Jak pobrać i przeanalizować dzienniki aprowizacji firmy Microsoft
Dzienniki aprowizacji firmy Microsoft zawierają szczegółowe informacje o zdarzeniach aprowizacji występujących w dzierżawie. Możesz użyć informacji przechwyconych w dziennikach aprowizacji, aby rozwiązać problemy z aprowizowanego użytkownika.
W tym artykule opisano opcje pobierania dzienników aprowizacji z centrum administracyjnego firmy Microsoft Entra i sposobu analizowania dzienników. Uwzględniono również kody błędów i specjalne zagadnienia.
Wymagania wstępne
Aby wyświetlić dzienniki aprowizacji, dzierżawa musi mieć skojarzoną licencję Microsoft Entra ID P1 lub P2. Aby uaktualnić wersję Microsoft Entra, zobacz Wprowadzenie do usługi Microsoft Entra ID P1 lub P2.
Właściciele aplikacji mogą wyświetlać dzienniki dla własnych aplikacji. Do wyświetlania dzienników aprowizacji wymagane są następujące role:
- Czytelnik raportów
- Czytelnik zabezpieczeń
- Operator zabezpieczeń
- Administrator zabezpieczeń
- Administrator aplikacji
- Administrator aplikacji w chmurze
- Użytkownicy w roli niestandardowej z uprawnieniem provisioningLogs
Jak wyświetlić dzienniki aprowizacji
Istnieje kilka sposobów wyświetlania lub analizowania dzienników aprowizacji:
- Wyświetl w witrynie Azure Portal.
- Przesyłanie strumieniowe dzienników do usługi Azure Monitor za pomocą ustawień diagnostycznych.
- Analizowanie dzienników za pomocą szablonów skoroszytów .
- Programowe uzyskiwanie dostępu do dzienników za pośrednictwem interfejsu API programu Microsoft Graph.
- Pobierz dzienniki jako plik CSV lub JSON.
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Aby uzyskać dostęp do dzienników w witrynie Azure Portal:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik raportów.
- Przejdź do dzienników monitorowania tożsamości>i aprowizacji kondycji.>
Jak pobrać dzienniki aprowizacji
Dzienniki aprowizacji do późniejszego użycia można pobrać, przechodząc do dzienników w witrynie Azure Portal i wybierając pozycję Pobierz. Wyniki są filtrowane na podstawie wybranych kryteriów filtrowania. Ustaw filtry tak konkretne, aby zmniejszyć rozmiar i czas pobierania.
Format CSV
Pobieranie pliku CSV obejmuje trzy pliki:
- ProvisioningLogs: pobiera wszystkie dzienniki, z wyjątkiem kroków aprowizacji i zmodyfikowanych właściwości.
- ProvisioningLogs_ProvisioningSteps: zawiera kroki aprowizacji i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.
- ProvisioningLogs_ModifiedProperties: zawiera atrybuty, które zostały zmienione i identyfikator zmiany. Możesz użyć identyfikatora zmiany, aby dołączyć zdarzenie do dwóch pozostałych plików.
Format JSON
Aby otworzyć plik JSON, użyj edytora tekstów, takiego jak Microsoft Visual Studio Code. Program Visual Studio Code ułatwia odczytywanie pliku, zapewniając wyróżnianie składni. Możesz również otworzyć plik JSON przy użyciu przeglądarek w formacie niezmienialnym, takim jak Microsoft Edge.
Prettify pliku JSON
Plik JSON jest pobierany w formacie, aby zmniejszyć rozmiar pobierania. Ten format może sprawić, że ładunek będzie trudny do odczytania. Zapoznaj się z dwiema opcjami w celu wstępnego wyrejecjonowania pliku:
Użyj programu PowerShell, aby sformatować kod JSON. Ten skrypt tworzy dane wyjściowe JSON w formacie zawierającym karty i spacje:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Analizowanie pliku JSON
Możesz użyć dowolnego języka programowania, z którym się czujesz. Poniższe przykłady znajdują się w programie PowerShell.
Przeczytaj plik JSON:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Teraz możesz przeanalizować dane zgodnie ze swoim scenariuszem. Oto kilka przykładów:
Wyprowadź wszystkie identyfikatory zadań w pliku JSON:
foreach ($provitem in $JSONContent) { $provitem.jobId }Wyprowadź wszystkie identyfikatory zmian dla zdarzeń, w których akcja miała wartość "create":
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Co należy wiedzieć
Poniżej przedstawiono kilka wskazówek i zagadnień dotyczących analizowania dzienników aprowizacji:
Witryna Azure Portal przechowuje zgłoszone dane aprowizacji przez 30 dni, jeśli masz wersję Premium i 7 dni, jeśli masz bezpłatną wersję. Dzienniki aprowizacji można kierować do dzienników usługi Azure Monitor w celu przechowywania przez 30 dni.
Możesz użyć atrybutu change ID jako unikatowego identyfikatora, co może być przydatne podczas interakcji z pomocą techniczną produktu, na przykład.
Możesz zobaczyć pominięte zdarzenia dla użytkowników, którzy nie są w zakresie.
- Przykład 1: Jeśli masz ustawiony zakres i
all users and groupsskonfigurujesz filtry określania zakresu, możesz zobaczyć pominięte dzienniki dla użytkowników, którzy nie spełniają kryteriów określania zakresu. - Przykład 2: Jeśli ustawiono zakres na
assigned users and groups, możesz nadal widzieć użytkowników w dziennikach jako pominiętych, mimo że nie są przypisane do aplikacji. Jest to spowodowane tym, jak usługa aprowizacji odbiera zmiany z katalogu.
- Przykład 1: Jeśli masz ustawiony zakres i
Dzienniki aprowizacji nie pokazują importów ról (dotyczy usług AWS, Salesforce i Zendesk). Dzienniki importu ról można znaleźć w dziennikach inspekcji.
Kody błędów
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji.
| Kod błędu | opis |
|---|---|
| Konflikt EntryConflict |
Popraw sprzeczne wartości atrybutów w identyfikatorze Entra firmy Microsoft lub aplikacji. Możesz też przejrzeć konfigurację pasującego atrybutu, jeśli konto użytkownika powodujące konflikt miało być dopasowane i przejęte. Zapoznaj się z dokumentacją, aby uzyskać więcej informacji na temat konfigurowania pasujących atrybutów. |
| TooManyRequests | Aplikacja docelowa odrzuciła tę próbę zaktualizowania użytkownika, ponieważ jest przeciążona i odbiera zbyt wiele żądań. Nie ma nic do zrobienia. Ta próba zostanie automatycznie wycofana. Firma Microsoft została również powiadomiona o tym problemie. |
| InternalServerError | Aplikacja docelowa zwróciła nieoczekiwany błąd. Problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Brak autoryzacji |
Firma Microsoft Entra została uwierzytelniona w aplikacji docelowej, ale nie została autoryzowana do wykonania aktualizacji. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednim samouczkiem aplikacji. |
| Nieprzetworzonaentność | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji docelowej może nie być poprawna lub problem z usługą w aplikacji docelowej może uniemożliwić jej działanie. |
| Błąd WebExceptionProtocolError | Wystąpił błąd protokołu HTTP podczas nawiązywania połączenia z aplikacją docelową. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| InvalidAnchor | Użytkownik, który został wcześniej utworzony lub dopasowany przez usługę aprowizacji, już nie istnieje. Upewnij się, że użytkownik istnieje. Aby wymusić nowe dopasowanie wszystkich użytkowników, użyj interfejsu API programu Microsoft Graph, aby ponownie uruchomić zadanie. Ponowne uruchamianie aprowizacji wyzwala początkowy cykl, który może zająć trochę czasu. Ponowne uruchamianie aprowizacji powoduje również usunięcie pamięci podręcznej używanej przez usługę aprowizacji do działania. Oznacza to, że wszyscy użytkownicy i grupy w dzierżawie muszą zostać ponownie ocenione, a niektóre zdarzenia aprowizacji mogą zostać porzucone. |
| Nieimplementowane | Aplikacja docelowa zwróciła nieoczekiwaną odpowiedź. Konfiguracja aplikacji może nie być poprawna lub problem z usługą aplikacji docelowej może uniemożliwić jej działanie. Przejrzyj wszelkie instrukcje podane przez aplikację docelową wraz z odpowiednim samouczkiem aplikacji. |
| ObowiązkoweFieldsMissing, MissingValues |
Nie można utworzyć użytkownika, ponieważ brakuje wymaganych wartości. Popraw brakujące wartości atrybutów w rekordzie źródłowym lub przejrzyj konfigurację pasujących atrybutów, aby upewnić się, że wymagane pola nie zostały pominięte. Dowiedz się więcej o konfigurowaniu pasujących atrybutów. |
| SchemaAttributeNotFound | Nie można wykonać operacji, ponieważ określono atrybut, który nie istnieje w aplikacji docelowej. Zapoznaj się z dokumentacją dotyczącą dostosowywania atrybutów i upewnij się, że konfiguracja jest poprawna. |
| InternalError | Wystąpił wewnętrzny błąd usługi w usłudze aprowizacji firmy Microsoft. Nie ma nic do zrobienia. Ta próba zostanie automatycznie wycofana w ciągu 40 minut. |
| InvalidDomain | Nie można wykonać operacji, ponieważ wartość atrybutu zawiera nieprawidłową nazwę domeny. Zaktualizuj nazwę domeny użytkownika lub dodaj ją do listy dozwolonych w aplikacji docelowej. |
| Timeout | Nie można ukończyć operacji, ponieważ odpowiadanie aplikacji docelowej trwało zbyt długo. Nie ma nic do zrobienia. Ta próba jest automatycznie ponawiana w ciągu 40 minut. |
| LicenseLimitExceed | Nie można utworzyć użytkownika w aplikacji docelowej, ponieważ nie ma dostępnych licencji dla tego użytkownika. Pozyskiwanie większej liczby licencji dla aplikacji docelowej. Możesz też przejrzeć przypisania użytkowników i konfigurację mapowania atrybutów, aby upewnić się, że poprawne użytkownicy mają przypisane odpowiednie atrybuty. |
| DuplicateTargetEntries | Nie można ukończyć operacji, ponieważ więcej niż jeden użytkownik w aplikacji docelowej został znaleziony ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika z aplikacji docelowej lub skonfiguruj ponownie mapowania atrybutów. |
| DuplicateSourceEntries | Nie można ukończyć operacji, ponieważ znaleziono więcej niż jednego użytkownika ze skonfigurowanymi pasującymi atrybutami. Usuń zduplikowanego użytkownika lub ponownie skonfiguruj mapowania atrybutów. |
| ImportSkipped | Po ocenie każdego użytkownika system próbuje zaimportować użytkownika z systemu źródłowego. Ten błąd występuje często, gdy użytkownik, który jest importowany, nie ma pasującej właściwości zdefiniowanej w mapowaniach atrybutów. Bez wartości znajdującej się w obiekcie użytkownika dla pasującego atrybutu system nie może ocenić zakresu, dopasowania ani wyeksportowania zmian. Obecność tego błędu nie wskazuje, że użytkownik jest w zakresie, ponieważ nie oceniono jeszcze zakresu dla użytkownika. |
| EntrySynchronizationSkipped | Usługa aprowizacji pomyślnie odpytyła system źródłowy i zidentyfikowała użytkownika. Nie podjęto żadnych dalszych działań na użytkowniku i zostały pominięte. Użytkownik mógł być poza zakresem lub użytkownik mógł już istnieć w systemie docelowym bez konieczności wprowadzania dalszych zmian. |
| SystemForCrossDomainIdentity ZarządzanieMultipleEntriesInResponse |
Żądanie GET pobrania użytkownika lub grupy odebrało wielu użytkowników lub grup w odpowiedzi. System oczekuje, że w odpowiedzi otrzyma tylko jednego użytkownika lub grupę. Jeśli na przykład wykonasz żądanie GRUPY GET w celu pobrania grupy, podaj filtr wykluczania elementów członkowskich, a punkt końcowy system zarządzania tożsamościami między domenami (SCIM) zwróci elementy członkowskie, zostanie wyświetlony ten błąd. |
| SystemForCrossDomainIdentity ZarządzanieUsługi Niezgodne |
Usługa aprowizacji firmy Microsoft nie może przeanalizować odpowiedzi z aplikacji innej firmy. Skontaktuj się z deweloperem aplikacji, aby upewnić się, że serwer SCIM jest zgodny z klientem Microsoft Entra SCIM. |
| SchemaPropertyCanOnlyAcceptValue | Właściwość w systemie docelowym może akceptować tylko jedną wartość, ale właściwość w systemie źródłowym ma wiele. Upewnij się, że mapujesz atrybut o pojedynczej wartości na właściwość, która zgłasza błąd, zaktualizuj wartość w źródle jako pojedynczą wartość lub usuń atrybut z mapowań. |
Kody błędów synchronizacji między dzierżawami
Skorzystaj z poniższej tabeli, aby lepiej zrozumieć, jak usunąć błędy, które można znaleźć w dziennikach aprowizacji synchronizacji między dzierżawami.
| Kod błędu | Przyczyna | Rozwiązanie |
|---|---|---|
| Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService |
Aparat synchronizacji nie może zaktualizować co najmniej jednej właściwości użytkownika w dzierżawie docelowej. Operacja nie powiodła się w interfejsie MICROSOFT Graph API z powodu wymuszania źródła urzędu (SOA). Obecnie na liście są wyświetlane następujące właściwości: MailshowInAddressList |
W niektórych przypadkach (na przykład gdy showInAddressList właściwość jest częścią aktualizacji użytkownika), aparat synchronizacji może automatycznie ponowić próbę aktualizacji (użytkownika) bez właściwości naruszającej. W przeciwnym razie należy zaktualizować właściwość bezpośrednio w dzierżawie docelowej. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Zasady synchronizacji między dzierżawami zezwalające na automatyczne wykup nie powiodły się. Aparat synchronizacji sprawdza, czy administrator dzierżawy docelowej utworzył zasady synchronizacji ruchu przychodzącego między dzierżawami umożliwiające automatyczne wykup. Aparat synchronizacji sprawdza również, czy administrator dzierżawy źródłowej włączył zasady ruchu wychodzącego na potrzeby automatycznego realizacji. |
Upewnij się, że dla dzierżaw źródłowych i docelowych włączono ustawienie automatycznego realizacji. Aby uzyskać więcej informacji, zobacz Automatyczne ustawienie wykupu. |
| Microsoft Entra ID QuotaLimitExceed |
Liczba obiektów w dzierżawie przekracza limit katalogu. Identyfikator Entra firmy Microsoft ma limity liczby obiektów, które można utworzyć w dzierżawie. |
Sprawdź, czy można zwiększyć limit przydziału. Aby uzyskać informacje na temat limitów katalogów i kroków w celu zwiększenia limitu przydziału, zobacz Microsoft Entra service limits and restrictions (Limity i ograniczenia usługi Firmy Microsoft Entra). |
| InvitationCreationFailure | Usługa aprowizacji firmy Microsoft próbowała zaprosić użytkownika w dzierżawie docelowej. To zaproszenie nie powiodło się. | Dalsze badanie prawdopodobnie wymaga skontaktowania się z pomocą techniczną. |
| Microsoft Entra ID Dostęp zabroniony |
Ustawienia współpracy zewnętrznej zablokowały zaproszenia. | Przejdź do ustawień użytkownika i upewnij się, że ustawienia współpracy zewnętrznej są dozwolone. |
| InvitationCreation (Tworzenie zaproszenia) FailureInvalidPropertyValue |
Prawdopodobne przyczyny: * Podstawowy adres SMTP jest nieprawidłową wartością. * Typ użytkownika nie jest gościem ani członkiem * Adres e-mail grupy nie jest obsługiwany |
Potencjalne rozwiązania: * Podstawowy adres SMTP ma nieprawidłową wartość. Rozwiązanie tego problemu prawdopodobnie będzie wymagać zaktualizowania właściwości poczty użytkownika źródłowego. Aby uzyskać więcej informacji, zobacz Przygotowanie do synchronizacji katalogów na platformie Microsoft 365 * Upewnij się, że właściwość userType jest aprowizowana jako typ gość lub członek. Można to naprawić, sprawdzając mapowania atrybutów, aby zrozumieć, jak atrybut userType jest mapowany. * Adres e-mail użytkownika jest zgodny z adresem e-mail grupy w dzierżawie. Zaktualizuj adres e-mail dla jednego z dwóch obiektów. |
| InvitationCreation (Tworzenie zaproszenia) Błąd Niejednoznaczny użytkownik |
Zaproszony użytkownik ma adres proxy zgodny z użytkownikiem wewnętrznym w dzierżawie docelowej. Adres serwera proxy musi być unikatowy. | Aby rozwiązać ten błąd, usuń istniejącego użytkownika wewnętrznego w dzierżawie docelowej lub usuń tego użytkownika z zakresu synchronizacji. |
| Microsoft Entra ID CannotUpdateObjects MasteredOnPremises |
Jeśli użytkownik w dzierżawie docelowej został pierwotnie zsynchronizowany z usługi AD do identyfikatora Entra firmy Microsoft i przekonwertowany na użytkownika zewnętrznego, źródło urzędu jest nadal lokalne i nie można go zaktualizować. | Nie można zaktualizować użytkownika przez synchronizację między dzierżawami |
| EntityTypeNotSupported | Grupy mogą służyć do określania zakresu aprowizacji użytkowników. Nie można zsynchronizować obiektów grup. | Nie jest wymaga żadna akcja klienta. Jest to pominięte zdarzenie. Jeśli używasz aprowizacji na żądanie, upewnij się, że wybierzesz użytkownika, a nie grupę do aprowizacji. |
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla