如何下載和分析 Microsoft Entra 佈建記錄
Microsoft Entra 佈建記錄提供租用戶中發生的佈建事件詳細資料。 您可以使用佈建記錄中擷取的資訊,協助疑難排解已佈建使用者的問題。
本文說明從 Microsoft Entra 系統管理中心下載佈建記錄的選項,以及如何分析記錄。 此外,也包含錯誤碼和特殊考慮。
必要條件
- 工作Microsoft Entra 租使用者,具有與其相關聯的Microsoft Entra ID P1 或 P2 授權。
- 報表讀者 是存取布建記錄所需的最低特殊許可權角色。
- 如需角色的完整清單,請參閱 依工作設定的最低許可權角色。
如何檢視佈建記錄
有數種方式可以檢視或分析佈建記錄:
- 在 Microsoft Entra 系統管理中心中檢視。
- 透過診斷設定將記錄串流至 Azure 監視器。
- 透過活頁簿範本分析記錄。
- 透過 Microsoft Graph API,以程式設計方式存取記錄。
- 以 CSV 或 JSON 檔案形式下載記錄。
提示
根據您開始使用的入口網站,本文中的步驟可能略有不同。
若要存取 Microsoft Entra 系統管理中心的活動記錄:
- 以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別] > [監視和健康情況] > [佈建記錄]。
如何下載佈建記錄
若要下載布建記錄,請從 [布建記錄] 頁面選取 [下載]。 更具體地設定篩選,以減少下載的大小和時間。
CSV 格式
CSV 下載包含三個檔案:
- ProvisioningLogs:下載所有記錄,除了佈建步驟和修改過的屬性。
- ProvisioningLogs_ProvisioningSteps:包含佈建步驟和變更識別碼。 您可以使用變更識別碼,將事件與另兩個檔案聯結。
- ProvisioningLogs_ModifiedProperties:包含已變更的屬性和變更識別碼。 您可以使用變更識別碼,將事件與另兩個檔案聯結。
JSON 格式
若要開啟 JSON 檔案,請使用文字編輯器,例如 Microsoft Visual Studio Code。 Visual Studio Code 藉由提供語法醒目提示,讓檔案更容易閱讀。 您也可以使用瀏覽器 (例如Microsoft Edge) 以無法編輯的格式開啟 JSON 檔案。
修飾 JSON 檔案
JSON 檔案會以縮小下載大小的格式下載。 此格式可能會讓承載難以閱讀。 若要美化檔案,共有兩種方式:
使用 PowerShell 來格式化 JSON。 此指令碼會以包含索引標籤和空白的格式產生 JSON 輸出:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
剖析 JSON 檔案
您可以使用任何您所熟悉的程式設計語言。 下列範例位於 PowerShell 中。
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
現在您可以根據您的案例來剖析資料。 以下提供幾個範例:
輸出 JSON 檔案中的所有作業識別碼:
foreach ($provitem in $JSONContent) { $provitem.jobId }
輸出動作為「建立」的事件的所有變更識別碼:
foreach ($provitem in $JSONContent) {
if ($provItem.action -eq 'Create') {
$provitem.changeId
}
}
您應該知道的事情
以下是分析佈建記錄的一些提示和考量:
如果您有進階版本,Microsoft Entra 系統管理中心會將報告的佈建資料儲存 30 天,而如果您有免費版本,則會儲存 7 天。 您可以將佈建記錄路由至 Azure 監視器記錄,以保留超過 30 天。
例如,您可以使用變更識別碼屬性作為唯一識別碼,這在與產品支援互動時會很有用。
針對範圍以外的使用者,您可能會看到略過的事件。
- 範例 1:若將範圍設定為
all users and groups
並設定範圍篩選條件,您可能會看到不符合範圍準則之使用者的略過記錄。 - 範例 2:若範圍設定為
assigned users and groups
,即使未將使用者指派給該應用程式,仍會繼續在略過記錄中看到他們。 佈建服務從目錄接收變更的方式會產生這些使用者。
- 範例 1:若將範圍設定為
佈建記錄不會顯示角色匯入 (適用於 Amazon Web Services、Salesforce 和 Zendesk)。 您可以在稽核記錄中找到角色匯入的記錄。
錯誤碼
使用下表進一步了解如何解決您在佈建記錄中找到的錯誤。
錯誤碼 | 描述 |
---|---|
Conflict, EntryConflict |
更正 Microsoft Entra ID 或應用程式中的衝突屬性值。 或者,如果衝突的使用者帳戶應該進行比對和接管,請檢閱比對屬性設定。 如需設定對應屬性的詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
TooManyRequests | 目標應用程式拒絕此更新使用者的嘗試,因為該應用程式已超載且收到太多要求。 不需要執行任何動作。 此嘗試會自動重試,且 Microsoft 會收到此問題的通知。 |
InternalServerError | 目標應用程式傳回未預期的錯誤。 目標應用程式的服務問題可能導致其無法運作。 此嘗試會在 40 分鐘內自動重試。 |
InsufficientRights, MethodNotAllowed, NotPermitted, 未經授權 |
Microsoft Entra ID 向目標應用程式進行驗證,但未獲授權而無法執行更新。 檢閱目標應用程式提供的任何指示,以及個別的應用程式。 如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID 的教學課程。 |
UnprocessableEntity | 目標應用程式傳回未預期的回應。 目標應用程式的設定可能不正確,或目標應用程式的服務問題可能導致其無法運作。 |
WebExceptionProtocolError | 連結至目標應用程式時發生 HTTP 通訊協定錯誤。 不需要執行任何動作。 此嘗試會在 40 分鐘內自動重試。 |
InvalidAnchor | 先前由佈建服務所建立或比對的使用者已不存在。 確保該使用者存在。 若要強制對所有使用者進行新的比對,請使用 Microsoft Graph API 來重新開始該作業。 重新開始佈建會觸發初始迴圈,其可能需要一些時間才能完成。 重新開始佈建也會刪除佈建服務用來作業的快取。 這表示租用戶中的所有使用者和群組都必須重新評估,而且可能會捨棄某些佈建事件。 |
NotImplemented | 目標應用程式傳回未預期的回應。 應用程式的設定可能不正確,或目標應用程式的服務問題可能導致其無法運作。 檢閱目標應用程式提供的任何指示,以及個別的應用程式。 如需詳細資訊,請參閱整合應用程式與 Microsoft Entra ID 的教學課程。 |
MandatoryFieldsMissing, MissingValues |
因為遺漏必要的值而無法建立使用者。 更正來源記錄中遺漏的屬性值,或檢查比對屬性設定,確保不會省略必要的欄位。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
SchemaAttributeNotFound | 因為指定的屬性不存在於目標應用程式中,而無法執行該作業。 請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應,以確保您的設定正確無誤。 |
InternalError | Microsoft Entra 佈建服務內發生內部服務錯誤。 不需要執行任何動作。 此嘗試會在 40 分鐘內自動重試。 |
InvalidDomain | 因為屬性值包含無效的網域名稱,無法執行該作業。 更新使用者的網域名稱,或將其新增至目標應用程式中的允許清單。 |
Timeout | 因為目標應用程式耗費太長時間來回應,無法完成作業。 不需要執行任何動作。 此嘗試會在 40 分鐘內自動重試。 |
LicenseLimitExceeded | 因為沒有此使用者的可用授權,無法在目標應用程式中建立使用者。 針對目標應用程式購買更多授權。 或者,檢閱您的使用者指派和屬性對應設定,以確保已為正確的使用者指派正確的屬性。 |
DuplicateTargetEntries | 因為發現目標應用程式中有一個以上的使用者具有設定的比對屬性,作業無法完成。 從目標應用程式中移除重複的使用者,或重新設定您的屬性對應。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
DuplicateSourceEntries | 因為發現一個以上的使用者具有設定的比對屬性,作業無法完成。 移除重複的使用者,或重新設定您的屬性對應。 如需詳細資訊,請參閱在 Microsoft Entra ID 中自訂 SaaS 應用程式的使用者佈建屬性對應。 |
ImportSkipped | 評估每位使用者時,系統會嘗試從來源系統匯入使用者。 當匯入的使用者遺漏您的屬性對應中定義的比對屬性時,通常會發生此錯誤。 如果使用者物件上沒有比對屬性的值,系統就無法評估範圍、比對或匯出變更。 存在此錯誤並不表示使用者在範圍內,因為您尚未評估使用者的範圍。 |
EntrySynchronizationSkipped | 佈建服務已成功查詢來源系統並識別該使用者。 未對使用者採取任何進一步的動作,而且已略過。 使用者可能超出範圍,或可能已存在於目標系統中,因此不需要進一步變更。 |
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
擷取使用者或群組的 GET 要求,在回應中收到多個使用者或群組。 系統預期只會在回應中收到一個使用者或群組。 舉例來說,若執行擷取群組的 GET Group 要求並提供篩選條件以排除成員,但「跨網域身分識別管理系統 (SCIM)」端點卻傳回成員,則會顯示此錯誤。 |
SystemForCrossDomainIdentity ManagementServiceIncompatible |
Microsoft Entra 佈建服務無法剖析非 Microsoft應用程式的回應。 請與應用程式開發人員合作,確保 SCIM 伺服器與 Microsoft Entra SCIM 用戶端相容。 |
SchemaPropertyCanOnlyAcceptValue | 目標系統中的屬性只能接受一個值,但來源系統中的屬性有多個值。 請確保您將單一值屬性與擲出錯誤的屬性對應,或將來源中的值更新為單一值,或者從對應中移除該屬性。 |
跨租用戶同步處理的錯誤碼
使用下表進一步了解如何解決您在佈建記錄中找到的跨租用戶同步處理錯誤。
錯誤碼 | 原因 | 解決方案 |
---|---|---|
AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
使用者的授權來源是 Exchange Online。 佈建服務無法對使用者更新一或多個交換屬性 (例如:extensionAttribute 1 - 15)。 當 dirSyncEnabled 屬性從 "True" 變更為 "False" 時,這會影響存在於目標租用戶中的使用者。 | 在目標租用戶的 Exchange Online 中,直接更新屬性。 例如:Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
同步作業引擎無法更新目標租用戶中的一或多個使用者屬性。 強制執行「授權單位來源 (SOA)」,導致 Microsoft Graph API 發生作業失敗。 目前,下列屬性會顯示在清單中: Mail showInAddressList |
在某些情況下(例如,在 showInAddressList 屬性包含在使用者更新項目中時),同步作業引擎可能會自動重試 (使用者) 更新,但不包含有問題的屬性。 否則,您必須直接在目標租用戶中更新屬性。 |
AzureDirectory B2BManagementPolicy CheckFailure |
允許自動兌換的跨租用戶同步處理原則發生失敗。 同步作業引擎會檢查,以確保目標租用戶的系統管理員所建立的輸入跨租用戶同步處理原則,允許自動兌換。 同步作業引擎也會檢查來源租用戶的系統管理員是否已啟用自動兌換的輸出原則。 |
請確定已為來源和目標租用戶啟用自動兌換設定。 如需詳細資訊,請參閱自動兌換設定。 |
Microsoft Entra ID QuotaLimitExceeded |
租用戶中的物件數目超過目錄限制。 Microsoft Entra ID 會限制可在租用戶中建立的物件數目。 |
檢查是否可以增加配額。 如需目錄限制和增加配額的步驟的相關資訊,請參閱 Microsoft Entra 服務限額和限制。 |
InvitationCreationFailure | Microsoft Entra 佈建服務嘗試邀請目標租用戶中的使用者。 該邀請發生失敗。 | 進一步調查可能需要連絡客戶服務中心。 |
InvitationCreationFailureUserAccountDisabled | Microsoft Entra 佈建服務嘗試邀請目標租用戶中的使用者。 該邀請發生失敗。 | 使用者存在於目標租用戶中,但已停用帳戶且邀請為擱置狀態。 在目標租用戶中啟用使用者帳戶,然後再次嘗試佈建使用者。 |
Microsoft Entra ID 禁止 |
外部共同作業設定已封鎖邀請。 | 瀏覽至使用者設定,並確定允許外部共同作業設定。 |
InvitationCreation FailureInvalidPropertyValue |
可能的原因: * 主要 SMTP 地址不是有效的值。 * UserType 非來賓或成員 * 不支援群組電子郵件地址 |
可能的解決方案: * 主要 SMTP 地址有無效的值。 解決此問題可能需要更新來源使用者的郵件屬性。 如需詳細資訊,請參閱準備將目錄同步至 Microsoft 365 * 確定 userType 屬性已佈建為類型來賓或成員。 檢查屬性對應,以了解 userType 屬性的對應方式。 * 使用者的電子郵件地址與租用戶中群組的電子郵件地址相符。 更新這兩個物件其中一個的電子郵件地址。 |
InvitationCreation FailureAmbiguousUser |
受邀的使用者具有 Proxy 位址,其符合目標租用戶中的內部使用者。 Proxy 位址必須是唯一的。 | 若要解決此錯誤,請刪除目標租用戶中的現有內部使用者,或從同步範圍中移除此使用者。 |
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
如果目標租用戶中的使用者原本已從 AD 同步至 Microsoft Entra ID,並轉換成外部使用者,則授權來源仍為內部部署,且使用者無法更新。 | 跨租用戶同步處理無法更新使用者 |
EntityTypeNotSupported | 群組可用來判斷哪些使用者位於佈建範圍內。 群組物件無法同步。 | 不需採取客戶動作。 這是略過的事件。 若使用隨選佈建,請確定您選擇要佈建使用者,而非群組。 |