Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Log provisi dari Microsoft Entra memberikan detail tentang aktivitas provisi yang terjadi di penyewa Anda. Anda dapat menggunakan informasi yang diambil dalam log provisi untuk membantu memecahkan masalah dengan pengguna yang disediakan.
Artikel ini menjelaskan opsi untuk mengunduh log provisi dari pusat admin Microsoft Entra dan cara menganalisis log. Kode kesalahan dan pertimbangan khusus juga disertakan.
Prerequisites
- Penyewa Microsoft Entra yang berfungsi aktif dengan lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya.
- Pembaca Laporan adalah peran dengan hak akses paling rendah yang diperlukan untuk mengakses log provisi.
- Pemilik aplikasi juga dapat melihat aplikasi log yang mereka miliki.
- Untuk daftar lengkap peran, lihat Peran dengan hak istimewa terkecil menurut tugas.
Cara melihat log provisi
Ada beberapa cara untuk melihat atau menganalisis log Provisi:
- Lihat di pusat administrasi Microsoft Entra.
- Mengalirkan log ke Azure Monitor melalui pengaturan diagnostik.
- Menganalisis log melalui templat Buku Kerja .
- Akses log secara terprogram melalui Microsoft Graph API.
- Unduh log sebagai file CSV atau JSON.
Untuk mengakses log di pusat admin Microsoft Entra:
- Masuk ke Pusat Admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
- Telusuri ke Entra ID>Pemantauan & kesehatan>log provisi.
Cara mengunduh log penyediaan
Untuk mengunduh log provisi, pilih Unduh dari halaman Log provisi . Atur filter sesederhana mungkin untuk mengurangi ukuran dan waktu pengunduhan.
Format CSV
Unduhan CSV mencakup tiga file:
- ProvisioningLogs: Mengunduh semua log, kecuali langkah-langkah provisi dan properti yang dimodifikasi.
- ProvisioningLogs_ProvisioningSteps: Berisi langkah-langkah provisi dan ID perubahan. Anda dapat menggunakan change ID untuk menggabungkan acara dengan dua file lainnya.
- ProvisioningLogs_ModifiedProperties: Berisi atribut yang diubah dan ID perubahan. Anda dapat menggunakan change ID untuk menggabungkan acara dengan dua file lainnya.
Format JSON
Untuk membuka file JSON, gunakan editor teks seperti Microsoft Visual Studio Code. Visual Studio Code membuat file lebih mudah dibaca dengan menyediakan penyorotan sintaks. Anda juga dapat membuka file JSON dengan menggunakan browser dalam format yang tidak dapat diedarkan, seperti Microsoft Edge.
Mempercantik berkas JSON
File JSON diunduh dalam format untuk mengurangi ukuran unduhan. Format ini dapat membuat payload sulit dibaca. Untuk membuat file lebih menarik, ada dua pilihan:
Gunakan PowerShell untuk memformat JSON. Skrip ini menghasilkan output JSON dalam format yang mencakup tab dan spasi:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Menguraikan file JSON
Anda dapat menggunakan bahasa pemrograman apa pun yang Anda sukai. Contoh berikut ada di PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Sekarang Anda dapat memilah data sesuai dengan skenario Anda. Berikut adalah beberapa contohnya:
Keluarkan seluruh ID tugas dalam file JSON.
foreach ($provitem in $JSONContent) { $provitem.jobId }Tampilkan semua ID perubahan untuk peristiwa yang tindakannya adalah "buat".
foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }
Yang harus Anda ketahui
Berikut adalah beberapa tips dan pertimbangan untuk menganalisis log provisi:
Pusat administrasi Microsoft Entra menyimpan data provisi yang dilaporkan selama 30 hari jika Anda memiliki versi premium dan 7 hari jika Anda memiliki versi gratis. Anda dapat merutekan log provisi ke log Azure Monitor untuk penyimpanan melebihi 30 hari.
Anda dapat menggunakan atribut ID perubahan sebagai pengidentifikasi unik, yang dapat membantu saat berinteraksi dengan dukungan produk, misalnya.
Anda mungkin melihat peristiwa yang dilewati untuk pengguna yang tidak berada dalam cakupan.
- Contoh 1: Jika cakupan diatur ke
all users and groupsdan Anda menyiapkan filter cakupan, Anda mungkin melihat log yang dilewati untuk pengguna yang tidak memenuhi kriteria cakupan. - Contoh 2: Jika cakupan diatur ke
assigned users and groups, Anda mungkin terus melihat pengguna sebagai dilewati dalam catatan log, meskipun mereka belum ditetapkan ke aplikasi. Cara layanan penyedia menerima perubahan melalui direktori mengakibatkan pengguna-pengguna ini tampil.
- Contoh 1: Jika cakupan diatur ke
Log provisi tidak menampilkan impor peran (berlaku untuk Amazon Web Services, Salesforce, dan Zendesk). Anda dapat menemukan log untuk impor peran dalam log audit.
Beberapa kode kesalahan mengandung
AzureActiveDirectorydalam nama. Kode kesalahan ini merujuk ke ID Microsoft Entra, tetapi tidak dapat diubah namanya dari Azure Active Directory.
Kode kesalahan
Gunakan tabel berikut untuk lebih memahami cara mengatasi kesalahan yang Anda temukan di log provisi.
| Kode kesalahan | Description |
|---|---|
| Conflict, EntryConflict |
Koreksi nilai atribut yang berkonflik di ID Microsoft Entra atau aplikasi. Atau, tinjau konfigurasi atribut pencocokan Anda jika akun pengguna yang berkonflik seharusnya dicocokkan dan diambil alih. Untuk informasi selengkapnya tentang mengonfigurasi atribut yang cocok, lihat Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra. |
| TooManyRequests | Aplikasi target menolak upaya ini untuk memperbarui pengguna karena aplikasi menerima terlalu banyak permintaan. Tidak ada yang bisa dilakukan. Upaya ini dicoba kembali secara otomatis dan Microsoft diberi tahu tentang masalah ini. |
| InternalServerError | Aplikasi target mengembalikan kesalahan tak terduga. Masalah layanan dengan aplikasi target mungkin mencegahnya bekerja. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Unauthorized |
MICROSOFT Entra ID diautentikasi dengan aplikasi target tetapi tidak berwenang untuk melakukan pembaruan. Tinjau instruksi apa pun yang disediakan aplikasi target, bersama dengan aplikasi masing-masing. Untuk informasi selengkapnya, lihat Tutorial untuk mengintegrasikan aplikasi dengan ID Microsoft Entra. |
| UnprocessableEntity | Aplikasi target mengembalikan respons tak terduga. Konfigurasi aplikasi target mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya bekerja. |
| WebExceptionProtocolError | Terjadi kesalahan protokol HTTP saat menyambungkan ke aplikasi target. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| InvalidAnchor | Pengguna yang sebelumnya dibuat atau dicocokkan oleh layanan provisi tidak ada lagi. Pastikan bahwa pengguna ada. Untuk memaksa pencocokan baru semua pengguna, gunakan Microsoft Graph API untuk memulai ulang pekerjaan. Memulai ulang provisi memicu siklus awal, yang dapat memakan waktu untuk diselesaikan. Memulai ulang provisi juga menghapus cache yang digunakan layanan provisi untuk beroperasi. Itu berarti semua pengguna dan grup di penyewa harus dievaluasi ulang, dan aktivitas penyediaan tertentu mungkin dihilangkan. |
| NotImplemented | Aplikasi sasaran mengembalikan respons yang tidak terduga. Konfigurasi aplikasi mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya berfungsi. Tinjau instruksi apa pun yang disediakan aplikasi target, bersama dengan aplikasi masing-masing. Untuk informasi selengkapnya, lihat Tutorial untuk mengintegrasikan aplikasi dengan ID Microsoft Entra. |
| MandatoryFieldsMissing, MissingValues |
Pengguna tidak dapat dibuat karena nilai yang diperlukan hilang. Koreksi nilai atribut yang hilang di rekaman sumber, atau tinjau konfigurasi atribut yang cocok untuk memastikan bahwa bidang yang diperlukan tidak dihilangkan. Untuk informasi selengkapnya, lihat Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra. |
| SchemaAttributeNotFound | Operasi tidak dapat dilakukan karena atribut ditentukan yang tidak ada di aplikasi target. Pastikan konfigurasi Anda benar dengan merujuk ke Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra. |
| InternalError | Terjadi kesalahan layanan internal dalam layanan provisi Microsoft Entra. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| InvalidDomain | Operasi tidak dapat dilakukan karena nilai atribut berisi nama domain yang tidak valid. Perbarui nama domain pada pengguna atau tambahkan ke daftar yang diizinkan di aplikasi target. |
| Timeout | Operasi tidak dapat diselesaikan karena aplikasi target membutuhkan waktu terlalu lama untuk merespons. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| LicenseLimitExceeded | Pengguna tidak dapat dibuat di aplikasi target karena tidak ada lisensi yang tersedia untuk pengguna ini. Dapatkan lebih banyak lisensi untuk aplikasi target. Atau, tinjau penugasan pengguna dan konfigurasi pemetaan atribut Anda untuk memastikan bahwa pengguna yang benar ditetapkan dengan atribut yang benar. |
| DuplicateTargetEntries | Operasi tidak dapat diselesaikan karena lebih dari satu pengguna dalam aplikasi target ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat dari aplikasi target, atau konfigurasi ulang pemetaan atribut Anda. Untuk informasi selengkapnya, lihat Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra. |
| DuplicateSourceEntries | Operasi tidak dapat diselesaikan karena lebih dari satu pengguna ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat, atau konfigurasi ulang pemetaan atribut Anda. Untuk informasi selengkapnya, lihat Menyesuaikan pemetaan atribut provisi pengguna untuk aplikasi SaaS di ID Microsoft Entra. |
| ImportSkipped | Ketika setiap pengguna dievaluasi, sistem mencoba mengimpor pengguna dari sistem sumber. Kesalahan ini biasanya terjadi ketika pengguna yang sedang diimpor tidak memiliki properti yang cocok yang ditentukan dalam pemetaan atribut Anda. Tanpa nilai yang ada pada objek pengguna untuk atribut yang sesuai, sistem tidak dapat mengevaluasi cakupan, pencocokan, atau perubahan ekspor. Kehadiran kesalahan ini tidak menunjukkan bahwa pengguna berada dalam cakupan, karena Anda belum mengevaluasi cakupan untuk pengguna. |
| EntrySynchronizationSkipped | Layanan provisi berhasil mengkueri sistem sumber dan mengidentifikasi pengguna. Tidak dilakukan tindakan lebih lanjut terhadap pengguna dan mereka diabaikan. Pengguna mungkin telah berada di luar cakupan atau sudah ada di sistem target tanpa memerlukan perubahan lebih lanjut. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Permintaan GET untuk mengambil pengguna atau grup mendapatkan respons yang berisi beberapa pengguna atau grup. Sistem hanya mengharapkan untuk menerima satu pengguna atau grup dalam respons. Misalnya, jika Anda melakukan permintaan GET Group untuk mengambil grup, berikan filter untuk mengecualikan anggota, dan pada titik akhir System for Cross-Domain Identity Management (SCIM) Anda mengembalikan anggota, kesalahan ini muncul. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
Layanan provisi Microsoft Entra tidak dapat mengurai respons dari aplikasi non-Microsoft. Bekerja dengan pengembang aplikasi untuk memastikan bahwa server SCIM kompatibel dengan klien Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | Properti di sistem target hanya dapat menerima satu nilai, tetapi properti di sistem sumber memiliki beberapa. Pastikan Anda memetakan atribut bernilai tunggal ke properti yang memunculkan kesalahan, memperbarui nilai di sumber menjadi bernilai tunggal, atau menghapus atribut dari pemetaan. |
Kode kesalahan untuk sinkronisasi lintas tenant
Gunakan tabel berikut untuk lebih memahami cara mengatasi kesalahan yang Anda temukan di log provisi untuk sinkronisasi lintas penyewa. Beberapa kode kesalahan memetakan ke lebih dari satu penyebab, sehingga ada beberapa baris untuk kode kesalahan yang sama.
| Kode kesalahan | Cause | Solution |
|---|---|---|
| AzureActiveDirectoryForbidden | Properti "dirSync enabled" diatur ke "true". Akibatnya, layanan provisi tidak dapat memperbarui properti pengguna seperti immutableId dan extensionProperty1-15. | Hapus atribut dari pemetaan atribut Anda untuk mencegah kegagalan. |
| AzureActiveDirectoryForbidden | Pengaturan kolaborasi eksternal memblokir undangan. | Navigasi ke pengaturan pengguna dan pastikan bahwa pengaturan kolaborasi eksternal diizinkan. |
| AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
Sumber otoritas untuk pengguna adalah Exchange Online. Layanan provisi tidak dapat memperbarui satu atau beberapa atribut pertukaran pada pengguna (misalnya: extensionAttribute 1 - 15). Ini berdampak pada pengguna yang ada di penyewa sasaran ketika properti dirSyncEnabled berubah dari "True" menjadi "False." | Perbarui atribut langsung di Exchange Online penyewa target. Misalnya: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| AzureActiveDirectory CannotUpdateObjectsOriginated InExternalService |
Mesin sinkronisasi tidak dapat memperbarui satu atau beberapa properti pengguna di penyewa target. Operasi gagal di Microsoft Graph API karena penerapan Source of Authority (SOA). Saat ini, properti berikut muncul dalam daftar: MailshowInAddressList |
Dalam beberapa kasus (misalnya ketika showInAddressList properti adalah bagian dari pembaruan pengguna), mesin sinkronisasi mungkin secara otomatis mencoba kembali pembaruan (pengguna) tanpa properti yang menyinggung. Jika tidak, Anda harus memperbarui properti tersebut secara langsung di tenant tujuan. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Kebijakan sinkronisasi antar-penyewa yang memungkinkan penukaran otomatis gagal. Mesin sinkronisasi memeriksa untuk memastikan bahwa administrator penyewa target memformulasikan kebijakan sinkronisasi lintas penyewa yang masuk yang memungkinkan penukaran secara otomatis. Mesin sinkronisasi juga memeriksa apakah administrator penyewa sumber mengaktifkan kebijakan keluar untuk penukaran otomatis. |
Pastikan bahwa pengaturan penukaran otomatis diaktifkan untuk penyewa sumber dan penyewa target. Untuk informasi selengkapnya, lihat Pengaturan penukaran otomatis. |
| AzureActiveDirectory QuotaLimitExceeded |
Jumlah objek dalam tenant melebihi batas direktori. Microsoft Entra ID memiliki batasan untuk jumlah objek yang dapat dibuat di penyewa. |
Periksa apakah kuota dapat ditingkatkan. Untuk informasi tentang batas dan langkah-langkah direktori untuk meningkatkan kuota, lihat Batas dan batasan layanan Microsoft Entra. |
| InvitationCreationFailure | Layanan provisioning Microsoft Entra mencoba mengundang pengguna di penyewa sasaran. Undangan itu gagal. | Kemungkinan penyelidikan lebih lanjut memerlukan menghubungi dukungan. |
| InvitationCreationFailureUserAccountDisabled | Layanan provisioning Microsoft Entra mencoba mengundang pengguna di penyewa sasaran. Undangan itu gagal. | Pengguna ada di tenant target, tetapi akun dinonaktifkan dan undangan masih dalam proses. Aktifkan akun pengguna di penyewa target dan kemudian coba menyediakan ulang pengguna tersebut. |
| InvitationCreation FailureInvalidPropertyValue |
Potensi penyebab: * Alamat SMTP Utama adalah nilai yang tidak valid. * UserType bukan tamu atau anggota * Alamat email grup tidak didukung |
Solusi potensial: * Alamat SMTP Utama memiliki nilai yang tidak valid. Mengatasi masalah ini kemungkinan memerlukan pembaruan properti email pengguna sumber. Untuk informasi selengkapnya, lihat Mempersiapkan sinkronisasi direktori ke Microsoft 365 * Pastikan bahwa properti userType disediakan sebagai tipe tamu atau anggota. Periksa pemetaan atribut Anda untuk memahami bagaimana atribut userType dipetakan. * Alamat email pengguna cocok dengan alamat email grup di penyewa. Perbarui alamat email untuk salah satu dari dua objek. |
| InvitationCreation FailureAmbiguousUser |
Pengguna yang diundang memiliki alamat proxy yang cocok dengan pengguna internal di penyewa target. Alamat proksi harus unik. | Untuk mengatasi kesalahan ini, hapus pengguna internal yang ada di penyewa target atau hapus pengguna ini dari cakupan sinkronisasi. |
| AzureActiveDirectory CannotUpdateObjects MasteredOnPremises |
Jika pengguna di penyewa yang dituju awalnya disinkronkan dari AD ke ID Microsoft Entra dan dikonversi menjadi pengguna eksternal, sumber kendali masih lokal dan pengguna tersebut tidak dapat diperbarui. | Pengguna tidak dapat diperbarui karena sinkronisasi lintas penyewa. |
| EntityTypeNotSupported | Grup dapat digunakan untuk menentukan pengguna apa yang berada dalam cakupan provisi. Objek grup tidak dapat disinkronkan. | Tidak perlu tindakan pelanggan. Ini adalah peristiwa yang dilewatkan. Jika Anda menggunakan provisi sesuai permintaan, pastikan Anda memilih pengguna alih-alih grup untuk diprovisikan. |
| Konflik Ditemukan pada AzureActiveDirectory | Ada objek yang bertentangan di penyewa target. | Periksa apakah ada kontak pada penyewa target dengan alamat email yang sama. Hapus kontak dari penyewa target untuk memastikan bahwa pengguna B2B dapat diperbarui. Berhati-hatilah untuk memigrasikan keanggotaan grup apa pun dari kontak ke pengguna B2B sesuai kebutuhan. |