Dzienniki aprowizacji w usłudze Azure Active Directory

Usługa Azure Active Directory (Azure AD) integruje się z kilkoma usługami innych firm, aby aprowizować użytkowników w dzierżawie. Jeśli musisz rozwiązać problem z aprowizowanego użytkownika, możesz użyć informacji przechwyconych w dziennikach aprowizacji Azure AD, aby ułatwić znalezienie rozwiązania.

Dostępne są również dwa inne dzienniki aktywności ułatwiające monitorowanie kondycji dzierżawy:

  • Logowania — informacje o logowaniu i sposobie użycia zasobów przez użytkowników.
  • Inspekcja — informacje o zmianach zastosowanych do dzierżawy, takich jak użytkownicy i zarządzanie grupami lub aktualizacje zastosowane do zasobów dzierżawy.

Ten artykuł zawiera omówienie dzienników aprowizacji.

Co mogę z tym zrobić?

Możesz użyć dzienników aprowizacji, aby znaleźć odpowiedzi na pytania, takie jak:

  • Jakie grupy zostały pomyślnie utworzone w usłudze ServiceNow?

  • Co użytkownicy zostali pomyślnie usunięci z firmy Adobe?

  • Którzy użytkownicy z produktu Workday zostali pomyślnie utworzeni w usłudze Active Directory?

Jak uzyskać dostęp do dzienników aprowizacji?

Aby wyświetlić dzienniki aprowizacji, dzierżawa musi mieć skojarzoną licencję Azure AD Premium. Aby uaktualnić wersję Azure AD, zobacz Wprowadzenie do Azure Active Directory — wersja Premium.

Właściciele aplikacji mogą wyświetlać dzienniki dla własnych aplikacji. Do wyświetlania dzienników aprowizacji wymagane są następujące role:

  • Czytelnik raportów
  • Czytelnik zabezpieczeń
  • Operator zabezpieczeń
  • Administrator zabezpieczeń
  • Administrator aplikacji
  • Administrator aplikacji w chmurze
  • Administrator globalny
  • Użytkownicy w roli niestandardowej z uprawnieniem provisioningLogs

Aby uzyskać dostęp do danych dziennika aprowizacji, dostępne są następujące opcje:

  • Wybierz pozycję Dzienniki aprowizacji w sekcji Monitorowanie Azure AD.

  • Przesyłanie strumieniowe dzienników aprowizacji do usługi Azure Monitor. Ta metoda umożliwia rozszerzone przechowywanie danych i tworzenie niestandardowych pulpitów nawigacyjnych, alertów i zapytań.

  • Wykonaj zapytanie dotyczące Microsoft interfejs Graph API dzienników aprowizacji.

  • Pobierz dzienniki aprowizacji jako plik CSV lub JSON.

Wyświetlanie dzienników aprowizacji

Aby efektywniej wyświetlić dziennik aprowizacji, poświęć kilka chwil na dostosowanie widoku do Twoich potrzeb. Możesz określić, które kolumny mają zawierać i filtrować dane, aby zawęzić elementy.

Dostosowywanie układu

Dziennik aprowizacji ma widok domyślny, ale można dostosować kolumny.

  1. Wybierz pozycję Kolumny w menu w górnej części dziennika.
  2. Wybierz kolumny, które chcesz wyświetlić, a następnie wybierz przycisk Zapisz w dolnej części okna.

Zrzut ekranu przedstawiający przycisk dostosowywania kolumn.

Ten obszar umożliwia wyświetlanie większej liczby pól lub usuwanie pól, które są już wyświetlane.

Filtrowanie wyników

Podczas filtrowania danych aprowizowanych niektóre wartości filtru są dynamicznie wypełniane na podstawie dzierżawy. Jeśli na przykład nie masz żadnych zdarzeń "create" w dzierżawie, nie będzie opcji Utwórz filtr.

Filtr Tożsamość umożliwia określenie nazwy lub tożsamości, która cię interesuje. Ta tożsamość może być użytkownikiem, grupą, rolą lub innym obiektem.

Możesz wyszukać według nazwy lub identyfikatora obiektu. Identyfikator różni się w zależności od scenariusza.

  • Jeśli aprowizujesz obiekt z Azure AD do usługi Salesforce, identyfikator źródłowy to identyfikator obiektu użytkownika w Azure AD. Identyfikator docelowy to identyfikator użytkownika w usłudze Salesforce.
  • Jeśli aprowizujesz usługę Workday do Azure AD, identyfikator źródłowy to identyfikator pracownika produktu Workday. Identyfikator docelowy to identyfikator użytkownika w Azure AD.

Uwaga

Nazwa użytkownika może nie zawsze znajdować się w kolumnie Tożsamość . Zawsze będzie jeden identyfikator.

Filtr Data umożliwia zdefiniowanie przedziału czasu dla zwracanych danych. Możliwe wartości:

  • Jeden miesiąc
  • Siedem dni
  • 30 dni
  • 24 godziny
  • Niestandardowy interwał czasu (skonfiguruj datę rozpoczęcia i datę zakończenia)

Filtr Stan umożliwia wybranie następujących opcji:

  • Wszystko
  • Powodzenie
  • Niepowodzenie
  • Pominięto

Filtr Akcja umożliwia filtrowanie następujących akcji:

  • Utwórz
  • Aktualizacja
  • Usuń
  • Wyłącz
  • Inne

Oprócz filtrów widoku domyślnego można ustawić następujące filtry.

  • Identyfikator zadania: unikatowy identyfikator zadania jest skojarzony z każdą aplikacją, dla której włączono aprowizację.

  • Identyfikator cyklu: identyfikator cyklu jednoznacznie identyfikuje cykl aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać cykl, w którym wystąpiło to zdarzenie.

  • Identyfikator zmiany: identyfikator zmiany jest unikatowym identyfikatorem zdarzenia aprowizacji. Możesz udostępnić ten identyfikator pomocy technicznej produktu, aby wyszukać zdarzenie aprowizacji.

  • System źródłowy: możesz określić lokalizację aprowizacji tożsamości. Na przykład podczas aprowizowania obiektu z Azure AD do usługi ServiceNow system źródłowy jest Azure AD.

  • System docelowy: możesz określić lokalizację aprowizacji tożsamości. Na przykład podczas aprowizowania obiektu z Azure AD do usługi ServiceNow system docelowy to ServiceNow.

  • Aplikacja: można wyświetlać tylko rekordy aplikacji o nazwie wyświetlanej zawierającej określony ciąg.

Analizowanie dzienników aprowizacji

Po wybraniu elementu w widoku listy aprowizacji uzyskasz więcej szczegółowych informacji o tym elemencie, takich jak kroki podjęte w celu aprowizacji użytkownika i porady dotyczące rozwiązywania problemów. Szczegóły są pogrupowane na cztery karty.

  • Kroki: przedstawia kroki podjęte w celu aprowizowania obiektu. Aprowizowanie obiektu może składać się z czterech kroków:

    1. Zaimportuj obiekt.
    2. Ustal, czy obiekt znajduje się w zakresie.
    3. Dopasuj obiekt między obiektem źródłowym i docelowym.
    4. Aprowizuj obiekt (utwórz, zaktualizuj, usuń lub wyłącz).

    Zrzut ekranu przedstawia kroki aprowizacji na karcie Kroki.

  • Rozwiązywanie problemów & Zalecenia: zawiera kod błędu i przyczynę. Informacje o błędzie są dostępne tylko wtedy, gdy wystąpi błąd.

  • Zmodyfikowane właściwości: pokazuje starą wartość i nową wartość. Jeśli nie ma starej wartości, ta kolumna jest pusta.

  • Podsumowanie: zawiera omówienie tego, co się stało i identyfikatory obiektu w systemach źródłowych i docelowych.

Pobieranie dzienników jako csv lub JSON

Dzienniki aprowizacji dla późniejszego użycia można pobrać, przechodząc do dzienników w Azure Portal i wybierając pozycję Pobierz. Plik zostanie przefiltrowany na podstawie wybranych kryteriów filtrowania. Ustaw filtry tak konkretne, jak to możliwe, aby zmniejszyć rozmiar i czas pobierania.

Pobieranie pliku CSV obejmuje trzy pliki:

  • ProvisioningLogs: pobiera wszystkie dzienniki, z wyjątkiem kroków aprowizacji i zmodyfikowanych właściwości.
  • ProvisioningLogs_ProvisioningSteps: zawiera kroki aprowizacji i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do pozostałych dwóch plików.
  • ProvisioningLogs_ModifiedProperties: zawiera atrybuty, które zostały zmienione i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do pozostałych dwóch plików.

Otwieranie pliku JSON

Aby otworzyć plik JSON, użyj edytora tekstów, takiego jak Microsoft Visual Studio Code. Visual Studio Code ułatwia odczytywanie pliku, zapewniając wyróżnianie składni. Plik JSON można również otworzyć przy użyciu przeglądarek w formacie niezmienialnym, takim jak Microsoft Edge.

Prettify the JSON file (Wstępne określanie pliku JSON)

Plik JSON jest pobierany w formacie minyfikowanym, aby zmniejszyć rozmiar pobierania. Ten format może utrudniać odczytywanie ładunku. Zapoznaj się z dwiema opcjami, aby wstępnie skomponować plik:

  • Użyj Visual Studio Code, aby sformatować kod JSON.

  • Użyj programu PowerShell, aby sformatować kod JSON. Ten skrypt wyświetli kod JSON w formacie zawierającym karty i spacje:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Analizowanie pliku JSON

Poniżej przedstawiono kilka przykładowych poleceń do pracy z plikiem JSON przy użyciu programu PowerShell. Możesz użyć dowolnego języka programowania, z którym korzystasz.

Najpierw przeczytaj plik JSON , uruchamiając następujące polecenie:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Teraz możesz analizować dane zgodnie ze scenariuszem. Oto kilka przykładów:

  • Dane wyjściowe wszystkich identyfikatorów zadań w pliku JSON:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Wyprowadź wszystkie identyfikatory zmian dla zdarzeń, w których akcja została utworzona:

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Co należy wiedzieć

Poniżej przedstawiono kilka wskazówek i zagadnień dotyczących aprowizacji raportów:

  • Azure Portal przechowuje zgłoszone dane aprowizacji przez 30 dni, jeśli masz wersję Premium i 7 dni, jeśli masz bezpłatną edycję. Dzienniki aprowizacji można opublikować w usłudze Log Analytics w celu przechowywania po upływie 30 dni.

  • Możesz użyć atrybutu change ID jako unikatowego identyfikatora, co może być przydatne podczas interakcji z pomocą techniczną produktu, na przykład.

  • Możesz zobaczyć pominięte zdarzenia dla użytkowników, którzy nie są w zakresie. To zachowanie jest oczekiwane, zwłaszcza gdy zakres synchronizacji jest ustawiony na wszystkich użytkowników i grupy. Usługa oceni wszystkie obiekty w dzierżawie, nawet te, które znajdują się poza zakresem.

  • Dzienniki aprowizacji nie pokazują importu ról (dotyczy usług AWS, Salesforce i Zendesk). Dzienniki importu ról można znaleźć w dziennikach inspekcji.

Kody błędów

Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak rozwiązywać błędy, które można znaleźć w dziennikach aprowizacji. W przypadku wszystkich brakujących kodów błędów przekaż opinię za pomocą linku w dolnej części tej strony.

Kod błędu Opis
Konflikt
EntryConflict
Popraw wartości atrybutów powodujące konflikt w Azure AD lub aplikacji. Możesz też przejrzeć konfigurację pasującego atrybutu, jeśli sprzeczne konto użytkownika miało być dopasowane i przejęte. Zapoznaj się z dokumentacją , aby uzyskać więcej informacji na temat konfigurowania pasujących atrybutów.
TooManyRequests Aplikacja docelowa odrzuciła tę próbę zaktualizowania użytkownika, ponieważ jest przeciążona i odbiera zbyt wiele żądań. Nie ma nic wspólnego. Ta próba zostanie automatycznie wycofana. Microsoft został również powiadomiony o tym problemie.
InternalServerError Aplikacja docelowa zwróciła nieoczekiwany błąd. Problem z usługą w aplikacji docelowej może uniemożliwić jej działanie. Ta próba zostanie automatycznie ponowiona w ciągu 40 minut.
Niewystarczającerights,
MethodNotAllowed,
NotPermitted,
Brak autoryzacji
Azure AD uwierzytelnione w aplikacji docelowej, ale nie zostało autoryzowane do przeprowadzenia aktualizacji. Zapoznaj się z instrukcjami podanymi przez aplikację docelową wraz z odpowiednim samouczkiem dotyczącym aplikacji.
Nieprzetworzonaentność Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji docelowej może być nieprawidłowa lub problem z usługą w aplikacji docelowej może uniemożliwić jej działanie.
WebExceptionProtocolError Wystąpił błąd protokołu HTTP podczas nawiązywania połączenia z aplikacją docelową. Nie ma nic wspólnego. Ta próba zostanie automatycznie ponowiona w ciągu 40 minut.
InvalidAnchor Użytkownik, który został wcześniej utworzony lub dopasowany przez usługę aprowizacji, już nie istnieje. Upewnij się, że użytkownik istnieje. Aby wymusić nowe dopasowanie wszystkich użytkowników, użyj Microsoft interfejs Graph API, aby ponownie uruchomić zadanie.

Ponowne uruchamianie aprowizacji spowoduje wyzwolenie cyklu początkowego, co może zająć trochę czasu. Ponowne uruchomienie aprowizacji powoduje również usunięcie pamięci podręcznej używanej przez usługę aprowizacji do działania. Oznacza to, że wszyscy użytkownicy i grupy w dzierżawie będą musieli ponownie ocenić, a niektóre zdarzenia aprowizacji mogą zostać usunięte.
Nieimplementowane Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji może być nieprawidłowa lub problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Zapoznaj się z instrukcjami podanymi przez aplikację docelową wraz z odpowiednim samouczkiem dotyczącym aplikacji.
MandatoryFieldsMissing,
MissingValues
Nie można utworzyć użytkownika, ponieważ brakuje wymaganych wartości. Popraw brakujące wartości atrybutów w rekordzie źródłowym lub przejrzyj konfigurację pasującego atrybutu, aby upewnić się, że wymagane pola nie są pominięte. Dowiedz się więcej o konfigurowaniu pasujących atrybutów.
SchemaAttributeNotFound Nie można wykonać operacji, ponieważ określono atrybut, który nie istnieje w aplikacji docelowej. Zapoznaj się z dokumentacją dotyczącą dostosowywania atrybutów i upewnij się, że konfiguracja jest poprawna.
InternalError Wystąpił wewnętrzny błąd usługi w usłudze aprowizacji Azure AD. Nie ma nic wspólnego. Ta próba zostanie automatycznie ponowiona w ciągu 40 minut.
InvalidDomain Nie można wykonać operacji, ponieważ wartość atrybutu zawiera nieprawidłową nazwę domeny. Zaktualizuj nazwę domeny użytkownika lub dodaj ją do listy dozwolonych w aplikacji docelowej.
Limit czasu Nie można ukończyć operacji, ponieważ aplikacja docelowa trwała zbyt długo, aby odpowiedzieć. Nie ma nic wspólnego. Ta próba zostanie automatycznie ponowiona w ciągu 40 minut.
LicenseLimitExceeded Nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Pozyskiwanie większej liczby licencji dla aplikacji docelowej. Możesz też przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy są przypisani z odpowiednimi atrybutami.
DuplicateTargetEntries Nie można ukończyć operacji, ponieważ więcej niż jeden użytkownik w aplikacji docelowej został znaleziony ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika z aplikacji docelowej lub skonfiguruj ponownie mapowania atrybutów.
DuplicateSourceEntries Nie można ukończyć operacji, ponieważ znaleziono więcej niż jednego użytkownika ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika lub skonfiguruj ponownie mapowania atrybutów.
ImportSkipped Po ocenie każdego użytkownika system próbuje zaimportować użytkownika z systemu źródłowego. Ten błąd występuje często, gdy użytkownik, który jest importowany, nie ma pasującej właściwości zdefiniowanej w mapowaniach atrybutów. Bez wartości znajdującej się w obiekcie użytkownika dla pasującego atrybutu system nie może ocenić zakresu, dopasowania ani wyeksportować zmian. Obecność tego błędu nie wskazuje, że użytkownik znajduje się w zakresie, ponieważ nie oceniono jeszcze zakresu dla użytkownika.
EntrySynchronizationSkipped Usługa aprowizacji pomyślnie zapytała system źródłowy i zidentyfikowała użytkownika. Nie podjęto żadnych dalszych działań na użytkowniku i zostały pominięte. Użytkownik mógł nie być w zakresie lub użytkownik mógł już istnieć w systemie docelowym bez konieczności wprowadzania dalszych zmian.
SystemForCrossDomainIdentity
ZarządzanieMultipleEntriesInResponse
Żądanie GET pobrania użytkownika lub grupy otrzymało wielu użytkowników lub grup w odpowiedzi. System oczekuje, że w odpowiedzi otrzyma tylko jednego użytkownika lub grupę. Jeśli na przykład wykonasz żądanie grupy GET w celu pobrania grupy, podaj filtr wykluczania członków, a punkt końcowy system zarządzania tożsamościami między domenami (SCIM) zwróci elementy członkowskie, zostanie wyświetlony ten błąd.
SystemForCrossDomainIdentity
ZarządzanieUsługi Niezgodne
Usługa aprowizacji Azure AD nie może przeanalizować odpowiedzi z aplikacji innej firmy. We współpracy z deweloperem aplikacji upewnij się, że serwer SCIM jest zgodny z klientem SCIM Azure AD.
SchemaPropertyCanOnlyAcceptValue Właściwość w systemie docelowym może akceptować tylko jedną wartość, ale właściwość w systemie źródłowym ma wiele. Upewnij się, że mapujesz atrybut o pojedynczej wartości na właściwość zgłaszającą błąd, zaktualizuj wartość w źródle tak, aby był jednowartośćowy, lub usuń atrybut z mapowań.

Następne kroki