Überprüfen des Status der Benutzerbereitstellung
Der Microsoft Entra-Bereitstellungsdienst führt einen ersten Bereitstellungszyklus für das Quellsystem und das Zielsystem durch, dem regelmäßige inkrementelle Zyklen folgen. Bei der Konfiguration der Bereitstellung für eine App können Sie den aktuellen Status des Bereitstellungsdiensts überprüfen und anzeigen, wann ein Benutzer auf eine App zugreifen kann.
Anzeigen der Statusanzeige für die Bereitstellung
Auf der Seite Bereitstellung für eine App können Sie den Status des Microsoft Entra-Bereitstellungsdiensts anzeigen. Im Abschnitt Aktueller Status unten auf der Seite wird angezeigt, ob ein Bereitstellungszyklus zur Bereitstellung von Benutzerkonten gestartet wurde. Sie können den Status des Zyklus prüfen und sehen, wie viele Benutzer und Gruppen bereitgestellt wurden und wie viele Rollen erstellt werden.
Bei der ersten Konfiguration der automatischen Bereitstellung wird im Abschnitt Aktueller Status unten auf der Seite der Status des ersten Bereitstellungszyklus angezeigt. Dieser Abschnitt wird bei jeder Ausführung eines inkrementellen Zyklus aktualisiert. Folgende Details werden angezeigt:
- Der Typ des Bereitstellungszyklus (erster oder inkrementeller Zyklus), der aktuell ausgeführt wird oder zuletzt abgeschlossen wurde.
- Eine Statusanzeige, in der der Prozentsatz des abgeschlossenen Bereitstellungszyklus angezeigt wird. Der Prozentsatz gibt die Anzahl der bereitgestellten Seiten an. Jede Seite kann mehrere Benutzer oder Gruppen enthalten, sodass der Prozentsatz nicht direkt der Anzahl der bereitgestellten Benutzer, Gruppen oder Rollen entspricht.
- Die Schaltfläche Aktualisieren, über die Sie die Ansicht aktualisieren können.
- Die Anzahl der Benutzer und Gruppen im Connector-Datenspeicher. Die Anzahl nimmt jedes Mal zu, wenn dem Bereitstellungsbereich ein Objekt hinzugefügt wird. Die Anzahl nimmt nicht ab, wenn ein Benutzer vorläufig oder dauerhaft gelöscht wird, weil bei diesem Vorgang nicht das Objekt aus dem Connector-Datenspeicher entfernt wird. Die Anzahl wird bei der ersten Synchronisierung nach dem Zurücksetzen des Connector-Datenspeichers neu berechnet
- Ein Link Überwachungsprotokolle anzeigen, der die Microsoft Entra-Bereitstellungsprotokolle öffnet. Weitere Informationen zu Vorgängen, die vom Benutzerbereitstellungsdienst ausgeführt werden, einschließlich des Bereitstellungsstatus für einzelne Benutzer, finden Sie weiter unten in diesem Artikel unter Verwenden von Bereitstellungsprotokollen.
Nach Abschluss eines Bereitstellungszyklus wird im Abschnitt Statistik bis zum heutigen Datum die kumulierte Anzahl der Benutzer und Gruppen, die bis zum aktuellen Datum bereitgestellt wurden, zusammen mit dem Abschlussdatum und der Dauer des letzten Zyklus angezeigt. Mit der Aktivitäts-ID wird der letzte Bereitstellungszyklus eindeutig identifiziert. Die Auftrags-ID ist ein eindeutiger Bezeichner für den Bereitstellungsauftrag und bezieht sich auf die App in Ihrem Mandanten.
Der Fortschritt der Bereitstellung wird im Microsoft Entra Admin Center unter Identität>Anwendungen>Unternehmensanwendungen> [Anwendungsname] >Bereitstellung angezeigt.
Sie können Microsoft Graph auch verwenden, um den Status der Bereitstellung für eine Anwendung programmgesteuert zu überwachen. Weitere Informationen finden Sie unter Überwachen der Bereitstellung.
Verwenden von Bereitstellungsprotokollen zum Überprüfen des Bereitstellungsstatus eines Benutzers
Informationen zum Bereitstellungsstatus für einen ausgewählten Benutzer finden Sie in den Bereitstellungsprotokollen in Microsoft Entra ID. Alle vom Benutzerbereitstellungsdienst ausgeführten Vorgänge werden in Microsoft Entra ID-Bereitstellungsprotokollen aufgezeichnet. Die Protokolle umfassen Lese- und Schreibvorgänge in den Quell- und Zielsystemen. Zugeordnete Benutzerdaten im Zusammenhang mit Lese- und Schreibvorgängen werden ebenfalls protokolliert.
Sie können im Microsoft Entra Admin Center auf die Bereitstellungsprotokolle zugreifen, indem Sie im Abschnitt Aktivität die Option Identität>Anwendungen>Unternehmensanwendungen>Bereitstellungsprotokolle auswählen. Sie können die Bereitstellungsdaten anhand des Benutzernamens oder des Bezeichners entweder im Quell- oder im Zielsystem durchsuchen. Ausführlichere Informationen finden Sie unter Bereitstellungsprotokolle.
Die Bereitstellungsprotokolle zeichnen alle Vorgänge auf, die vom Bereitstellungsdienst durchgeführt werden, einschließlich der Folgenden:
- Abfragen von Microsoft Entra ID nach zugewiesenen Benutzern, die sich im Bereitstellungsbereich befinden
- Abfragen der Ziel-App nach dem Vorkommen dieser Benutzer
- Vergleichen der Benutzerobjekte zwischen dem System
- Hinzufügen, Aktualisieren oder Deaktivieren des Benutzerkontos im Zielsystem auf Basis des Vergleichs
Weitere Informationen zum Lesen der Bereitstellungsprotokolle im Microsoft Entra Admin Center finden Sie im Leitfaden für die Berichterstellung zur Bereitstellung.
Wie lange dauert die Bereitstellung von Benutzern?
Wenn Sie die automatische Benutzerbereitstellung mit einer Anwendung verwenden, müssen einige Dinge beachtet werden. Microsoft Entra ID stellt zunächst automatisch Benutzerkonten in einer App bereit und aktualisiert diese basierend auf Dingen wie Benutzer- und Gruppenzuweisung. Die Synchronisierung erfolgt in einem regelmäßig geplanten Zeitintervall, in der Regel alle 40 Minuten.
Die für die Bereitstellung eines bestimmten Benutzers benötigte Zeit hängt hauptsächlich davon ab, ob mit dem Bereitstellungsauftrag ein Startzyklus oder ein inkrementeller Zyklus durchgeführt wird.
Bei einem Startzyklus hängt die Auftragsdauer von vielen Faktoren ab, beispielsweise von der Anzahl der Benutzer und Gruppen im Bereich für die Bereitstellung und von der Gesamtanzahl der Benutzer und Gruppen im Quellsystem. Die erste Synchronisierung zwischen Microsoft Entra ID und einer App kann in 20 Minuten abgeschlossen sein oder mehrere Stunden dauern. Die Dauer hängt von der Größe des Microsoft Entra ID-Verzeichnisses und der Anzahl der Benutzer im Bereitstellungsbereich ab. Eine umfassende Liste der Faktoren, die die Leistung von Startzyklen beeinflussen, finden Sie später in diesem Abschnitt.
Inkrementelle Zyklen nach dem Startzyklus werden in der Regel schneller durchgeführt (innerhalb von 10 Minuten), da der Bereitstellungsdienst Wasserzeichen speichert, die den Status beider Systeme nach dem Startzyklus darstellen, wodurch die Leistung nachfolgender Synchronisierungen verbessert wird. Die Auftragsdauer hängt davon ab, wie viele Änderungen im jeweiligen Bereitstellungszyklus erkannt werden. Bei weniger als 5.000 Änderungen an Benutzer- oder Gruppenmitgliedschaften kann der Auftrag innerhalb eines einzelnen inkrementellen Bereitstellungszyklus ausgeführt werden.
Die folgende Tabelle fasst die Synchronisierungsdauer für gängige Bereitstellungsszenarien zusammen. In diesen Szenarien ist das Quellsystem Microsoft Entra ID und das Zielsystem eine SaaS-Anwendung. Die jeweilige Synchronisierungsdauer ergibt sich aus einer statistischen Analyse der Synchronisierungsaufträge für die SaaS-Anwendungen ServiceNow, Workplace, Salesforce und G Suite.
Bereichskonfiguration | Benutzer, Gruppen und Mitglieder im Bereich | Dauer des Startzyklus |
---|---|---|
Nur zugewiesene Benutzer und Gruppen synchronisieren | < 1.000 | < 30 Minuten |
Nur zugewiesene Benutzer und Gruppen synchronisieren | 1\.000 - 10.000 | 142 - 708 Minuten |
Nur zugewiesene Benutzer und Gruppen synchronisieren | 10.000 - 100.000 | 1\.170 - 2.340 Minuten |
Synchronisieren aller Benutzer und Gruppen in Microsoft Entra ID | < 1.000 | < 30 Minuten |
Synchronisieren aller Benutzer und Gruppen in Microsoft Entra ID | 1\.000 - 10.000 | < 30 bis 120 Minuten |
Synchronisieren aller Benutzer und Gruppen in Microsoft Entra ID | 10.000 - 100.000 | 713 - 1.425 Minuten |
Synchronisieren aller Benutzer in Microsoft Entra ID | < 1.000 | < 30 Minuten |
Synchronisieren aller Benutzer in Microsoft Entra ID | 1\.000 - 10.000 | 43 - 86 Minuten |
Nur für die Konfiguration Nur zugewiesene Benutzer und Gruppen synchronisieren können Sie die folgenden Formeln verwenden, um den ungefähren Mindest- und Höchstwert für die erwartete Dauer des Startzyklus zu bestimmen:
- Mindestanzahl von Minuten = 0,01 · [Anzahl zugewiesener Benutzer, Gruppen und Gruppenmitglieder]
- Höchstzahl von Minuten = 0,08 × [Anzahl zugewiesener Benutzer, Gruppen und Gruppenmitglieder]
Zusammenfassung der Faktoren, die sich auf die Dauer bis zum Abschluss eines Startzyklus auswirken:
Die Gesamtanzahl von Benutzern und Gruppen im Bereitstellungsumfang.
Die Gesamtanzahl von Benutzern, Gruppen und Gruppenmitgliedern, die im Quellsystem (Microsoft Entra ID) vorhanden sind.
Ob Benutzer im Bereitstellungsumfang mit vorhandenen Benutzern in der Zielanwendung abgeglichen werden oder zum ersten Mal erstellt werden müssen. Synchronisierungsaufträge, für die alle Benutzer zum ersten Mal erstellt werden, dauern etwa doppelt so lange wie Synchronisierungsaufträge, für die alle Benutzer mit vorhandenen Benutzern abgeglichen werden.
Anzahl von Fehlern in den Bereitstellungsprotokollen. Die Leistung wird zudem beeinträchtigt, wenn viele Fehler auftreten und der Bereitstellungsdienst in den Quarantänezustand versetzt wurde.
Fordern Sie die Einschränkung der Datenübertragungsrate an, die vom Zielsystem implementiert wird. Einige Zielsysteme implementieren Anforderungen von Grenzwerten und Einschränkungen der Datenübertragungsrate, die die Leistung bei umfangreichen Synchronisierungsvorgängen beeinträchtigen können. Unter diesen Bedingungen kann eine App, die zu viele Anforderungen zu schnell empfängt, ihre Antwortrate verlangsamen oder die Verbindung trennen. Zur Leistungssteigerung muss der Connector angepasst werden, sodass er die App-Anforderungen nicht schneller sendet, als die App sie verarbeiten kann. Diese Anpassung ist durch die Bereitstellung von Connectors möglich, die von Microsoft erstellt wurden.
Die Anzahl und Größe der zugewiesenen Gruppen. Das Synchronisieren zugewiesener Gruppen dauert länger als das Synchronisieren von Benutzern. Sowohl die Anzahl als auch die Größe der zugewiesenen Gruppen beeinflussen die Leistung. Wenn für eine Anwendung Zuordnungen für die Synchronisierung von Gruppenobjekten aktiviert sind, werden zusätzlich zu den Benutzern auch Gruppeneigenschaften wie Gruppennamen und Mitgliedschaften synchronisiert. Diese Synchronisierungen dauern länger als die ausschließliche Synchronisierung von Benutzerobjekten.
Wenn die Leistung zu einem Problem wird und Sie versuchen, die meisten Benutzer und Gruppen in Ihrem Mandanten bereitzustellen, verwenden Sie Bereichsfilter. Mit Bereichsfiltern können Sie die Daten, die der Bereitstellungsdienst aus Microsoft Entra ID extrahiert, fein abstimmen, indem Sie Benutzer anhand bestimmter Attributwerte herausfiltern. Weitere Informationen zu Bereichsfiltern finden Sie unter Attributbasierte Anwendungsbereitstellung mit Bereichsfiltern.
In den meisten Fällen ist der inkrementelle Zyklus nach 30 Minuten abgeschlossen. Wenn jedoch Hunderte oder Tausende von Benutzeränderungen oder Änderungen der Gruppenmitgliedschaft vorliegen, steigt die inkrementelle Zykluszeit proportional zur Anzahl der zu verarbeitenden Änderungen und kann mehrere Stunden dauern. Wenn Sie zugewiesene Benutzer und Gruppen für die Synchronisierung verwenden und die Anzahl der Benutzer/Gruppen, die für die Bereitstellung in Frage kommen, minimieren, können Sie die Synchronisierungszeit verkürzen.
Empfehlungen zum Reduzieren der Zeit für die Bereitstellung eines Benutzers bzw. einer Gruppe:
- Legen Sie den Bereitstellungsbereich auf Synchronisierung
assigned users and groups
anstellesync all users and groups
von fest. - Minimieren Sie die Anzahl der Benutzer und Gruppen, die für den Bereitstellungsumfang in Frage kommen.
- Erstellen Sie mehrere Bereitstellungsaufträge für dasselbe System. Dabei wird jeder Synchronisierungsauftrag unabhängig ausgeführt, wodurch die Zeit für die Verarbeitung von Änderungen reduziert wird. Stellen Sie sicher, dass sich der Bereich der Benutzer zwischen diesen Bereitstellungsaufträgen unterscheidet, um Änderungen von einem Auftrag zu vermeiden, die sich auf einen anderen auswirken.
- Fügen Sie Bereichsfilter hinzu, um die Anzahl der Benutzer und Gruppen im Bereich für die Bereitstellung weiter zu begrenzen.
Überwachen von Änderungen an der Bereitstellungskonfiguration
Die Bereitstellung von Konfigurationsänderungen werden in den Überwachungsprotokollen protokolliert. Benutzer mit den erforderlichen Berechtigungen, z. B. Anwendungsadministrator und Berichtsleser, können über die Benutzeroberfläche für Überwachungsprotokolle, API und über PowerShell auf Protokolle zugreifen. Sie können den Aktivitätsfilter in den Überwachungsprotokollen verwenden, um die folgenden Aktionen zu identifizieren.
Hinweis
Für Aktionen, die der Bereitstellungsdienst ausführt, z. B. das Erstellen von Benutzern, das Aktualisieren von Benutzern und das Löschen von Benutzern, empfehlen wir die Verwendung der Bereitstellungsprotokolle. Für die Überwachung von Änderungen an Ihrer Bereitstellungskonfiguration empfehlen wir die Verwendung der Überwachungsprotokolle.
Aktion | Aktivität (Filtern der Protokolle für diese Eigenschaft) |
---|---|
Aktualisieren von Anmeldeinformationen (z. B. Hinzufügen eines neuen Bearertokens) | Bereitstellungseinstellung oder Anmeldeinformationen aktualisieren |
Ändern von Einstellungen für Ihren Bereitstellungsauftrag (z. B. E-Mail-Benachrichtigung, Synchronisieren aller zugewiesenen Benutzer und Gruppen, Verhinderung versehentlicher Löschungen) | Bereitstellungseinstellung oder Anmeldeinformationen aktualisieren |
Bereitstellung beginnen | Bereitstellungskonfiguration aktivieren/starten |
Bereitstellung beenden | Bereitstellungskonfiguration deaktivieren/anhalten |
Erneutes Starten der Bereitstellung | Bereitstellungskonfiguration aktivieren/neu starten |
Attributzuordnungen oder -bereichsregeln aktualisieren | Attributzuordnungen oder -bereich aktualisieren |