Freigeben über

Herunterladen und Analysieren der Microsoft Entra-Bereitstellungsprotokolle

  • Artikel

Die Microsoft Entra-Bereitstellungsprotokolle enthalten Details zu den Bereitstellungsereignissen in Ihrem Mandanten. Sie können die in den Bereitstellungsprotokollen erfassten Informationen verwenden, um Probleme mit einem/einer bereitgestellten Benutzer*in zu beheben.

In diesem Artikel werden die Optionen zum Herunterladen der Bereitstellungsprotokolle aus dem Microsoft Entra Admin Center und die Analyse der Protokolle beschrieben. Fehlercodes und besondere Überlegungen sind ebenfalls enthalten.

Voraussetzungen

Um den Bereitstellungsaktivitätsbericht anzuzeigen, muss Ihrem Mandanten eine Microsoft Entra ID P1- bzw. P2-Lizenz zugeordnet sein. Informationen zum Upgrade Ihrer Microsoft Entra Edition finden Sie unter Erste Schritte mit Microsoft Entra ID P1 oder P2.

Anwendungsbesitzer können Protokolle für ihre eigenen Anwendungen anzeigen. Zum Anzeigen von Bereitstellungsprotokollen werden die folgenden Rollen benötigt:

  • Meldet Reader
  • Sicherheitsleseberechtigter
  • Sicherheitsoperator
  • Sicherheitsadministrator
  • Anwendungsadministrator
  • Cloudanwendungsadministrator
  • Benutzer in einer benutzerdefinierten Rolle mit der Berechtigung provisioningLogs

Anzeigen der Bereitstellungsprotokolle

Es gibt mehrere Möglichkeiten, die Bereitstellungsprotokolle anzuzeigen oder zu analysieren:

Tipp

Die Schritte in diesem Artikel können je nach dem Portal, mit dem Sie beginnen, geringfügig variieren.

So greifen Sie auf die Protokolle im Azure-Portal zu:

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Berichtleseberechtigter an.
  2. Navigieren Sie zu IdentitätÜberwachung IntegritätBereitstellungsprotokolle.

Herunterladen der Bereitstellungsprotokolle

Sie können die Bereitstellungsprotokolle zur späteren Verwendung herunterladen. Navigieren Sie hierzu im Azure-Portal zu den Protokollen, und wählen Sie Herunterladen aus. Die Ergebnisse werden basierend auf den ausgewählten Filterkriterien gefiltert. Verwenden Sie möglichst spezifische Filter, um Größe und Dauer des Downloads zu verringern.

Screenshot der „Download“ für die Bereitstellungsprotokolle.

CSV-Format

Der CSV-Download umfasst drei Dateien:

  • ProvisioningLogs: Lädt alle Protokolle mit Ausnahme der Bereitstellungsschritte und der geänderten Eigenschaften herunter
  • ProvisioningLogs_ProvisioningSteps: Enthält die Bereitstellungsschritte und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.
  • ProvisioningLogs_ModifiedProperties: Enthält die geänderten Attribute und die Änderungs-ID. Über die Änderungs-ID kann das Ereignis mit den anderen beiden Dateien verknüpft werden.

JSON-Format

Verwenden Sie zum Öffnen der JSON-Datei einen Text-Editor wie Microsoft Visual Studio Code. Visual Studio Code vereinfacht das Lesen der Datei mittels Syntaxhervorhebung. Alternativ kann die JSON-Datei auch in einem Browser wie Microsoft Edge in einem nicht bearbeitbaren Format geöffnet werden.

Verbessern der Lesbarkeit der JSON-Datei

Die JSON-Datei wird in einem Format heruntergeladen, das die Größe des Downloads verringert. In diesem Format sind die Nutzdaten unter Umständen nur schwer lesbar. Es gibt zwei Optionen zum Formatieren der Datei:

  • Formatieren des JSON-Codes mit Visual Studio Code

  • Formatieren des JSON-Codes mit PowerShell. Dieses Skript erzeugt eine JSON-Ausgabe in einem Format, das Tabulatoren und Leerzeichen beinhaltet:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Analysieren der JSON-Datei

Sie können Ihre bevorzugte Programmiersprache verwenden. Die folgenden Beispiele werden in PowerShell ausgeführt.

Nun können Sie die Daten gemäß Ihrem Szenario analysieren. Hier sind einige Beispiele angegeben:

  • Ausgeben aller Auftrags-IDs in der JSON-Datei:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Ausgeben aller Änderungs-IDs für Ereignisse mit der Aktion „Create“ (Erstellen):

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Wichtige Informationen

Hier finden Sie einige Tipps und Überlegungen zum Analysieren der Bereitstellungsprotokolle:

  • Gemeldete Bereitstellungsdaten werden bei Verwendung einer Premium-Edition 30 Tage und bei Verwendung einer kostenlosen Edition sieben Tage im Azure-Portal gespeichert. Wenn Sie die Bereitstellungsprotokolle länger als 30 Tage aufbewahren möchten, können Sie sie an Azure Monitor-Protokolle weiterleiten.

  • Sie können das Attribut „Änderungs-ID“ als eindeutigen Bezeichner verwenden. Dies kann beispielsweise nützlich sein, wenn Sie mit dem Produktsupport interagieren.

  • Möglicherweise werden übersprungene Ereignisse für Benutzer angezeigt, die außerhalb des Geltungsbereichs liegen.

    • Beispiel 1: Wenn der Bereich auf all users and groups und Bereichsdefinitionsfilter festgelegt und eingerichtet ist, werden möglicherweise übersprungene Protokolle für Benutzer angezeigt, die die Bereichsdefinitionskriterien nicht erfüllen.
    • Beispiel 2: Wenn Sie den Bereich auf assigned users and groups festgelegt haben, werden Benutzer möglicherweise weiterhin in den Protokollen als übersprungen angezeigt, obwohl sie der Anwendung nicht zugewiesen sind. Dies liegt daran, wie der Bereitstellungsdienst Änderungen aus dem Verzeichnis empfängt.

  • Die Bereitstellungsprotokolle enthalten keine Rollenimporte (gilt für AWS, Salesforce und Zendesk). Die Protokolle für Rollenimporte finden Sie in den Überwachungsprotokollen.

Fehlercodes

Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen enthalten sein können.

Fehlercode BESCHREIBUNG
Conflict,
EntryConflict		 Korrigieren Sie die in Konflikt stehenden Attributwerte entweder in Microsoft Entra ID oder in der Anwendung. Oder: Überprüfen Sie die Konfiguration der übereinstimmenden Attribute, wenn das in Konflikt stehende Benutzerkonto hätte abgeglichen und übernommen werden sollen. Weitere Informationen zum Konfigurieren von übereinstimmenden Attributen finden Sie in der Dokumentation.
TooManyRequests Die Ziel-App hat diesen Versuch zum Aktualisieren des Benutzers abgelehnt, da sie überlastet ist und zu viele Anforderungen empfängt. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird automatisch wiederholt. Außerdem wurde Microsoft über dieses Problem informiert.
InternalServerError Die Ziel-App hat einen unerwarteten Fehler zurückgegeben. Möglicherweise liegt ein Dienstproblem mit der Zielanwendung vor, sodass diese nicht funktioniert. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InsufficientRights,
MethodNotAllowed,
NotPermitted,
Nicht autorisiert		 Microsoft Entra hat sich bei der Zielanwendung authentifiziert, war aber nicht zum Ausführen des Updates autorisiert. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie das entsprechende Tutorial für die Anwendung.
UnprocessableEntity Die Zielanwendung hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der Zielanwendung ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Zielanwendung vor.
WebExceptionProtocolError Bei der Verbindungsherstellung mit der Zielanwendung ist ein HTTP-Protokollfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InvalidAnchor Ein Benutzer, der zuvor vom Bereitstellungsdienst erstellt oder abgeglichen wurde, ist nicht mehr vorhanden. Stellen Sie sicher, dass der Benutzer vorhanden ist. Um einen erneuten Abgleich aller Benutzer zu erzwingen, können Sie mithilfe der Microsoft Graph-API den Auftrag neu starten.

Durch den Neustart der Bereitstellung wird ein Startzyklus auslöst, der einige Zeit dauern kann. Außerdem wird der vom Bereitstellungsdienst verwendete Cache gelöscht. Das bedeutet, dass alle Benutzer und Gruppen im Mandanten erneut ausgewertet werden müssen und bestimmte Bereitstellungsereignisse möglicherweise verworfen werden.
NotImplemented Die Ziel-App hat eine unerwartete Antwort zurückgegeben. Die Konfiguration der App ist möglicherweise nicht korrekt, oder es liegt ein Dienstproblem mit der Ziel-App vor. Lesen Sie alle ggf. von der Zielanwendung bereitgestellten Anweisungen sowie das entsprechende Tutorial für die Anwendung.
MandatoryFieldsMissing,
MissingValues		 Der Benutzer konnte nicht erstellt werden, da erforderliche Werte fehlten. Korrigieren Sie die fehlenden Attributwerte im Quelldatensatz, oder überprüfen Sie die Konfiguration der übereinstimmenden Attribute, um sicherzustellen, dass die erforderlichen Felder nicht ausgelassen wurden. Erfahren Sie mehr über das Konfigurieren von übereinstimmenden Attributen.
SchemaAttributeNotFound Der Vorgang konnte nicht ausgeführt werden, da ein Attribut angegeben wurde, das in der Zielanwendung nicht vorhanden ist. Informationen zum Anpassen von Attributen finden Sie in der Dokumentation. Stellen Sie außerdem sicher, dass Ihre Konfiguration korrekt ist.
InternalError Im Microsoft Entra-Bereitstellungsdienst ist ein interner Dienstfehler aufgetreten. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
InvalidDomain Der Vorgang konnte aufgrund eines Attributwerts mit einem ungültigen Domänennamen nicht ausgeführt werden. Aktualisieren Sie den Domänennamen für den Benutzer, oder fügen Sie ihn der Liste zulässiger Domänen in der Zielanwendung hinzu.
Timeout Der Vorgang konnte nicht abgeschlossen werden, da die Antwort der Zielanwendung zu lange gedauert hat. In diesem Fall ist keine Aktion erforderlich. Dieser Versuch wird in 40 Minuten automatisch wiederholt.
LicenseLimitExceeded Der Benutzer konnte in der Zielanwendung nicht erstellt werden, da für diesen Benutzer keine Lizenzen verfügbar sind. Erwerben Sie weitere Lizenzen für die Zielanwendung. Oder: Überprüfen Sie die Konfiguration der Benutzerzuweisungen und Attributzuordnungen, um sicherzustellen, dass die richtigen Attribute den richtigen Benutzern zugewiesen sind.
DuplicateTargetEntries Der Vorgang konnte nicht abgeschlossen werden, da in der Zielanwendung mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer aus der Zielanwendung, oder konfigurieren Sie die Attributzuordnungen neu.
DuplicateSourceEntries Der Vorgang konnte nicht abgeschlossen werden, da mehrere Benutzer mit den konfigurierten übereinstimmenden Attributen gefunden wurden. Entfernen Sie den doppelten Benutzer, oder konfigurieren Sie die Attributzuordnungen neu.
ImportSkipped Bei der Auswertung von Benutzern wird jeweils versucht, den Benutzer aus dem Quellsystem zu importieren. Dieser Fehler tritt in der Regel auf, wenn für den zu importierenden Benutzer die in den Attributzuordnungen definierte Übereinstimmungseigenschaft fehlt. Wenn im Benutzerobjekt kein Wert für das entsprechende Attribut vorhanden ist, können keine Bereichs-, Vergleichs- oder Exportänderungen ausgewertet werden. Dieser Fehler bedeutet nicht, dass sich der Benutzer innerhalb des Gültigkeitsbereichs befindet, da der Gültigkeitsbereich für den Benutzer noch nicht ausgewertet wurde.
EntrySynchronizationSkipped Der Bereitstellungsdienst hat das Quellsystem erfolgreich abgefragt und den Benutzer identifiziert. Es wurden keine weiteren Aktionen für den Benutzer durchgeführt, und er wurde übersprungen. Der Benutzer befand sich möglicherweise außerhalb des Gültigkeitsbereichs, oder er war im Zielsystem bereits vorhanden, und es waren keine weiteren Änderungen erforderlich.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse		 Bei einer GET-Anforderung zum Abrufen eines Benutzers oder einer Gruppe wurden in der Antwort mehrere Benutzer oder Gruppen empfangen. In der Antwort wird vom System nur ein einzelner Benutzer bzw. eine einzelne Gruppe erwartet. Dieser Fehler wird beispielsweise angezeigt, wenn Sie eine GET-Anforderung zum Abrufen einer Gruppe mit einem Filter zum Ausschließen von Mitgliedern ausführen und Ihr SCIM-Endpunkt (System for Cross-Domain Identity Management) die Mitglieder zurückgibt.
SystemForCrossDomainIdentity
ManagementServiceIncompatible		 Der Microsoft Entra-Bereitstellungsdienst kann die Antwort der Drittanbieteranwendung nicht analysieren. Arbeiten Sie mit dem Anwendungsentwickler zusammen, um sicherzustellen, dass der SCIM-Server mit dem Microsoft Entra-SCIM-Client kompatibel ist.
SchemaPropertyCanOnlyAcceptValue Die Eigenschaft im Zielsystem kann nur einen Wert akzeptieren, aber die Eigenschaft im Quellsystem weist mehrere auf. Stellen Sie sicher, dass Sie der Eigenschaft, die einen Fehler auslöst, ein Attribut mit einem einzigen Wert zuordnen, den Wert in der Quelle so aktualisieren, dass er einwertig ist, oder das Attribut aus den Zuordnungen entfernen.

Fehlercodes für die mandantenübergreifende Synchronisierung

Die folgende Tabelle ist bei der Behebung von Fehlern hilfreich, die in den Bereitstellungsprotokollen für die mandantenübergreifende Synchronisierung enthalten sein können.

Fehlercode Ursache Lösung
Microsoft Entra ID
CannotUpdateObjectsOriginated
InExternalService		 Das Synchronisierungsmodul konnte mindestens eine Benutzereigenschaft im Zielmandanten nicht aktualisieren.

Der Vorgang ist in der Microsoft Graph-API aufgrund der Erzwingung der Autoritätsquelle (Source of Authority, SOA) fehlgeschlagen. Aktuell werden die folgenden Eigenschaften in der Liste angezeigt:
Mail
showInAddressList		 In einigen Fällen (z. B. wenn die showInAddressList-Eigenschaft Teil der Benutzeraktualisierung ist) versucht das Synchronisierungsmodul möglicherweise, die Aktualisierung (Benutzer) ohne die betreffende Eigenschaft automatisch zu wiederholen. Andernfalls müssen Sie die Eigenschaft direkt im Zielmandanten aktualisieren.
AzureDirectory
B2BManagementPolicy
CheckFailure		 Fehler beim Überprüfen der Richtlinie für die mandantenübergreifende Synchronisierung, die eine automatische Einlösung ermöglicht.

Das Synchronisierungsmodul überprüft, ob der Administrator des Zielmandanten eine Richtlinie für die mandantenübergreifende Synchronisierung für eingehenden Datenverkehr erstellt hat, die eine automatische Einlösung ermöglicht. Das Synchronisierungsmodul überprüft auch, ob der Administrator des Quellmandanten eine Richtlinie für ausgehenden Datenverkehr für die automatische Einlösung aktiviert hat.		 Stellen Sie sicher, dass die Einstellung für die automatische Einlösung sowohl für den Quellmandanten als auch für den Zielmandanten aktiviert wurde. Weitere Informationen finden Sie unter Einstellung für die automatische Einlösung.
Microsoft Entra ID
QuotaLimitExceeded		 Die Anzahl der Objekte im Mandanten überschreitet den Grenzwert für das Verzeichnis.

In Microsoft Entra ID gibt es Grenzwerte für die Anzahl von Objekten, die in einem Mandanten erstellt werden können.		 Überprüfen Sie, ob das Kontingent erhöht werden kann. Informationen zu den Verzeichnisgrenzwerten und den Schritten zum Erhöhen des Kontingents finden Sie unter Dienst- und andere Einschränkungen für Microsoft Entra.
InvitationCreationFailure Der Microsoft Entra-Bereitstellungsdienst hat versucht, den/die Benutzer*in in den Zielmandanten einzuladen. Bei dieser Benutzereinladung ist ein Fehler aufgetreten. Weitere Untersuchungen erfordern wahrscheinlich die Kontaktaufnahme mit dem Support.
Microsoft Entra ID
Verboten		 Externe Zusammenarbeitseinstellungen haben Einladungen blockiert. Navigieren Sie zu den Benutzereinstellungen, und stellen Sie sicher, dass Einstellungen für die externe Zusammenarbeit erlaubt sind.
InvitationCreation
FailureInvalidPropertyValue		 Mögliche Ursachen:
* Die primäre SMTP-Adresse ist ein ungültiger Wert.
* UserType ist weder ein Gast noch ein Mitglied
* Gruppen-E-Mail-Adresse ist nicht unterstützt		 Mögliche Lösungen:
* Die primäre SMTP-Adresse hat einen ungültigen Wert. Um dieses Problem zu beheben, muss wahrscheinlich die E-Mail-Eigenschaft des Quellbenutzers aktualisiert werden. Weitere Informationen finden Sie unter Vorbereiten der Verzeichnissynchronisierung zu Microsoft 365
* Stellen Sie sicher, dass die userType-Eigenschaft als Typ „Gast“ oder „Mitglied“ bereitgestellt wird. Dies kann behoben werden, indem Sie Ihre Attributzuordnungen überprüfen, um zu verstehen, wie das userType-Attribut zugeordnet ist.
* Die E-Mail-Adresse des Benutzers stimmt mit der E-Mail-Adresse einer Gruppe im Mandanten überein. Aktualisieren Sie die E-Mail-Adresse für eines der beiden Objekte.
InvitationCreation
FailureAmbiguousUser		 Der eingeladene Benutzer verfügt über eine Proxyadresse, die mit einem internen Benutzer im Zielmandanten übereinstimmt. Die Proxyadresse muss eindeutig sein. Um diesen Fehler zu beheben, löschen Sie den vorhandenen internen Benutzer im Zielmandanten, oder entfernen Sie diesen Benutzer aus dem Synchronisierungsbereich.
Microsoft Entra ID
CannotUpdateObjects
MasteredOnPremises		 Wenn der Benutzer im Zielmandanten ursprünglich von AD zu Microsoft Entra ID synchronisiert und in einen externen Benutzer konvertiert wurde, ist die Autoritätsquelle weiterhin lokal, und der Benutzer kann nicht aktualisiert werden. Der Benutzer kann nicht durch mandantenübergreifende Synchronisierung aktualisiert werden.
EntityTypeNotSupported Gruppen können verwendet werden, um zu bestimmen, welche Benutzer im Umfang der Bereitstellung enthalten sind. Gruppenobjekte können nicht synchronisiert werden. Es ist keine Kundenaktion erforderlich. Dies ist ein ausgelassenes Ereignis. Wenn Sie die Bereitstellung bei Bedarf verwenden, stellen Sie sicher, dass Sie einen Benutzer anstelle einer Gruppe auswählen, die bereitgestellt werden soll.

Nächste Schritte