Provisionnement d’application en état de quarantaine

  • Article

Le service d’approvisionnement Microsoft Entra surveille l’état de votre configuration. Il place également les applications non saines dans un état de « quarantaine ». Si la plupart ou la totalité des appels effectués sur le système cible échouent systématiquement, le travail d’approvisionnement est marqué en quarantaine. Un exemple d’échec est une erreur reçue en raison d’informations d’identification d’administrateur non valides.

Lors de la mise en quarantaine :

  • La fréquence des cycles incrémentiels est progressivement réduite à une fois par jour.
  • Le travail de provisionnement sort de la quarantaine une fois que toutes les erreurs sont corrigées et que le cycle suivant de synchronisation démarre.
  • Si le travail de provisionnement reste en quarantaine pendant plus de quatre semaines, celui-ci est désactivé (son exécution s’arrête).

Comment puis-je savoir si mon application est en quarantaine ?

Vous avez trois façons de vérifier si une application est en quarantaine :

  • Dans le centre d’administration Microsoft Entra, accédez à Identité>Applications>Application d’entreprise><Nom de l’application>>Approvisionnement et évaluez la barre de progression d’un message de quarantaine.

    Provisioning status bar showing quarantine status

  • Dans le centre d’administration Microsoft Entra, accédez à Identité>Surveillance et intégrité>Journaux d’audit>, filtrez par Activité : quarantaine et évaluez l’historique de quarantaine. L’affichage de la barre de progression, comme décrit ci-dessus, indique si l’approvisionnement est actuellement en quarantaine. Les journaux d’audit affichent l’historique des quarantaines pour une application.

  • Utilisez la requête Microsoft Graph Get synchronizationJob pour obtenir par programmation l’état du travail de provisionnement :

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/

  • Consultez vos e-mails. Quand une application est mise en quarantaine, un e-mail de notification ponctuel est envoyé. Si la raison de la quarantaine change, un e-mail mis à jour est envoyé pour la stipuler. Si vous ne voyez aucun e-mail :

    • Vérifiez que vous avez spécifié un e-mail de notification valide dans la configuration de l’approvisionnement de l’application.
    • Vérifiez qu’aucun filtre de courrier indésirable ne s’applique à la boîte de réception des e-mails de notification.
    • Vérifiez que vous ne vous êtes pas désabonné des e-mails.
    • Rechercher les e-mails provenant de azure-noreply@microsoft.com

Pourquoi mon application est-elle en quarantaine ?

Voici les raisons courantes pour lesquelles votre application peut être mise en quarantaine

Description Action recommandée
Problème de conformité SCIM : Une réponse HTTP/404 introuvable a été retournée au lieu de la réponse HTTP/200 OK attendue. Dans ce cas, le service de provisionnement Microsoft Entra a adressé une demande à l'application cible et a reçu une réponse inattendue. Vérifiez la section Informations d’identification de l’administrateur. Voyez si l’application nécessite de spécifier l’URL du locataire et si l’URL est correcte. Si vous ne voyez pas de problème, contactez le développeur de l’application pour vous assurer que son service est conforme à la norme SCIM. https://tools.ietf.org/html/rfc7644#section-3.4.2
Informations d’identification non valides : Lors d’une tentative d’autorisation d’accès à l’application cible, nous avons reçu une réponse de l’application cible qui indique que les informations d’identification fournies ne sont pas valides. Accédez à la section Informations d’identification de l’administrateur de l’interface utilisateur de configuration de l’approvisionnement et autorisez à nouveau l’accès avec des informations d’identification valides. Si l’application se trouve dans la galerie, consultez le tutoriel sur la configuration de l’application pour connaître les autres étapes nécessaires.
Rôles dupliqués : Les rôles importés à partir de certaines applications, comme Salesforce et Zendesk, doivent être uniques. Accédez au manifeste de l’application dans le Centre d’administration Microsoft Entra et supprimez le rôle dupliqué.

Une requête Microsoft Graph visant à obtenir l’état du travail de provisionnement indique la raison suivante pour la quarantaine :

  • EncounteredQuarantineException indique que des informations d’identification non valides ont été fournies. Le service de provisionnement n’est pas en mesure d’établir une connexion entre le système source et le système cible.
  • EncounteredEscrowProportionThreshold indique que le provisionnement a dépassé le seuil d’entiercement. Cette condition se produit quand plus de 40 % des événements d’approvisionnement ont échoué. Pour plus d’informations, consultez les détails sur les seuils d’entiercement ci-dessous.
  • QuarantineOnDemand signifie que nous avons détecté un problème avec votre application et que nous l’avons manuellement mise en quarantaine.

Seuils d’entiercement

Si le seuil d’entiercement proportionnel est atteint, le travail d’approvisionnement est mis en quarantaine. Cette logique est sujette à modification, mais fonctionne approximativement comme décrit ci-dessous :

Un travail peut être mis en quarantaine, quel que soit le nombre d’échecs, pour des problèmes tels que les informations d’identification d’administrateur ou la conformité SCIM. Toutefois, en général, un minimum de 5 000 échecs est nécessaire pour commencer à envisager une mise en quarantaine en raison d’un trop grand nombre d’échecs. Par exemple, un travail ayant 4 000 échecs ne serait pas mis en quarantaine. Toutefois, un travail ayant 5 000 échecs déclencherait une évaluation. Une évaluation utilise les critères suivants :

  • Si plus de 40 % des événements d’approvisionnement échouent ou qu’il y a plus de 40 000 échecs, le travail d’approvisionnement est mis en quarantaine. Les échecs de référence ne sont pas comptabilisés dans le seuil de 40 % ou de 40 000 échecs. Par exemple, l’échec de la mise à jour d’un manager ou du membre d’un groupe est un échec de référence.
  • Un travail où 45 000 utilisateurs n’ont pas été approvisionnés entraînerait une mise en quarantaine, car il dépasse le seuil de 40 000 échecs.
  • Un travail où 30 000 utilisateurs n’ont pas été approvisionnés et où 5 000 autres ont été approvisionnés entraînerait une mise en quarantaine, car il dépasse le seuil de 40 % et le minimum de 5 000 échecs.
  • Un travail avec 20 000 échecs et 100 000 réussites n’entraînerait pas de mise en quarantaine, car il n’a pas dépassé le seuil de 40 % d’échecs ni le nombre maximal de 40 000 échecs.
  • Il existe un seuil absolu de 60 000 échecs qui tient compte des échecs de référence et autres. Par exemple, 40 000 utilisateurs n’ont pas pu être approvisionnés et la mise à jour de 21 000 managers a échoué. Le total est de 61 000 échecs et dépasse la limite de 60 000 échecs.

Durée des nouvelles tentatives

La logique décrite ici peut être différente pour certains connecteurs afin de garantir une expérience client optimale, mais nous avons généralement les cycles de nouvelle tentative ci-dessous après une défaillance :

Après l’échec, la première nouvelle tentative se produira dans 6 heures.

  • La deuxième nouvelle tentative se produit 12 heures après le premier échec.
  • La troisième nouvelle tentative se produit 24 heures après le premier échec.

De nouvelles tentatives vont avoir lieu toutes les 24 heures après la 3e nouvelle tentative. Les nouvelles tentatives vont se poursuivre pendant 28 jours après le premier échec après lequel l’entrée escrow est supprimée et le travail désactivé.
Si l’une des nouvelles tentatives ci-dessus obtient une réponse correcte, le travail est automatiquement retiré de la quarantaine et reprend un comportement de synchronisation régulier.

Comment puis-je sortir mon application de quarantaine ?

Tout d’abord, résolvez le problème qui a provoqué la mise en quarantaine de l’application.

  • Vérifiez les paramètres de provisionnement de l’application pour vous assurer d’avoir entré des informations d’identification d’administrateur valides. Microsoft Entra ID doit établir une approbation avec l'application cible. Vérifiez que vous avez entré des informations d’identification valides et que votre compte dispose des autorisations nécessaires.

  • Passez en revue les journaux de provisionnement pour examiner de plus près les erreurs à l’origine de la quarantaine afin de les corriger. Accédez aux journaux de provisionnement>des >applications Microsoft Entra ID Enterprise (préversion) dans la section Activité.

Une fois que vous avez résolu le problème, redémarrez le travail de provisionnement. Certaines modifications apportées aux paramètres de provisionnement de l’application, comme des mappages d’attributs ou des filtres d’étendue, redémarrent automatiquement le provisionnement. La barre de progression dans la page Provisionnement de l’application indique à quel moment le dernier provisionnement a démarré. Si vous avez besoin de redémarrer manuellement le travail de provisionnement, utilisez l’une des méthodes suivantes :

  • Utilisez le Centre d’administration Microsoft Entra pour redémarrer le travail d’approvisionnement. Dans la page Approvisionnement de l’application, sélectionnez Redémarrer l’approvisionnement. Cette action redémarre complètement le service de provisionnement, ce qui peut prendre un certain temps. Un cycle initial complet se réexécute, ce qui permet de supprimer les entiercements, de sortir l’application de quarantaine et d’effacer tous les filigranes. Le service réévalue ensuite tous les utilisateurs du système source et détermine s’ils sont dans l’étendue de provisionnement. Cela peut être utile quand votre application est placée sous contrôle, tel qu’indiqué dans cet article, ou que vous devez apporter un changement à vos mappages d’attributs. Notez que le cycle initial met plus de temps à s’effectuer que le cycle incrémentiel classique en raison du nombre d’objets à évaluer. Pour en savoir plus sur les performances des cycles initiaux et incrémentiels, cliquez ici.

  • Utilisez Microsoft Graph pour redémarrer le travail de provisionnement. Vous bénéficiez d’un contrôle total sur ce que vous redémarrez. Vous pouvez choisir d’effacer les entiercements (pour redémarrer le compteur d’entiercements qui augmente jusqu’à l’état de quarantaine), de supprimer la quarantaine (pour sortir l’application de quarantaine) ou d’effacer les filigranes. Utilisez la requête suivante :

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Remplacez « {ID} » par la valeur de l’ID de l’application et « {jobId} » par l’ID du travail de synchronisation.