若要美化檔案,共有兩種方式:
使用 PowerShell 來格式化 JSON。 此指令碼會以包含索引標籤和空白的格式產生 JSON 輸出:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
剖析 JSON 檔案
您可以使用任何您所熟悉的程式設計語言。 下列範例位於 PowerShell 中。
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
現在您可以根據您的案例來剖析資料。 以下提供幾個範例:
輸出 JSON 檔案中的所有作業識別碼:
foreach ($provitem in $JSONContent) { $provitem.jobId }輸出動作為「建立」的事件的所有變更識別碼:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
您應該知道的事情
以下是分析佈建記錄的一些提示和考量:
如果您有進階版本,Microsoft Entra 系統管理中心會將報告的佈建資料儲存 30 天,而如果您有免費版本,則會儲存 7 天。 您可以將佈建記錄路由至 Azure 監視器記錄,以保留超過 30 天。
例如,您可以使用變更識別碼屬性作為唯一識別碼,這在與產品支援互動時會很有用。
針對範圍以外的使用者,您可能會看到已略過的事件。
- 範例 1:若將範圍設定為
all users and groups並設定範圍篩選條件,您可能會看到不符合範圍準則之使用者的略過記錄。 - 範例 2:若範圍設定為
assigned users and groups,即使未將使用者指派給該應用程式,您仍可能在記錄中看到他們被標記為略過。 佈建服務從目錄接收變更的方式使這些使用者出現。
- 範例 1:若將範圍設定為
佈建記錄不會顯示角色匯入 (適用於 Amazon Web Services、Salesforce 和 Zendesk)。 您可以在稽核記錄中找到角色匯入的記錄。
錯誤碼
使用下表進一步了解如何解決您在佈建記錄中找到的錯誤。
| 錯誤碼 | 描述 |
|---|---|
| 衝突 項目衝突 |
更正 Microsoft Entra ID 或應用程式中的衝突屬性值。 如果有衝突的使用者帳戶應該被比對和接管,請檢閱您的比對屬性設定。 如需設定對應屬性的詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
| 請求過多 | 目標應用程式拒絕了此次更新使用者的嘗試,因為該應用程式接收到過多的請求。 沒什麼可以做的。 此嘗試會自動重試,且 Microsoft 會收到此問題的通知。 |
| 內部伺服器錯誤 | 目標應用程式傳回未預期的錯誤。 目標應用程式的服務問題可能導致其無法運作。 此嘗試會在 40 分鐘內自動重試。 |
| 權限不足 方法不允許 不允許 未經授權 |
Microsoft Entra ID 向目標應用程式進行驗證,但未獲授權而無法執行更新。 檢閱目標應用程式提供的任何指示,連同相應的應用程式一起。 如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID 的教學課程。 |
| 不可處理的實體 | 目標應用程式傳回未預期的回應。 目標應用程式的設定可能不正確,或目標應用程式的服務問題可能導致其無法運作。 |
| WebExceptionProtocolError | 連結至目標應用程式時發生 HTTP 通訊協定錯誤。 沒什麼可以做的。 此嘗試會在 40 分鐘內自動重試。 |
| 無效錨點 | 先前由佈建服務所建立或比對的使用者已不存在。 確保該使用者存在。 若要強制對所有使用者進行新的比對,請使用 Microsoft Graph API 來重新開始該作業。 重新開始佈建會觸發初始迴圈,其可能需要一些時間才能完成。 重新開始佈建也會刪除佈建服務用來作業的快取。 這表示租用戶中的所有使用者和群組都必須重新評估,而且某些設定事件可能會被取消。 |
| 尚未實現 | 目標應用程式傳回未預期的回應。 應用程式的設定可能不正確,或目標應用程式的服務問題可能導致其無法運作。 檢閱目標應用程式提供的任何指示,連同相應的應用程式一起。 如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID 的教學課程。 |
| 必填欄位缺失 遺失值 |
因為遺漏必要的值而無法建立使用者。 更正來源記錄中遺漏的屬性值,或檢查比對屬性設定,確保不會省略必要的欄位。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
| 找不到架構屬性 | 因為指定的屬性不存在於目標應用程式中,而無法執行該作業。 請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應,以確保您的設定正確無誤。 |
| 內部錯誤 | Microsoft Entra 佈建服務內發生內部服務錯誤。 沒什麼可以做的。 此嘗試會在 40 分鐘內自動重試。 |
| 無效的域 | 因為屬性值包含無效的網域名稱,無法執行該作業。 更新使用者的網域名稱,或將其新增至目標應用程式中的允許清單。 |
| Timeout | 因為目標應用程式耗費太長時間來回應,無法完成作業。 沒什麼可以做的。 此嘗試會在 40 分鐘內自動重試。 |
| 超過許可限制 | 因為沒有此使用者的可用授權,無法在目標應用程式中建立使用者。 針對目標應用程式購買更多授權。 或者,檢閱您的使用者指派和屬性對應設定,以確保已為正確的使用者指派正確的屬性。 |
| 重複的目標項目 | 因為發現目標應用程式中有一個以上的使用者具有設定的比對屬性,作業無法完成。 從目標應用程式中移除重複的使用者,或重新設定您的屬性對應。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
| 重複來源條目 | 因為發現一個以上的使用者具有設定的比對屬性,作業無法完成。 移除重複的使用者,或重新設定您的屬性對應。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
| 匯入已跳過 | 評估每位使用者時,系統會嘗試從來源系統匯入使用者。 當匯入的使用者遺漏您的屬性對應中定義的比對屬性時,通常會發生此錯誤。 如果使用者物件上沒有比對屬性的值,系統就無法評估範圍、比對或匯出變更。 此錯誤的存在不表示使用者已被納入範圍,因為您尚未對使用者進行範圍評估。 |
| 條目同步已跳過 | 佈建服務已成功查詢來源系統並識別該使用者。 未對該使用者採取任何進一步的動作,因此略過他們。 使用者可能超出範圍,或可能已存在於目標系統中,因此不需要進一步變更。 |
| 跨域身份系統 管理多重回應項目 |
發出 GET 要求以擷取使用者或群組時,在回應中接收到多個使用者或群組。 系統預期只會在回應中收到一個使用者或群組。 舉例來說,若執行擷取群組的 GET Group 要求並提供篩選條件以排除成員,但「跨網域身分識別管理系統 (SCIM)」端點卻傳回成員,則會顯示此錯誤。 |
| 跨域身份系統 管理服務不兼容 |
Microsoft Entra 佈建服務無法剖析非 Microsoft應用程式的回應。 請與應用程式開發人員合作,確保 SCIM 伺服器與 Microsoft Entra SCIM 用戶端相容。 |
| 架構屬性只允許值 | 目標系統中的屬性只能接受一個值,但來源系統中的屬性有多個值。 請確保您將單一值屬性與擲出錯誤的屬性對應,或將來源中的值更新為單一值,或者從對應中移除該屬性。 |
跨租用戶同步的錯誤碼
使用下表進一步了解如何解決您在佈建記錄中找到的跨租用戶同步處理錯誤。
| 錯誤碼 | 原因 | 解決方案 |
|---|---|---|
| AzureActiveDirectoryForbidden(禁止存取) | dirSync 的啟用屬性被設定為 true。 因此,布建服務無法更新用戶屬性,例如 immutableId 和 extensionProperty1-15。 | 從屬性對應中移除 屬性,以防止失敗。 |
| AzureActiveDirectory 禁止 |
外部共同作業設定已封鎖邀請。 | 瀏覽至使用者設定,並確定允許外部共同作業設定。 |
| AzureActiveDirectory無法 更新的物件來源 InExternalService |
使用者的授權來源是 Exchange Online。 佈建服務無法對使用者更新一或多個交換屬性 (例如:extensionAttribute 1 - 15)。 當 dirSyncEnabled 屬性從 "True" 變更為 "False" 時,這會影響存在於目標租用戶中的使用者。 | 在目標租用戶的 Exchange Online 中,直接更新屬性。 例如:Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID 無法更新來源對象 InExternalService |
同步作業引擎無法更新目標租用戶中的一或多個使用者屬性。 由於「授權單位來源 (SOA)」的強制執行,Microsoft Graph API 的作業失敗。 目前,下列屬性會顯示在清單中: MailshowInAddressList |
在某些情況下(例如當 showInAddressList 屬性是使用者更新項目的一部分時),同步引擎可能會自動重試使用者更新,但不包括引起問題的屬性。 否則,您必須直接在目標租用戶中更新屬性。 |
| AzureDirectory B2BManagementPolicy 檢查失敗 |
允許自動兌換的跨租戶同步策略失敗了。 同步引擎會檢查目標租用戶的系統管理員是否已建立允許自動兌換的跨租用戶同步處理政策。 同步引擎也會檢查來源租用戶的系統管理員是否已啟用自動兌換的外發政策。 |
請確定已為來源和目標租用戶啟用自動兌換設定。 如需詳細資訊,請參閱自動兌換設定。 |
| Microsoft Entra ID 配額限制超出 |
租用戶中的物件數目超過目錄限制。 Microsoft Entra ID 會限制可在租用戶中建立的物件數目。 |
檢查是否可以增加配額。 如需目錄限制和增加配額的步驟的相關資訊,請參閱 Microsoft Entra 服務限額和限制。 |
| 邀請創建失敗 | Microsoft Entra 佈署服務嘗試邀請目標租戶的使用者。 該邀請發生失敗。 | 進一步調查可能需要連絡客戶服務中心。 |
| 邀請創建失敗,使用者帳戶已停用 | Microsoft Entra 佈建服務嘗試邀請目標租戶中的使用者。 該邀請發生失敗。 | 使用者存在於目標租用戶中,但已停用帳戶且邀請為擱置狀態。 在目標租用戶中啟用使用者帳戶,然後再次嘗試配置使用者。 |
| 邀請函創建 屬性值無效錯誤 |
可能的原因: * 主要 SMTP 地址不是有效的值。 * UserType 非來賓或成員 * 不支援群組電子郵件地址 |
可能的解決方案: * 主要 SMTP 地址有無效的值。 解決此問題可能需要更新來源使用者的郵件屬性。 如需詳細資訊,請參閱準備將目錄同步至 Microsoft 365 * 確定 userType 屬性已佈建為類型來賓或成員。 檢查屬性對應,以理解 userType 屬性的對應方式。 * 使用者的電子郵件地址與租用戶中群組的電子郵件地址相符。 更新這兩個物件其中一個的電子郵件地址。 |
| InvitationCreation 失敗不明用戶 |
受邀使用者的代理位址與目標租用戶中的內部使用者相符。 Proxy 位址必須是唯一的。 | 若要解決此錯誤,請刪除目標租用戶中的現有內部使用者,或從同步範圍中移除此使用者。 |
| Microsoft Entra ID 無法更新物件 MasteredOnPremises |
如果目標租用戶中的使用者原本已從 AD 同步至 Microsoft Entra ID,並轉換成外部使用者,則授權來源仍為內部部署,且使用者無法更新。 | 無法透過跨租戶同步更新使用者 |
| 不支援的實體類型 | 群組可用來判斷哪些使用者位於佈建範圍內。 群組物件無法同步。 | 客戶無需採取任何行動。 這是一個被略過的事件。 若使用隨選佈建,請確定您選擇要佈建使用者,而非群組。 |