A Microsoft Entra kiépítési naplóinak letöltése és elemzése
A Microsoft Entra kiépítési naplói részletesen ismertetik a bérlőben előforduló kiépítési eseményeket. A kiépítési naplókban rögzített információk segítségével elháríthatja a kiépített felhasználóval kapcsolatos problémákat.
Ez a cikk a kiépítési naplók Microsoft Entra felügyeleti központból való letöltésének és a naplók elemzésének lehetőségeit ismerteti. A hibakódokat és a speciális szempontokat is tartalmazza.
Előfeltételek
A kiépítési naplók megtekintéséhez a bérlőnek rendelkeznie kell egy P1 vagy P2 azonosítójú Microsoft Entra-licenccel. A Microsoft Entra kiadás frissítéséhez tekintse meg a Microsoft Entra ID P1 vagy P2 használatának első lépéseit.
Az alkalmazástulajdonosok megtekinthetik a saját alkalmazásuk naplóit. A kiépítési naplók megtekintéséhez a következő szerepkörök szükségesek:
- Jelentésolvasó
- Biztonsági olvasó
- Biztonsági operátor
- Biztonsági rendszergazda
- alkalmazás-rendszergazda
- Felhőalkalmazás-rendszergazda
- Egyéni szerepkörben lévő felhasználók a provisioningLogs engedéllyel
A kiépítési naplók megtekintése
A kiépítési naplók többféleképpen tekinthetők meg vagy elemezhetők:
- Megtekintés az Azure Portalon.
- Naplók streamelése az Azure Monitorba diagnosztikai beállításokon keresztül.
- Naplók elemzése munkafüzetsablonokon keresztül.
- A naplókat programozott módon érheti el a Microsoft Graph API-n keresztül.
- Töltse le a naplókat CSV- vagy JSON-fájlként.
Tipp.
A cikkben szereplő lépések a portáltól függően kissé eltérhetnek.
A naplók elérése az Azure Portalon:
- Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább jelentésolvasóként.
- Tallózással keresse meg az Identitásfigyelés>és állapotkiépítési>naplókat.
A kiépítési naplók letöltése
A kiépítési naplókat később is letöltheti az Azure Portal naplóinak megtekintésével, majd a Letöltés lehetőség kiválasztásával. Az eredmények a kiválasztott szűrési feltételek alapján lesznek szűrve. A szűrőket a lehető legkonkresztebbé teheti a letöltés méretének és idejének csökkentése érdekében.
CSV formátum
A CSV-letöltés három fájlt tartalmaz:
- ProvisioningLogs: Letölti az összes naplót, kivéve a kiépítési lépéseket és a módosított tulajdonságokat.
- ProvisioningLogs_ProvisioningSteps: Tartalmazza a kiépítési lépéseket és a változásazonosítót. A változásazonosítóval csatlakozhat az eseményhez a másik két fájllal.
- ProvisioningLogs_ModifiedProperties: A módosított attribútumokat és a változásazonosítót tartalmazza. A változásazonosítóval csatlakozhat az eseményhez a másik két fájllal.
JSON formátum
A JSON-fájl megnyitásához használjon szövegszerkesztőt, például a Microsoft Visual Studio Code-ot. A Visual Studio Code szintaxiskiemeléssel megkönnyíti a fájl olvasását. A JSON-fájlt böngészőkkel is megnyithatja, például a Microsoft Edge-et.
A JSON-fájl prettify (Prettify)
A JSON-fájl a letöltés méretének csökkentése érdekében töltődik le. Ez a formátum megnehezítheti a hasznos adatok olvasását. A fájl prettifikáló két lehetőség közül választhat:
A JSON formázásához használja a Visual Studio Code-ot.
A JSON formázása a PowerShell használatával. Ez a szkript jSON-kimenetet hoz létre tabulátorokat és szóközöket tartalmazó formátumban:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
A JSON-fájl elemzése
Bármilyen olyan programozási nyelvet használhat, amelyet kényelmesen használhat. Az alábbi példák a PowerShellben találhatók.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Most már a forgatókönyvnek megfelelően elemezheti az adatokat. Íme néhány példa:
A JSON-fájl összes feladatazonosítójának kimenete:
foreach ($provitem in $JSONContent) { $provitem.jobId }Az összes olyan esemény változásazonosítójának kimenete, ahol a művelet "létrehozás" volt:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Alapismeretek
Az alábbiakban néhány tippet és szempontot talál a kiépítési naplók elemzéséhez:
Az Azure Portal 30 napig tárolja a jelentett kiépítési adatokat, ha prémium kiadással rendelkezik, és 7 napig, ha ingyenes kiadással rendelkezik. A kiépítési naplókat 30 napon túli megőrzés céljából átirányíthatja az Azure Monitor-naplókba .
A change ID attribútumot egyedi azonosítóként használhatja, ami hasznos lehet például a terméktámogatással való interakció során.
Előfordulhat, hogy a hatókörben nem szereplő felhasználók kihagyott eseményei jelennek meg.
- 1. példa: Ha rendelkezik a hatókör beállításával
all users and groupsés a hatókörszűrők beállításával, előfordulhat, hogy olyan felhasználók kihagyott naplói jelennek meg, amelyek nem felelnek meg a hatókör-meghatározási feltételeknek. - 2. példa: Ha a hatókört
assigned users and groupsúgy állította be, hogy továbbra is kihagyottként jelenik meg a felhasználók a naplókban, még akkor is, ha nincsenek hozzárendelve az alkalmazáshoz. Ennek az az oka, hogy a kiépítési szolgáltatás hogyan fogadja a címtár módosításait.
- 1. példa: Ha rendelkezik a hatókör beállításával
A kiépítési naplók nem jelenítik meg a szerepkörimportálást (az AWS-re, a Salesforce-ra és a Zendeskre vonatkozik). Az auditnaplókban megtalálhatja a szerepkör-importálás naplóit.
Hibakódok
Az alábbi táblázat segítségével jobban megértheti, hogyan háríthatja el a kiépítési naplókban talált hibákat.
| Hibakód | Leírás |
|---|---|
| Konfliktus EntryConflict |
Javítsa ki az ütköző attribútumértékeket a Microsoft Entra-azonosítóban vagy az alkalmazásban. Vagy tekintse át az egyező attribútumkonfigurációt, ha az ütköző felhasználói fióknak egyeznie kellett volna, és át kellett volna vennie. Az egyező attribútumok konfigurálásával kapcsolatos további információkért tekintse át a dokumentációt . |
| TooManyRequests | A célalkalmazás elutasította a felhasználó frissítésére tett kísérletet, mert túlterhelt, és túl sok kérést fogadott. Nincs mit tenni. A rendszer automatikusan kivonja ezt a kísérletet. A Microsoftot is értesítették erről a problémáról. |
| InternalServerError | A célalkalmazás váratlan hibát adott vissza. Előfordulhat, hogy a célalkalmazással kapcsolatos szolgáltatásproblémák megakadályozzák a működését. A rendszer 40 percen belül automatikusan újrapróbálkozza ezt a kísérletet. |
| InsufficientRights, MethodNotAllowed, Nincs megadva, Nem engedélyezett |
A Microsoft Entra hitelesítette a célalkalmazást, de nem volt jogosult a frissítés végrehajtására. Tekintse át a célalkalmazás által megadott utasításokat, valamint a megfelelő alkalmazás-oktatóanyagot. |
| UnprocessableEntity | A célalkalmazás váratlan választ adott vissza. Előfordulhat, hogy a célalkalmazás konfigurációja nem megfelelő, vagy a célalkalmazással kapcsolatos szolgáltatásproblémák akadályozhatják a működését. |
| WebExceptionProtocolError | HTTP protokollhiba történt a célalkalmazáshoz való csatlakozáskor. Nincs mit tenni. A rendszer 40 percen belül automatikusan újrapróbálkozza ezt a kísérletet. |
| InvalidAnchor | A kiépítési szolgáltatás által korábban létrehozott vagy egyeztetett felhasználó már nem létezik. Győződjön meg arról, hogy a felhasználó létezik. Ha az összes felhasználó új egyezését szeretné kikényszeríteni , a Microsoft Graph API-val indítsa újra a feladatot. A kiépítés újraindítása elindít egy kezdeti ciklust, amely eltarthat egy ideig. A kiépítés újraindítása azt a gyorsítótárat is törli, amelyet a kiépítési szolgáltatás használ. Ez azt jelenti, hogy a bérlőben lévő összes felhasználót és csoportot újra ki kell értékelni, és bizonyos kiépítési események elvethetők. |
| NotImplemented | A célalkalmazás váratlan választ adott vissza. Előfordulhat, hogy az alkalmazás konfigurációja nem megfelelő, vagy a célalkalmazással kapcsolatos szolgáltatásproblémák akadályozhatják a működését. Tekintse át a célalkalmazás által megadott utasításokat, valamint a megfelelő alkalmazás-oktatóanyagot. |
| MandatoryFieldsMissing, MissingValues |
A felhasználó nem hozható létre, mert hiányoznak a szükséges értékek. Javítsa ki a forrásrekord hiányzó attribútumértékeit, vagy tekintse át a megfelelő attribútumkonfigurációt, hogy a szükséges mezők ne legyenek kihagyva. További információ az egyező attribútumok konfigurálásáról. |
| SchemaAttributeNotFound | A művelet nem hajtható végre, mert olyan attribútum lett megadva, amely nem létezik a célalkalmazásban. Tekintse meg az attribútumok testreszabásával kapcsolatos dokumentációt , és győződjön meg arról, hogy a konfiguráció helyes. |
| InternalError | Belső szolgáltatáshiba történt a Microsoft Entra kiépítési szolgáltatásban. Nincs mit tenni. A rendszer 40 percen belül automatikusan kivonja ezt a kísérletet. |
| InvalidDomain | A műveletet nem sikerült végrehajtani, mert egy attribútumérték érvénytelen tartománynevet tartalmaz. Frissítse a felhasználó tartománynevét, vagy adja hozzá a célalkalmazás engedélyezett listájához. |
| Időkorlát | A művelet nem hajtható végre, mert a célalkalmazás túl sokáig tartott a válaszadáshoz. Nincs mit tenni. A rendszer 40 percen belül automatikusan újrapróbálkozza ezt a kísérletet. |
| LicenseLimitExceeded | A felhasználó nem hozható létre a célalkalmazásban, mert ehhez a felhasználóhoz nincsenek elérhető licencek. További licencek beszerzése a célalkalmazáshoz. Vagy tekintse át a felhasználói hozzárendeléseket és az attribútumleképezési konfigurációt, hogy a megfelelő felhasználókat a megfelelő attribútumokkal rendelje hozzá. |
| DuplicateTargetEntries | A művelet nem hajtható végre, mert a célalkalmazás több felhasználója is megtalálható a konfigurált egyező attribútumokkal. Távolítsa el az ismétlődő felhasználót a célalkalmazásból, vagy konfigurálja újra az attribútumleképezéseket. |
| DuplicateSourceEntries | A művelet nem hajtható végre, mert több felhasználó is megtalálható a konfigurált egyező attribútumokkal. Távolítsa el az ismétlődő felhasználót, vagy konfigurálja újra az attribútumleképezéseket. |
| ImportSkipped | Az egyes felhasználók kiértékelésekor a rendszer megpróbálja importálni a felhasználót a forrásrendszerből. Ez a hiba általában akkor fordul elő, ha az importált felhasználó hiányzik az attribútumleképezésekben definiált egyező tulajdonságból. A rendszer nem tudja kiértékelni a hatókörkezelési, egyeztetési vagy exportálási módosításokat anélkül, hogy a felhasználói objektumban az egyező attribútum értéke szerepel volna. A hiba jelenléte nem jelzi, hogy a felhasználó hatókörben van, mert még nem értékelte ki a felhasználó hatókörét. |
| EntrySynchronizationSkipped | A kiépítési szolgáltatás sikeresen lekérdezte a forrásrendszert, és azonosította a felhasználót. A rendszer nem hajtott végre további műveletet a felhasználón, és a rendszer kihagyta őket. Előfordulhat, hogy a felhasználó nem volt hatókörben, vagy lehet, hogy a felhasználó már létezik a célrendszerben, és nincs szükség további módosításokra. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Egy felhasználó vagy csoport lekérésére irányuló GET-kérés több felhasználót vagy csoportot fogadott a válaszban. A rendszer várhatóan csak egy felhasználót vagy csoportot fogad a válaszban. Ha például get group request to retrieve a group, provide a filter to exclude members, and your System for Cross-Domain Identity Management (SCIM) végpont visszaadja a tagokat, ez a hiba jelenik meg. |
| SystemForCrossDomainIdentity ManagementServiceInkompatibilis |
A Microsoft Entra kiépítési szolgáltatás nem tudja elemezni a külső alkalmazás válaszát. Az alkalmazásfejlesztővel együttműködve győződjön meg arról, hogy az SCIM-kiszolgáló kompatibilis a Microsoft Entra SCIM-ügyféllel. |
| SchemaPropertyCanOnlyAcceptValue | A célrendszer tulajdonsága csak egy értéket fogad el, de a forrásrendszer tulajdonsága több. Győződjön meg arról, hogy egy egyértékű attribútumot rendel a hibát okozó tulajdonsághoz, frissíti a forrásban lévő értéket egyértékűre, vagy eltávolítja az attribútumot a leképezésekből. |
Hibakódok bérlők közötti szinkronizáláshoz
Az alábbi táblázat segítségével jobban megértheti, hogyan háríthatja el a bérlők közötti szinkronizálás kiépítési naplóiban talált hibákat.
| Hibakód | Ok | Megoldás |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
A szinkronizálási motor nem tudott frissíteni egy vagy több felhasználói tulajdonságot a célbérlében. A művelet a Microsoft Graph API-ban a forráskód (SOA) kényszerítése miatt meghiúsult. Jelenleg a következő tulajdonságok jelennek meg a listában: MailshowInAddressList |
Bizonyos esetekben (például ha showInAddressList a tulajdonság része a felhasználói frissítésnek), előfordulhat, hogy a szinkronizálási motor automatikusan újrapróbálkozza a (felhasználó) frissítést a jogsértő tulajdonság nélkül. Ellenkező esetben a tulajdonságot közvetlenül a célbérlében kell frissítenie. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Az automatikus visszaváltást lehetővé tevő bérlőközi szinkronizálási szabályzat nem sikerült. A szinkronizálási motor ellenőrzi, hogy a célbérlelő rendszergazdája létrehozott-e egy bejövő bérlőközi szinkronizálási szabályzatot, amely lehetővé teszi az automatikus visszaváltást. A szinkronizálási motor azt is ellenőrzi, hogy a forrásbérlés rendszergazdája engedélyezett-e kimenő szabályzatot az automatikus visszaváltáshoz. |
Győződjön meg arról, hogy az automatikus visszaváltási beállítás engedélyezve van a forrás- és a célbérlők számára is. További információ: Automatikus beváltás beállítása. |
| Microsoft Entra ID QuotaLimitExceeded |
A bérlőben lévő objektumok száma meghaladja a címtárkorlátot. A Microsoft Entra-azonosító korlátozza a bérlőben létrehozható objektumok számát. |
Ellenőrizze, hogy növelhető-e a kvóta. A címtárkorlátokról és a kvóta növelésének lépéseiről a Microsoft Entra szolgáltatás korlátait és korlátozásait ismertető cikkben olvashat. |
| InvitationCreationFailure | A Microsoft Entra kiépítési szolgáltatás megpróbálta meghívni a felhasználót a célbérlelőben. A meghívás sikertelen volt. | A további vizsgálathoz valószínűleg kapcsolatba kell lépnie az ügyfélszolgálattal. |
| Microsoft Entra ID Forbidden |
A külső együttműködési beállítások blokkolták a meghívásokat. | Keresse meg a felhasználói beállításokat, és győződjön meg arról, hogy a külső együttműködési beállítások engedélyezettek. |
| InvitationCreation FailureInvalidPropertyValue |
Lehetséges okok: * Az elsődleges SMTP-cím érvénytelen érték. * A UserType nem vendég vagy tag * A csoport e-mail-címe nem támogatott |
Lehetséges megoldások: * Az elsődleges SMTP-cím értéke érvénytelen. A probléma megoldásához valószínűleg frissíteni kell a forrásfelhasználó levelezési tulajdonságát. További információ: Felkészülés a címtár-szinkronizálásra a Microsoft 365-be * Győződjön meg arról, hogy a userType tulajdonság ki van építve típus vendégként vagy tagként. Ez az attribútumleképezések ellenőrzésével javítható a userType attribútum leképezésének megértéséhez. * A felhasználó e-mail-címe megegyezik a bérlő egy csoportjának e-mail-címével. Frissítse a két objektum egyikének e-mail-címét. |
| InvitationCreation FailureAmbiguousUser |
A meghívott felhasználó proxycíme megegyezik a célbérlõ egy belső felhasználójával. A proxycímnek egyedinek kell lennie. | A hiba megoldásához törölje a meglévő belső felhasználót a célbérlõben, vagy távolítsa el a felhasználót a szinkronizálási hatókörből. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Ha a célbérbe tartozó felhasználó eredetileg szinkronizálva lett az AD-ből a Microsoft Entra-azonosítóba, és külső felhasználóvá lett konvertálva, a szolgáltató forrása továbbra is a helyszínen van, és a felhasználó nem frissíthető. | A felhasználó nem frissíthető bérlők közötti szinkronizálással |
| EntityTypeNotSupported | A csoportok segítségével meghatározhatja, hogy mely felhasználók tartoznak a kiépítés hatókörébe. A csoportok objektumai nem szinkronizálhatók. | Nincs szükség az ügyfél beavatkozására. Ez egy kihagyott esemény. Ha igény szerinti kiépítést használ, győződjön meg arról, hogy a kiépíteni kívánt csoport helyett egy felhasználót választ. |
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: