Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Los registros de aprovisionamiento de Microsoft Entra proporcionan detalles sobre los eventos de aprovisionamiento que se producen en el inquilino. Puede usar la información capturada en los registros de aprovisionamiento para solucionar problemas con un usuario aprovisionado.
En este artículo se describen las opciones para descargar los registros de aprovisionamiento desde el centro del administrador de Microsoft Entra, así como para analizar los registros. También se incluyen códigos de error y consideraciones especiales.
Requisitos previos
- Un inquilino de Microsoft Entra en funcionamiento con una licencia de Microsoft Entra ID P1 o P2 asociada.
- Lector de informes es el rol con privilegios mínimos necesario para acceder a los registros de provisión.
- Para obtener una lista completa de roles, consulte Rol con privilegios mínimos por tarea.
Cómo visualizar los registros de aprovisionamiento
Hay varias maneras de ver o analizar los registros de aprovisionamiento:
- Visualizar en el Centro de administración de Microsoft Entra.
- Transmisión de registros a Azure Monitor a través de la configuración de diagnóstico.
- Analice los registros mediante plantillas de Libro.
- Acceda a los registros mediante programación a través de Microsoft Graph API.
- Descargue los registros en forma de archivo CSV o JSON.
Para acceder a los registros en el centro de administración de Microsoft Entra:
- Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
- Vaya a Entra ID>Supervisión y estado>Registros de aprovisionamiento.
Cómo descargar los registros de aprovisionamiento
Para descargar los registros de aprovisionamiento, seleccione Descargar en la página Registros de aprovisionamiento. Establezca los filtros tan específicos como sea posible para reducir el tamaño y el tiempo de la descarga.
Formato CSV
La descarga de CSV incluye tres archivos:
- ProvisioningLogs: descarga todos los registros, excepto los pasos de aprovisionamiento y las propiedades modificadas.
- ProvisioningLogs_ProvisioningSteps: contiene los pasos de aprovisionamiento y el id. de cambio. Puede usar el identificador de cambio para unir el evento con los otros dos archivos.
- ProvisioningLogs_ModifiedProperties: contiene los atributos que se cambiaron y el id. de cambio. Puede usar el identificador de cambio para unir el evento con los otros dos archivos.
Formato JSON
Para abrir el archivo JSON, use un editor de texto como Microsoft Visual Studio Code. Visual Studio Code facilita la lectura del archivo gracias al resaltado de sintaxis. También puede abrir el archivo JSON mediante exploradores en un formato no editable, como Microsoft Edge.
Mejora del archivo JSON
El archivo JSON se descarga en un formato para reducir el tamaño de la descarga. Este formato puede hacer que la carga sea difícil de leer. Para embellecer el archivo, hay dos opciones:
Uso de PowerShell para dar formato al JSON. Este script genera una salida JSON en un formato que incluye tabulaciones y espacios:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Análisis del archivo JSON
Puede usar cualquier lenguaje de programación con el que esté familiarizado. Los ejemplos siguientes están en PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Ahora puede analizar los datos de acuerdo a su escenario. Estos son algunos ejemplos:
Genera todos los identificadores de trabajo en el archivo JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Genere todos los identificadores de cambio para los eventos en los que la acción era "create":
foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }
Qué debería saber
Estas son algunas sugerencias y consideraciones para analizar los registros de aprovisionamiento:
El Centro de administración de Microsoft Entra almacena los datos de aprovisionamiento notificados durante 30 días si tiene una edición Premium y 7 días si tiene una edición gratuita. Puede enrutar los registros de aprovisionamiento en Registros de Azure Monitor para una retención superior a 30 días.
Puede usar el atributo id. de cambio como identificador único, lo que puede resultar útil al interactuar con el soporte técnico del producto, por ejemplo.
Es posible que vea eventos omitidos de usuarios que no están en el ámbito.
- Ejemplo 1: Si el ámbito se establece en
all users and groupsy se configuran filtros de ámbito, es posible que se omitan registros de usuarios que no cumplen los criterios de ámbito. - Ejemplo 2: si el ámbito está establecido
assigned users and groupsen, es posible que siga viendo a los usuarios en los registros como omitidos, aunque no estén asignados a la aplicación. La forma en que el servicio de aprovisionamiento recibe los cambios del directorio hace que aparezcan estos usuarios.
- Ejemplo 1: Si el ámbito se establece en
Los registros de aprovisionamiento no muestran las importaciones de roles (se aplica a Amazon Web Services, Salesforce y Zendesk). Puede encontrar los registros de importaciones de roles en los registros de auditoría.
Algunos códigos de error contienen
AzureActiveDirectoryen el nombre. Estos códigos de error hacen referencia a Microsoft Entra ID, pero no se pudo cambiar de marca desde Azure Active Directory.
Códigos de error
Use la tabla siguiente para entender mejor cómo resolver los errores que se encuentre en los registros de aprovisionamiento.
| Código de error | Descripción |
|---|---|
| Conflicto, EntryConflict |
Corrija los valores de atributo en conflicto en Microsoft Entra ID o en la aplicación. O bien, revise la configuración del atributo coincidente si se supone que la cuenta de usuario en conflicto debe coincidir y asumirse. Para obtener más información sobre cómo configurar atributos coincidentes, consulte Personalizar asignaciones de atributo de aprovisionamiento de usuario para aplicaciones SaaS en Microsoft Entra ID. |
| DemasiadasSolicitudes | La aplicación de destino ha rechazado este intento de actualizar el usuario porque está recibiendo demasiadas solicitudes. No hay nada que hacer. Este intento se reintentó automáticamente y Microsoft fue notificado de este problema. |
| Error Interno del Servidor | La aplicación de destino devolvió un error inesperado. Un problema de servicio en el que la aplicación de destino puede impedir que funcione. Esto se reintenta automáticamente en 40 minutos. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Desautorizado |
Microsoft Entra ID se autenticó con la aplicación de destino pero no estaba autorizado para realizar la actualización. Revise las instrucciones que la aplicación de destino proporcionó, junto con la aplicación respectiva. Para obtener más información, consulte Tutoriales para integrar aplicaciones con Microsoft Entra ID. |
| Entidad No Procesable | La aplicación de destino devolvió una respuesta inesperada. Es posible que la configuración de la aplicación de destino no sea correcta o que haya un problema de servicio con la aplicación de destino que impida que funcione. |
| WebExceptionProtocolError | Error de protocolo HTTP al conectarse a la aplicación de destino. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| InvalidAnchor | Ya no existe un usuario que se había creado previamente o que coincidía con el servicio de aprovisionamiento. Asegúrese de que el usuario existe. Para forzar una nueva coincidencia de todos los usuarios, use Microsoft Graph API para reiniciar el trabajo. Reiniciar el aprovisionamiento desencadena un ciclo inicial, que puede tardar en completarse. Al reiniciar el aprovisionamiento también se elimina la memoria caché que usa el servicio de aprovisionamiento para funcionar. Esto significa que todos los usuarios y grupos del inquilino deben evaluarse de nuevo y es posible que se quiten determinados eventos de aprovisionamiento. |
| No Implementado | La aplicación de destino devolvió una respuesta inesperada. Es posible que la configuración de la aplicación no sea correcta o que haya un problema de servicio con la aplicación de destino que impida que funcione. Revise las instrucciones que la aplicación de destino proporcionó, junto con la aplicación respectiva. Para obtener más información, consulte Tutoriales para integrar aplicaciones con Microsoft Entra ID. |
| MandatoryFieldsMissing, Valores Faltantes |
No se pudo crear el usuario porque faltan valores necesarios. Corrija los valores de atributo que faltan en el registro de origen o revise la configuración de atributos coincidente para asegurarse de que no se omiten los campos obligatorios. Para obtener más información, consulte Personalizar las asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID. |
| SchemaAttributeNotFound | La operación no se pudo realizar porque se especificó un atributo que no existe en la aplicación de destino. Asegúrese de que su configuración es correcta consultando Personalizar las asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID. |
| Error interno | Se produjo un error de servicio interno en el servicio de aprovisionamiento de Microsoft Entra. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| Dominio inválido | No se pudo realizar la operación porque un valor de atributo contiene un nombre de dominio no válido. Actualice el nombre de dominio en el usuario o agréguelo a la lista de valores permitidos en la aplicación de destino. |
| Timeout | No se pudo completar la operación porque la aplicación de destino tardó demasiado tiempo en responder. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| LímiteDeLicenciaExcedido | No se pudo crear el usuario en la aplicación de destino porque no hay licencias disponibles para este usuario. Adquiera más licencias para la aplicación de destino. O bien revise las asignaciones de usuario y la configuración de asignación de atributos para asegurarse de que se asignan los atributos correctos a los usuarios correctos. |
| DuplicateTargetEntries | No se pudo completar la operación porque se encontró más de un usuario en la aplicación de destino con los atributos coincidentes configurados. Quite el usuario duplicado de la aplicación de destino o vuelva a configurar las asignaciones de atributos. Para obtener más información, consulte Personalizar las asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID. |
| DuplicateSourceEntries | No se pudo completar la operación porque se encontró más de un usuario con los atributos coincidentes configurados. Quite el usuario duplicado o vuelva a configurar las asignaciones de atributos. Para obtener más información, consulte Personalizar las asignaciones de atributos de aprovisionamiento de usuarios para aplicaciones SaaS en Microsoft Entra ID. |
| ImportSkipped | Cuando se evalúa a cada usuario, el sistema intenta importar el usuario desde el sistema de origen. Este error suele producirse cuando al usuario que se importará le falta la propiedad coincidente definida en las asignaciones de atributos. Sin un valor presente en el objeto user para el atributo coincidente, el sistema no puede evaluar los cambios de ámbito, coincidencia o exportación. La presencia de este error no indica que el usuario está en el ámbito, ya que aún no ha evaluado el ámbito del usuario. |
| EntrySynchronizationSkipped | El servicio de aprovisionamiento ha consultado correctamente el sistema de origen y ha identificado al usuario. No se realizó ninguna acción adicional en el usuario y se omitió. El usuario podría haber estado fuera de alcance o ya existir en el sistema de destino sin necesidad de más cambios. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Una solicitud GET para recuperar un usuario o grupo recibió varios usuarios o grupos en la respuesta. El sistema espera solo un usuario o grupo en la respuesta. Por ejemplo, si realiza una solicitud GET Group para recuperar un grupo y especifica un filtro para excluir miembros y el punto de conexión System for Cross-Domain Identity Management (SCIM) devuelve los miembros, aparecerá este error. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
El servicio de aprovisionamiento de Microsoft Entra no puede analizar la respuesta de la aplicación que no es de Microsoft. Trabaje con el desarrollador de la aplicación para asegurarse de que el servidor SCIM es compatible con el cliente SCIM de Microsoft Entra. |
| LaPropiedadDelEsquemaSoloPuedeAceptarValor | La propiedad del sistema de destino solo puede aceptar un valor, pero la propiedad del sistema de origen tiene varios. Asegúrese de asignar un atributo con un solo valor a la propiedad que genera un error, actualice el valor del origen para que tenga un solo valor o quite el atributo de las asignaciones. |
Códigos de error para la sincronización entre inquilinos
Use la tabla siguiente para entender mejor cómo resolver los errores que se encuentre en los registros de aprovisionamiento para la sincronización entre inquilinos. Algunos códigos de error se asignan a más de una causa, por lo que hay varias filas para el mismo código de error.
| Código de error | Causa | Solución |
|---|---|---|
| AzureActiveDirectoryForbidden | La propiedad habilitada dirSync se establece en true. Como resultado, el servicio de aprovisionamiento no puede actualizar propiedades de usuario como immutableId y extensionProperty1-15. | Quite el atributo de las asignaciones de atributos para evitar errores. |
| AzureActiveDirectoryForbidden | La configuración de colaboración externa ha bloqueado las invitaciones. | Vaya a la configuración del usuario y asegúrese de que se permite la configuración de colaboración externa. |
| Azure Active Directory no puede UpdateObjectsOriginated InExternalService |
La fuente de autoridad para el usuario es Exchange Online. El servicio de aprovisionamiento no puede actualizar uno o más atributos de Exchange en el usuario (por ejemplo: extensionAttribute 1 - 15). Esto afecta a los usuarios que existían en el tenant de destino cuando la propiedad dirSyncEnabled cambió de "True" a "False". | Actualice el atributo directamente en exchange online del tenant de destino. Por ejemplo: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| AzureActiveDirectory NoSePuedenActualizarLosObjetosOriginados InExternalService |
El motor de sincronización no pudo actualizar una o varias propiedades de usuario en el inquilino de destino. Se produjo un error en la operación en Microsoft Graph API debido a la aplicación del origen de autoridad (SOA). Actualmente, se muestran las propiedades siguientes en la lista: MailshowInAddressList |
En algunos casos (por ejemplo, cuando la propiedad showInAddressList forma parte de la actualización del usuario), el motor de sincronización podría reintentar automáticamente la actualización (del usuario) sin la propiedad incorrecta. De lo contrario, debe actualizar la propiedad directamente en el inquilino de destino. |
| AzureDirectory Política de Gestión B2B CheckFailure |
Se produjo un error en la directiva de sincronización entre inquilinos que permite el canje automático. El motor de sincronización comprueba que el administrador del inquilino de destino creó una directiva de sincronización entre inquilinos entrante que permite el canje automático. El motor de sincronización también comprueba si el administrador del inquilino de origen ha habilitado una directiva de salida para el canje automático. |
Asegúrese de que la configuración de canje automático esté habilitada para los inquilinos de origen y de destino. Para obtener más información, consulte Configuración de canje automático. |
| AzureActiveDirectory Límite de Cuota Excedido |
El número de objetos del inquilino supera el límite de directorios. Microsoft Entra ID tiene límites para el número de objetos que se pueden crear en un inquilino. |
Compruebe si se puede aumentar la cuota. Para obtener información sobre los límites del directorio y los pasos para aumentar la cuota, consulte Restricciones y límites del servicio Microsoft Entra. |
| ErrorEnLaCreaciónDeLaInvitación | El servicio de aprovisionamiento de Microsoft Entra intentó invitar al usuario en el inquilino de destino. Se produjo un error en esa invitación. | Es probable que la investigación adicional requiera ponerse en contacto con el soporte técnico. |
| InvitationCreationFailureUserAccountDisabled | El servicio de aprovisionamiento de Microsoft Entra intentó invitar al usuario en el inquilino de destino. Se produjo un error en esa invitación. | El usuario existe en el inquilino de destino, pero la cuenta está deshabilitada y la invitación está pendiente. Habilite la cuenta de usuario en el inquilino de destino e intente aprovisionar al usuario de nuevo. |
| InvitationCreation FailureInvalidPropertyValue |
Causas posibles: * La dirección SMTP principal no es un valor válido. * UserType isn't guest or member * No se admiten direcciones de correo electrónico de grupo |
Posibles soluciones: * La dirección SMTP principal tiene un valor no válido. Para resolver este problema, probablemente sea necesario actualizar la propiedad mail del usuario de origen. Para obtener más información, vea Preparación de la sincronización de directorios con Microsoft 365 * Asegúrese de que la propiedad userType está aprovisionada como tipo invitado o miembro. Compruebe las asignaciones de atributos para comprender cómo se asigna el atributo userType. * La dirección de correo electrónico del usuario coincide con la dirección de correo electrónico de un grupo del inquilino. Actualice la dirección de correo electrónico de uno de los dos objetos. |
| InvitationCreation FailureAmbiguousUser |
El usuario invitado tiene una dirección de proxy que coincide con un usuario interno en el inquilino de destino. La dirección de proxy debe ser única. | Para resolver este error, elimine el usuario interno existente en el inquilino de destino o quite este usuario del ámbito de sincronización. |
| AzureActiveDirectory No se pueden actualizar los objetos MasteredOnPremises |
Si el usuario del inquilino de destino se sincronizó originalmente de AD a Microsoft Entra ID y se convirtió en un usuario externo, el origen de autoridad sigue siendo local y el usuario no se puede actualizar. | El usuario no se puede actualizar con la sincronización entre inquilinos. |
| TipoDeEntidadNoSoportado | Los grupos se pueden usar para determinar qué usuarios están en el ámbito del aprovisionamiento. No se pueden sincronizar objetos de grupos. | No se requiere ninguna acción del cliente. Se trata de un evento omitido. Si usa el aprovisionamiento a petición, asegúrese de elegir un usuario en lugar de un grupo para aprovisionar. |