Jak pobrać i przeanalizować dzienniki aprowizacji firmy Microsoft

Dzienniki aprowizacji firmy Microsoft zawierają szczegółowe informacje o zdarzeniach aprowizacji występujących w dzierżawie. Możesz użyć informacji przechwyconych w dziennikach aprowizacji, aby rozwiązać problemy z aprowizowanego użytkownika.

W tym artykule opisano opcje pobierania dzienników aprowizacji z centrum administracyjnego firmy Microsoft Entra i sposobu analizowania dzienników. Uwzględniono również kody błędów i specjalne zagadnienia.

Warunki wstępne

Aby wyświetlić dzienniki aprowizacji, dzierżawa musi mieć skojarzoną licencję Microsoft Entra ID P1 lub P2. Aby uaktualnić wersję Microsoft Entra, zobacz Wprowadzenie do usługi Microsoft Entra ID P1 lub P2.

Właściciele aplikacji mogą wyświetlać dzienniki dla własnych aplikacji. Do wyświetlania dzienników aprowizacji wymagane są następujące role:

• Czytelnik raportów
• Czytelnik zabezpieczeń
• Operator zabezpieczeń
• Administrator zabezpieczeń
• Administrator aplikacji
• Administrator aplikacji w chmurze
• Użytkownicy w roli niestandardowej z uprawnieniem provisioningLogs

Jak wyświetlić dzienniki aprowizacji

Istnieje kilka sposobów wyświetlania lub analizowania dzienników aprowizacji:

• Wyświetl w centrum administracyjnym firmy Microsoft Entra.
• Przesyłanie strumieniowe dzienników do usługi Azure Monitor za pomocą ustawień diagnostycznych.
• Analizowanie dzienników za pomocą szablonów skoroszytów .
• Programowe uzyskiwanie dostępu do dzienników za pośrednictwem interfejsu API programu Microsoft Graph.
• Pobierz dzienniki jako plik CSV lub JSON.

Napiwek

Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.

Aby uzyskać dostęp do dzienników w centrum administracyjnym firmy Microsoft Entra:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
2. Przejdź do dzienników monitorowania tożsamości>i aprowizacji kondycji.>

Jak pobrać dzienniki aprowizacji

Aby pobrać dzienniki aprowizacji, wybierz pozycję Pobierz na stronie Dzienniki aprowizacji. Ustaw filtry tak konkretne, jak to możliwe, aby zmniejszyć rozmiar i czas pobierania.

Format CSV

Pobieranie pliku CSV obejmuje trzy pliki:

• ProvisioningLogs: pobiera wszystkie dzienniki, z wyjątkiem kroków aprowizacji i zmodyfikowanych właściwości.
• ProvisioningLogs_ProvisioningSteps: zawiera kroki aprowizacji i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.
• ProvisioningLogs_ModifiedProperties: zawiera atrybuty, które zostały zmienione i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.

Format JSON

Aby otworzyć plik JSON, użyj edytora tekstów, takiego jak Microsoft Visual Studio Code. Program Visual Studio Code ułatwia odczytywanie pliku, zapewniając wyróżnianie składni. Możesz również otworzyć plik JSON przy użyciu przeglądarek w formacie niezmienialnym, takim jak Microsoft Edge.

Prettify pliku JSON

Plik JSON jest pobierany w formacie, aby zmniejszyć rozmiar pobierania. Ten format może sprawić, że ładunek będzie trudny do odczytania. Aby wywrzeć plik, dostępne są dwie opcje:

• Użyj programu Visual Studio Code, aby sformatować kod JSON.

• Użyj programu PowerShell, aby sformatować kod JSON. Ten skrypt tworzy dane wyjściowe JSON w formacie zawierającym karty i spacje:

  $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

  $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Analizowanie pliku JSON

Możesz użyć dowolnego języka programowania, z którym się czujesz. Poniższe przykłady znajdują się w programie PowerShell.

• Przeczytaj plik JSON:

  $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Teraz możesz przeanalizować dane zgodnie ze swoim scenariuszem. Oto kilka przykładów:

• Wyprowadź wszystkie identyfikatory zadań w pliku JSON:

  foreach ($provitem in $JSONContent) { $provitem.jobId }

• Wyprowadź wszystkie identyfikatory zmian dla zdarzeń, w których akcja miała wartość "create":

  foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Co należy wiedzieć

Poniżej przedstawiono kilka wskazówek i zagadnień dotyczących analizowania dzienników aprowizacji:

• Centrum administracyjne firmy Microsoft Entra przechowuje zgłoszone dane aprowizacji przez 30 dni, jeśli masz wersję Premium i 7 dni, jeśli masz bezpłatną wersję. Dzienniki aprowizacji można kierować do dzienników usługi Azure Monitor w celu przechowywania przez 30 dni.

• Możesz użyć atrybutu change ID jako unikatowego identyfikatora, co może być przydatne podczas interakcji z pomocą techniczną produktu, na przykład.

• Możesz zobaczyć pominięte zdarzenia dla użytkowników, którzy nie są w zakresie.

  • Przykład 1: Jeśli zakres jest ustawiony na i skonfigurować all users and groups filtry określania zakresu, mogą zostać wyświetlone pominięte dzienniki dla użytkowników, którzy nie spełniają kryteriów określania zakresu.
  • Przykład 2: Jeśli zakres jest ustawiony na assigned users and groups, możesz nadal widzieć użytkowników w dziennikach jako pominiętych, mimo że nie są przypisane do aplikacji. Sposób, w jaki usługa aprowizacji odbiera zmiany z katalogu, powoduje wyświetlenie tych użytkowników.

• Dzienniki aprowizacji nie pokazują importów ról (dotyczy usług Amazon Web Services, Salesforce i Zendesk). Dzienniki importu ról można znaleźć w dziennikach inspekcji.

Kody błędów

Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji.

Kod błędu	Opis
Konflikt EntryConflict	Popraw sprzeczne wartości atrybutów w identyfikatorze Entra firmy Microsoft lub aplikacji. Możesz też przejrzeć konfigurację pasującego atrybutu, jeśli konto użytkownika powodujące konflikt miało być dopasowane i przejęte. Aby uzyskać więcej informacji na temat konfigurowania pasujących atrybutów, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID.
TooManyRequests	Aplikacja docelowa odrzuciła tę próbę zaktualizowania użytkownika, ponieważ aplikacja odbiera zbyt wiele żądań. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana, a firma Microsoft została powiadomiona o tym problemie.
InternalServerError	Aplikacja docelowa zwróciła nieoczekiwany błąd. Problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Ta próba jest automatycznie ponawiana w ciągu 40 minut.
InsufficientRights, MethodNotAllowed, NotPermitted, Nieautoryzowanych	Identyfikator Entra firmy Microsoft uwierzytelniony w aplikacji docelowej, ale nie został autoryzowany do wykonania aktualizacji. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft).
Nieprzetworzonaentność	Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji docelowej może nie być poprawna lub problem z usługą w aplikacji docelowej może uniemożliwić jej działanie.
Błąd WebExceptionProtocolError	Wystąpił błąd protokołu HTTP podczas nawiązywania połączenia z aplikacją docelową. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut.
InvalidAnchor	Użytkownik, który został wcześniej utworzony lub dopasowany przez usługę aprowizacji, już nie istnieje. Upewnij się, że użytkownik istnieje. Aby wymusić nowe dopasowanie wszystkich użytkowników, użyj interfejsu API programu Microsoft Graph, aby ponownie uruchomić zadanie. Ponowne uruchamianie aprowizacji wyzwala początkowy cykl, który może zająć trochę czasu. Ponowne uruchamianie aprowizacji powoduje również usunięcie pamięci podręcznej używanej przez usługę aprowizacji do działania. Oznacza to, że wszyscy użytkownicy i grupy w dzierżawie muszą zostać ponownie ocenione, a niektóre zdarzenia aprowizacji mogą zostać porzucone.
Nieimplementowane	Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji może nie być poprawna lub problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednią aplikacją. Aby uzyskać więcej informacji, zobacz Tutorials for integrating applications with Microsoft Entra ID (Samouczki dotyczące integrowania aplikacji z identyfikatorem Entra firmy Microsoft).
ObowiązkoweFieldsMissing, MissingValues	Nie można utworzyć użytkownika, ponieważ brakuje wymaganych wartości. Popraw brakujące wartości atrybutów w rekordzie źródłowym lub przejrzyj konfigurację pasujących atrybutów, aby upewnić się, że wymagane pola nie zostały pominięte. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft.
SchemaAttributeNotFound	Nie można wykonać operacji, ponieważ określono atrybut, który nie istnieje w aplikacji docelowej. Upewnij się, że konfiguracja jest poprawna, korzystając z artykułu Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w usłudze Microsoft Entra ID.
InternalError	Wystąpił wewnętrzny błąd usługi w usłudze aprowizacji firmy Microsoft. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut.
InvalidDomain	Nie można wykonać operacji, ponieważ wartość atrybutu zawiera nieprawidłową nazwę domeny. Zaktualizuj nazwę domeny użytkownika lub dodaj ją do listy dozwolonych w aplikacji docelowej.
Limit czasu	Nie można ukończyć operacji, ponieważ odpowiadanie aplikacji docelowej trwało zbyt długo. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut.
LicenseLimitExceed	Nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Pozyskiwanie większej liczby licencji dla aplikacji docelowej. Możesz też przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy mają przypisane odpowiednie atrybuty.
DuplicateTargetEntries	Nie można ukończyć operacji, ponieważ więcej niż jeden użytkownik w aplikacji docelowej został znaleziony ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika z aplikacji docelowej lub skonfiguruj ponownie mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft.
DuplicateSourceEntries	Nie można ukończyć operacji, ponieważ znaleziono więcej niż jednego użytkownika ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika lub ponownie skonfiguruj mapowania atrybutów. Aby uzyskać więcej informacji, zobacz Dostosowywanie mapowań atrybutów aprowizacji użytkowników dla aplikacji SaaS w identyfikatorze Entra firmy Microsoft.
ImportSkipped	Po ocenie każdego użytkownika system próbuje zaimportować użytkownika z systemu źródłowego. Ten błąd występuje często, gdy użytkownik, który jest importowany, nie ma pasującej właściwości zdefiniowanej w mapowaniach atrybutów. Bez wartości znajdującej się w obiekcie użytkownika dla pasującego atrybutu system nie może ocenić zakresu, dopasowania ani wyeksportowania zmian. Obecność tego błędu nie wskazuje, że użytkownik jest w zakresie, ponieważ nie oceniono jeszcze zakresu dla użytkownika.
EntrySynchronizationSkipped	Usługa aprowizacji pomyślnie odpytyła system źródłowy i zidentyfikowała użytkownika. Nie podjęto żadnych dalszych działań na użytkowniku i zostały pominięte. Użytkownik mógł być poza zakresem lub już istniał w systemie docelowym bez konieczności wprowadzania dalszych zmian.
SystemForCrossDomainIdentity ZarządzanieMultipleEntriesInResponse	Żądanie GET pobrania użytkownika lub grupy odebrało wielu użytkowników lub grup w odpowiedzi. System oczekuje, że w odpowiedzi otrzyma tylko jednego użytkownika lub grupę. Jeśli na przykład wykonasz żądanie GRUPY GET w celu pobrania grupy, podaj filtr wykluczania elementów członkowskich, a punkt końcowy system zarządzania tożsamościami między domenami (SCIM) zwróci elementy członkowskie, zostanie wyświetlony ten błąd.
SystemForCrossDomainIdentity ZarządzanieUsługi Niezgodne	Usługa aprowizacji firmy Microsoft nie może przeanalizować odpowiedzi z aplikacji innej niż Microsoft. Skontaktuj się z deweloperem aplikacji, aby upewnić się, że serwer SCIM jest zgodny z klientem Microsoft Entra SCIM.
SchemaPropertyCanOnlyAcceptValue	Właściwość w systemie docelowym może akceptować tylko jedną wartość, ale właściwość w systemie źródłowym ma wiele. Upewnij się, że mapujesz atrybut o pojedynczej wartości na właściwość, która zgłasza błąd, zaktualizuj wartość w źródle jako pojedynczą wartość lub usuń atrybut z mapowań.

Kody błędów synchronizacji między dzierżawami

Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji synchronizacji między dzierżawami.

Kod błędu	Przyczyna	Rozwiązanie
AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService	Źródłem urzędu dla użytkownika jest usługa Exchange Online. Usługa aprowizacji nie może zaktualizować co najmniej jednego atrybutu wymiany użytkownika (np. extensionAttribute 1–15). Ma to wpływ na użytkowników, którzy istniały w dzierżawie docelowej, gdy właściwość dirSyncEnabled zmieniła się z "True" na "False".	Zaktualizuj atrybut bezpośrednio w lokalnej usłudze exchange dzierżawy w trybie online. Na przykład: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell"
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService	Aparat synchronizacji nie może zaktualizować co najmniej jednej właściwości użytkownika w dzierżawie docelowej. Operacja nie powiodła się w interfejsie MICROSOFT Graph API z powodu wymuszania źródła urzędu (SOA). Obecnie na liście są wyświetlane następujące właściwości: Mail showInAddressList	W niektórych przypadkach (na przykład gdy showInAddressList właściwość jest częścią aktualizacji użytkownika), aparat synchronizacji może automatycznie ponowić próbę aktualizacji (użytkownika) bez właściwości naruszającej. W przeciwnym razie należy zaktualizować właściwość bezpośrednio w dzierżawie docelowej.
AzureDirectory B2BManagementPolicy CheckFailure	Zasady synchronizacji między dzierżawami zezwalające na automatyczne wykup nie powiodły się. Aparat synchronizacji sprawdza, czy administrator dzierżawy docelowej utworzył zasady synchronizacji ruchu przychodzącego między dzierżawami umożliwiające automatyczne wykup. Aparat synchronizacji sprawdza również, czy administrator dzierżawy źródłowej włączył zasady ruchu wychodzącego na potrzeby automatycznego realizacji.	Upewnij się, że dla dzierżaw źródłowych i docelowych włączono ustawienie automatycznego realizacji. Aby uzyskać więcej informacji, zobacz Automatyczne ustawienie wykupu.
Microsoft Entra ID QuotaLimitExceed	Liczba obiektów w dzierżawie przekracza limit katalogu. Identyfikator Entra firmy Microsoft ma limity liczby obiektów, które można utworzyć w dzierżawie.	Sprawdź, czy można zwiększyć limit przydziału. Aby uzyskać informacje na temat limitów katalogów i kroków w celu zwiększenia limitu przydziału, zobacz Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Firmy Microsoft Entra).
InvitationCreationFailure	Usługa aprowizacji firmy Microsoft próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się.	Dalsze badanie prawdopodobnie wymaga skontaktowania się z pomocą techniczną.
InvitationCreationFailureUserAccountDisabled	Usługa aprowizacji firmy Microsoft próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się.	Użytkownik istnieje w dzierżawie docelowej, ale konto jest wyłączone i oczekuje na zaproszenie. Włącz konto użytkownika w dzierżawie docelowej i spróbuj ponownie aprowizować użytkownika.
Microsoft Entra ID Zakazany	Ustawienia współpracy zewnętrznej zablokowały zaproszenia.	Przejdź do ustawień użytkownika i upewnij się, że ustawienia współpracy zewnętrznej są dozwolone.
InvitationCreation (Tworzenie zaproszenia) FailureInvalidPropertyValue	Potencjalne przyczyny: * Podstawowy adres SMTP jest nieprawidłową wartością. * Typ użytkownika nie jest gościem ani członkiem * Adres e-mail grupy nie jest obsługiwany	Potencjalne rozwiązania: * Podstawowy adres SMTP ma nieprawidłową wartość. Rozwiązanie tego problemu prawdopodobnie wymaga zaktualizowania właściwości poczty użytkownika źródłowego. Aby uzyskać więcej informacji, zobacz Przygotowanie do synchronizacji katalogów na platformie Microsoft 365 * Upewnij się, że właściwość userType jest aprowizowana jako typ gość lub członek. Sprawdź mapowania atrybutów, aby dowiedzieć się, jak jest mapowany atrybut userType. * Adres e-mail użytkownika jest zgodny z adresem e-mail grupy w dzierżawie. Zaktualizuj adres e-mail dla jednego z dwóch obiektów.
InvitationCreation (Tworzenie zaproszenia) Błąd Niejednoznaczny użytkownik	Zaproszony użytkownik ma adres proxy zgodny z użytkownikiem wewnętrznym w dzierżawie docelowej. Adres serwera proxy musi być unikatowy.	Aby rozwiązać ten błąd, usuń istniejącego użytkownika wewnętrznego w dzierżawie docelowej lub usuń tego użytkownika z zakresu synchronizacji.
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises	Jeśli użytkownik w dzierżawie docelowej został pierwotnie zsynchronizowany z usługi AD do identyfikatora Entra firmy Microsoft i przekonwertowany na użytkownika zewnętrznego, źródło urzędu jest nadal lokalne i nie można go zaktualizować.	Nie można zaktualizować użytkownika za pomocą synchronizacji między dzierżawami.
EntityTypeNotSupported	Grupy mogą służyć do określania zakresu aprowizacji użytkowników. Nie można zsynchronizować obiektów grup.	Nie jest wymagana żadna akcja klienta. Jest to pominięte zdarzenie. Jeśli używasz aprowizacji na żądanie, upewnij się, że wybierzesz użytkownika, a nie grupę do aprowizacji.

Następne kroki

• Sprawdzanie stanu aprowizacji użytkowników
• Problem z konfigurowaniem aprowizacji użytkowników w aplikacji Microsoft Entra Gallery
• Interfejs API programu Graph na potrzeby dzienników aprowizacji