Kontrola stavu zřizování uživatelů
Služba zřizování Microsoft Entra spouští počáteční cyklus zřizování pro zdrojový systém a cílový systém, za nímž následuje pravidelné přírůstkové cykly. Při konfiguraci zřizování pro aplikaci můžete zkontrolovat aktuální stav služby zřizování a zjistit, kdy má uživatel přístup k aplikaci.
Zobrazení indikátoru průběhu zřizování
Na stránce Zřizování aplikace můžete zobrazit stav služby Zřizování Microsoft Entra. Část Aktuální stav v dolní části stránky ukazuje, jestli cyklus zřizování začal zřizovat uživatelské účty. Můžete sledovat průběh cyklu, zjistit, kolik uživatelů a skupin bylo zřízeno, a zjistit, kolik rolí se vytvoří.
Při první konfiguraci automatického zřizování se v části Aktuální stav v dolní části stránky zobrazí stav počátečního cyklu zřizování. Tato část se aktualizuje při každém spuštění přírůstkového cyklu. Zobrazí se následující podrobnosti:
- Typ cyklu zřizování (počáteční nebo přírůstkový), který je aktuálně spuštěný nebo byl naposledy dokončen.
- Indikátor průběhu znázorňující procento dokončeného cyklu zřizování Procento odráží počet zřízených stránek. Každá stránka může obsahovat více uživatelů nebo skupin, takže procento přímo neodpovídá počtu zřízených uživatelů, skupin nebo rolí.
- Tlačítko Aktualizovat můžete použít k aktualizaci zobrazení.
- Počet uživatelů a skupin v úložišti dat konektoru. Počet se zvyšuje, kdykoli se objekt přidá do oboru zřizování. Počet se nespustí, pokud je uživatel obnovitelně odstraněný nebo pevně odstraněný, protože operace neodebere objekt z úložiště dat konektoru. Počet se přepočítá při první synchronizaci po resetování služby CDS .
- Odkaz Zobrazit protokoly auditu, který otevře protokoly zřizování Microsoft Entra. Další informace o operacích spuštěných službou zřizování uživatelů, včetně stavu zřizování pro jednotlivé uživatele, najdete v části Použití protokolů zřizování dále v článku.
Po dokončení cyklu zřizování se v části Statistika k datu zobrazí kumulativní počet uživatelů a skupin, které byly zřízeny k datu, spolu s datem dokončení a dobou trvání posledního cyklu. ID aktivity jednoznačně identifikuje poslední cyklus zřizování. ID úlohy je jedinečný identifikátor úlohy zřizování a je specifický pro aplikaci ve vašem tenantovi.
Průběh zřizování se zobrazuje v Centru pro správu Microsoft Entra v podnikových aplikacích> Identity>Applications>[název aplikace] >Zřizování.
Pomocí Microsoft Graphu můžete také programově monitorovat stav zřizování pro aplikaci. Další informace najdete v tématu monitorování zřizování.
Použití protokolů zřizování ke kontrole stavu zřizování uživatele
Pokud chcete zobrazit stav zřizování pro vybraného uživatele, projděte si protokoly zřizování v MICROSOFT Entra ID. Všechny operace spuštěné službou zřizování uživatelů se zaznamenávají v protokolech zřizování Microsoft Entra. Protokoly zahrnují operace čtení a zápisu provedené ve zdrojových a cílových systémech. Zaprotokolují se také přidružená uživatelská data související s operacemi čtení a zápisu.
K protokolům zřizování v Centru pro správu Microsoft Entra se dostanete výběrem protokolů zřizování podnikových aplikací>identit>>v části Aktivita. Data zřizování můžete prohledávat na základě jména uživatele nebo identifikátoru ve zdrojovém systému nebo cílovém systému. Podrobnosti najdete v tématu Protokoly zřizování.
Protokoly zřizování zaznamenávají všechny operace prováděné službou zřizování, včetně:
- Dotazování ID Microsoft Entra pro přiřazené uživatele, kteří jsou v oboru zřizování
- Dotazování cílové aplikace na existenci těchto uživatelů
- Porovnání uživatelských objektů mezi systémem
- Přidání, aktualizace nebo zakázání uživatelského účtu v cílovém systému na základě porovnání
Další informace o tom, jak číst protokoly zřizování v Centru pro správu Microsoft Entra, najdete v průvodci vytvářením sestav.
Jak dlouho bude trvat zřízení uživatelů?
Pokud používáte automatické zřizování uživatelů s aplikací, je potřeba mít na paměti několik věcí. Za prvé, Microsoft Entra ID automaticky zřídí a aktualizuje uživatelské účty v aplikaci na základě věcí, jako je přiřazení uživatele a skupiny. Synchronizace probíhá v pravidelném časovém intervalu, obvykle každých 40 minut.
Čas potřebný ke zřízení daného uživatele závisí hlavně na tom, jestli vaše úloha zřizování spouští počáteční cyklus nebo přírůstkový cyklus.
V případě počátečního cyklu závisí doba úlohy na mnoha faktorech, včetně počtu uživatelů a skupin v rozsahu zřizování a celkového počtu uživatelů a skupin ve zdrojovém systému. První synchronizace mezi Microsoft Entra ID a aplikací probíhá tak rychle jako 20 minut nebo trvá až několik hodin. Doba závisí na velikosti adresáře Microsoft Entra a počtu uživatelů v rozsahu zřizování. Úplný seznam faktorů, které ovlivňují výkon počátečního cyklu, jsou shrnuty dále v této části.
U přírůstkových cyklů po počátečním cyklu jsou časy úloh rychlejší (do 10 minut), protože služba zřizování ukládá vodoznaky, které představují stav obou systémů po počátečním cyklu, což zlepšuje výkon následných synchronizací. Doba úlohy závisí na počtu změn zjištěných v daném cyklu zřizování. Pokud existuje méně než 5 000 změn členství uživatelů nebo skupin, může úloha dokončit v rámci jednoho cyklu přírůstkového zřizování.
Následující tabulka shrnuje časy synchronizace pro běžné scénáře zřizování. V těchto scénářích je zdrojový systém Microsoft Entra ID a cílový systém je aplikace SaaS. Časy synchronizace jsou odvozeny ze statistické analýzy úloh synchronizace pro aplikace SaaS ServiceNow, Workplace, Salesforce a G Suite.
Konfigurace oboru | Uživatelé, skupiny a členové v oboru | Počáteční doba cyklu |
---|---|---|
Synchronizace přiřazených uživatelů a skupin | < 1,000 | < 30 minut |
Synchronizace přiřazených uživatelů a skupin | 1,000 - 10,000 | 142 – 708 minut |
Synchronizace přiřazených uživatelů a skupin | 10,000 - 100,000 | 1 170 – 2 340 minut |
Synchronizace všech uživatelů a skupin v Microsoft Entra ID | < 1,000 | < 30 minut |
Synchronizace všech uživatelů a skupin v Microsoft Entra ID | 1,000 - 10,000 | < 30 – 120 minut |
Synchronizace všech uživatelů a skupin v Microsoft Entra ID | 10,000 - 100,000 | 713 – 1 425 minut |
Synchronizace všech uživatelů v Microsoft Entra ID | < 1,000 | < 30 minut |
Synchronizace všech uživatelů v Microsoft Entra ID | 1,000 - 10,000 | 43 – 86 minut |
Pouze pro uživatele a skupiny přiřazené synchronizací konfigurace můžete pomocí následujících vzorců určit přibližné minimální a maximální očekávané počáteční doby cyklu:
- Minimální počet minut = 0,01 x [Počet přiřazených uživatelů, skupin a členů skupiny]
- Maximální počet minut = 0,08 x [Počet přiřazených uživatelů, skupin a členů skupiny]
Shrnutí faktorů, které ovlivňují dobu potřebnou k dokončení počátečního cyklu:
Celkový počet uživatelů a skupin v rozsahu zřizování
Celkový počet uživatelů, skupin a členů skupin, které jsou přítomné ve zdrojovém systému (ID Microsoft Entra).
Bez ohledu na to, jestli se uživatelé v oboru zřizování shodují se stávajícími uživateli v cílové aplikaci, nebo je potřeba je vytvořit poprvé. Úlohy synchronizace, pro které se vytvářejí všichni uživatelé poprvé, trvá přibližně dvakrát tak dlouho, dokud se úlohy synchronizace, pro které se všichni uživatelé shodují se stávajícími uživateli.
Počet chyb v protokolech zřizování Výkon je pomalejší, pokud dojde k mnoha chybám a služba zřizování přešla do stavu karantény.
Omezení rychlosti požadavků a omezování implementované cílovým systémem Některé cílové systémy implementují omezení rychlosti požadavků a omezování, což může mít vliv na výkon při velkých operacích synchronizace. Za těchto podmínek může aplikace, která přijímá příliš mnoho požadavků, zpomalit rychlost odezvy nebo zavřít připojení. Aby se zlepšil výkon, konektor se musí upravit tak, že neodesílá požadavky aplikace rychleji, než je aplikace dokáže zpracovat. Zřizování konektorů vytvořených Microsoftem tuto úpravu provede.
Počet a velikosti přiřazených skupin. Synchronizace přiřazených skupin trvá déle než synchronizace uživatelů. Počet i velikosti přiřazených skupin mají vliv na výkon. Pokud má aplikace povolené mapování pro synchronizaci objektů skupiny, vlastnosti skupiny, jako jsou názvy skupin a členství, se kromě uživatelů synchronizují. Synchronizace trvá déle, než jenom synchronizace uživatelských objektů.
Pokud dojde k problému s výkonem a pokoušíte se zřídit většinu uživatelů a skupin ve vašem tenantovi, použijte filtry oborů. Filtry oborů umožňují doladit data, která služba zřizování extrahuje z ID Microsoft Entra tím, že vyfiltruje uživatele na základě konkrétních hodnot atributů. Další informace ofiltrch
Ve většině případů se přírůstkový cyklus dokončí za 30 minut. Pokud ale dojde ke stovkám nebo tisíc změnám členství uživatelů nebo členství ve skupině, doba přírůstkového cyklu se proporcionálně zvýší s počtem změn, které se mají zpracovat, a může trvat několik hodin. Použití synchronizovaných přiřazených uživatelů a skupin a minimalizace počtu uživatelů nebo skupin v rozsahu zřizování vám pomůže zkrátit dobu synchronizace.
Doporučení ke zkrácení doby zřizování uživatele a/ nebo skupiny:
- Nastavte obor zřizování tak, aby se synchronizoval
assigned users and groups
, a nesync all users and groups
. - Minimalizujte počet uživatelů a skupin v rozsahu zřizování.
- Vytvořte několik úloh zřizování, které cílí na stejný systém. Když to uděláte, každá úloha synchronizace bude fungovat nezávisle a zkracuje dobu zpracování změn. Ujistěte se, že rozsah uživatelů je mezi těmito úlohami zřizování odlišný, abyste se vyhnuli změnám v jedné úloze, která má vliv na jinou.
- Přidejte filtry oborů pro další omezení počtu uživatelů a skupin v rozsahu zřizování.
Auditování změn konfigurace zřizování
Změny konfigurace zřizování se protokolují v protokolech auditu. Uživatelé s potřebnými oprávněními, jako je správce aplikací a čtenář sestav, mají přístup k protokolům prostřednictvím uživatelského rozhraní protokolů auditu, rozhraní API a prostřednictvím PowerShellu. Pomocí filtru aktivit v protokolech auditu můžete identifikovat následující akce.
Poznámka:
Pro akce, které služba zřizování provádí, jako je vytváření uživatelů, aktualizace uživatelů a odstraňování uživatelů, doporučujeme použít protokoly zřizování. Pokud chcete monitorovat změny konfigurace zřizování, doporučujeme použít protokoly auditu.
Akce | Aktivita (filtrování protokolů pro tuto vlastnost) |
---|---|
Aktualizace přihlašovacích údajů (např. přidání nového nosný token) | Aktualizace nastavení zřizování nebo přihlašovacích údajů |
Změna nastavení vaší úlohy zřizování (např. e-mail s oznámením, synchronizace všech vs. synchronizace přiřazených uživatelů a skupin, prevence náhodného odstranění) | Aktualizace nastavení zřizování nebo přihlašovacích údajů |
Zahájení zřizování | Povolení nebo spuštění konfigurace zřizování |
Zastavení zřizování | Zakázání nebo pozastavení konfigurace zřizování |
Restartování zřizování | Povolení nebo restartování konfigurace zřizování |
Aktualizace mapování atributů nebo pravidel oborů | Aktualizace mapování atributů nebo oboru |
Další kroky
Automatizace zřizování uživatelů a jeho rušení pro aplikace SaaS ve službě Microsoft Entra ID