Cómo descargar y analizar los registros de aprovisionamiento de Microsoft Entra
Los registros de aprovisionamiento de Microsoft Entra proporcionan detalles sobre los eventos de aprovisionamiento que se producen en el inquilino. Puede usar la información capturada en los registros de aprovisionamiento para solucionar problemas con un usuario aprovisionado.
En este artículo se describen las opciones para descargar los registros de aprovisionamiento desde el centro del administrador de Microsoft Entra, así como para analizar los registros. También se incluyen códigos de error y consideraciones especiales.
Requisitos previos
Para ver los registros de aprovisionamiento, el inquilino debe tener asociada una licencia P1 o P2 o de Microsoft Entra ID. Para actualizar la edición de Microsoft Entra, consulte Introducción a Microsoft Entra ID P1 o P2.
Los propietarios de las aplicaciones pueden ver los registros para sus propias aplicaciones. Los roles siguientes son necesarios para ver los registros de aprovisionamiento:
- Lector de informes
- Lector de seguridad
- Operador de seguridad
- Administrador de seguridad
- Administrador de aplicaciones
- Administrador de aplicaciones en la nube
- Usuarios en un rol personalizado con el permiso provisioningLogs
Cómo visualizar los registros de aprovisionamiento
Hay varias maneras de ver o analizar los registros de aprovisionamiento:
- Ver en Azure Portal.
- Transmisión de registros a Azure Monitor a través de la configuración de diagnóstico.
- Analice los registros mediante plantillas de libro.
- Acceda a los registros mediante programación a través de Microsoft Graph API.
- Descargue los registros en forma de archivo CSV o JSON.
Sugerencia
Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.
Para acceder a los registros en Azure Portal:
- Inicie sesión en el centro de administración de Microsoft Entra al menos como Lector de informes.
- Vaya a Identidad>Supervisión y estado>Registros de aprovisionamiento.
Cómo descargar los registros de aprovisionamiento
Puede descargar los registros de aprovisionamiento para usarlos más adelante. Para ello, vaya a los registros en Azure Portal y seleccione Descargar. Los resultados se filtran en función de los criterios de filtro seleccionados. Haga que los filtros sean lo más específicos posible para reducir el tamaño y el tiempo de la descarga.
Formato CSV
La descarga de CSV incluye tres archivos:
- ProvisioningLogs: descarga todos los registros, excepto los pasos de aprovisionamiento y las propiedades modificadas.
- ProvisioningLogs_ProvisioningSteps: contiene los pasos de aprovisionamiento y el id. de cambio. El id. de cambio se puede usar para unir el evento con los otros dos archivos.
- ProvisioningLogs_ModifiedProperties: contiene los atributos que se cambiaron y el id. de cambio. El id. de cambio se puede usar para unir el evento con los otros dos archivos.
Formato JSON
Para abrir el archivo JSON, use un editor de texto como Microsoft Visual Studio Code. Visual Studio Code facilita la lectura del archivo gracias al resaltado de sintaxis. También puede abrir el archivo JSON mediante exploradores en un formato no editable, como Microsoft Edge.
Mejora del archivo JSON
El archivo JSON se descarga en un formato para reducir el tamaño de la descarga. Este formato puede hacer que la carga sea difícil de leer. Consulte dos opciones para mejorar el formato del archivo:
Uso de PowerShell para dar formato al JSON. Este script genera una salida JSON en un formato que incluye tabulaciones y espacios:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Análisis del archivo JSON
Puede usar cualquier lenguaje de programación con el que esté familiarizado. Los ejemplos siguientes están en PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Ahora puede analizar los datos de acuerdo a su escenario. Estos son algunos ejemplos:
Generación de todos los id. de trabajo en el archivo JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Generación de todos los id. de cambio para los eventos en los que la acción era "crear":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Qué debería saber
Estas son algunas sugerencias y consideraciones para analizar los registros de aprovisionamiento:
Azure Portal almacena durante 30 días los datos de aprovisionamiento notificados si tiene una edición prémium y durante siete días si tiene una edición gratuita. Puede enrutar los registros de aprovisionamiento en Registros de Azure Monitor para una retención superior a 30 días.
Puede usar el atributo id. de cambio como identificador único, lo que puede resultar útil al interactuar con el soporte técnico del producto, por ejemplo.
Es posible que vea eventos omitidos de usuarios que no están en el ámbito.
- Ejemplo 1: Si tiene el ámbito establecido
all users and groupsen y configura filtros de ámbito, es posible que vea registros omitidos para los usuarios que no cumplen los criterios de ámbito. - Ejemplo 2: si ha establecido el ámbito en
assigned users and groups, puede seguir viendo a los usuarios en los registros como omitidos, aunque no estén asignados a la aplicación. Esto se debe a cómo el servicio de aprovisionamiento recibe los cambios del directorio.
- Ejemplo 1: Si tiene el ámbito establecido
Los registros de aprovisionamiento no muestran importaciones de roles (se aplica a AWS, Salesforce y Zendesk). Puede encontrar los registros de importaciones de roles en los registros de auditoría.
Códigos de error
Use la tabla siguiente para entender mejor cómo resolver los errores que se encuentre en los registros de aprovisionamiento.
| Código de error | Descripción |
|---|---|
| Conflict, EntryConflict |
Corrija los valores de atributo en conflicto en Microsoft Entra ID o en la aplicación. O bien revise la configuración de atributo correspondiente si se supone que la cuenta de usuario en conflicto debería coincidir y tomarse. Revise la documentación para obtener más información sobre cómo configurar atributos coincidentes. |
| TooManyRequests | La aplicación de destino rechazó este intento de actualizar el usuario porque está sobrecargado y recibe demasiadas solicitudes. No hay nada que hacer. Esto se reintenta automáticamente. También se ha notificado a Microsoft de este problema. |
| InternalServerError | La aplicación de destino devolvió un error inesperado. Un problema de servicio en el que la aplicación de destino puede impedir que funcione. Esto se reintenta automáticamente en 40 minutos. |
| InsufficientRights, MethodNotAllowed, NotPermitted, No autorizado |
Microsoft Entra se autenticó con la aplicación de destino, pero no tenía autorización para realizar la actualización. Revisa las instrucciones proporcionadas por la aplicación de destino, junto con el tutorial de la aplicación correspondiente. |
| UnprocessableEntity | La aplicación de destino devolvió una respuesta inesperada. Es posible que la configuración de la aplicación de destino no sea correcta o que haya un problema de servicio con la aplicación de destino que impida que funcione. |
| WebExceptionProtocolError | Se produjo un error de protocolo HTTP al conectarse a la aplicación de destino. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| InvalidAnchor | Ya no existe un usuario que se había creado previamente o que coincidía con el servicio de aprovisionamiento. Asegúrese de que el usuario existe. Para forzar una nueva coincidencia de todos los usuarios, use Microsoft Graph API para reiniciar el trabajo. Reiniciar el aprovisionamiento desencadena un ciclo inicial, que puede tardar en completarse. Al reiniciar el aprovisionamiento también se elimina la memoria caché que usa el servicio de aprovisionamiento para funcionar. Esto significa que todos los usuarios y grupos del inquilino tienen que volver a evaluarse y que se pueden quitar determinados eventos de aprovisionamiento. |
| NotImplemented | La aplicación de destino devolvió una respuesta inesperada. Es posible que la configuración de la aplicación no sea correcta o que haya un problema de servicio con la aplicación de destino que impida que funcione. Revisa las instrucciones proporcionadas por la aplicación de destino, junto con el tutorial de la aplicación correspondiente. |
| MandatoryFieldsMissing, MissingValues |
No se pudo crear el usuario porque faltan valores necesarios. Corrija los valores de atributo que faltan en el registro de origen o revise la configuración de atributos coincidente para asegurarse de que no se omiten los campos obligatorios. Más información sobre cómo configurar atributos coincidentes. |
| SchemaAttributeNotFound | La operación no se pudo realizar porque se especificó un atributo que no existe en la aplicación de destino. Consulte la documentación sobre la personalización de atributos y asegúrese de que la configuración sea correcta. |
| InternalError | Se produjo un error de servicio interno en el servicio de aprovisionamiento de Microsoft Entra. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| InvalidDomain | No se pudo realizar la operación porque un valor de atributo contiene un nombre de dominio no válido. Actualice el nombre de dominio en el usuario o agréguelo a la lista de valores permitidos en la aplicación de destino. |
| Tiempo de espera | No se pudo completar la operación porque la aplicación de destino tardó demasiado tiempo en responder. No hay nada que hacer. Esto se reintenta automáticamente en 40 minutos. |
| LicenseLimitExceeded | No se pudo crear el usuario en la aplicación de destino porque no hay licencias disponibles para este usuario. Adquiera más licencias para la aplicación de destino. O bien revise las asignaciones de usuario y la configuración de asignación de atributos para asegurarse de que se asignan los atributos correctos a los usuarios correctos. |
| DuplicateTargetEntries | No se pudo completar la operación porque se encontró más de un usuario en la aplicación de destino con los atributos coincidentes configurados. Quite el usuario duplicado de la aplicación de destino o vuelva a configurar las asignaciones de atributos. |
| DuplicateSourceEntries | No se pudo completar la operación porque se encontró más de un usuario con los atributos coincidentes configurados. Quite el usuario duplicado o vuelva a configurar las asignaciones de atributos. |
| ImportSkipped | Cuando se evalúa a cada usuario, el sistema intenta importar el usuario desde el sistema de origen. Este error suele producirse cuando al usuario que se importará le falta la propiedad coincidente definida en las asignaciones de atributos. Sin un valor presente en el objeto user para el atributo coincidente, el sistema no puede evaluar los cambios de ámbito, coincidencia o exportación. La presencia de este error no indica que el usuario está en el ámbito, porque aún no ha evaluado el ámbito para el usuario. |
| EntrySynchronizationSkipped | El servicio de aprovisionamiento ha consultado correctamente el sistema de origen y ha identificado al usuario. No se realizó ninguna acción adicional en el usuario y se omitió. Puede que el usuario estuviera fuera del ámbito o que ya existiera en el sistema de destino sin necesidad de realizar más cambios. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Una solicitud GET para recuperar un usuario o grupo recibió varios usuarios o grupos en la respuesta. El sistema espera solo un usuario o grupo en la respuesta. Por ejemplo, si realiza una solicitud GET Group para recuperar un grupo y especifica un filtro para excluir miembros y el punto de conexión System for Cross-Domain Identity Management (SCIM) devuelve los miembros, aparecerá este error. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
El servicio de aprovisionamiento de Microsoft Entra no puede analizar la respuesta de la aplicación de terceros. Trabaje con el desarrollador de la aplicación para asegurarse de que el servidor SCIM es compatible con el cliente SCIM de Microsoft Entra. |
| SchemaPropertyCanOnlyAcceptValue | La propiedad del sistema de destino solo puede aceptar un valor, pero la propiedad del sistema de origen tiene varios. Asegúrese de asignar un atributo con un solo valor a la propiedad que genera un error, actualice el valor del origen para que tenga un solo valor o quite el atributo de las asignaciones. |
Códigos de error para la sincronización entre inquilinos
Use la tabla siguiente para entender mejor cómo resolver los errores que se encuentre en los registros de aprovisionamiento para la sincronización entre inquilinos.
| Código de error | Causa | Solución |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
El motor de sincronización no pudo actualizar una o varias propiedades de usuario en el inquilino de destino. Se produjo un error en la operación en Microsoft Graph API debido a la aplicación del origen de autoridad (SOA). Actualmente, se muestran las propiedades siguientes en la lista: MailshowInAddressList |
En algunos casos (por ejemplo, cuando la propiedad showInAddressList forma parte de la actualización del usuario), el motor de sincronización podría reintentar automáticamente la actualización (del usuario) sin la propiedad incorrecta. De lo contrario, deberás actualizar la propiedad directamente en el inquilino de destino. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Se produjo un error en la directiva de sincronización entre inquilinos que permite el canje automático. El motor de sincronización comprueba que el administrador del inquilino de destino haya creado una directiva de sincronización entre inquilinos entrante que permita el canje automático. El motor de sincronización también comprueba si el administrador del inquilino de origen ha habilitado una directiva de salida para el canje automático. |
Asegúrate de que la configuración de canje automático se ha habilitado para los inquilinos de origen y destino. Para obtener más información, consulte Configuración de canje automático. |
| Microsoft Entra ID QuotaLimitExceeded |
El número de objetos del inquilino supera el límite de directorios. Microsoft Entra ID tiene límites para el número de objetos que se pueden crear en un inquilino. |
Compruebe si se puede aumentar la cuota. Para obtener información sobre los límites del directorio y los pasos para aumentar la cuota, consulte Restricciones y límites del servicio Microsoft Entra. |
| InvitationCreationFailure | El servicio de aprovisionamiento de Microsoft Entra intentó invitar al usuario en el inquilino de destino. Se produjo un error en esa invitación. | Es probable que la investigación adicional requiera ponerse en contacto con el soporte técnico. |
| Microsoft Entra ID Prohibida |
La configuración de colaboración externa ha bloqueado las invitaciones. | Vaya a la configuración del usuario y asegúrese de que se permite la configuración de colaboración externa. |
| InvitationCreation FailureInvalidPropertyValue |
Causas posibles: * La dirección SMTP principal no es un valor válido. * UserType no es ni un invitado ni un miembro * No se admiten direcciones de correo electrónico de grupo |
Posibles soluciones: * La dirección SMTP principal tiene un valor no válido. La resolución de este problema probablemente requerirá actualizar la propiedad de correo electrónico del usuario de origen. Para obtener más información, vea Preparación de la sincronización de directorios con Microsoft 365 * Asegúrese de que la propiedad userType está aprovisionada como tipo invitado o miembro. Esto se puede corregir comprobando las asignaciones de atributo para comprender cómo se asigna el atributo userType. * La dirección de correo electrónico del usuario coincide con la dirección de correo electrónico de un grupo del inquilino. Actualice la dirección de correo electrónico de uno de los dos objetos. |
| InvitationCreation FailureAmbiguousUser |
El usuario invitado tiene una dirección de proxy que coincide con un usuario interno en el inquilino de destino. La dirección de proxy debe ser única. | Para resolver este error, elimine el usuario interno existente en el inquilino de destino o quite este usuario del ámbito de sincronización. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Si el usuario del inquilino de destino se sincronizó originalmente de AD a Microsoft Entra ID y se convirtió en un usuario externo, el origen de autoridad sigue siendo local y el usuario no se puede actualizar. | La sincronización entre inquilinos no puede actualizar el usuario |
| EntityTypeNotSupported | Los grupos se pueden usar para determinar qué usuarios están en el ámbito del aprovisionamiento. No se pueden sincronizar objetos de grupos. | No se requiere ninguna acción del cliente. Se trata de un evento omitido. Si usa el aprovisionamiento a petición, asegúrese de elegir un usuario en lugar de un grupo para aprovisionar. |
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de