Comment télécharger et analyser les journaux de provisionnement Microsoft Entra
Les journaux de provisionnement Microsoft Entra fournissent des détails sur les événements de provisionnement qui se produisent dans votre locataire. Vous pouvez utiliser les informations capturées dans les journaux de provisionnement pour résoudre les problèmes liés à un utilisateur provisionné.
Cet article décrit les options de téléchargement des journaux de provisionnement à partir du centre d'administration Microsoft Entra et comment analyser les journaux. Des codes d’erreur et des considérations spéciales sont également inclus.
Prérequis
Pour afficher les journaux de provisionnement, votre locataire doit être associé à une licence Microsoft Entra ID P1 ou P2. Pour mettre à niveau votre édition Microsoft Entra, consultez Démarrage avec Microsoft Entra ID P1 ou P2.
Les propriétaires d’applications peuvent afficher les journaux de leurs propres applications. Les rôles suivants sont nécessaires pour afficher les journaux d’approvisionnement :
- Lecteur de rapports
- Lecteur de sécurité
- Opérateur de sécurité
- Security Administrator
- Administrateur d’application
- Administrateur d’application cloud
- Utilisateurs dans un rôle personnalisé avec l’autorisation provisioningLogs
Comment afficher les journaux de provisionnement
Il existe plusieurs façons d’afficher ou d’analyser les journaux d’approvisionnement :
- Voir dans le Portail Azure.
- Diffusez les journaux sur Azure Monitor via les paramètres de diagnostic.
- Analyser les journaux via des modèles de classeur.
- Accéder aux journaux de manière programmatique via l’API Microsoft Graph.
- Télécharger des journaux en tant que fichier CSV ou JSON.
Conseil
Les étapes de cet article peuvent varier légèrement en fonction du portail à partir duquel vous démarrez.
Pour accéder aux journaux dans le Portail Azure :
- Connectez-vous au centre d’administration Microsoft Entra en tant que Lecteur de rapports.
- Accédez à Identité>Surveillance et intégrité>Journaux de provisionnement.
Comment télécharger les journaux de provisionnement
Vous pouvez télécharger les journaux de provisionnement pour plus tard en y accédant sur le Portail Azure et en sélectionnant Télécharger. Les résultats sont filtrés en fonction des critères que vous avez sélectionnés. Choisissez des filtres aussi précis que possible pour réduire la taille et le temps de téléchargement.
Format CSV
Le téléchargement CSV comprend trois fichiers :
- ProvisioningLogs : Télécharge tous les journaux, à l’exception des étapes de provisionnement et des propriétés modifiées.
- ProvisioningLogs_ProvisioningSteps : Contient les étapes de provisionnement et l’ID de la modification. Vous pouvez vous servir de l’ID de modification pour joindre l’événement aux deux autres fichiers.
- ProvisioningLogs_ModifiedProperties : Contient les attributs qui ont été modifiés et l’ID de la modification. Vous pouvez vous servir de l’ID de modification pour joindre l’événement aux deux autres fichiers.
Format JSON
Pour ouvrir le fichier JSON, utilisez un éditeur de texte comme Microsoft Visual Studio Code. Visual Studio Code facilite la lecture du fichier grâce à la coloration syntaxique. Vous pouvez également ouvrir le fichier JSON en utilisant des navigateurs dans un format non modifiable, par exemple Microsoft Edge.
Mise en forme du fichier JSON
Le fichier JSON est téléchargé dans un format permettant de réduire la taille du téléchargement. Ce format peut rendre la charge utile difficile à lire. Prenez connaissance des deux options possibles pour agrémenter le fichier :
Utiliser Visual Studio Code pour mettre en forme le fichier JSON
Utiliser PowerShell pour mettre en forme le fichier JSON. Ce script génère le fichier JSON dans un format comportant des tabulations et des espaces :
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analyse du fichier JSON
Vous pouvez faire appel à n’importe quel langage de programmation que vous connaissez. Les exemples suivants sont dans PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Vous pouvez maintenant analyser les données suivant votre scénario. Voici quelques exemples :
Afficher tous les ID de tâche du fichier JSON :
foreach ($provitem in $JSONContent) { $provitem.jobId }Afficher tous les ID de modification des événements dont l’action était « créer » :
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Ce que vous devez savoir
Voici quelques conseils et considérations à prendre en compte pour l’analyse des journaux de provisionnement :
Le Portail Azure stocke les données de provisionnement des rapports pendant 30 jours avec une édition Premium et pendant 7 jours avec une édition gratuite. Vous pouvez router les journaux de provisionnement vers des journaux Azure Monitor à des fins de rétention au-delà de 30 jours.
Vous pouvez utiliser l’attribut d’ID de modification comme identificateur unique, ce qui peut être utile lorsque vous interagissez avec le support technique du produit, par exemple.
Il est possible que vous voyiez des événements ignorés pour les utilisateurs qui ne sont pas concernés.
- Exemple 1 : si l’étendue est définie à
all users and groupset que vous configurez des filtres d’étendue, vous pouvez voir les journaux ignorés pour les utilisateurs qui ne répondent pas aux critères d’étendue. - Exemple 2 : si vous avez défini l’étendue sur
assigned users and groups, vous pouvez continuer à voir les utilisateurs dans les journaux ignorés, même s’ils ne sont pas attribués à l’application. Cela est dû à la façon dont le service d’approvisionnement reçoit les modifications de l’annuaire.
- Exemple 1 : si l’étendue est définie à
Les journaux de provisionnement n’affichent pas les importations de rôle (s’applique à AWS, Salesforce et Zendesk). Vous trouverez les journaux des importations de rôle dans les journaux d’audit.
Codes d’erreur
Appuyez-vous sur le tableau suivant pour mieux comprendre comment résoudre les erreurs que vous trouvez dans les journaux de provisionnement.
| Code d’erreur | Description |
|---|---|
| Conflit, EntryConflict |
Corrigez les valeurs d'attribut contradictoires dans Microsoft Entra ID ou dans l'application. Vous pouvez également passer en revue votre configuration d’attributs de correspondance si le compte d’utilisateur en conflit était censé être mis en correspondance et pris en charge. Pour plus d’informations sur la configuration des attributs de correspondance, consultez la documentation. |
| TooManyRequests | L’application cible a rejeté cette tentative de mise à jour de l’utilisateur, car elle est surchargée et reçoit trop de requêtes. Il n’y a rien à faire. Cette tentative est automatiquement abandonnée. Microsoft a également été informé de ce problème. |
| InternalServerError | L’application cible a retourné une erreur inattendue. Il se peut qu’un problème de service lié à l’application cible l’empêche de fonctionner. Cette tentative sera automatiquement réessayée dans 40 minutes. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Non autorisé |
Microsoft Entra s'est authentifié auprès de l'application cible mais n'a pas été autorisé à effectuer la mise à jour. Passez en revue toutes les instructions fournies par l'application cible, ainsi que le tutoriel de l'application correspondante. |
| UnprocessableEntity | L’application cible a renvoyé une réponse inattendue. Il se peut que la configuration de l’application cible ne soit pas correcte ou qu’un problème de service lié à l’application cible l’empêche de fonctionner. |
| WebExceptionProtocolError | Une erreur de protocole HTTP s’est produite lors de la connexion à l’application cible. Il n’y a rien à faire. Cette tentative sera automatiquement réessayée dans 40 minutes. |
| InvalidAnchor | Un utilisateur qui a été précédemment créé ou mis en correspondance par le service d’approvisionnement n’existe plus. Vérifiez que l’utilisateur existe. Pour forcer une nouvelle correspondance de tous les utilisateurs, utilisez l’API Microsoft Graph pour redémarrer le travail. Le redémarrage de l’approvisionnement déclenche un cycle initial, ce qui peut prendre du temps. Le redémarrage du provisionnement supprime également le cache utilisé par le service de provisionnement pour fonctionner. De ce fait, tous les utilisateurs et groupes du locataire doivent être réévalués, et certains évènements d’approvisionnement risquent d’être abandonnés. |
| NotImplemented | L’application cible a retourné une réponse inattendue. Il se peut que la configuration de l’application ne soit pas correcte ou qu’un problème de service lié à l’application cible l’empêche de fonctionner. Passez en revue toutes les instructions fournies par l'application cible, ainsi que le tutoriel de l'application correspondante. |
| MandatoryFieldsMissing, MissingValues |
L’utilisateur n’a pas pu être créé, car des valeurs requises sont manquantes. Corrigez les valeurs d’attribut manquantes dans l’enregistrement source ou vérifiez dans votre configuration d’attributs de correspondance qu’aucun champ obligatoire n’est omis. En savoir plus sur la configuration des attributs correspondants. |
| SchemaAttributeNotFound | L’opération n’a pas pu être effectuée, car l’un des attributs spécifiés n’existe pas dans l’application cible. Consultez la documentation sur la personnalisation des attributs et vérifiez que votre configuration est correcte. |
| InternalError | Une erreur de service interne s’est produite au sein du service de provisionnement Microsoft Entra. Il n’y a rien à faire. Cette tentative sera automatiquement abandonnée dans 40 minutes. |
| InvalidDomain | L’opération n’a pas pu être effectuée, car une valeur d’attribut contient un nom de domaine non valide. Mettez à jour le nom de domaine sur l’utilisateur ou ajoutez-le à la liste autorisée dans l’application cible. |
| Délai d'expiration | L’opération n’a pas pu aboutir, car l’application cible a mis trop de temps à répondre. Il n’y a rien à faire. Cette tentative sera automatiquement réessayée dans 40 minutes. |
| LicenseLimitExceeded | L’utilisateur n’a pas pu être créé dans l’application cible, car il n’existe aucune licence disponible pour cet utilisateur. Procurez-vous des licences supplémentaires pour l’application cible. Vous pouvez également passer en revue vos affectations d’utilisateurs et votre configuration de mappage des attributs pour vérifier que les utilisateurs possèdent les attributs appropriés. |
| DuplicateTargetEntries | L’opération n’a pas pu aboutir, car plusieurs utilisateurs ont été trouvés dans l’application cible avec les attributs de correspondance configurés. Supprimez l’utilisateur en doublon de l’application cible ou reconfigurez vos mappages d’attributs. |
| DuplicateSourceEntries | L’opération n’a pas pu aboutir, car plusieurs utilisateurs ont été trouvés avec les attributs de correspondance configurés. Supprimez l’utilisateur en doublon ou reconfigurez vos mappages d’attributs. |
| ImportSkipped | Lors de l’évaluation d’un utilisateur, le système tente de l’importer à partir du système source. Cette erreur se produit généralement lorsque la propriété de correspondance définie dans les mappages d’attributs n’a pas été attribuée à l’utilisateur importé. En l’absence de valeur sur l’objet utilisateur pour l’attribut de correspondance, le système ne peut pas évaluer l’étendue ni la correspondance, ni exporter les modifications. La présence de cette erreur n’indique pas que l’utilisateur est concerné, car son étendue n’a pas encore été évaluée. |
| EntrySynchronizationSkipped | Le service d’approvisionnement a correctement interrogé le système source et identifié l'utilisateur. Aucune autre mesure n'a été prise à l'égard de l'utilisateur et il a été ignoré. Il se peut que l’utilisateur ne soit pas concerné ou existe déjà dans le système cible sans qu’aucune autre modification soit nécessaire. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Une requête GET visant à récupérer un utilisateur ou un groupe a reçu plusieurs utilisateurs ou groupes dans la réponse. Le système s’attend à ne recevoir qu’un seul utilisateur ou groupe dans la réponse. Par exemple, si vous effectuez une requête GET Group pour récupérer un groupe et indiquez un filtre pour exclure des membres, et que votre point de terminaison SCIM (System for Cross-Domain Identity Management) retourne les membres, vous recevez cette erreur. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
Le service de provisionnement Microsoft Entra ne parvient pas à analyser la réponse de l’application tierce. Travaillez avec le développeur de l'application pour vous assurer que le serveur SCIM est compatible avec le client Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | La propriété dans le système cible ne peut accepter qu’une seule valeur, alors que la propriété dans le système source en a plusieurs. Veillez à mapper un attribut à valeur unique à la propriété qui génère une erreur, mettre à jour la valeur dans la source pour qu’elle soit à valeur unique ou supprimer l’attribut des mappages. |
Codes d’erreur pour la synchronisation interlocataire
Utilisez le tableau suivant pour mieux comprendre comment résoudre les erreurs que vous trouvez dans les journaux de provisionnement pour la synchronisation interlocataire.
| Code d'erreur | Cause | Solution |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Le moteur de synchronisation n'a pas pu mettre à jour une ou plusieurs propriétés utilisateur dans le locataire cible. L’opération a échoué dans l’API Microsoft Graph en raison de l’application de la source d’autorité (SOA). Actuellement, les propriétés suivantes apparaissent dans la liste : MailshowInAddressList |
Dans certains cas (par exemple quand la propriété showInAddressList fait partie de la mise à jour utilisateur), le moteur de synchronisation peut réessayer automatiquement la mise à jour (utilisateur) sans la propriété dont la valeur ne convient pas. Sinon, vous devrez mettre à jour la propriété directement dans le locataire cible. |
| AzureDirectory B2BManagementPolicy CheckFailure |
La stratégie de synchronisation interlocataire autorisant la reprise automatique a échoué. Le moteur de synchronisation vérifie que l'administrateur du locataire cible a créé une stratégie de synchronisation entre locataires entrants permettant le rachat automatique. Le moteur de synchronisation vérifie également si l'administrateur du locataire source a activé une stratégie sortante pour le rachat automatique. |
Assurez-vous que le paramètre de rachat automatique a été activé pour les locataires source et cible. Pour plus d’informations, consultez Paramètre d’échange automatique. |
| Microsoft Entra ID QuotaLimitExceeded |
Le nombre d’objets dans le locataire dépasse la limite de l’annuaire. Microsoft Entra ID a des limites quant au nombre d'objets pouvant être créés dans un locataire. |
Vérifiez si le quota peut être augmenté. Pour plus d'informations sur les limites d'annuaire et les étapes permettant d'augmenter le quota, consultez Limites et restrictions du service Microsoft Entra. |
| InvitationCreationFailure | Le service de provisionnement Microsoft Entra a tenté d’inviter l’utilisateur dans le locataire cible. Cette invitation a échoué. | Un examen approfondi nécessite probablement de contacter le support technique. |
| Microsoft Entra ID Interdit |
Les paramètres de collaboration externe ont bloqué les invitations. | Accédez aux paramètres utilisateur, puis vérifiez que les paramètres de collaboration externe sont autorisés. |
| InvitationCreation FailureInvalidPropertyValue |
Causes potentielles : * L’adresse SMTP principale est une valeur non valide. * UserType n'a pas le statut d’invité ni de membre * L'adresse e-mail du groupe n'est pas prise en charge |
Solutions potentielles : * L’adresse SMTP principale contient une valeur non valide. La résolution de ce problème nécessitera probablement la mise à jour de la propriété de courrier de l’utilisateur source. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Préparer la synchronisation d’annuaires sur Microsoft 365. * Vérifiez que la propriété userType est approvisionnée en tant qu’invitée ou membre de type. Vous pouvez résoudre ce problème en vérifiant vos mappages d’attributs pour comprendre comment l’attribut userType est mappé. * L'adresse e-mail de l'utilisateur correspond à l'adresse e-mail d'un groupe du locataire. Mettez à jour l’adresse e-mail de l’un des deux objets. |
| InvitationCreation FailureAmbiguousUser |
L’utilisateur invité a une adresse proxy qui correspond à un utilisateur interne dans le tenant cible. L’adresse proxy doit être unique. | Pour résoudre cette erreur, supprimez l’utilisateur interne existant dans le tenant cible ou supprimez cet utilisateur de l’étendue de synchronisation. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Si l'utilisateur du locataire cible a été initialement synchronisé d'AD vers Microsoft Entra ID et converti en utilisateur externe, la source d'autorité est toujours sur site et l'utilisateur ne peut pas être mis à jour. | L'utilisateur ne peut pas être mis à jour par la synchronisation entre locataires |
| EntityTypeNotSupported | Les groupes peuvent être utilisés pour déterminer quels utilisateurs sont concernés par l’approvisionnement. Les groupes d’objets ne peuvent pas être synchronisés. | Aucune action du client n’est nécessaire. Il s’agit d’un événement ignoré. Si vous utilisez l’approvisionnement à la demande, veillez à choisir un utilisateur plutôt qu’un groupe à approvisionner. |
Étapes suivantes
Commentaires
Bientôt disponible : pendant toute l’année 2024, nous allons éliminer progressivement Problèmes GitHub comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, voir : https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour