Inrichtingslogboeken in Azure Active Directory

Azure Active Directory (Azure AD) kan worden geïntegreerd met verschillende services van derden om gebruikers in uw tenant in te richten. Als u een probleem met een ingerichte gebruiker wilt oplossen, kunt u de informatie die is vastgelegd in de Azure AD inrichtingslogboeken gebruiken om een oplossing te vinden.

Er zijn ook twee andere activiteitenlogboeken beschikbaar om de status van uw tenant te bewaken:

  • Aanmeldingen: informatie over aanmeldingen en hoe uw resources door uw gebruikers worden gebruikt.
  • Audit – informatie over wijzigingen die zijn aangebracht aan uw tenant, zoals gebruikers en groepsbeheer of updates die zijn toegepast op de resources van uw tenant.

In dit artikel vindt u een overzicht van de inrichtingslogboeken.

Wat kan ik ermee doen?

U kunt de inrichtingslogboeken gebruiken om antwoorden te vinden op vragen zoals:

  • Welke groepen zijn gemaakt in ServiceNow?

  • Welke gebruikers zijn verwijderd uit Adobe?

  • Welke gebruikers van Workday zijn gemaakt in Active Directory?

Hoe krijgt u toegang tot de inrichtingslogboeken?

Als u de inrichtingslogboeken wilt weergeven, moet aan uw tenant een Azure AD Premium-licentie zijn gekoppeld. Zie Aan de slag met Azure Active Directory Premium om uw Azure AD-editie te upgraden.

Toepassingseigenaren kunnen logboeken voor hun eigen toepassingen weergeven. De volgende rollen zijn vereist om inrichtingslogboeken weer te geven:

  • Rapportenlezer
  • Beveiligingslezer
  • Beveiligingsoperator
  • Beveiligingsbeheer
  • Toepassingsbeheerder
  • Beheerder van de cloudtoepassing
  • Hoofdbeheerder
  • Gebruikers met een aangepaste rol met de machtiging provisioningLogs

Voor toegang tot de gegevens van het inrichtingslogboek hebt u de volgende opties:

  • Selecteer Inrichtingslogboeken in de sectie Bewaking van Azure AD.

  • Stream de inrichtingslogboeken naar Azure Monitor. Met deze methode kunt u uitgebreide gegevensretentie en aangepaste dashboards, waarschuwingen en query's bouwen.

  • Voer een query uit op de Microsoft Graph API voor de inrichtingslogboeken.

  • Download de inrichtingslogboeken als een CSV- of JSON-bestand.

De inrichtingslogboeken weergeven

Als u het inrichtingslogboek effectiever wilt weergeven, kunt u de weergave even aanpassen aan uw behoeften. U kunt opgeven welke kolommen u wilt opnemen en de gegevens filteren om de gegevens te beperken.

De indeling aanpassen

Het inrichtingslogboek heeft een standaardweergave, maar u kunt kolommen aanpassen.

  1. Selecteer Kolommen in het menu bovenaan het logboek.
  2. Selecteer de kolommen die u wilt weergeven en selecteer de knop Opslaan onderaan het venster.

Schermopname van de knop voor het aanpassen van kolommen.

In dit gebied kunt u meer velden weergeven of velden verwijderen die al worden weergegeven.

De resultaten filteren

Wanneer u uw inrichtingsgegevens filtert, worden sommige filterwaarden dynamisch ingevuld op basis van uw tenant. Als u bijvoorbeeld geen 'create'-gebeurtenissen in uw tenant hebt, is er geen filteroptie Maken .

Met het filter Identiteit kunt u de naam of identiteit opgeven die u belangrijk vindt. Deze identiteit kan een gebruiker, groep, rol of ander object zijn.

U kunt zoeken op de naam of id van het object. De id verschilt per scenario.

  • Als u een object van Azure AD inricht in Salesforce, is de bron-id de object-id van de gebruiker in Azure AD. De doel-id is de id van de gebruiker bij Salesforce.
  • Als u van Workday naar Azure AD inricht, is de bron-id de werknemer-id van workday-werkrol. De doel-id is de id van de gebruiker in Azure AD.

Notitie

De naam van de gebruiker is mogelijk niet altijd aanwezig in de kolom Identiteit . Er is altijd één id.

Met het filter Datum kunt u een tijdsbestek opgeven voor de geretourneerde gegevens. Mogelijke waarden zijn:

  • Eén maand
  • Zeven dagen
  • 30 dagen
  • 24 uur
  • Aangepast tijdsinterval (een begin- en einddatum configureren)

Met het filter Status kunt u het volgende selecteren:

  • Alles
  • Geslaagd
  • Fout
  • Overgeslagen

Met het filter Actie kunt u deze acties filteren:

  • Maken
  • Bijwerken
  • Verwijderen
  • Uitschakelen
  • Anders

Naast de filters van de standaardweergave kunt u de volgende filters instellen.

  • Taak-id: er is een unieke taak-id gekoppeld aan elke toepassing waarvoor u inrichting hebt ingeschakeld.

  • Cyclus-id: de cyclus-id identificeert de inrichtingscyclus op unieke wijze. U kunt deze id delen met de productondersteuning om de cyclus op te zoeken waarin deze gebeurtenis heeft plaatsgevonden.

  • Wijzigings-id: de wijzigings-id is een unieke id voor de inrichtings gebeurtenis. U kunt deze id delen met de productondersteuning om de inrichtingsevenement op te zoeken.

  • Bronsysteem: u kunt opgeven van waaruit de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Azure AD inricht in ServiceNow, wordt het bronsysteem Azure AD.

  • Doelsysteem: u kunt opgeven waar de identiteit wordt ingericht. Wanneer u bijvoorbeeld een object van Azure AD inricht in ServiceNow, is het doelsysteem ServiceNow.

  • Toepassing: u kunt alleen records van toepassingen weergeven met een weergavenaam die een specifieke tekenreeks bevat.

De inrichtingslogboeken analyseren

Wanneer u een item selecteert in de weergave met de inrichtingslijst, krijgt u meer informatie over dit item, zoals de stappen die zijn genomen om de gebruiker in te richten en tips voor het oplossen van problemen. De details zijn gegroepeerd in vier tabbladen.

  • Stappen: geeft een overzicht van de stappen die zijn genomen om een object in te richten. Het inrichten van een object kan bestaan uit vier stappen:

    1. Importeer het object.
    2. Bepaal of het object binnen het bereik valt.
    3. Het object afstemmen tussen de bron en het doel.
    4. Richt het object in (maken, bijwerken, verwijderen of uitschakelen).

    Schermopname van de inrichtingsstappen op het tabblad Stappen.

  • Probleemoplossing & Aanbevelingen: bevat de foutcode en reden. De foutinformatie is alleen beschikbaar als er een fout optreedt.

  • Gewijzigde eigenschappen: toont de oude waarde en de nieuwe waarde. Als er geen oude waarde is, is die kolom leeg.

  • Samenvatting: Biedt een overzicht van wat er is gebeurd en id's voor het object in de bron- en doelsystemen.

Logboeken downloaden als CSV of JSON

U kunt de inrichtingslogboeken downloaden voor later gebruik door naar de logboeken in de Azure Portal te gaan en Downloaden te selecteren. Het bestand wordt gefilterd op basis van de filtercriteria die u hebt geselecteerd. Maak de filters zo specifiek mogelijk om de grootte en tijd van het downloaden te verminderen.

De CSV-download bevat drie bestanden:

  • Inrichtingslogboeken: hiermee worden alle logboeken gedownload, met uitzondering van de inrichtingsstappen en gewijzigde eigenschappen.
  • ProvisioningLogs_ProvisioningSteps: bevat de inrichtingsstappen en de wijzigings-id. U kunt de wijzigings-id gebruiken om de gebeurtenis te koppelen aan de andere twee bestanden.
  • ProvisioningLogs_ModifiedProperties: bevat de kenmerken die zijn gewijzigd en de wijzigings-id. U kunt de wijzigings-id gebruiken om de gebeurtenis te koppelen aan de andere twee bestanden.

Het JSON-bestand openen

Als u het JSON-bestand wilt openen, gebruikt u een teksteditor zoals Microsoft Visual Studio Code. Visual Studio Code maakt het bestand gemakkelijker te lezen door syntaxismarkering op te geven. U kunt het JSON-bestand ook openen met browsers in een niet-bewerkbare indeling, zoals Microsoft Edge.

Het JSON-bestand voorbereiden

Het JSON-bestand wordt gedownload in minified-indeling om de grootte van de download te verkleinen. Deze indeling kan ervoor zorgen dat de nettolading moeilijk te lezen is. Bekijk twee opties om het bestand te prettificeren:

  • Visual Studio Code gebruiken om de JSON op te maken.

  • Gebruik PowerShell om de JSON op te maken. Met dit script wordt de JSON uitgevoerd in een indeling die tabs en spaties bevat:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Het JSON-bestand parseren

Hier volgen enkele voorbeeldopdrachten voor het werken met het JSON-bestand met behulp van PowerShell. U kunt elke programmeertaal gebruiken waarmee u vertrouwd bent.

Lees eerst het JSON-bestand door deze opdracht uit te voeren:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

U kunt nu de gegevens parseren op basis van uw scenario. Hieronder vindt u enkele voorbeelden:

  • Voer alle taak-id's in het JSON-bestand uit:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Voer alle wijzigings-id's uit voor gebeurtenissen waarvoor de actie is gemaakt:

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Wat u moet weten

Hier volgen enkele tips en overwegingen voor het inrichten van rapporten:

  • De Azure Portal slaat gerapporteerde inrichtingsgegevens op voor 30 dagen als u een Premium-editie hebt en 7 dagen als u een gratis editie hebt. U kunt de inrichtingslogboeken publiceren naar Log Analytics voor retentie na 30 dagen.

  • U kunt het kenmerk wijzigings-id gebruiken als unieke id. Dit kan handig zijn wanneer u bijvoorbeeld contact hebt met productondersteuning.

  • Mogelijk ziet u overgeslagen gebeurtenissen voor gebruikers die niet binnen het bereik vallen. Dit gedrag is te verwachten, met name wanneer het synchronisatiebereik is ingesteld op alle gebruikers en groepen. De service evalueert alle objecten in de tenant, zelfs objecten die buiten het bereik vallen.

  • In de inrichtingslogboeken worden geen rolimports weergegeven (van toepassing op AWS, Salesforce en Zendesk). U vindt de logboeken voor het importeren van rollen in de auditlogboeken.

Foutcodes

Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt. Voor ontbrekende foutcodes kunt u feedback geven via de koppeling onderaan deze pagina.

Foutcode Beschrijving
Conflict
EntryConflict
Corrigeer de conflicterende kenmerkwaarden in Azure AD of de toepassing. Of controleer de configuratie van het overeenkomende kenmerk als het conflicterende gebruikersaccount moet worden vergeleken en overgenomen. Raadpleeg de documentatie voor meer informatie over het configureren van overeenkomende kenmerken.
TooManyRequests De doel-app heeft deze poging om de gebruiker bij te werken afgewezen omdat deze overbelast is en te veel aanvragen ontvangt. Er is niets te doen. Deze poging wordt automatisch buiten gebruik gesteld. Microsoft is ook op de hoogte gesteld van dit probleem.
InternalServerError De doel-app heeft een onverwachte fout geretourneerd. Een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InsufficientRights,
MethodNotAllowed,
NotPermitted,
Niet geautoriseerd
Azure AD geverifieerd met de doeltoepassing, maar is niet gemachtigd om de update uit te voeren. Bekijk alle instructies die de doeltoepassing heeft gegeven, samen met de desbetreffende toepassingszelfstudie.
UnprocessableEntity De doeltoepassing heeft een onverwacht antwoord geretourneerd. De configuratie van de doeltoepassing is mogelijk niet juist of een serviceprobleem met de doeltoepassing verhindert dat deze werkt.
WebExceptionProtocolError Er is een HTTP-protocolfout opgetreden bij het maken van verbinding met de doeltoepassing. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InvalidAnchor Een gebruiker die eerder is gemaakt of die is gekoppeld door de inrichtingsservice, bestaat niet meer. Zorg ervoor dat de gebruiker bestaat. Als u een nieuwe overeenkomst van alle gebruikers wilt afdwingen, gebruikt u de Microsoft Graph API om de taak opnieuw te starten.

Als u de inrichting opnieuw start, wordt een eerste cyclus geactiveerd. Dit kan enige tijd in beslag nemen. Als u de inrichting opnieuw start, wordt ook de cache verwijderd die door de inrichtingsservice wordt gebruikt om te werken. Dit betekent dat alle gebruikers en groepen in de tenant opnieuw moeten worden geëvalueerd en dat bepaalde inrichtingsgebeurtenissen mogelijk worden verwijderd.
Niet geïmplementeerd De doel-app heeft een onverwacht antwoord geretourneerd. De configuratie van de app is mogelijk niet juist of een serviceprobleem met de doel-app verhindert dat deze werkt. Bekijk alle instructies die de doeltoepassing heeft gegeven, samen met de desbetreffende toepassingszelfstudie.
MandatoryFieldsMissing,
MissingValues
De gebruiker kan niet worden gemaakt omdat vereiste waarden ontbreken. Corrigeer de ontbrekende kenmerkwaarden in de bronrecord of controleer de overeenkomende kenmerkconfiguratie om ervoor te zorgen dat de vereiste velden niet worden weggelaten. Meer informatie over het configureren van overeenkomende kenmerken.
SchemaAttributeNotFound De bewerking kan niet worden uitgevoerd omdat er een kenmerk is opgegeven dat niet bestaat in de doeltoepassing. Raadpleeg de documentatie over kenmerkaanpassing en controleer of uw configuratie juist is.
InternalError Er is een interne servicefout opgetreden in de Azure AD inrichtingsservice. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
InvalidDomain De bewerking kan niet worden uitgevoerd omdat een kenmerkwaarde een ongeldige domeinnaam bevat. Werk de domeinnaam voor de gebruiker bij of voeg deze toe aan de toegestane lijst in de doeltoepassing.
Time-out De bewerking kan niet worden voltooid omdat het te lang duurde voordat de doeltoepassing reageerde. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd.
LicenseLimitExceeded De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop meer licenties voor de doeltoepassing. Of controleer de configuratie van uw gebruikerstoewijzingen en kenmerktoewijzing om ervoor te zorgen dat de juiste gebruikers zijn toegewezen met de juiste kenmerken.
DuplicateTargetEntries De bewerking kan niet worden voltooid omdat er meer dan één gebruiker in de doeltoepassing is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker uit de doeltoepassing of configureer uw kenmerktoewijzingen opnieuw.
DuplicateSourceEntries De bewerking kan niet worden voltooid omdat er meer dan één gebruiker is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker of configureer uw kenmerktoewijzingen opnieuw.
ImportSkipped Wanneer elke gebruiker wordt geëvalueerd, probeert het systeem de gebruiker te importeren uit het bronsysteem. Deze fout treedt meestal op wanneer de gebruiker die wordt geïmporteerd, de overeenkomende eigenschap mist die is gedefinieerd in uw kenmerktoewijzingen. Zonder een waarde die aanwezig is op het gebruikersobject voor het overeenkomende kenmerk, kan het systeem geen bereik, overeenkomsten of exportwijzigingen evalueren. De aanwezigheid van deze fout geeft niet aan dat de gebruiker zich binnen het bereik bevindt, omdat u het bereik voor de gebruiker nog niet hebt geëvalueerd.
EntrySynchronizationSkipped De inrichtingsservice heeft een query uitgevoerd op het bronsysteem en de gebruiker geïdentificeerd. Er is geen verdere actie ondernomen op de gebruiker en deze is overgeslagen. De gebruiker valt mogelijk buiten het bereik of de gebruiker bestaat mogelijk al in het doelsysteem zonder verdere wijzigingen.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
Een GET-aanvraag voor het ophalen van een gebruiker of groep heeft meerdere gebruikers of groepen in het antwoord ontvangen. Het systeem verwacht slechts één gebruiker of groep in het antwoord te ontvangen. Als u bijvoorbeeld een GET-groepsaanvraag uitvoert om een groep op te halen, een filter opgeeft om leden uit te sluiten en uw SCIM-eindpunt (System for Cross-Domain Identity Management) de leden retourneert, krijgt u deze fout.
SystemForCrossDomainIdentity
ManagementServiceIncompatible
De Azure AD inrichtingsservice kan het antwoord van de toepassing van derden niet parseren. Werk samen met de toepassingsontwikkelaar om ervoor te zorgen dat de SCIM-server compatibel is met de Azure AD SCIM-client.
SchemaPropertyCanOnlyAcceptValue De eigenschap in het doelsysteem kan slechts één waarde accepteren, maar de eigenschap in het bronsysteem heeft er meerdere. Zorg ervoor dat u een kenmerk met één waarde toe wijst aan de eigenschap die een fout genereert, de waarde in de bron bijwerkt zodat deze één waarde heeft of het kenmerk uit de toewijzingen verwijdert.

Volgende stappen