Partekatu honen bidez:


Comprobación del estado de aprovisionamiento de usuarios

El servicio de aprovisionamiento de Microsoft Entra ejecuta un ciclo de aprovisionamiento inicial en el sistema de origen y el sistema de destino, seguido de los ciclos periódicos incrementales. Al configurar el aprovisionamiento de una aplicación, puede comprobar el estado actual del servicio de aprovisionamiento y ver cuando un usuario puede tener acceso a una aplicación.

Ver la barra de progreso del aprovisionamiento

En la página Aprovisionamiento para una aplicación, puede ver el estado del servicio de aprovisionamiento de Microsoft Entra. En la sección Estado actual de la parte inferior de la página se muestra si un ciclo de aprovisionamiento ha iniciado las cuentas de usuario de aprovisionamiento. Puede ver el progreso del ciclo, cuántos usuarios y grupos se han aprovisionado y cuántos roles se crean.

La primera vez que configure el aprovisionamiento automático, en la sección Estado actual de la parte inferior de la página se muestra el estado del ciclo de aprovisionamiento inicial. Esta sección se actualiza cada vez que se ejecute un ciclo incremental. Se muestran los detalles siguientes:

  • El tipo de ciclo de aprovisionamiento (inicial o incremental) que se ejecuta actualmente o que se completó por última vez.
  • Una barra de progreso en la que se muestra el porcentaje del ciclo de aprovisionamiento que se ha completado. El porcentaje refleja el número de páginas aprovisionadas. Cada página podría contener varios usuarios o grupos, por lo que el porcentaje no correlaciona directamente con el número de usuarios, grupos o roles aprovisionados.
  • Un botón Actualizar que puede usar para mantener la vista actualizada.
  • Número de Usuarios y Grupos en el almacén de datos del conector. El recuento aumenta cada vez que se agrega un objeto al ámbito de aprovisionamiento. El recuento no deja de funcionar si un usuario se elimina de forma temporal o se elimina permanentemente, ya que esta operación no quita el objeto del almacén de datos del conector. El recuento se vuelve a calcular en la primera sincronización después de que el CDS se restablezca
  • Vínculo Ver registros de auditoría que abre los registros de aprovisionamiento de Microsoft Entra. Para obtener más información sobre las operaciones ejecutadas por el servicio de aprovisionamiento de usuarios, incluido el estado de aprovisionamiento para usuarios individuales, consulte Usar registros de aprovisionamiento más adelante en el artículo.

Una vez completado el ciclo de aprovisionamiento, en la sección Estadísticas hasta la fecha se muestran los números acumulativos de los usuarios y grupos que se hayan aprovisionado hasta la fecha, junto con la fecha de finalización y la duración del último ciclo. La opción Id. de actividad identifica de forma única el ciclo de aprovisionamiento más reciente. La opción Id. de trabajo es un identificador único para el trabajo de aprovisionamiento y es específico de la aplicación en el inquilino.

El progreso del aprovisionamiento se ve en el Centro de administración de Microsoft Entra en Identidad>Aplicaciones>Aplicaciones empresariales> [nombre de la aplicación] >Aprovisionamiento.

Barra de progreso de la página de aprovisionamiento

También puede usar Microsoft Graph para supervisar mediante programación el estado del aprovisionamiento de una aplicación. Para más información, consulte Supervisión del aprovisionamiento.

Uso de registros de aprovisionamiento para comprobar el estado de aprovisionamiento de un usuario

Para ver el estado de aprovisionamiento de un usuario seleccionado, consulte el Registros de aprovisionamiento en Microsoft Entra ID. Todas las operaciones que ejecute el servicio de aprovisionamiento de usuarios se registran en los registros de aprovisionamiento de Microsoft Entra AD. Los registros incluyen las operaciones de lectura y escritura realizadas en los sistemas de origen y destino. Los datos de usuario asociados relacionados con las operaciones de lectura y escritura también se registran.

Para acceder a los registros de aprovisionamiento en el centro de administración de Microsoft Entra, seleccione Identidad>Aplicaciones> Aplicaciones empresariales >Registros de aprovisionamiento en la sección Actividad. Puede buscar los datos de aprovisionamiento por el nombre del usuario o el identificador en el sistema de origen o en el sistema de destino. Para más información, consulte Registros de aprovisionamiento.

Los registros de aprovisionamiento registran todas las operaciones realizadas por el servicio de aprovisionamiento, lo que incluye:

  • Consultar en el Id. de Microsoft Entra los usuarios asignados que están en el ámbito de aprovisionamiento
  • Consultar en la aplicación de destino la existencia de esos usuarios
  • Comparar los objetos de usuario entre el sistema
  • Agregar, actualizar o deshabilitar la cuenta de usuario en el sistema de destino en función de la comparación

Para más información sobre cómo leer los registros de aprovisionamiento en el Centro de administración de Microsoft Entra, consulte la guía de informes de aprovisionamiento.

¿Cuánto tiempo se tarda en aprovisionar usuarios?

Al usar el aprovisionamiento automático de usuarios con una aplicación, hay algunas cosas que hay que tener en cuenta. En primer lugar, el Id. de Microsoft Entra aprovisiona y actualiza automáticamente las cuentas de usuario en una aplicación basándose en aspectos como la asignación de usuarios y grupos. La sincronización se produce en un intervalo de tiempo programado regularmente, normalmente cada 40 minutos.

El tiempo necesario para que un usuario determinado se aprovisione depende principalmente de si el trabajo de aprovisionamiento se ejecuta en un ciclo inicial o un ciclo incremental.

  • Para el ciclo inicial, el tiempo de trabajo depende de muchos factores, entre los que se incluyen el número de usuarios y grupos en el ámbito para realizar el aprovisionamiento, y el número total de usuarios y grupos en el sistema de origen. La primera sincronización entre el Id. de Microsoft Entra y una aplicación puede producirse en 20 minutos y ser muy rápida o tardar varias horas. El tiempo depende del tamaño del directorio de Microsoft Entra y el número de usuarios en el ámbito del aprovisionamiento. En esta sección se indica más adelante una lista completa de factores que afectan al rendimiento inicial del ciclo.

  • Para los ciclos incrementales después del ciclo inicial, los tiempos de trabajo suelen ser más rápidos (por ejemplo, unos 10 minutos), ya que el servicio de aprovisionamiento almacena marcas de agua que representan el estado de ambos sistemas tras el ciclo inicial, lo cual mejora el rendimiento de las sincronizaciones posteriores. El tiempo del trabajo depende del número de cambios detectados en ese ciclo de aprovisionamiento. Si hay menos de 5000 cambios de usuario o pertenencia a un grupo, el trabajo puede finalizar dentro de un solo ciclo de sincronización incremental.

En la siguiente tabla se resumen los tiempos de sincronización de escenarios comunes de aprovisionamiento. En estos escenarios, el sistema de origen es el Id. de Microsoft Entra y el sistema de destino es una aplicación SaaS. Los tiempos de sincronización se derivan de un análisis estadístico de trabajos de sincronización para las aplicaciones ServiceNow, Workplace, Salesforce y G Suite.

Configuración de ámbito Usuarios, grupos y miembros del ámbito Tiempo de ciclo inicial
Sincronizar solo los usuarios y grupos asignados < 1000 < 30 minutos
Sincronizar solo los usuarios y grupos asignados 1000 - 10.000 142 - 708 minutos
Sincronizar solo los usuarios y grupos asignados 10.000 - 100.000 1170 - 2340 minutos
Sincronización de todos los usuarios y grupos en el Id. de Microsoft Entra < 1000 < 30 minutos
Sincronización de todos los usuarios y grupos en el Id. de Microsoft Entra 1000 - 10.000 < 30 - 120 minutos
Sincronización de todos los usuarios y grupos en el Id. de Microsoft Entra 10.000 - 100.000 713 - 1425 minutos
Sincronización de todos los usuarios en el Id. de Microsoft Entra < 1000 < 30 minutos
Sincronización de todos los usuarios en el Id. de Microsoft Entra 1000 - 10.000 43 - 86 minutos

Para la configuración Sincronizar solo los usuarios y grupos asignados, puede usar las siguientes fórmulas para determinar aproximadamente el número mínimo y máximo esperado de veces que se realiza el ciclo inicial:

  • Mínimo de minutos = 0,01 x [número de usuarios, grupos y miembros de grupo asignados]
  • Máximo de minutos = 0,08 x [número de usuarios, grupos y miembros de grupo asignados]

Resumen de los factores que influyen en el tiempo que lleva completar una ciclo inicial:

  • El número total de usuarios y grupos del ámbito para el aprovisionamiento.

  • La cantidad total de usuarios, grupos y miembros del grupo presentes en el sistema de origen (Id. de Microsoft Entra).

  • Si los usuarios del ámbito de aprovisionamiento se corresponden o no con los usuarios existentes en la aplicación de destino, o si deben crearse por primera vez. Las tareas de sincronización para las cuales se crean todos los usuarios por primera vez llevan aproximadamente el doble de tiempo que los trabajos de sincronización para los cuales todos los usuarios se corresponden con usuarios existentes.

  • Número de errores en los registros de aprovisionamiento. El rendimiento es también menor si hay muchos errores y si el servicio de aprovisionamiento ha quedado en un estado de "cuarentena".

  • Solicitar los límites de velocidad y otras limitaciones que haya implementado el sistema de destino. Algunos sistemas de destino implementan límites de velocidad y otras limitaciones en las solicitudes, que pueden afectar al rendimiento durante operaciones de sincronización grandes. En estos casos, una aplicación que recibe demasiadas solicitudes demasiado rápido puede ralentizar su velocidad de respuesta o cerrar la conexión. Para mejorar el rendimiento, el conector debe ajustarse; para ello, no debe enviar las solicitudes de la aplicación más rápido de lo que la aplicación puede procesarlas. Los conectores de aprovisionamiento que ha compilado Microsoft hacen este ajuste.

  • La cantidad y el tamaño de los grupos asignados. Sincronizar grupos asignados lleva más tiempo que sincronizar usuarios. Tanto el número como los tamaños de los grupos asignados afectan al rendimiento. Si una aplicación tiene asignaciones habilitadas para la sincronización de objetos de grupo, las propiedades del grupo, como los nombres y la pertenencia, se sincronizan además de los usuarios. Estas sincronizaciones toman más tiempo que solo la sincronización de objetos de usuario.

  • Si el rendimiento se convierte en un problema y está intentando aprovisionar la mayoría de los usuarios y grupos del inquilino, use filtros de ámbito. Los filtros de ámbito le permiten ajustar los datos que el servicio de aprovisionamiento de Microsoft Entra ID extrae mediante el filtrado de usuarios basado en valores de atributo determinados. Para más información sobre los filtros de ámbito, consulte Aprovisionamiento de aplicaciones basado en atributos con filtros de ámbito.

En la mayoría de los casos, el ciclo incremental se completa en 30 minutos. Sin embargo, cuando hay cientos o miles de cambios de usuario o cambios de pertenencia a grupos, el tiempo de ciclo incremental aumentará proporcionalmente con el número de cambios en el proceso y puede tardar varias horas. El uso de usuarios y grupos asignados sincronizados y minimizar el número de usuarios o grupos en el ámbito para el aprovisionamiento ayudará a reducir el tiempo de sincronización.

Recomendaciones para reducir el tiempo de aprovisionamiento de un usuario o grupo:

  1. Establezca el ámbito de aprovisionamiento para sincronizar assigned users and groups, en lugar de sync all users and groups.
  2. Minimice el número de usuarios y grupos del ámbito para el aprovisionamiento.
  3. Cree varios trabajos de aprovisionamiento destinados al mismo sistema. Al hacerlo, cada trabajo de sincronización funcionará de forma independiente, lo que reduce el tiempo para procesar los cambios. Asegúrese de que el ámbito de los usuarios es distinto entre estos trabajos de aprovisionamiento para evitar que los cambios de un trabajo afecten a otro.
  4. Agregue filtros de ámbito para limitar aún más el número de usuarios y grupos en el ámbito para el aprovisionamiento.

Auditar los cambios en la configuración de aprovisionamiento

Los cambios de configuración de aprovisionamiento se registran en los registros de auditoría. Los usuarios con los permisos necesarios, como el administrador de aplicaciones y el lector de informes, pueden acceder a los registros a través de la interfaz de usuario, la API y los registros de auditoría, y a través de PowerShell. Puede usar el filtro de actividad en los registros de auditoría para identificar las siguientes acciones.

Nota:

Para las acciones que realiza el servicio de aprovisionamiento, como la creación de usuarios, la actualización de usuarios y la eliminación de usuarios, se recomienda usar los registros de aprovisionamiento. Para supervisar los cambios en la configuración de aprovisionamiento, se recomienda usar los registros de auditoría.

Captura de pantalla de los registros de auditoría.

Action Actividad (filtre los registros en esta propiedad)
Actualizar credenciales (por ejemplo: agregar un nuevo token de portador) Actualización de la configuración de aprovisionamiento o las credenciales
Cambiar la configuración del trabajo de aprovisionamiento (por ejemplo: correo electrónico de notificación, sincronizar todos frente a usuarios y grupos asignados sincronizados, prevención de eliminaciones accidentales) Actualización de la configuración de aprovisionamiento o las credenciales
Iniciar aprovisionamiento Habilitación o inicio de configuración de aprovisionamiento
Detener aprovisionamiento Deshabilitación o pausa de configuración de aprovisionamiento
Reinicio del aprovisionamiento Habilitación o reinicio de configuración de aprovisionamiento
Actualizar asignaciones de atributos o reglas de ámbito Actualización de asignaciones de atributos o ámbito

Pasos siguientes

Automatización del aprovisionamiento y desaprovisionamiento de usuarios para aplicaciones SaaS con el Id. de Microsoft Entra