De inrichtingslogboeken van Microsoft Entra downloaden en analyseren
De microsoft Entra-inrichtingslogboeken bevatten details over de inrichtingsevenementen die in uw tenant plaatsvinden. U kunt de gegevens die zijn vastgelegd in de inrichtingslogboeken gebruiken om problemen met een ingerichte gebruiker op te lossen.
In dit artikel worden de opties beschreven voor het downloaden van de inrichtingslogboeken vanuit het Microsoft Entra-beheercentrum en het analyseren van de logboeken. Foutcodes en speciale overwegingen zijn ook opgenomen.
Vereisten
Als u de inrichtingslogboeken wilt weergeven, moet aan uw tenant een Microsoft Entra ID P1- of P2-licentie zijn gekoppeld. Zie Aan de slag met Microsoft Entra ID P1 of P2 om uw Microsoft Entra-editie te upgraden.
Eigenaren van toepassingen kunnen logboeken voor hun eigen toepassingen bekijken. De volgende rollen zijn vereist voor het weergeven van inrichtingslogboeken:
- Rapportenlezer
- Beveiligingslezer
- Beveiligingsoperator
- Beveiligingsbeheer
- Toepassingsbeheerder
- Beheerder van de cloudtoepassing
- Gebruikers in een aangepaste rol met de machtiging provisioningLogs
De inrichtingslogboeken weergeven
Er zijn verschillende manieren om de inrichtingslogboeken weer te geven of te analyseren:
- Weergeven in Azure Portal.
- Stream logboeken naar Azure Monitor via diagnostische instellingen.
- Analyseer logboeken via werkmapsjablonen .
- Toegang tot logboeken via programmacode via de Microsoft Graph API.
- Download de logboeken als een CSV- of JSON-bestand.
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Ga als volgende te werk om toegang te krijgen tot de logboeken in Azure Portal:
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
- Blader naar logboeken voor identiteitsbewaking>en statusinrichting>.
De inrichtingslogboeken downloaden
U kunt de inrichtingslogboeken downloaden voor later gebruik door naar de logboeken in Azure Portal te gaan en Downloaden te selecteren. De resultaten worden gefilterd op basis van de filtercriteria die u hebt geselecteerd. Maak de filters zo specifiek mogelijk om de grootte en tijd van de download te verminderen.
CSV-indeling
De CSV-download bevat drie bestanden:
- ProvisioningLogs: downloadt alle logboeken, met uitzondering van de inrichtingsstappen en gewijzigde eigenschappen.
- ProvisioningLogs_ProvisioningSteps: bevat de inrichtingsstappen en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
- ProvisioningLogs_ModifiedProperties: bevat de kenmerken die zijn gewijzigd en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
JSON-indeling
Als u het JSON-bestand wilt openen, gebruikt u een teksteditor zoals Microsoft Visual Studio Code. Visual Studio Code maakt het bestand gemakkelijker te lezen door syntaxismarkeringen op te geven. U kunt het JSON-bestand ook openen met behulp van browsers in een niet-bewerkbare indeling, zoals Microsoft Edge.
Het JSON-bestand prettificeren
Het JSON-bestand wordt gedownload in een indeling om de grootte van de download te verkleinen. Met deze indeling kan de nettolading moeilijk te lezen zijn. Bekijk twee opties om het bestand vooraf te laten gaan:
Visual Studio Code gebruiken om de JSON op te maken.
Gebruik PowerShell om de JSON op te maken. Dit script produceert een JSON-uitvoer in een indeling met tabbladen en spaties:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Het JSON-bestand parseren
U kunt elke programmeertaal gebruiken waarmee u vertrouwd bent. De volgende voorbeelden zijn beschikbaar in PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
U kunt de gegevens nu parseren op basis van uw scenario. Hier volgen enkele voorbeelden:
Voer alle taak-id's uit in het JSON-bestand:
foreach ($provitem in $JSONContent) { $provitem.jobId }Voer alle wijzigings-id's uit voor gebeurtenissen waarbij de actie 'maken' was:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Wat u moet weten
Hier volgen enkele tips en overwegingen voor het analyseren van de inrichtingslogboeken:
In Azure Portal worden gerapporteerde inrichtingsgegevens gedurende 30 dagen opgeslagen als u een Premium-editie hebt en 7 dagen als u een gratis editie hebt. U kunt de inrichtingslogboeken omleiden naar Azure Monitor-logboeken voor retentie na 30 dagen.
U kunt het kenmerk wijzigings-id gebruiken als unieke id, wat handig kan zijn wanneer u bijvoorbeeld communiceert met productondersteuning.
Mogelijk ziet u overgeslagen gebeurtenissen voor gebruikers die niet binnen het bereik vallen.
- Voorbeeld 1: Als u het bereik hebt ingesteld op
all users and groupsen bereikfilters hebt ingesteld, ziet u mogelijk overgeslagen logboeken voor gebruikers die niet voldoen aan de bereikcriteria. - Voorbeeld 2: Als u het bereik
assigned users and groupshebt ingesteld op, kunt u gebruikers in de logboeken blijven zien als overgeslagen, ook al zijn ze niet toegewezen aan de toepassing. Dit komt doordat de inrichtingsservice wijzigingen van de directory ontvangt.
- Voorbeeld 1: Als u het bereik hebt ingesteld op
In de inrichtingslogboeken worden geen rolimporten weergegeven (van toepassing op AWS, Salesforce en Zendesk). U vindt de logboeken voor het importeren van rollen in de auditlogboeken.
Foutcodes
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt.
| Foutcode | Beschrijving |
|---|---|
| Conflict EntryConflict |
Corrigeer de conflicterende kenmerkwaarden in Microsoft Entra ID of de toepassing. Of controleer de configuratie van uw overeenkomende kenmerk als het conflicterende gebruikersaccount moet worden vergeleken en overgenomen. Raadpleeg de documentatie voor meer informatie over het configureren van overeenkomende kenmerken. |
| TooManyRequests | De doel-app heeft deze poging om de gebruiker bij te werken geweigerd omdat deze overbelast is en te veel aanvragen ontvangt. Er is niets te doen. Deze poging wordt automatisch buiten gebruik gesteld. Microsoft is ook op de hoogte gesteld van dit probleem. |
| InternalServerError | De doel-app heeft een onverwachte fout geretourneerd. Een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Niet geautoriseerd |
Microsoft Entra is geverifieerd met de doeltoepassing, maar is niet gemachtigd om de update uit te voeren. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassingszelfstudie. |
| UnprocessableEntity | De doeltoepassing heeft een onverwacht antwoord geretourneerd. De configuratie van de doeltoepassing is mogelijk niet juist of een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. |
| WebExceptionProtocolError | Er is een HTTP-protocolfout opgetreden bij het maken van verbinding met de doeltoepassing. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InvalidAnchor | Een gebruiker die eerder is gemaakt of overeenkomt met de inrichtingsservice, bestaat niet meer. Zorg ervoor dat de gebruiker bestaat. Als u een nieuwe overeenkomst van alle gebruikers wilt afdwingen, gebruikt u de Microsoft Graph API om de taak opnieuw op te starten. Het opnieuw starten van de inrichting activeert een initiële cyclus. Dit kan enige tijd duren. Als u de inrichting opnieuw start, wordt ook de cache verwijderd die door de inrichtingsservice wordt gebruikt. Dit betekent dat alle gebruikers en groepen in de tenant opnieuw moeten worden geëvalueerd en dat bepaalde inrichtingsgebeurtenissen mogelijk worden verwijderd. |
| Niet geïmplementeerd | De doel-app heeft een onverwacht antwoord geretourneerd. De configuratie van de app is mogelijk niet juist of een serviceprobleem met de doel-app kan verhinderen dat deze werkt. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassingszelfstudie. |
| MandatoryFieldsMissing, MissingValues |
De gebruiker kan niet worden gemaakt omdat de vereiste waarden ontbreken. Corrigeer de ontbrekende kenmerkwaarden in de bronrecord of controleer de configuratie van het overeenkomende kenmerk om ervoor te zorgen dat de vereiste velden niet worden weggelaten. Meer informatie over het configureren van overeenkomende kenmerken. |
| SchemaAttributeNotFound | De bewerking kan niet worden uitgevoerd omdat er een kenmerk is opgegeven dat niet bestaat in de doeltoepassing. Raadpleeg de documentatie over het aanpassen van kenmerken en zorg ervoor dat uw configuratie juist is. |
| InternalError | Er is een interne servicefout opgetreden in de Microsoft Entra-inrichtingsservice. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch buiten gebruik gesteld. |
| InvalidDomain | De bewerking kan niet worden uitgevoerd omdat een kenmerkwaarde een ongeldige domeinnaam bevat. Werk de domeinnaam van de gebruiker bij of voeg deze toe aan de toegestane lijst in de doeltoepassing. |
| Timeout | De bewerking kan niet worden voltooid omdat de doeltoepassing te lang duurde om te reageren. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| LicenseLimitExceeded | De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop meer licenties voor de doeltoepassing. Of controleer uw gebruikerstoewijzingen en kenmerktoewijzingsconfiguratie om ervoor te zorgen dat de juiste gebruikers worden toegewezen met de juiste kenmerken. |
| DuplicateTargetEntries | De bewerking kan niet worden voltooid omdat meer dan één gebruiker in de doeltoepassing is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker uit de doeltoepassing of configureer uw kenmerktoewijzingen opnieuw. |
| DuplicateSourceEntries | De bewerking kan niet worden voltooid omdat er meer dan één gebruiker is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker of configureer uw kenmerktoewijzingen opnieuw. |
| ImportSkipped | Wanneer elke gebruiker wordt geëvalueerd, probeert het systeem de gebruiker te importeren uit het bronsysteem. Deze fout treedt meestal op wanneer de gebruiker die wordt geïmporteerd, de overeenkomende eigenschap mist die is gedefinieerd in uw kenmerktoewijzingen. Zonder een waarde die aanwezig is in het gebruikersobject voor het overeenkomende kenmerk, kan het systeem geen bereik-, overeenkomende of exportwijzigingen evalueren. De aanwezigheid van deze fout geeft niet aan dat de gebruiker binnen het bereik valt, omdat u het bereik van de gebruiker nog niet hebt geëvalueerd. |
| EntrySynchronizationSkipped | De inrichtingsservice heeft een query uitgevoerd op het bronsysteem en de gebruiker geïdentificeerd. Er is geen verdere actie ondernomen voor de gebruiker en deze zijn overgeslagen. De gebruiker valt mogelijk buiten het bereik of de gebruiker bestaat mogelijk al in het doelsysteem zonder verdere wijzigingen. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Een GET-aanvraag voor het ophalen van een gebruiker of groep heeft meerdere gebruikers of groepen ontvangen in het antwoord. Het systeem verwacht slechts één gebruiker of groep in het antwoord te ontvangen. Als u bijvoorbeeld een GET-groepsaanvraag uitvoert om een groep op te halen, geeft u een filter op om leden uit te sluiten en retourneert het SCIM-eindpunt (System for Cross-Domain Identity Management) de leden. Deze fout wordt weergegeven. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
De Microsoft Entra-inrichtingsservice kan het antwoord van de toepassing van derden niet parseren. Werk samen met de toepassingsontwikkelaar om ervoor te zorgen dat de SCIM-server compatibel is met de Microsoft Entra SCIM-client. |
| SchemaPropertyCanOnlyAcceptValue | De eigenschap in het doelsysteem kan slechts één waarde accepteren, maar de eigenschap in het bronsysteem heeft meerdere. Zorg ervoor dat u een kenmerk met één waarde toe te wijzen aan de eigenschap die een fout genereert, de waarde in de bron bijwerkt zodat deze één waarde heeft, of verwijder het kenmerk uit de toewijzingen. |
Foutcodes voor synchronisatie tussen tenants
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt voor synchronisatie tussen tenants.
| Foutcode | Oorzaak | Oplossing |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
De synchronisatie-engine kan een of meer gebruikerseigenschappen in de doeltenant niet bijwerken. De bewerking is mislukt in Microsoft Graph API vanwege afdwinging van bron van autoriteit (SOA). Momenteel worden de volgende eigenschappen weergegeven in de lijst: MailshowInAddressList |
In sommige gevallen (bijvoorbeeld wanneer showInAddressList de eigenschap deel uitmaakt van de update van de gebruiker), kan de synchronisatie-engine de update (gebruiker) automatisch opnieuw proberen zonder de beledige eigenschap. Anders moet u de eigenschap rechtstreeks in de doeltenant bijwerken. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Het synchronisatiebeleid voor meerdere tenants waardoor automatisch inwisselen is mislukt. De synchronisatie-engine controleert of de beheerder van de doeltenant een binnenkomend synchronisatiebeleid voor meerdere tenants heeft gemaakt, waardoor automatische inwisseling mogelijk is. De synchronisatie-engine controleert ook of de beheerder van de brontenant uitgaand beleid heeft ingeschakeld voor automatische inwisseling. |
Zorg ervoor dat de instelling voor automatisch inwisselen is ingeschakeld voor zowel de bron- als doeltenant. Zie De instelling Voor automatisch inwisselen voor meer informatie. |
| Microsoft Entra ID QuotaLimitExceeded |
Het aantal objecten in de tenant overschrijdt de maplimiet. Microsoft Entra ID heeft limieten voor het aantal objecten dat in een tenant kan worden gemaakt. |
Controleer of het quotum kan worden verhoogd. Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie over de adreslijstlimieten en -stappen om het quotum te verhogen. |
| InvitationCreationFailure | De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. | Verder onderzoek vereist waarschijnlijk contact opnemen met ondersteuning. |
| Microsoft Entra ID Verboden |
Uitnodigingen voor externe samenwerking zijn geblokkeerd. | Navigeer naar gebruikersinstellingen en zorg ervoor dat externe samenwerkingsinstellingen zijn toegestaan. |
| Uitnodiging maken FailureInvalidPropertyValue |
Mogelijke oorzaken: * Het primaire SMTP-adres is een ongeldige waarde. * UserType is geen gast of lid * Groeps-e-mailadres wordt niet ondersteund |
Mogelijke oplossingen: * Het primaire SMTP-adres heeft een ongeldige waarde. Het oplossen van dit probleem vereist waarschijnlijk het bijwerken van de e-maileigenschap van de brongebruiker. Zie Voorbereiden voor adreslijstsynchronisatie met Microsoft 365 voor meer informatie * Zorg ervoor dat de eigenschap userType is ingericht als gast of lid van het type. Dit kan worden opgelost door uw kenmerktoewijzingen te controleren om te begrijpen hoe het kenmerk userType is toegewezen. * Het e-mailadres van de gebruiker komt overeen met het e-mailadres van een groep in de tenant. Werk het e-mailadres voor een van de twee objecten bij. |
| Uitnodiging maken FailureAmbiguousUser |
De uitgenodigde gebruiker heeft een proxyadres dat overeenkomt met een interne gebruiker in de doeltenant. Het proxyadres moet uniek zijn. | Als u deze fout wilt oplossen, verwijdert u de bestaande interne gebruiker in de doeltenant of verwijdert u deze gebruiker uit het synchronisatiebereik. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Als de gebruiker in de doeltenant oorspronkelijk is gesynchroniseerd van AD naar Microsoft Entra-id en is geconverteerd naar een externe gebruiker, is de bron van autoriteit nog steeds on-premises en kan de gebruiker niet worden bijgewerkt. | De gebruiker kan niet worden bijgewerkt door synchronisatie tussen tenants |
| EntityTypeNotSupported | Groepen kunnen worden gebruikt om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Groepsobjecten kunnen niet worden gesynchroniseerd. | De gebruiker hoeft verder niets te doen. Dit is een overgeslagen gebeurtenis. Als u de inrichting op aanvraag gebruikt, moet u ervoor zorgen dat u een gebruiker kiest in plaats van een groep die u wilt inrichten. |
Volgende stappen
Feedback
Binnenkort: Gedurende 2024 worden GitHub Issues uitgefaseerd als het feedbackmechanisme voor inhoud. Dit wordt vervangen door een nieuw feedbacksysteem. Ga voor meer informatie naar: https://aka.ms/ContentUserFeedback.
Feedback verzenden en bekijken voor