De inrichtingslogboeken van Microsoft Entra downloaden en analyseren
De microsoft Entra-inrichtingslogboeken bevatten details over de inrichtingsevenementen die in uw tenant plaatsvinden. U kunt de gegevens die zijn vastgelegd in de inrichtingslogboeken gebruiken om problemen met een ingerichte gebruiker op te lossen.
In dit artikel worden de opties beschreven voor het downloaden van de inrichtingslogboeken vanuit het Microsoft Entra-beheercentrum en het analyseren van de logboeken. Foutcodes en speciale overwegingen zijn ook opgenomen.
Vereisten
- Een werkende Microsoft Entra-tenant waaraan een Microsoft Entra ID P1- of P2-licentie is gekoppeld.
- Rapportenlezer is de minst bevoegde rol die is vereist voor toegang tot de inrichtingslogboeken.
- Zie Voor een volledige lijst met rollen de rol Met minimale bevoegdheden per taak.
De inrichtingslogboeken weergeven
Er zijn verschillende manieren om de inrichtingslogboeken weer te geven of te analyseren:
- Weergeven in het Microsoft Entra-beheercentrum.
- Stream logboeken naar Azure Monitor via diagnostische instellingen.
- Analyseer logboeken via werkmapsjablonen .
- Toegang tot logboeken via programmacode via de Microsoft Graph API.
- Download de logboeken als een CSV- of JSON-bestand.
Tip
Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.
Voor toegang tot de logboeken in het Microsoft Entra-beheercentrum:
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een rapportlezer.
- Blader naar logboeken voor identiteitsbewaking>en statusinrichting>.
De inrichtingslogboeken downloaden
Als u de inrichtingslogboeken wilt downloaden, selecteert u Downloaden op de pagina Inrichtingslogboeken. Stel de filters zo specifiek mogelijk in om de grootte en tijd van de download te verminderen.
CSV-indeling
De CSV-download bevat drie bestanden:
- ProvisioningLogs: downloadt alle logboeken, met uitzondering van de inrichtingsstappen en gewijzigde eigenschappen.
- ProvisioningLogs_ProvisioningSteps: bevat de inrichtingsstappen en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
- ProvisioningLogs_ModifiedProperties: bevat de kenmerken die zijn gewijzigd en de wijzigings-id. U kunt de wijzigings-id gebruiken om deel te nemen aan de gebeurtenis met de andere twee bestanden.
JSON-indeling
Als u het JSON-bestand wilt openen, gebruikt u een teksteditor zoals Microsoft Visual Studio Code. Visual Studio Code maakt het bestand gemakkelijker te lezen door syntaxismarkeringen op te geven. U kunt het JSON-bestand ook openen met behulp van browsers in een niet-bewerkbare indeling, zoals Microsoft Edge.
Het JSON-bestand prettificeren
Het JSON-bestand wordt gedownload in een indeling om de grootte van de download te verkleinen. Met deze indeling kan de nettolading moeilijk te lezen zijn. Er zijn twee opties om het bestand te prettificeren:
Visual Studio Code gebruiken om de JSON op te maken.
Gebruik PowerShell om de JSON op te maken. Dit script produceert een JSON-uitvoer in een indeling met tabbladen en spaties:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Het JSON-bestand parseren
U kunt elke programmeertaal gebruiken waarmee u vertrouwd bent. De volgende voorbeelden zijn beschikbaar in PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
U kunt de gegevens nu parseren op basis van uw scenario. Hier volgen enkele voorbeelden:
Voer alle taak-id's uit in het JSON-bestand:
foreach ($provitem in $JSONContent) { $provitem.jobId }Voer alle wijzigings-id's uit voor gebeurtenissen waarbij de actie 'maken' was:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Wat u moet weten
Hier volgen enkele tips en overwegingen voor het analyseren van de inrichtingslogboeken:
In het Microsoft Entra-beheercentrum worden gerapporteerde inrichtingsgegevens gedurende 30 dagen opgeslagen als u een premium-editie en 7 dagen hebt als u een gratis editie hebt. U kunt de inrichtingslogboeken omleiden naar Azure Monitor-logboeken voor retentie na 30 dagen.
U kunt het kenmerk wijzigings-id gebruiken als unieke id, wat handig kan zijn wanneer u bijvoorbeeld communiceert met productondersteuning.
Mogelijk ziet u overgeslagen gebeurtenissen voor gebruikers die niet binnen het bereik vallen.
- Voorbeeld 1: Als het bereik is ingesteld op
all users and groupsen bereikfilters instelt, ziet u mogelijk overgeslagen logboeken voor gebruikers die niet voldoen aan de bereikcriteria. - Voorbeeld 2: Als het bereik is ingesteld op
assigned users and groups, kunt u gebruikers in de logboeken blijven zien als overgeslagen, ook al zijn ze niet toegewezen aan de toepassing. De manier waarop de inrichtingsservice wijzigingen van de directory ontvangt, zorgt ervoor dat deze gebruikers worden weergegeven.
- Voorbeeld 1: Als het bereik is ingesteld op
In de inrichtingslogboeken worden geen rolimporten weergegeven (van toepassing op Amazon Web Services, Salesforce en Zendesk). U vindt de logboeken voor het importeren van rollen in de auditlogboeken.
Foutcodes
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt.
| Foutcode | Beschrijving |
|---|---|
| Conflict EntryConflict |
Corrigeer de conflicterende kenmerkwaarden in Microsoft Entra ID of de toepassing. Of controleer de configuratie van uw overeenkomende kenmerk als het conflicterende gebruikersaccount moet worden vergeleken en overgenomen. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie over het configureren van overeenkomende kenmerken. |
| TooManyRequests | De doel-app heeft deze poging om de gebruiker bij te werken geweigerd omdat de app te veel aanvragen ontvangt. Er is niets te doen. Deze poging wordt automatisch opnieuw geprobeerd en Microsoft is op de hoogte gesteld van dit probleem. |
| InternalServerError | De doel-app heeft een onverwachte fout geretourneerd. Een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Niet geautoriseerd |
Microsoft Entra-id geverifieerd met de doeltoepassing, maar is niet gemachtigd om de update uit te voeren. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie. |
| UnprocessableEntity | De doeltoepassing heeft een onverwacht antwoord geretourneerd. De configuratie van de doeltoepassing is mogelijk niet juist of een serviceprobleem met de doeltoepassing kan verhinderen dat deze werkt. |
| WebExceptionProtocolError | Er is een HTTP-protocolfout opgetreden tijdens het maken van verbinding met de doeltoepassing. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InvalidAnchor | Een gebruiker die eerder is gemaakt of overeenkomt met de inrichtingsservice, bestaat niet meer. Zorg ervoor dat de gebruiker bestaat. Als u een nieuwe overeenkomst van alle gebruikers wilt afdwingen, gebruikt u de Microsoft Graph API om de taak opnieuw op te starten. Het opnieuw starten van de inrichting activeert een initiële cyclus. Dit kan enige tijd duren. Als u de inrichting opnieuw start, wordt ook de cache verwijderd die door de inrichtingsservice wordt gebruikt. Dit betekent dat alle gebruikers en groepen in de tenant opnieuw moeten worden geëvalueerd en dat bepaalde inrichtingsgebeurtenissen mogelijk worden verwijderd. |
| Niet geïmplementeerd | De doel-app heeft een onverwacht antwoord geretourneerd. De configuratie van de app is mogelijk niet juist of een serviceprobleem met de doel-app kan verhinderen dat deze werkt. Bekijk de instructies die door de doeltoepassing zijn verstrekt, samen met de betreffende toepassing. Zie zelfstudies voor het integreren van toepassingen met Microsoft Entra ID voor meer informatie. |
| MandatoryFieldsMissing, MissingValues |
De gebruiker kan niet worden gemaakt omdat de vereiste waarden ontbreken. Corrigeer de ontbrekende kenmerkwaarden in de bronrecord of controleer de configuratie van het overeenkomende kenmerk om ervoor te zorgen dat de vereiste velden niet worden weggelaten. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie. |
| SchemaAttributeNotFound | De bewerking kan niet worden uitgevoerd omdat er een kenmerk is opgegeven dat niet bestaat in de doeltoepassing. Zorg ervoor dat uw configuratie juist is door te verwijzen naar kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID. |
| InternalError | Er is een interne servicefout opgetreden in de Microsoft Entra-inrichtingsservice. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| InvalidDomain | De bewerking kan niet worden uitgevoerd omdat een kenmerkwaarde een ongeldige domeinnaam bevat. Werk de domeinnaam van de gebruiker bij of voeg deze toe aan de toegestane lijst in de doeltoepassing. |
| Timeout | De bewerking kan niet worden voltooid omdat de doeltoepassing te lang duurde om te reageren. Er is niets te doen. Deze poging wordt binnen 40 minuten automatisch opnieuw geprobeerd. |
| LicenseLimitExceeded | De gebruiker kan niet worden gemaakt in de doeltoepassing omdat er geen licenties beschikbaar zijn voor deze gebruiker. Koop meer licenties voor de doeltoepassing. Of controleer uw gebruikerstoewijzingen en kenmerktoewijzingsconfiguratie om ervoor te zorgen dat de juiste gebruikers worden toegewezen met de juiste kenmerken. |
| DuplicateTargetEntries | De bewerking kan niet worden voltooid omdat meer dan één gebruiker in de doeltoepassing is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker uit de doeltoepassing of configureer uw kenmerktoewijzingen opnieuw. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie. |
| DuplicateSourceEntries | De bewerking kan niet worden voltooid omdat er meer dan één gebruiker is gevonden met de geconfigureerde overeenkomende kenmerken. Verwijder de dubbele gebruiker of configureer uw kenmerktoewijzingen opnieuw. Zie Kenmerktoewijzingen voor gebruikersinrichting aanpassen voor SaaS-toepassingen in Microsoft Entra ID voor meer informatie. |
| ImportSkipped | Wanneer elke gebruiker wordt geëvalueerd, probeert het systeem de gebruiker te importeren uit het bronsysteem. Deze fout treedt meestal op wanneer de gebruiker die wordt geïmporteerd, de overeenkomende eigenschap mist die is gedefinieerd in uw kenmerktoewijzingen. Zonder een waarde die aanwezig is in het gebruikersobject voor het overeenkomende kenmerk, kan het systeem geen bereik-, overeenkomende of exportwijzigingen evalueren. De aanwezigheid van deze fout geeft niet aan dat de gebruiker binnen het bereik valt, omdat u het bereik van de gebruiker nog niet hebt geëvalueerd. |
| EntrySynchronizationSkipped | De inrichtingsservice heeft een query uitgevoerd op het bronsysteem en de gebruiker geïdentificeerd. Er is geen verdere actie ondernomen voor de gebruiker en deze zijn overgeslagen. De gebruiker is mogelijk buiten het bereik of bestaat al in het doelsysteem zonder verdere wijzigingen. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Een GET-aanvraag voor het ophalen van een gebruiker of groep heeft meerdere gebruikers of groepen ontvangen in het antwoord. Het systeem verwacht slechts één gebruiker of groep in het antwoord te ontvangen. Als u bijvoorbeeld een GET-groepsaanvraag uitvoert om een groep op te halen, geeft u een filter op om leden uit te sluiten en retourneert het SCIM-eindpunt (System for Cross-Domain Identity Management) de leden. Deze fout wordt weergegeven. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
De Microsoft Entra-inrichtingsservice kan het antwoord van de niet-Microsoft-toepassing niet parseren. Werk samen met de toepassingsontwikkelaar om ervoor te zorgen dat de SCIM-server compatibel is met de Microsoft Entra SCIM-client. |
| SchemaPropertyCanOnlyAcceptValue | De eigenschap in het doelsysteem kan slechts één waarde accepteren, maar de eigenschap in het bronsysteem heeft meerdere. Zorg ervoor dat u een kenmerk met één waarde toe te wijzen aan de eigenschap die een fout genereert, de waarde in de bron bijwerkt zodat deze één waarde heeft, of verwijder het kenmerk uit de toewijzingen. |
Foutcodes voor synchronisatie tussen tenants
Gebruik de volgende tabel om beter inzicht te krijgen in het oplossen van fouten die u in de inrichtingslogboeken vindt voor synchronisatie tussen tenants.
| Foutcode | Oorzaak | Oplossing |
|---|---|---|
| AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService |
De bron van autoriteit voor de gebruiker is Exchange Online. De inrichtingsservice kan een of meer exchange-kenmerken van de gebruiker niet bijwerken (bijvoorbeeld extensionAttribute 1 - 15). Dit is van invloed op gebruikers die in de doeltenant bestonden wanneer de eigenschap dirSyncEnabled is gewijzigd van 'True' in 'False'. | Werk het kenmerk rechtstreeks bij in exchange online van de doeltenant. Bijvoorbeeld: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
De synchronisatie-engine kan een of meer gebruikerseigenschappen in de doeltenant niet bijwerken. De bewerking is mislukt in Microsoft Graph API vanwege afdwinging van bron van autoriteit (SOA). Momenteel worden de volgende eigenschappen weergegeven in de lijst: MailshowInAddressList |
In sommige gevallen (bijvoorbeeld wanneer showInAddressList de eigenschap deel uitmaakt van de update van de gebruiker), kan de synchronisatie-engine de update (gebruiker) automatisch opnieuw proberen zonder de beledige eigenschap. Anders moet u de eigenschap rechtstreeks in de doeltenant bijwerken. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Het synchronisatiebeleid voor meerdere tenants waardoor automatisch inwisselen is mislukt. De synchronisatie-engine controleert of de beheerder van de doeltenant een binnenkomend synchronisatiebeleid voor meerdere tenants heeft gemaakt, waardoor automatische inwisseling mogelijk is. De synchronisatie-engine controleert ook of de beheerder van de brontenant uitgaand beleid heeft ingeschakeld voor automatische inwisseling. |
Zorg ervoor dat de instelling voor automatisch inwisselen is ingeschakeld voor zowel de bron- als doeltenant. Zie De instelling Voor automatisch inwisselen voor meer informatie. |
| Microsoft Entra ID QuotaLimitExceeded |
Het aantal objecten in de tenant overschrijdt de maplimiet. Microsoft Entra ID heeft limieten voor het aantal objecten dat in een tenant kan worden gemaakt. |
Controleer of het quotum kan worden verhoogd. Zie Microsoft Entra-servicelimieten en -beperkingen voor meer informatie over de adreslijstlimieten en -stappen om het quotum te verhogen. |
| InvitationCreationFailure | De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. | Verder onderzoek vereist waarschijnlijk contact opnemen met ondersteuning. |
| InvitationCreationFailureUserAccountDisabled | De Microsoft Entra-inrichtingsservice heeft geprobeerd de gebruiker uit te nodigen in de doeltenant. Die uitnodiging is mislukt. | De gebruiker bestaat in de doeltenant, maar het account is uitgeschakeld en de uitnodiging is in behandeling. Schakel het gebruikersaccount in de doeltenant in en probeer de gebruiker opnieuw in te richten. |
| Microsoft Entra ID Verboden |
Uitnodigingen voor externe samenwerking zijn geblokkeerd. | Navigeer naar gebruikersinstellingen en zorg ervoor dat externe samenwerkingsinstellingen zijn toegestaan. |
| Uitnodiging maken FailureInvalidPropertyValue |
Mogelijke oorzaken: * Het primaire SMTP-adres is een ongeldige waarde. * UserType is geen gast of lid * Groeps-e-mailadres wordt niet ondersteund |
Mogelijke oplossingen: * Het primaire SMTP-adres heeft een ongeldige waarde. Voor het oplossen van dit probleem moet waarschijnlijk de e-maileigenschap van de brongebruiker worden bijgewerkt. Zie Voorbereiden voor adreslijstsynchronisatie met Microsoft 365 voor meer informatie * Zorg ervoor dat de eigenschap userType is ingericht als gast of lid van het type. Controleer uw kenmerktoewijzingen om te begrijpen hoe het kenmerk userType is toegewezen. * Het e-mailadres van de gebruiker komt overeen met het e-mailadres van een groep in de tenant. Werk het e-mailadres voor een van de twee objecten bij. |
| Uitnodiging maken FailureAmbiguousUser |
De uitgenodigde gebruiker heeft een proxyadres dat overeenkomt met een interne gebruiker in de doeltenant. Het proxyadres moet uniek zijn. | Als u deze fout wilt oplossen, verwijdert u de bestaande interne gebruiker in de doeltenant of verwijdert u deze gebruiker uit het synchronisatiebereik. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Als de gebruiker in de doeltenant oorspronkelijk is gesynchroniseerd van AD naar Microsoft Entra-id en is geconverteerd naar een externe gebruiker, is de bron van autoriteit nog steeds on-premises en kan de gebruiker niet worden bijgewerkt. | De gebruiker kan niet worden bijgewerkt met synchronisatie tussen tenants. |
| EntityTypeNotSupported | Groepen kunnen worden gebruikt om te bepalen welke gebruikers binnen het bereik van inrichting vallen. Groepsobjecten kunnen niet worden gesynchroniseerd. | De gebruiker hoeft verder niets te doen. Dit is een overgeslagen gebeurtenis. Als u de inrichting op aanvraag gebruikt, moet u ervoor zorgen dat u een gebruiker kiest in plaats van een groep die u wilt inrichten. |