Cara mengunduh dan menganalisis log provisi Microsoft Entra
Log provisi Microsoft Entra memberikan detail tentang peristiwa provisi yang terjadi di penyewa Anda. Anda dapat menggunakan informasi yang diambil dalam log provisi untuk membantu memecahkan masalah dengan pengguna yang disediakan.
Artikel ini menjelaskan opsi untuk mengunduh log provisi dari pusat admin Microsoft Entra dan cara menganalisis log. Kode kesalahan dan pertimbangan khusus juga disertakan.
Prasyarat
Untuk melihat log provisi, penyewa Anda harus memiliki lisensi Microsoft Entra ID P1 atau P2 yang terkait dengannya. Untuk meningkatkan edisi Microsoft Entra Anda, lihat Mulai menggunakan Microsoft Entra ID P1 atau P2.
Pemilik aplikasi dapat melihat log untuk aplikasi mereka sendiri. Peran berikut diperlukan untuk melihat log provisi:
- Pembaca Laporan
- Pembaca Keamanan
- Operator Keamanan
- Administrator Keamanan
- Admin Aplikasi
- Admin Aplikasi Cloud
- Pengguna dalam peran kustom dengan izin provisioningLogs
Cara melihat log provisi
Ada beberapa cara untuk melihat atau menganalisis log Provisi:
- Lihat di portal Azure.
- Mengalirkan log ke Azure Monitor melalui pengaturan diagnostik.
- Menganalisis log melalui templat Buku Kerja .
- Akses log secara terprogram melalui Microsoft Graph API.
- Unduh log sebagai file CSV atau JSON.
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Untuk mengakses log di portal Azure:
- Masuk ke pusat admin Microsoft Entra sebagai setidaknya Pembaca Laporan.
- Telusuri ke Pemantauan Identitas>& log Provisi kesehatan.>
Cara mengunduh log provisi
Anda dapat mengunduh log provisi untuk digunakan nanti dengan masuk ke log di portal Microsoft Azure dan memilih Unduh. Hasilnya difilter berdasarkan kriteria filter yang telah Anda pilih. Buat filter sesering mungkin untuk mengurangi ukuran dan waktu pengunduhan.
Format CSV
Unduhan CSV mencakup tiga file:
- ProvisioningLogs: Mengunduh semua log, kecuali langkah-langkah provisi dan properti yang dimodifikasi.
- ProvisioningLogs_ProvisioningSteps: Berisi langkah-langkah provisi dan ID perubahan. Anda dapat menggunakan ID perubahan untuk bergabung dalam peristiwa dengan dua file lainnya.
- ProvisioningLogs_ModifiedProperties: Berisi atribut yang diubah dan ID perubahan. Anda dapat menggunakan ID perubahan untuk bergabung dalam peristiwa dengan dua file lainnya.
Format JSON
Untuk membuka file JSON, gunakan editor teks seperti Microsoft Visual Studio Code. Visual Studio Code membuat file lebih mudah dibaca dengan menyediakan penyorotan sintaks. Anda juga dapat membuka file JSON dengan menggunakan browser dalam format yang tidak dapat diubah, seperti Microsoft Edge.
Mendandani file JSON
File JSON diunduh dalam format untuk mengurangi ukuran unduhan. Format ini dapat membuat payload sulit dibaca. Lihat dua opsi untuk mendandani file:
Gunakan PowerShell untuk memformat JSON. Skrip ini menghasilkan output JSON dalam format yang mencakup tab dan spasi:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Memilah file JSON
Anda dapat menggunakan bahasa pemrograman apa pun yang Anda sukai. Contoh berikut ada di PowerShell.
Baca file JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Sekarang Anda dapat memilah data sesuai dengan skenario Anda. Berikut adalah beberapa contohnya:
Output semua ID pekerjaan dalam file JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Output semua perubahan ID untuk kejadian di mana tindakan tersebut "buat":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Yang harus Anda ketahui
Berikut adalah beberapa tips dan pertimbangan untuk menganalisis log provisi:
Portal Microsoft Azure menyimpan data provisi selama 30 hari jika Anda memiliki edisi premium dan 7 hari jika Anda memiliki edisi gratis. Anda dapat merutekan log provisi ke log Azure Monitor untuk retensi melebihi 30 hari.
Anda dapat menggunakan atribut ID perubahan sebagai pengidentifikasi unik, yang dapat membantu saat Berinteraksi dengan dukungan produk, misalnya.
Anda mungkin melihat peristiwa yang dilewati untuk pengguna yang tidak berada dalam cakupan.
- Contoh 1: Jika Anda memiliki cakupan yang diatur ke
all users and groupsdan menyiapkan filter cakupan, Anda mungkin melihat log yang dilewati untuk pengguna yang tidak memenuhi kriteria cakupan. - Contoh 2: Jika Anda telah mengatur cakupan ke
assigned users and groups, Anda mungkin terus melihat pengguna di log sebagai dilewati, meskipun mereka tidak ditetapkan ke aplikasi. Hal ini disebabkan oleh bagaimana layanan provisi menerima perubahan dari direktori.
- Contoh 1: Jika Anda memiliki cakupan yang diatur ke
Log provisi tidak menampilkan impor peran (berlaku untuk AWS, Salesforce, dan Zendesk). Anda dapat menemukan log untuk impor peran dalam log audit.
Kode kesalahan
Gunakan tabel berikut untuk lebih memahami cara mengatasi kesalahan yang Anda temukan di log provisi.
| Kode kesalahan | Deskripsi |
|---|---|
| Konflik EntryConflict |
Koreksi nilai atribut yang berkonflik di ID Microsoft Entra atau aplikasi. Atau, tinjau konfigurasi atribut pencocokan Anda jika akun pengguna yang berkonflik seharusnya cocok dan diambil alih. Tinjau dokumentasi untuk informasi selengkapnya tentang mengonfigurasi atribut yang cocok. |
| TooManyRequests | Aplikasi target menolak upaya ini untuk memperbarui pengguna karena kelebihan beban dan menerima terlalu banyak permintaan. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dihentikan. Microsoft juga telah diberitahu tentang masalah ini. |
| InternalServerError | Aplikasi target mengembalikan kesalahan yang tidak terduga. Masalah layanan dengan aplikasi target mungkin mencegahnya bekerja. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| InsufficientRights, MethodNotAllowed, TidakPermitted, Tidak diizinkan |
Microsoft Entra diautentikasi dengan aplikasi target tetapi tidak berwenang untuk melakukan pembaruan. Tinjau instruksi apa pun yang disediakan aplikasi target, bersama dengan tutorial aplikasi masing-masing. |
| UnprocessableEntity | Aplikasi target mengembalikan respons yang tidak terduga. Konfigurasi aplikasi target mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya bekerja. |
| WebExceptionProtocolError | Terjadi kesalahan protokol HTTP saat menyambungkan ke aplikasi target. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| InvalidAnchor | Pengguna yang sebelumnya dibuat atau dicocokkan oleh layanan provisi tidak ada lagi. Pastikan bahwa pengguna ada. Untuk memaksa pencocokan baru semua pengguna, gunakan Microsoft Graph API untuk memulai ulang pekerjaan. Memulai ulang provisi memicu siklus awal, yang dapat memakan waktu untuk diselesaikan. Memulai ulang provisi juga menghapus cache yang digunakan layanan provisi untuk beroperasi. Itu berarti semua pengguna dan grup di penyewa harus dievaluasi lagi, dan peristiwa provisi tertentu mungkin dihilangkan. |
| NotImplemented | Aplikasi target mengembalikan respons yang tidak terduga. Konfigurasi aplikasi mungkin tidak benar, atau masalah layanan dengan aplikasi target mungkin mencegahnya berfungsi. Tinjau instruksi apa pun yang disediakan aplikasi target, bersama dengan tutorial aplikasi masing-masing. |
| MandatoryFieldsMissing, MissingValues |
Pengguna tidak dapat dibuat karena nilai yang diperlukan hilang. Koreksi nilai atribut yang hilang di rekaman sumber, atau tinjau konfigurasi atribut yang cocok untuk memastikan bahwa bidang yang diperlukan tidak dihilangkan. Pelajari selengkapnya tentang mengonfigurasi atribut yang cocok. |
| SchemaAttributeNotFound | Operasi tidak dapat dilakukan karena atribut ditentukan yang tidak ada di aplikasi target. Lihat dokumentasi tentang penyesuaian atribut dan pastikan bahwa konfigurasi Anda sudah benar. |
| InternalError | Terjadi kesalahan layanan internal dalam layanan provisi Microsoft Entra. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dihentikan dalam 40 menit. |
| InvalidDomain | Operasi tidak dapat dilakukan karena nilai atribut berisi nama domain yang tidak valid. Perbarui nama domain pada pengguna atau tambahkan ke daftar yang diizinkan di aplikasi target. |
| Waktu habis | Operasi tidak dapat diselesaikan karena aplikasi target membutuhkan waktu terlalu lama untuk merespons. Tidak ada yang bisa dilakukan. Upaya ini secara otomatis dicoba ulang dalam 40 menit. |
| LicenseLimitExceeded | Pengguna tidak dapat dibuat di aplikasi target karena tidak ada lisensi yang tersedia untuk pengguna ini. Dapatkan lebih banyak lisensi untuk aplikasi target. Atau, tinjau penugasan pengguna dan konfigurasi pemetaan atribut Anda untuk memastikan bahwa pengguna yang benar ditetapkan dengan atribut yang benar. |
| DuplicateTargetEntries | Operasi tidak dapat diselesaikan karena lebih dari satu pengguna dalam aplikasi target ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat dari aplikasi target, atau konfigurasi ulang pemetaan atribut Anda. |
| DuplicateSourceEntries | Operasi tidak dapat diselesaikan karena lebih dari satu pengguna ditemukan dengan atribut pencocokan yang dikonfigurasi. Hapus pengguna duplikat, atau konfigurasi ulang pemetaan atribut Anda. |
| ImportSkipped | Ketika setiap pengguna dievaluasi, sistem mencoba mengimpor pengguna dari sistem sumber. Kesalahan ini biasanya terjadi ketika pengguna yang sedang diimpor tidak memiliki properti yang cocok yang ditentukan dalam pemetaan atribut Anda. Tanpa nilai yang ada pada objek pengguna untuk atribut pencocokan, sistem tidak dapat mengevaluasi perubahan cakupan, pencocokan, atau ekspor. Kehadiran kesalahan ini tidak menunjukkan bahwa pengguna berada dalam cakupan, karena Anda belum mengevaluasi cakupan untuk pengguna. |
| EntrySynchronizationSkipped | Layanan provisi berhasil mengkueri sistem sumber dan mengidentifikasi pengguna. Tidak ada tindakan lebih lanjut yang diambil terhadap pengguna dan mereka dilewati. Pengguna mungkin telah keluar dari cakupan, atau pengguna mungkin sudah ada di sistem target tanpa perlu perubahan lebih lanjut. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Permintaan GET untuk mengambil pengguna atau grup yang menerima banyak pengguna atau grup sebagai respons. Sistem hanya mengharapkan untuk menerima satu pengguna atau grup dalam respons. Misalnya, jika Anda melakukan permintaan GRUP GET untuk mengambil grup, berikan filter untuk mengecualikan anggota, dan titik akhir System for Cross-Domain Identity Management (SCIM) Anda mengembalikan anggota, kesalahan ini muncul. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
Layanan provisi Microsoft Entra tidak dapat mengurai respons dari aplikasi pihak ketiga. Bekerja dengan pengembang aplikasi untuk memastikan bahwa server SCIM kompatibel dengan klien Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | Properti di sistem target hanya dapat menerima satu nilai, tetapi properti di sistem sumber memiliki beberapa. Pastikan Anda memetakan atribut bernilai tunggal ke properti yang memunculkan kesalahan, memperbarui nilai di sumber menjadi bernilai tunggal, atau menghapus atribut dari pemetaan. |
Kode kesalahan untuk sinkronisasi lintas penyewa
Gunakan tabel berikut untuk lebih memahami cara mengatasi kesalahan yang Anda temukan di log provisi untuk sinkronisasi lintas penyewa.
| Kode kesalahan | Penyebab | Solusi |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Mesin sinkronisasi tidak dapat memperbarui satu atau beberapa properti pengguna di penyewa target. Operasi gagal di Microsoft Graph API karena penerapan Source of Authority (SOA). Saat ini, properti berikut muncul dalam daftar: MailshowInAddressList |
Dalam beberapa kasus (misalnya ketika showInAddressList properti adalah bagian dari pembaruan pengguna), mesin sinkronisasi mungkin secara otomatis mencoba kembali pembaruan (pengguna) tanpa properti yang menyinggung. Jika tidak, Anda harus memperbarui properti langsung di penyewa target. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Kebijakan sinkronisasi lintas penyewa yang memungkinkan penukaran otomatis gagal. Mesin sinkronisasi memeriksa untuk memastikan bahwa administrator penyewa target membuat kebijakan sinkronisasi lintas penyewa masuk yang memungkinkan penukaran otomatis. Mesin sinkronisasi juga memeriksa apakah administrator penyewa sumber mengaktifkan kebijakan keluar untuk penukaran otomatis. |
Pastikan bahwa pengaturan penukaran otomatis diaktifkan untuk penyewa sumber dan target. Untuk informasi selengkapnya, lihat Pengaturan penukaran otomatis. |
| Microsoft Entra ID QuotaLimitExceeded |
Jumlah objek dalam penyewa melebihi batas direktori. ID Microsoft Entra memiliki batasan untuk jumlah objek yang dapat dibuat di penyewa. |
Periksa apakah kuota dapat ditingkatkan. Untuk informasi tentang batas dan langkah-langkah direktori untuk meningkatkan kuota, lihat Batas dan batasan layanan Microsoft Entra. |
| InvitationCreationFailure | Layanan provisi Microsoft Entra mencoba mengundang pengguna di penyewa target. Undangan itu gagal. | Penyelidikan lebih lanjut kemungkinan memerlukan dukungan kontak. |
| Microsoft Entra ID Terlarang |
Pengaturan kolaborasi eksternal memblokir undangan. | Navigasi ke pengaturan pengguna dan pastikan bahwa pengaturan kolaborasi eksternal diizinkan. |
| InvitationCreation FailureInvalidPropertyValue |
Potensi penyebab: * Alamat SMTP Utama adalah nilai yang tidak valid. * UserType bukan tamu atau anggota * Alamat email grup tidak didukung |
Solusi potensial: * Alamat SMTP Utama memiliki nilai yang tidak valid. Mengatasi masalah ini kemungkinan akan memerlukan pembaruan properti email pengguna sumber. Untuk informasi selengkapnya, lihat Mempersiapkan sinkronisasi direktori ke Microsoft 365 * Pastikan bahwa properti userType disediakan sebagai tamu atau anggota jenis. Ini dapat diperbaiki dengan memeriksa pemetaan atribut Anda untuk memahami bagaimana atribut userType dipetakan. * Alamat email pengguna cocok dengan alamat email grup di penyewa. Perbarui alamat email untuk salah satu dari dua objek. |
| InvitationCreation FailureAmbiguousUser |
Pengguna yang diundang memiliki alamat proksi yang cocok dengan pengguna internal di penyewa target. Alamat proksi harus unik. | Untuk mengatasi kesalahan ini, hapus pengguna internal yang ada di penyewa target atau hapus pengguna ini dari cakupan sinkronisasi. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Jika pengguna di penyewa target awalnya disinkronkan dari AD ke ID Microsoft Entra dan dikonversi ke pengguna eksternal, sumber otoritas masih lokal dan pengguna tidak dapat diperbarui. | Pengguna tidak dapat diperbarui oleh sinkronisasi lintas penyewa |
| EntityTypeNotSupported | Grup dapat digunakan untuk menentukan pengguna apa yang berada dalam cakupan provisi. Objek grup tidak dapat disinkronkan. | Tidak perlu tindakan pelanggan. Ini adalah peristiwa yang dilewati. Jika Anda menggunakan provisi sesuai permintaan, pastikan Anda memilih pengguna daripada grup untuk disediakan. |
Langkah berikutnya
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk