Herunterladen und Analysieren der Microsoft Entra-Bereitstellungsprotokolle
Die Microsoft Entra-Bereitstellungsprotokolle enthalten Details zu den Bereitstellungsereignissen in Ihrem Mandanten. Sie können die in den Bereitstellungsprotokollen erfassten Informationen verwenden, um Probleme mit einem/einer bereitgestellten Benutzer*in zu beheben.
In diesem Artikel werden die Optionen zum Herunterladen der Bereitstellungsprotokolle aus dem Microsoft Entra Admin Center und die Analyse der Protokolle beschrieben. Fehlercodes und besondere Überlegungen sind ebenfalls enthalten.
Voraussetzungen
Um den Bereitstellungsaktivitätsbericht anzuzeigen, muss Ihrem Mandanten eine Microsoft Entra ID P1- bzw. P2-Lizenz zugeordnet sein. Informationen zum Upgrade Ihrer Microsoft Entra Edition finden Sie unter Erste Schritte mit Microsoft Entra ID P1 oder P2.
Anwendungsbesitzer können Protokolle für ihre eigenen Anwendungen anzeigen. Zum Anzeigen von Bereitstellungsprotokollen werden die folgenden Rollen benötigt:
- Meldet Reader
- Sicherheitsleseberechtigter
- Sicherheitsoperator
- Sicherheitsadministrator
- Anwendungsadministrator
- Cloudanwendungsadministrator
- Benutzer in einer benutzerdefinierten Rolle mit der Berechtigung provisioningLogs
Anzeigen der Bereitstellungsprotokolle
Es gibt mehrere Möglichkeiten, die Bereitstellungsprotokolle anzuzeigen oder zu analysieren:
- Anzeigen im Azure-Portal
- Streamen von Protokollen an Azure Monitor über die Diagnoseeinstellungen.
- Analysieren von Protokollen über Vorlagen für Arbeitsmappen
- Programmgesteuertes Zugreifen auf Protokolle über die Microsoft Graph-API
- Herunterladen der Protokolle als CSV- oder JSON-Datei
Tipp
Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.
So greifen Sie auf die Protokolle im Azure-Portal zu:
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
- Navigieren Sie zu IdentitätÜberwachung IntegritätBereitstellungsprotokolle.
Herunterladen der Bereitstellungsprotokolle
Sie können die Bereitstellungsprotokolle zur späteren Verwendung herunterladen. Navigieren Sie hierzu im Azure-Portal zu den Protokollen, und wählen Sie Herunterladen aus. Die Ergebnisse werden basierend auf den ausgewählten Filterkriterien gefiltert. Verwenden Sie möglichst spezifische Filter, um Größe und Dauer des Downloads zu verringern.
CSV-Format
Der CSV-Download umfasst drei Dateien:
- ProvisioningLogs: Lädt alle Protokolle mit Ausnahme der Bereitstellungsschritte und der geänderten Eigenschaften herunter
- ProvisioningLogs_ProvisioningSteps: Enthält die Bereitstellungsschritte und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.
- ProvisioningLogs_ModifiedProperties: Enthält die geänderten Attribute und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.
JSON-Format
Verwenden Sie zum Öffnen der JSON-Datei einen Text-Editor wie Microsoft Visual Studio Code. Visual Studio Code vereinfacht das Lesen der Datei mittels Syntaxhervorhebung. Alternativ kann die JSON-Datei auch in einem Browser wie Microsoft Edge in einem nicht bearbeitbaren Format geöffnet werden.
Verbessern der Lesbarkeit der JSON-Datei
Die JSON-Datei wird in einem Format heruntergeladen, das die Größe des Downloads verringert. In diesem Format sind die Nutzdaten unter Umständen nur schwer lesbar. Es gibt zwei Optionen zum Formatieren der Datei:
Formatieren des JSON-Codes mit PowerShell. Dieses Skript erzeugt eine JSON-Ausgabe in einem Format, das Tabulatoren und Leerzeichen beinhaltet:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analysieren der JSON-Datei
Sie können Ihre bevorzugte Programmiersprache verwenden. Die folgenden Beispiele werden in PowerShell ausgeführt.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Nun können Sie die Daten gemäß Ihrem Szenario analysieren. Hier sind einige Beispiele angegeben:
Ausgeben aller Auftrags-IDs in der JSON-Datei:
foreach ($provitem in $JSONContent) { $provitem.jobId }
Ausgeben aller Änderungs-IDs für Ereignisse mit der Aktion „Create“ (Erstellen):
foreach ($provitem in $JSONContent) {
if ($provItem.action -eq 'Create') {
$provitem.changeId
}
}
Wichtige Informationen
Hier finden Sie einige Tipps und Überlegungen zum Analysieren der Bereitstellungsprotokolle:
Gemeldete Bereitstellungsdaten werden bei Verwendung einer Premium-Edition 30 Tage und bei Verwendung einer kostenlosen Edition sieben Tage im Azure-Portal gespeichert. Wenn Sie die Bereitstellungsprotokolle länger als 30 Tage aufbewahren möchten, können Sie sie an Azure Monitor-Protokolle weiterleiten.
Sie können das Attribut „Änderungs-ID“ als eindeutigen Bezeichner verwenden. Dies kann beispielsweise nützlich sein, wenn Sie mit dem Produktsupport interagieren.
Möglicherweise werden übersprungene Ereignisse für Benutzer angezeigt, die außerhalb des Geltungsbereichs liegen.
- Beispiel 1: Wenn der Bereich auf
all users and groups
und Bereichsdefinitionsfilter festgelegt und eingerichtet ist, werden möglicherweise übersprungene Protokolle für Benutzer angezeigt, die die Bereichsdefinitionskriterien nicht erfüllen. - Beispiel 2: Wenn Sie den Bereich auf
assigned users and groups
festgelegt haben, werden Benutzer möglicherweise weiterhin in den Protokollen als übersprungen angezeigt, obwohl sie der Anwendung nicht zugewiesen sind. Dies liegt daran, wie der Bereitstellungsdienst Änderungen aus dem Verzeichnis empfängt.
- Beispiel 1: Wenn der Bereich auf
Die Bereitstellungsprotokolle enthalten keine Rollenimporte (gilt für AWS, Salesforce und Zendesk). Die Protokolle für Rollenimporte finden Sie in den Überwachungsprotokollen.
Fehlercodes
Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen enthalten sein können.
Fehlercode | BESCHREIBUNG |
---|---|
Conflict, EntryConflict |
Korrigieren Sie die in Konflikt stehenden Attributwerte entweder in Microsoft Entra ID oder in der Anwendung. Oder: Überprüfen Sie die Konfiguration der übereinstimmenden Attribute, wenn das in Konflikt stehende Benutzerkonto hätte abgeglichen und übernommen werden sollen. Weitere Informationen zum Konfigurieren von übereinstimmenden Attributen finden Sie in der Dokumentation. |
TooManyRequests | Die Ziel-App hat diesen Versuch zum Aktualisieren des Benutzers abgelehnt, da sie überlastet ist und zu viele Anforderungen empfängt. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird automatisch wiederholt. Außerdem wurde Microsoft über dieses Problem informiert. |
InternalServerError | Die Ziel-App hat einen unerwarteten Fehler zurückgegeben. Möglicherweise liegt ein Dienstproblem mit der Zielanwendung vor, sodass diese nicht funktioniert. Dieser Versuch wird in 40 Minuten automatisch wiederholt. |
InsufficientRights, MethodNotAllowed, NotPermitted, Nicht autorisiert |
Microsoft Entra hat sich bei der Zielanwendung authentifiziert, war aber nicht zum Ausführen des Updates autorisiert. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie das entsprechende Tutorial für die Anwendung. |
UnprocessableEntity | Die Zielanwendung hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der Zielanwendung ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Zielanwendung vor. |
WebExceptionProtocolError | Bei der Verbindungsherstellung mit der Zielanwendung ist ein HTTP-Protokollfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt. |
InvalidAnchor | Ein Benutzer, der zuvor vom Bereitstellungsdienst erstellt oder abgeglichen wurde, ist nicht mehr vorhanden. Stellen Sie sicher, dass der Benutzer vorhanden ist. Um einen erneuten Abgleich aller Benutzer zu erzwingen, können Sie mithilfe der Microsoft Graph-API den Auftrag neu starten. Durch den Neustart der Bereitstellung wird ein Startzyklus auslöst, der einige Zeit dauern kann. Außerdem wird der vom Bereitstellungsdienst verwendete Cache gelöscht. Das bedeutet, dass alle Benutzer und Gruppen im Mandanten erneut ausgewertet werden müssen und bestimmte Bereitstellungsereignisse möglicherweise verworfen werden. |
NotImplemented | Die Ziel-App hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der App ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Ziel-App vor. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie das entsprechende Tutorial für die Anwendung. |
MandatoryFieldsMissing, MissingValues |
Der Benutzer konnte nicht erstellt werden, da erforderliche Werte fehlten. Korrigieren Sie die fehlenden Attributwerte im Quelldatensatz, oder überprüfen Sie die Konfiguration der übereinstimmenden Attribute, um sicherzustellen, dass die erforderlichen Felder nicht ausgelassen wurden. Erfahren Sie mehr über das Konfigurieren von übereinstimmenden Attributen. |
SchemaAttributeNotFound | Der Vorgang konnte nicht ausgeführt werden, da ein Attribut angegeben wurde, das in der Zielanwendung nicht vorhanden ist. Informationen zum Anpassen von Attributen finden Sie in der Dokumentation. Stellen Sie außerdem sicher, dass Ihre Konfiguration korrekt ist. |
InternalError | Im Microsoft Entra-Bereitstellungsdienst ist ein interner Dienstfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt. |
InvalidDomain | Der Vorgang konnte aufgrund eines Attributwerts mit einem ungültigen Domänennamen nicht ausgeführt werden. Aktualisieren Sie den Domänennamen für den Benutzer, oder fügen Sie ihn der Liste zulässiger Domänen in der Zielanwendung hinzu. |
Timeout | Der Vorgang konnte nicht abgeschlossen werden, da die Antwort der Zielanwendung zu lange gedauert hat. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt. |
LicenseLimitExceeded | Der Benutzer konnte in der Zielanwendung nicht erstellt werden, da für diesen Benutzer keine Lizenzen verfügbar sind. Erwerben Sie weitere Lizenzen für die Zielanwendung. Oder: Überprüfen Sie die Konfiguration der Benutzerzuweisungen und Attributzuordnungen, um sicherzustellen, dass die richtigen Attribute den richtigen Benutzern zugewiesen sind. |
DuplicateTargetEntries | Der Vorgang konnte nicht abgeschlossen werden, da in der Zielanwendung mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer aus der Zielanwendung, oder konfigurieren Sie die Attributzuordnungen neu. |
DuplicateSourceEntries | Der Vorgang konnte nicht abgeschlossen werden, da mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer, oder konfigurieren Sie die Attributzuordnungen neu. |
ImportSkipped | Bei der Auswertung von Benutzern wird jeweils versucht, den Benutzer aus dem Quellsystem zu importieren. Dieser Fehler tritt in der Regel auf, wenn für den zu importierenden Benutzer die in den Attributzuordnungen definierte Übereinstimmungseigenschaft fehlt. Wenn im Benutzerobjekt kein Wert für das entsprechende Attribut vorhanden ist, können keine Bereichs-, Vergleichs- oder Exportänderungen ausgewertet werden. Dieser Fehler bedeutet nicht, dass sich der Benutzer innerhalb des Gültigkeitsbereichs befindet, da der Gültigkeitsbereich für den Benutzer noch nicht ausgewertet wurde. |
EntrySynchronizationSkipped | Der Bereitstellungsdienst hat das Quellsystem erfolgreich abgefragt und den Benutzer identifiziert. Es wurden keine weiteren Aktionen für den Benutzer durchgeführt, und er wurde übersprungen. Der Benutzer befand sich möglicherweise außerhalb des Gültigkeitsbereichs, oder er war im Zielsystem bereits vorhanden, und es waren keine weiteren Änderungen erforderlich. |
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Bei einer GET-Anforderung zum Abrufen eines Benutzers oder einer Gruppe wurden in der Antwort mehrere Benutzer oder Gruppen empfangen. In der Antwort wird vom System nur ein einzelner Benutzer bzw. eine einzelne Gruppe erwartet. Dieser Fehler wird beispielsweise angezeigt, wenn Sie eine GET-Anforderung zum Abrufen einer Gruppe mit einem Filter zum Ausschließen von Mitgliedern ausführen und Ihr SCIM-Endpunkt (System for Cross-Domain Identity Management) die Mitglieder zurückgibt. |
SystemForCrossDomainIdentity ManagementServiceIncompatible |
Der Microsoft Entra-Bereitstellungsdienst kann die Antwort der Drittanbieteranwendung nicht analysieren. Arbeiten Sie mit dem Anwendungsentwickler zusammen, um sicherzustellen, dass der SCIM-Server mit dem Microsoft Entra-SCIM-Client kompatibel ist. |
SchemaPropertyCanOnlyAcceptValue | Die Eigenschaft im Zielsystem kann nur einen Wert akzeptieren, aber die Eigenschaft im Quellsystem weist mehrere auf. Stellen Sie sicher, dass Sie der Eigenschaft, die einen Fehler auslöst, ein Attribut mit einem einzigen Wert zuordnen, den Wert in der Quelle so aktualisieren, dass er einwertig ist, oder das Attribut aus den Zuordnungen entfernen. |
Fehlercodes für die mandantenübergreifende Synchronisierung
Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen für die mandantenübergreifende Synchronisierung enthalten sein können.
Fehlercode | Ursache | Lösung |
---|---|---|
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Das Synchronisierungsmodul konnte mindestens eine Benutzereigenschaft im Zielmandanten nicht aktualisieren. Der Vorgang ist in der Microsoft Graph-API aufgrund der Erzwingung der Autoritätsquelle (Source of Authority, SOA) fehlgeschlagen. Aktuell werden die folgenden Eigenschaften in der Liste angezeigt: Mail showInAddressList |
In einigen Fällen (z. B. wenn die showInAddressList -Eigenschaft Teil der Benutzeraktualisierung ist) versucht das Synchronisierungsmodul möglicherweise, die Aktualisierung (Benutzer) ohne die betreffende Eigenschaft automatisch zu wiederholen. Andernfalls müssen Sie die Eigenschaft direkt im Zielmandanten aktualisieren. |
AzureDirectory B2BManagementPolicy CheckFailure |
Fehler beim Überprüfen der Richtlinie für die mandantenübergreifende Synchronisierung, die eine automatische Einlösung ermöglicht. Das Synchronisierungsmodul überprüft, ob der Administrator des Zielmandanten eine Richtlinie für die mandantenübergreifende Synchronisierung für eingehenden Datenverkehr erstellt hat, die eine automatische Einlösung ermöglicht. Das Synchronisierungsmodul überprüft auch, ob der Administrator des Quellmandanten eine Richtlinie für ausgehenden Datenverkehr für die automatische Einlösung aktiviert hat. |
Stellen Sie sicher, dass die Einstellung für die automatische Einlösung sowohl für den Quellmandanten als auch für den Zielmandanten aktiviert wurde. Weitere Informationen finden Sie unter Einstellung für die automatische Einlösung. |
Microsoft Entra ID QuotaLimitExceeded |
Die Anzahl der Objekte im Mandanten überschreitet den Grenzwert für das Verzeichnis. In Microsoft Entra ID gibt es Grenzwerte für die Anzahl von Objekten, die in einem Mandanten erstellt werden können. |
Überprüfen Sie, ob das Kontingent erhöht werden kann. Informationen zu den Verzeichnisgrenzwerten und den Schritten zum Erhöhen des Kontingents finden Sie unter Dienst- und andere Einschränkungen für Microsoft Entra. |
InvitationCreationFailure | Der Microsoft Entra-Bereitstellungsdienst hat versucht, den/die Benutzer*in in den Zielmandanten einzuladen. Bei dieser Benutzereinladung ist ein Fehler aufgetreten. | Weitere Untersuchungen erfordern wahrscheinlich die Kontaktaufnahme mit dem Support. |
Microsoft Entra ID Verboten |
Externe Zusammenarbeitseinstellungen haben Einladungen blockiert. | Navigieren Sie zu den Benutzereinstellungen, und stellen Sie sicher, dass Einstellungen für die externe Zusammenarbeit erlaubt sind. |
InvitationCreation FailureInvalidPropertyValue |
Mögliche Ursachen: * Die primäre SMTP-Adresse ist ein ungültiger Wert. * UserType ist weder ein Gast noch ein Mitglied * Gruppen-E-Mail-Adresse ist nicht unterstützt |
Mögliche Lösungen: * Die primäre SMTP-Adresse hat einen ungültigen Wert. Um dieses Problem zu beheben, muss wahrscheinlich die E-Mail-Eigenschaft des Quellbenutzers aktualisiert werden. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung zu Microsoft 365 * Stellen Sie sicher, dass die userType-Eigenschaft als Typ „Gast“ oder „Mitglied“ bereitgestellt wird. Dies kann behoben werden, indem Sie Ihre Attributzuordnungen überprüfen, um zu verstehen, wie das userType-Attribut zugeordnet ist. * Die E-Mail-Adresse des Benutzers stimmt mit der E-Mail-Adresse einer Gruppe im Mandanten überein. Aktualisieren Sie die E-Mail-Adresse für eines der beiden Objekte. |
InvitationCreation FailureAmbiguousUser |
Der eingeladene Benutzer verfügt über eine Proxyadresse, die mit einem internen Benutzer im Zielmandanten übereinstimmt. Die Proxyadresse muss eindeutig sein. | Um diesen Fehler zu beheben, löschen Sie den vorhandenen internen Benutzer im Zielmandanten, oder entfernen Sie diesen Benutzer aus dem Synchronisierungsbereich. |
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Wenn der Benutzer im Zielmandanten ursprünglich von AD zu Microsoft Entra ID synchronisiert und in einen externen Benutzer konvertiert wurde, ist die Autoritätsquelle weiterhin lokal, und der Benutzer kann nicht aktualisiert werden. | Der Benutzer kann nicht durch mandantenübergreifende Synchronisierung aktualisiert werden. |
EntityTypeNotSupported | Gruppen können verwendet werden, um zu bestimmen, welche Benutzer im Umfang der Bereitstellung enthalten sind. Gruppenobjekte können nicht synchronisiert werden. | Es ist keine Kundenaktion erforderlich. Dies ist ein ausgelassenes Ereignis. Wenn Sie die Bereitstellung bei Bedarf verwenden, stellen Sie sicher, dass Sie einen Benutzer anstelle einer Gruppe auswählen, die bereitgestellt werden soll. |
Nächste Schritte
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für