Udostępnij za pośrednictwem


Sprawdzanie stanu aprowizacji użytkowników

Usługa aprowizacji firmy Microsoft uruchamia początkowy cykl aprowizacji względem systemu źródłowego i systemu docelowego, a następnie okresowe cykle przyrostowe. Podczas konfigurowania aprowizacji dla aplikacji możesz sprawdzić bieżący stan usługi aprowizacji i sprawdzić, kiedy użytkownik może uzyskać dostęp do aplikacji.

Wyświetlanie paska postępu aprowizacji

Na stronie Aprowizowanie aplikacji możesz wyświetlić stan usługi aprowizacji firmy Microsoft. Sekcja Bieżący stan w dolnej części strony pokazuje, czy cykl aprowizacji rozpoczął aprowizowanie kont użytkowników. Możesz obejrzeć postęp cyklu, zobaczyć, ilu użytkowników i grup zostało aprowiowanych, i zobaczyć, ile ról zostało utworzonych.

Podczas pierwszej konfiguracji automatycznej aprowizacji sekcja Bieżący stan w dolnej części strony pokazuje stan początkowego cyklu aprowizacji. Ta sekcja jest aktualizowana za każdym razem, gdy jest uruchamiany cykl przyrostowy. Poniżej przedstawiono następujące szczegóły:

  • Typ cyklu aprowizacji (początkowy lub przyrostowy), który jest aktualnie uruchomiony lub został ostatnio ukończony.
  • Pasek postępu przedstawiający procent ukończonego cyklu aprowizacji. Wartość procentowa odzwierciedla liczbę zaaprowizowanych stron. Każda strona może zawierać wielu użytkowników lub grup, więc wartość procentowa nie jest bezpośrednio skorelowana z liczbą użytkowników, grup lub ról aprowizowania.
  • Przycisk Odśwież , którego można użyć, aby zachować aktualizację widoku.
  • Liczba użytkowników i grup w magazynie danych łącznika. Liczba zwiększa się za każdym razem, gdy obiekt zostanie dodany do zakresu aprowizacji. Liczba nie spada, jeśli użytkownik jest usuwany nietrwale lub trwale usuwany, ponieważ operacja nie usuwa obiektu z magazynu danych łącznika. Liczba jest ponownie obliczana podczas pierwszej synchronizacji po zresetowaniu usługi CDS
  • Link Wyświetl dzienniki inspekcji , który otwiera dzienniki aprowizacji firmy Microsoft. Aby dowiedzieć się więcej o operacjach uruchamianych przez usługę aprowizacji użytkowników, w tym o stanie aprowizacji poszczególnych użytkowników, zobacz Używanie dzienników aprowizacji w dalszej części artykułu.

Po zakończeniu cyklu aprowizacji sekcja Statystyki do daty zawiera skumulowaną liczbę użytkowników i grup, które zostały aprowidowane do tej pory , wraz z datą ukończenia i czasem trwania ostatniego cyklu. Identyfikator działania jednoznacznie identyfikuje najnowszy cykl aprowizacji. Identyfikator zadania jest unikatowym identyfikatorem zadania aprowizacji i jest specyficzny dla aplikacji w dzierżawie.

Postęp aprowizacji jest wyświetlany w centrum administracyjnym firmy Microsoft Entra w obszarze Aplikacje> dla przedsiębiorstw aplikacji>tożsamości>[nazwa aplikacji] >Aprowizowanie.

Pasek postępu strony aprowizacji

Program Microsoft Graph umożliwia również programowe monitorowanie stanu aprowizacji w aplikacji. Aby uzyskać więcej informacji, zobacz Monitorowanie aprowizacji.

Sprawdzanie stanu aprowizacji użytkownika przy użyciu dzienników aprowizacji

Aby wyświetlić stan aprowizacji wybranego użytkownika, zapoznaj się z dziennikami aprowizacji w identyfikatorze Entra firmy Microsoft. Wszystkie operacje uruchamiane przez usługę aprowizacji użytkowników są rejestrowane w dziennikach aprowizacji firmy Microsoft. Dzienniki obejmują operacje odczytu i zapisu wykonywane w systemach źródłowych i docelowych. Skojarzone dane użytkownika związane z operacjami odczytu i zapisu również są rejestrowane.

Możesz uzyskać dostęp do dzienników aprowizacji w centrum administracyjnym firmy Microsoft Entra, wybierając pozycję Identity Applications Enterprise applications>Provisioning logs (Dzienniki aprowizacji aplikacji>dla>przedsiębiorstw) w sekcji Działanie. Dane aprowizacji można przeszukiwać na podstawie nazwy użytkownika lub identyfikatora w systemie źródłowym lub systemie docelowym. Aby uzyskać szczegółowe informacje, zobacz Aprowizowanie dzienników.

Dzienniki aprowizacji rejestrują wszystkie operacje wykonywane przez usługę aprowizacji, w tym:

  • Wykonywanie zapytań dotyczących identyfikatora Entra firmy Microsoft dla przypisanych użytkowników, którzy mają zakres aprowizacji
  • Wykonywanie zapytań dotyczących aplikacji docelowej pod kątem istnienia tych użytkowników
  • Porównywanie obiektów użytkownika między systemem
  • Dodawanie, aktualizowanie lub wyłączanie konta użytkownika w systemie docelowym na podstawie porównania

Aby uzyskać więcej informacji na temat sposobu odczytywania dzienników aprowizacji w centrum administracyjnym firmy Microsoft Entra, zobacz przewodnik po raportowaniu aprowizacji.

Jak długo potrwa aprowizacja użytkowników?

W przypadku korzystania z automatycznej aprowizacji użytkowników w aplikacji należy pamiętać o kilku kwestiach. Najpierw identyfikator Entra firmy Microsoft automatycznie aprowizuje i aktualizuje konta użytkowników w aplikacji w oparciu o takie elementy jak przypisanie użytkownika i grupy. Synchronizacja odbywa się w regularnym przedziale czasu, zazwyczaj co 40 minut.

Czas potrzebny na aprowizację danego użytkownika zależy głównie od tego, czy zadanie aprowizacji uruchamia cykl początkowy, czy cykl przyrostowy.

  • W przypadku cyklu początkowego czas zadania zależy od wielu czynników, w tym liczby użytkowników i grup w zakresie aprowizacji oraz całkowitej liczby użytkowników i grup w systemie źródłowym. Pierwsza synchronizacja między identyfikatorem Entra firmy Microsoft i aplikacją odbywa się tak szybko, jak 20 minut lub trwa tak długo, jak kilka godzin. Czas zależy od rozmiaru katalogu Microsoft Entra i liczby użytkowników w zakresie aprowizacji. Pełna lista czynników wpływających na wydajność cyklu początkowego została podsumowana w dalszej części tej sekcji.

  • W przypadku cykli przyrostowych po cyklu początkowym czasy zadań są zwykle szybsze (w ciągu 10 minut), ponieważ usługa aprowizacji przechowuje znaki wodne reprezentujące stan obu systemów po cyklu początkowym, zwiększając wydajność kolejnych synchronizacji. Czas zadania zależy od liczby zmian wykrytych w tym cyklu aprowizacji. Jeśli istnieje mniej niż 5000 użytkowników lub zmian członkostwa w grupach, zadanie może zakończyć się w ramach jednego cyklu aprowizacji przyrostowej.

W poniższej tabeli przedstawiono podsumowanie czasów synchronizacji typowych scenariuszy aprowizacji. W tych scenariuszach system źródłowy to Microsoft Entra ID, a system docelowy to aplikacja SaaS. Czasy synchronizacji pochodzą z statystycznej analizy zadań synchronizacji dla aplikacji SaaS ServiceNow, Workplace, Salesforce i G Suite.

Konfiguracja zakresu Użytkownicy, grupy i członkowie w zakresie Czas cyklu początkowego
Synchronizuj tylko przypisanych użytkowników i grupy < 1,000 < 30 minut
Synchronizuj tylko przypisanych użytkowników i grupy 1000–10 000 142 – 708 minut
Synchronizuj tylko przypisanych użytkowników i grupy 10 000–100 000 1170 – 2340 minut
Synchronizowanie wszystkich użytkowników i grup w identyfikatorze Entra firmy Microsoft < 1,000 < 30 minut
Synchronizowanie wszystkich użytkowników i grup w identyfikatorze Entra firmy Microsoft 1000–10 000 < 30–120 minut
Synchronizowanie wszystkich użytkowników i grup w identyfikatorze Entra firmy Microsoft 10 000–100 000 713 – 1425 minut
Synchronizowanie wszystkich użytkowników w usłudze Microsoft Entra ID < 1,000 < 30 minut
Synchronizowanie wszystkich użytkowników w usłudze Microsoft Entra ID 1000–10 000 43 – 86 minut

Tylko w przypadku konfiguracji Synchronizacja przypisanych użytkowników i grup można użyć następujących formuł w celu określenia przybliżonych minimalnych i maksymalnych oczekiwanych czasów cyklu początkowego:

  • Minimalna liczba minut = 0,01 x [liczba przypisanych użytkowników, grup i członków grupy]
  • Maksymalna liczba minut = 0,08 x [liczba przypisanych użytkowników, grup i członków grupy]

Podsumowanie czynników mających wpływ na czas potrzebny do ukończenia cyklu początkowego:

  • Całkowita liczba użytkowników i grup w zakresie aprowizacji.

  • Całkowita liczba użytkowników, grup i członków grupy znajdujących się w systemie źródłowym (Microsoft Entra ID).

  • Określa, czy użytkownicy w zakresie aprowizacji są dopasowywani do istniejących użytkowników w aplikacji docelowej, czy też muszą zostać utworzeni po raz pierwszy. Zadania synchronizacji, dla których wszyscy użytkownicy są tworzone po raz pierwszy, zajmują około dwa razy więcej czasu, gdy zadania synchronizacji, dla których wszyscy użytkownicy są dopasowywani do istniejących użytkowników.

  • Liczba błędów w dziennikach aprowizacji. Wydajność jest niższa, jeśli istnieje wiele błędów, a usługa aprowizacji przeszła w stan kwarantanny.

  • Limity szybkości żądań i ograniczanie przepustowości implementowane przez system docelowy. Niektóre systemy docelowe implementują limity szybkości żądań i ograniczanie przepustowości, co może mieć wpływ na wydajność podczas dużych operacji synchronizacji. W tych warunkach aplikacja, która odbiera zbyt wiele żądań, może spowolnić szybkość odpowiedzi lub zamknąć połączenie. Aby zwiększyć wydajność, łącznik musi dostosować się, nie wysyłając żądań aplikacji szybciej niż aplikacja może je przetworzyć. Aprowizacja łączników utworzonych przez firmę Microsoft wprowadza tę korektę.

  • Liczba i rozmiary przypisanych grup. Synchronizowanie przypisanych grup trwa dłużej niż synchronizowanie użytkowników. Zarówno liczba, jak i rozmiary przypisanych grup mają wpływ na wydajność. Jeśli aplikacja ma włączone mapowania na potrzeby synchronizacji obiektów grupy, właściwości grupy, takie jak nazwy grup i członkostwa, są synchronizowane oprócz użytkowników. Synchronizacje te trwa dłużej niż tylko synchronizowanie obiektów użytkownika.

  • Jeśli wydajność stanie się problemem i próbujesz aprowizować większość użytkowników i grup w dzierżawie, użyj filtrów określania zakresu. Filtry określania zakresu umożliwiają precyzyjne dostrojenie danych wyodrębnianych przez usługę aprowizacji z identyfikatora Entra firmy Microsoft przez odfiltrowanie użytkowników na podstawie określonych wartości atrybutów. Aby uzyskać więcej informacji na temat filtrów określania zakresu, zobacz Aprowizacja aplikacji oparta na atrybutach z filtrami określania zakresu.

W większości przypadków cykl przyrostowy kończy się w ciągu 30 minut. Jednak w przypadku wprowadzania setek lub tysięcy zmian użytkowników lub zmian członkostwa w grupach czas cyklu przyrostowego będzie proporcjonalnie zwiększać się wraz ze liczbą zmian w procesie i może potrwać kilka godzin. Korzystanie z użytkowników i grup przypisanych do synchronizacji oraz minimalizowanie liczby użytkowników/grup w zakresie aprowizacji pomoże skrócić czas synchronizacji.

Rekomendacje skrócić czas aprowizacji użytkownika i / lub grupy:

  1. Ustaw zakres aprowizacji, aby zsynchronizować assigned users and groupselement , a nie sync all users and groups.
  2. Zminimalizuj liczbę użytkowników i grup w zakresie aprowizacji.
  3. Utwórz wiele zadań aprowizacji przeznaczonych dla tego samego systemu. W takim przypadku każde zadanie synchronizacji będzie działać niezależnie, skracając czas przetwarzania zmian. Upewnij się, że zakres użytkowników różni się między tymi zadaniami aprowizacji, aby uniknąć zmian z jednego zadania, które wpływa na inne.
  4. Dodaj filtry określania zakresu, aby dodatkowo ograniczyć liczbę użytkowników i grup w zakresie aprowizacji.

Inspekcja zmian w konfiguracji aprowizacji

Zmiany konfiguracji aprowizacji są rejestrowane w dziennikach inspekcji. Użytkownicy z niezbędnymi uprawnieniami, takimi jak administrator aplikacji i czytelnik raportów, mogą uzyskiwać dostęp do dzienników za pośrednictwem interfejsu użytkownika dzienników inspekcji, interfejsu API i programu PowerShell. Możesz użyć filtru aktywności w dziennikach inspekcji, aby zidentyfikować następujące akcje.

Uwaga

W przypadku akcji, które usługa aprowizacji wykonuje, takich jak tworzenie użytkowników, aktualizowanie użytkowników i usuwanie użytkowników zalecamy użycie dzienników aprowizacji. Aby monitorować zmiany konfiguracji aprowizacji, zalecamy użycie dzienników inspekcji.

Zrzut ekranu przedstawiający dzienniki inspekcji.

Akcja Działanie (filtruj dzienniki w tej właściwości)
Aktualizowanie poświadczeń (np. dodawanie nowego tokenu elementu nośnego) Aktualizowanie ustawienia aprowizacji lub poświadczeń
Zmienianie ustawień zadania aprowizacji (np. wiadomości e-mail z powiadomieniem, synchronizowanie wszystkich z przypisanymi użytkownikami i grupami, zapobieganie przypadkowym usunięciom) Aktualizowanie ustawienia aprowizacji lub poświadczeń
Rozpoczynanie aprowizacji Włączanie/rozpoczynanie konfiguracji aprowizacji
Zatrzymywanie aprowizacji Wyłączanie/wstrzymywanie konfiguracji aprowizacji
Ponowne uruchamianie aprowizacji Włączanie/ponowne uruchamianie konfiguracji aprowizacji
Aktualizowanie mapowań atrybutów lub reguł określania zakresu Aktualizowanie mapowań atrybutów lub zakresu

Następne kroki

Automatyzacja aprowizacji i anulowania aprowizacji użytkowników w aplikacjach SaaS przy użyciu usługi identyfikatora Microsoft Entra