Toepassingsinrichting in quarantainestatus

De Azure AD inrichtingsservice bewaakt de status van uw configuratie. Er worden ook beschadigde apps in een quarantainestatus geplaatst. Als de meeste of alle aanroepen tegen het doelsysteem consistent mislukken, wordt de inrichtingstaak gemarkeerd als in quarantaine. Een voorbeeld van een fout is een fout die is ontvangen vanwege ongeldige beheerdersreferenties.

In quarantaine:

  • De frequentie van incrementele cycli wordt geleidelijk teruggebracht tot één keer per dag.
  • De inrichtingstaak wordt verwijderd uit quarantaine nadat alle fouten zijn opgelost en de volgende synchronisatiecyclus wordt gestart.
  • Als de inrichtingstaak langer dan vier weken in quarantaine blijft, wordt de inrichtingstaak uitgeschakeld (wordt niet meer uitgevoerd).

Hoe kan ik weten of mijn toepassing in quarantaine is?

Er zijn drie manieren om te controleren of een toepassing in quarantaine is:

  • Ga in de Azure Portal naar de naam>>Inrichten vantoepassingstoepassingen>< van Azure Active Directory>Enterpriseen controleer de voortgangsbalk voor een quarantainebericht.

    Statusbalk inrichten met quarantainestatus

  • Ga in de Azure Portal naar het filterAuditlogboeken> van Azure Active Directory> op Activiteit: Quarantaine en controleer de quarantainegeschiedenis. In de weergave op de voortgangsbalk, zoals hierboven wordt beschreven, ziet u of de inrichting momenteel in quarantaine is. In de auditlogboeken wordt de quarantainegeschiedenis voor een toepassing weergegeven.

  • Gebruik de Microsoft Graph-aanvraag SyncJob ophalen om programmatisch de status van de inrichtingstaak op te halen:

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/
  • Controleer uw e-mail. Wanneer een toepassing in quarantaine wordt geplaatst, wordt er een eenmalige e-mailmelding verzonden. Als de reden voor quarantaine verandert, wordt er een bijgewerkte e-mail verzonden met de nieuwe reden voor quarantaine. Als u geen e-mail ziet:

    • Zorg ervoor dat u een geldige melding hebt opgegeven Email in de inrichtingsconfiguratie voor de toepassing.
    • Zorg ervoor dat er geen spamfilters zijn in het Postvak IN voor meldingen.
    • Zorg ervoor dat u zich niet hebt afgemeld voor e-mailberichten.
    • Controleren op e-mailberichten van azure-noreply@microsoft.com

Waarom is mijn toepassing in quarantaine?

Hieronder ziet u de veelvoorkomende redenen waarom uw toepassing in quarantaine kan gaan

Beschrijving Aanbevolen actie
Probleem met SCIM-naleving: Er is een HTTP/404-antwoord niet gevonden geretourneerd in plaats van het verwachte HTTP/200 OK-antwoord. In dit geval heeft de Azure AD inrichtingsservice een aanvraag ingediend bij de doeltoepassing en een onverwacht antwoord ontvangen. Controleer de sectie met beheerdersreferenties. Kijk of voor de toepassing de tenant-URL moet worden opgegeven en of de URL juist is. Als u geen probleem ziet, neemt u contact op met de toepassingsontwikkelaar om ervoor te zorgen dat de service SCIM-compatibel is. https://tools.ietf.org/html/rfc7644#section-3.4.2
Ongeldige referenties: Bij het autoriseren van de doeltoepassing hebben we een antwoord ontvangen van de doeltoepassing die aangeeft dat de opgegeven referenties ongeldig zijn. Navigeer naar de sectie met beheerdersreferenties van de gebruikersinterface van de inrichtingsconfiguratie en autoriseren opnieuw toegang met geldige referenties. Als de toepassing zich in de galerie bevindt, raadpleegt u de zelfstudie voor toepassingsconfiguratie voor meer vereiste stappen.
Dubbele rollen: Rollen die zijn geïmporteerd uit bepaalde toepassingen, zoals Salesforce en Zendesk, moeten uniek zijn. Navigeer naar het toepassingsmanifest in de Azure Portal en verwijder de dubbele rol.

Een Microsoft Graph-aanvraag voor het ophalen van de status van de inrichtingstaak toont de volgende reden voor quarantaine:

  • EncounteredQuarantineException geeft aan dat er ongeldige referenties zijn opgegeven. De inrichtingsservice kan geen verbinding tot stand brengen tussen het bronsysteem en het doelsysteem.
  • EncounteredEscrowProportionThreshold geeft aan dat de inrichting de borgdrempel heeft overschreden. Deze voorwaarde treedt op wanneer meer dan 40% van de inrichtingsgebeurtenissen is mislukt. Zie de details van de borgdrempel hieronder voor meer informatie.
  • QuarantineOnDemand betekent dat we een probleem met uw toepassing hebben gedetecteerd en deze handmatig hebben ingesteld op quarantaine.

Borgdrempels

Als aan de proportionele borgdrempel wordt voldaan, wordt de inrichtingstaak in quarantaine geplaatst. Deze logica is onderhevig aan wijzigingen, maar werkt ongeveer zoals hieronder wordt beschreven:

Een taak kan in quarantaine worden geplaatst, ongeacht het aantal fouten voor problemen zoals beheerdersreferenties of SCIM-naleving. Over het algemeen zijn 5.000 fouten echter het minimum om te beginnen met het evalueren of in quarantaine moet worden geplaatst vanwege te veel fouten. Een taak met 4000 fouten gaat bijvoorbeeld niet in quarantaine. Maar een taak met 5000 fouten zou een evaluatie activeren. Voor een evaluatie worden de volgende criteria gebruikt:

  • Als meer dan 40% van de inrichtingsgebeurtenissen mislukken of als er meer dan 40.000 fouten zijn, wordt de inrichtingstaak in quarantaine geplaatst. Verwijzingsfouten worden niet meegeteld als onderdeel van de drempelwaarde van 40% of 40.000. Het bijwerken van een manager of een groepslid is bijvoorbeeld een verwijzingsfout.
  • Een taak waarbij 45.000 gebruikers niet zijn ingericht, zou leiden tot quarantaine omdat deze de drempelwaarde van 40.000 overschrijdt.
  • Een taak waarbij 30.000 gebruikers niet konden inrichten en 5.000 succesvol waren, zou ertoe leiden dat quarantaine wordt uitgevoerd omdat deze de drempelwaarde van 40% en 5000 minimum overschrijdt.
  • Een taak met 20.000 fouten en 100.000 succes gaat niet in quarantaine omdat deze niet hoger is dan de drempelwaarde voor 40% fouten of de maximale fout van 40.000.
  • Er is een absolute drempelwaarde van 60.000 fouten die betrekking hebben op zowel referentie- als niet-verwijzingsfouten. 40.000 gebruikers kunnen bijvoorbeeld niet worden ingericht en 21.000 managerupdates zijn mislukt. Het totaal is 61.000 fouten en overschrijdt de limiet van 60.000.

Duur van opnieuw proberen

De logica die hier wordt beschreven, kan verschillen voor bepaalde connectors om de beste klantervaring te garanderen, maar over het algemeen hebben we de onderstaande cycli voor opnieuw proberen na een fout:

Na de eerste fout vindt de eerste nieuwe poging plaats binnen de volgende 2 uur (meestal in de volgende synchronisatiecyclus).

  • De tweede poging vindt 6 uur na de eerste fout plaats.
  • De derde poging vindt 12 uur na de eerste fout plaats.
  • De vierde poging vindt 24 uur na de eerste fout plaats.
  • De vijfde poging vindt 48 uur na de eerste fout plaats.
  • De zesde poging vindt 72 uur na de eerste fout plaats.
  • De zevende nieuwe poging vindt 96 uur na de eerste fout plaats.
  • De achtste poging vindt 120 uur na de eerste fout plaats.

Deze cyclus wordt elke 24 uur herhaald tot de 30e dag wanneer nieuwe pogingen worden gestopt en de taak is uitgeschakeld.

Hoe kan ik mijn toepassing uit quarantaine halen?

Los eerst het probleem op dat ervoor zorgde dat de toepassing in quarantaine werd geplaatst.

  • Controleer de inrichtingsinstellingen van de toepassing om te controleren of u geldige Beheer referenties hebt ingevoerd. Azure AD moet een vertrouwensrelatie met de doeltoepassing tot stand brengen. Zorg ervoor dat u geldige referenties hebt ingevoerd en dat uw account over de benodigde machtigingen beschikt.

  • Bekijk de inrichtingslogboeken om verder te onderzoeken welke fouten quarantaine veroorzaken en om de fout op te lossen. Ga naar azure Active Directory>EnterpriseApps-inrichtingslogboeken> (preview) in de sectie Activiteit.

Nadat u het probleem hebt opgelost, start u de inrichtingstaak opnieuw. Bepaalde wijzigingen in de inrichtingsinstellingen van de toepassing, zoals kenmerktoewijzingen of bereikfilters, worden automatisch opnieuw ingericht voor u. De voortgangsbalk op de pagina Inrichten van de toepassing geeft aan wanneer de inrichting voor het laatst is gestart. Als u de inrichtingstaak handmatig opnieuw moet starten, gebruikt u een van de volgende methoden:

  • Gebruik de Azure Portal om de inrichtingstaak opnieuw op te starten. Selecteer Op de pagina Inrichten van de toepassing de optie Inrichting opnieuw starten. Met deze actie wordt de inrichtingsservice volledig opnieuw opgestart, wat enige tijd kan duren. Er wordt opnieuw een volledige initiële cyclus uitgevoerd, die escrows, de app uit quarantaine en eventuele watermerken verwijdert. De service evalueert vervolgens alle gebruikers in het bronsysteem opnieuw, en bepaalt of ze binnen het bereik van de inrichting vallen. Dit kan handig zijn wanneer uw toepassing momenteel in quarantaine is, zoals in dit artikel wordt besproken of als u een wijziging moet aanbrengen in uw kenmerktoewijzingen. Houd er rekening mee dat de initiële cyclus langer duurt dan de gebruikelijke incrementele cyclus vanwege het aantal objecten dat moet worden geëvalueerd. Hier vindt u meer informatie over de prestaties van de eerste en incrementele cycli.

  • Gebruik Microsoft Graph om de inrichtingstaak opnieuw op te starten. U hebt volledige controle over wat u opnieuw opstart. U kunt ervoor kiezen om borgen te wissen (om de borgteller opnieuw op te starten die toekomt aan de quarantainestatus), quarantaine wissen (om de toepassing uit quarantaine te verwijderen) of watermerken te wissen. Gebruik de volgende aanvraag:

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Vervang {ID} door de waarde van de toepassings-id en vervang {jobId} door de id van de synchronisatietaak.