Provisioning dell'applicazione nello stato di quarantena

  • Articolo

Il servizio di provisioning Microsoft Entra monitora l'integrità della configurazione. Inserisce anche app non integre in uno stato di "quarantena". Se la maggior parte delle chiamate effettuate sul sistema di destinazione ha esito negativo in modo coerente, il processo di provisioning viene contrassegnato come in quarantena. Un esempio di errore è un errore ricevuto a causa di credenziali di amministratore non valide.

In quarantena:

  • La frequenza dei cicli incrementali viene gradualmente ridotta a una volta al giorno.
  • Il processo di provisioning viene rimosso dalla quarantena dopo che tutti gli errori sono stati corretti e il ciclo di sincronizzazione successivo viene avviato.
  • Se il processo di provisioning rimane in quarantena per più di quattro settimane, il processo di provisioning viene disabilitato (interrompe l'esecuzione).

Ricerca per categorie sapere se l'applicazione è in quarantena?

Esistono tre modi per verificare se un'applicazione è in quarantena:

  • Nell'interfaccia di amministrazione di Microsoft Entra passare a Identity>Applications Enterprise application name>>Provisioning (Provisioning applicazioni>aziendali><) e rivedere l'indicatore di stato per un messaggio di quarantena.

    Provisioning status bar showing quarantine status

  • Nell'interfaccia di amministrazione di Microsoft Entra passare a Identity Monitoring &health Audit Logs filter on Activity: Quarantine and review the quarantine history (Monitoraggio delle identità>e log> di controllo dell'integrità>in Attività: Quarantena) ed esaminare la cronologia della quarantena. La visualizzazione nell'indicatore di stato come descritto in precedenza indica se il provisioning è attualmente in quarantena. I log di controllo mostrano la cronologia di quarantena per un'applicazione.

  • Usare la richiesta di Microsoft Graph Get synchronizationJob per ottenere lo stato del processo di provisioning a livello di codice:

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/

  • Controllare l'e-mail. Quando un'applicazione viene messa in quarantena, viene inviato un messaggio di posta elettronica di notifica una tantum. Se il motivo della quarantena cambia, viene inviato un messaggio di posta elettronica aggiornato che mostra il nuovo motivo della quarantena. Se non viene visualizzato un messaggio di posta elettronica:

    • Assicurarsi di aver specificato un messaggio di posta elettronica di notifica valido nella configurazione del provisioning per l'applicazione.
    • Assicurarsi che non sia presente alcun filtro della posta indesiderata nella posta in arrivo della notifica.
    • Assicurarsi di non aver annullato la sottoscrizione ai messaggi di posta elettronica.
    • Verificare la presenza di messaggi di posta elettronica da azure-noreply@microsoft.com

Perché l'applicazione è in quarantena?

Di seguito sono riportati i motivi comuni per cui l'applicazione può entrare in quarantena

Descrizione Azione consigliata
Problema di conformità SCIM: è stata restituita una risposta HTTP/404 Non trovata anziché la risposta HTTP/200 OK prevista. In questo caso, il servizio di provisioning Microsoft Entra ha effettuato una richiesta all'applicazione di destinazione e ha ricevuto una risposta imprevista. Controllare la sezione Credenziali amministratore. Verificare se l'applicazione richiede di specificare l'URL del tenant e che l'URL sia corretto. Se non viene visualizzato un problema, contattare lo sviluppatore dell'applicazione per assicurarsi che il servizio sia conforme a SCIM. https://tools.ietf.org/html/rfc7644#section-3.4.2
Credenziali non valide: quando si tenta di autorizzare, l'accesso all'applicazione di destinazione è stata ricevuta una risposta dall'applicazione di destinazione che indica che le credenziali fornite non sono valide. Passare alla sezione credenziali amministratore dell'interfaccia utente di configurazione del provisioning e autorizzare nuovamente l'accesso con credenziali valide. Se l'applicazione si trova nella raccolta, esaminare l'esercitazione sulla configurazione dell'applicazione per i passaggi più necessari.
Ruoli duplicati: i ruoli importati da determinate applicazioni, ad esempio Salesforce e Zendesk, devono essere univoci. Passare al manifesto dell'applicazione nell'interfaccia di amministrazione di Microsoft Entra e rimuovere il ruolo duplicato.

Una richiesta di Microsoft Graph per ottenere lo stato del processo di provisioning mostra il motivo seguente per la quarantena:

  • EncounteredQuarantineException indica che sono state fornite credenziali non valide. Il servizio di provisioning non è in grado di stabilire una connessione tra il sistema di origine e il sistema di destinazione.
  • EncounteredEscrowProportionThreshold indica che il provisioning ha superato la soglia di deposito. Questa condizione si verifica quando più del 40% degli eventi di provisioning non è riuscito. Per altre informazioni, vedere i dettagli della soglia di deposito di seguito.
  • QuarantineOnDemand significa che è stato rilevato un problema con l'applicazione e che è stato impostato manualmente in quarantena.

Soglie di deposito

Se viene raggiunta la soglia proporzionale di deposito, il processo di provisioning passerà in quarantena. Questa logica è soggetta a modifiche, ma funziona approssimativamente come descritto di seguito:

Un processo può entrare in quarantena indipendentemente dal numero di errori per i problemi, ad esempio le credenziali di amministratore o la conformità SCIM. Tuttavia, in generale, 5.000 errori sono il minimo per iniziare a valutare se mettere in quarantena a causa di troppi errori. Ad esempio, un processo con 4.000 errori non andrebbe in quarantena. Tuttavia, un processo con 5.000 errori attiverebbe una valutazione. Una valutazione usa i criteri seguenti:

  • Se più del 40% degli eventi di provisioning ha esito negativo o si verificano più di 40.000 errori, il processo di provisioning verrà messo in quarantena. Gli errori di riferimento non verranno conteggiati come parte della soglia del 40% o 40.000. Ad esempio, l'errore di aggiornare un manager o un membro del gruppo è un errore di riferimento.
  • Un processo in cui è stato effettuato il provisioning di 45.000 utenti non avrebbe portato alla quarantena perché supera la soglia di 40.000.
  • Un processo in cui 30.000 utenti non hanno superato il provisioning e 5.000 hanno avuto esito positivo porterebbe alla quarantena perché supera la soglia del 40% e 5.000 minimo.
  • Un processo con 20.000 errori e 100.000 errori non andrebbe in quarantena perché non supera la soglia di errore del 40% o il massimo di 40.000 errori.
  • Esiste una soglia assoluta di 60.000 errori che si verificano sia per gli errori di riferimento che per gli errori non di riferimento. Ad esempio, non è stato possibile effettuare il provisioning di 40.000 utenti e 21.000 aggiornamenti del manager non sono riusciti. Il totale è di 61.000 errori e supera il limite di 60.000.

Durata tentativi

La logica documentata qui può essere diversa per determinati connettori per garantire un'esperienza ottimale per i clienti, ma in genere sono disponibili i cicli di ripetizione seguenti dopo un errore:

Dopo l'errore, il primo tentativo verrà eseguito in 6 ore.

  • Il secondo tentativo si verifica 12 ore dopo il primo errore.
  • Il terzo tentativo si verifica 24 ore dopo il primo errore.

Ci saranno nuovi tentativi ogni 24 ore dopo il terzo tentativo. I tentativi verranno distribuiti per 28 giorni dopo il primo errore dopo il quale la voce di deposito viene rimossa e il processo è disabilitato.
Se uno dei tentativi precedenti ottiene una risposta con esito positivo, il processo viene automaticamente messo in quarantena e riprenderà il normale comportamento di sincronizzazione.

Ricerca per categorie uscire dalla quarantena dell'applicazione?

Prima di tutto, risolvere il problema che ha causato l'inserimento dell'applicazione in quarantena.

  • Controllare le impostazioni di provisioning dell'applicazione per assicurarsi di aver immesso credenziali di Amministrazione valide. Microsoft Entra ID deve stabilire un trust con l'applicazione di destinazione. Assicurarsi di avere immesso credenziali valide e che l'account disponga delle autorizzazioni necessarie.

  • Esaminare i log di provisioning per analizzare ulteriormente gli errori che causano la quarantena e risolvere l'errore. Passare a Microsoft Entra ID>Enterprise Apps>Provisioning logs (anteprima) nella sezione Attività.

Dopo aver risolto il problema, riavviare il processo di provisioning. Alcune modifiche alle impostazioni di provisioning dell'applicazione, ad esempio mapping di attributi o filtri di ambito, riavvieranno automaticamente il provisioning. La barra di stato nella pagina Provisioning dell'applicazione indica l'ultimo avvio del provisioning . Se è necessario riavviare manualmente il processo di provisioning, usare uno dei metodi seguenti:

  • Usare l'interfaccia di amministrazione di Microsoft Entra per riavviare il processo di provisioning. Nella pagina Provisioning dell'applicazione selezionare Riavvia provisioning. Questa azione riavvia completamente il servizio di provisioning, che può richiedere del tempo. Verrà eseguito di nuovo un ciclo iniziale completo, che cancella i depositi, rimuove l'app dalla quarantena e cancella eventuali filigrane. Il servizio valuterà quindi tutti gli utenti nel sistema di origine e determinerà se sono inclusi nell'ambito per il provisioning. Questo può essere utile quando l'applicazione è attualmente in quarantena, come illustrato in questo articolo o è necessario apportare una modifica ai mapping degli attributi. Si noti che il completamento del ciclo iniziale richiede più tempo rispetto al ciclo incrementale tipico a causa del numero di oggetti che devono essere valutati. Altre informazioni sulle prestazioni dei cicli iniziali e incrementali sono disponibili qui.

  • Usare Microsoft Graph per riavviare il processo di provisioning. Si avrà il controllo completo su ciò che si riavvia. È possibile scegliere di cancellare i deposito (per riavviare il contatore del deposito che accumula lo stato di quarantena), cancellare la quarantena (per rimuovere l'applicazione dalla quarantena) o cancellare le filigrane. Usare la richiesta seguente:

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Sostituire "{ID}" con il valore dell'ID applicazione e sostituire "{jobId}" con l'ID del processo di sincronizzazione.