Provisionamento de aplicativo em status de quarentena

  • Artigo

O serviço de provisionamento do Microsoft Entra monitora a integridade da sua configuração. Ele também coloca aplicativos não íntegros em um estado de "quarentena". Se a maioria ou todas as chamadas feitas em relação ao sistema de destino falharem consistentemente, o trabalho de provisionamento será marcado como estando em quarentena. Um exemplo de uma falha é um erro recebido devido a credenciais de administrador inválidas.

Em quarentena:

  • A frequência de ciclos incrementais é reduzida gradualmente para uma por dia.
  • O trabalho de provisionamento é removido da quarentena depois que todos os erros são corrigidos e o próximo ciclo de sincronização é iniciado.
  • Se permanecer em quarentena por mais de quatro semanas, o trabalho de provisionamento será desabilitado (a execução é interrompida).

Como saber se o meu aplicativo está em quarentena?

Há três maneiras de verificar se um aplicativo está em quarentena:

  • No Centro de administração do Microsoft Entra, navegue até Identidade>Aplicativos>Aplicativos empresariais><nome do aplicativo>>Provisionamento e verifique se há uma mensagem de quarentena na barra de progresso.

    Provisioning status bar showing quarantine status

  • No Centro de administração do Microsoft Entra, navegue até Identidade>Monitoramento e integridade>Logs de auditoria> filtre em Atividade: Quarentena e examine o histórico de quarentena. A exibição na barra de progresso, conforme descrito acima, mostra se o provisionamento está em quarentena no momento. Os logs de auditoria mostram o histórico da quarentena de um aplicativo.

  • Use a solicitação do Microsoft Graph Obter synchronizationJob para obter programaticamente o status do trabalho de provisionamento:

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/

  • Verifique seu email. Quando um aplicativo é colocado em quarentena, um email de notificação de uso único é enviado. Se o motivo da quarentena for alterado, um email atualizado será enviado mostrando o novo motivo para a quarentena. Casoi não veja um email:

    • Certifique-se de que tenha especificado um Email de notificação válido na configuração de provisionamento para o aplicativo.
    • Certifique-se de que não haja nenhuma filtragem de spam na caixa de entrada de email de notificação.
    • Certifique-se de que não tenha cancelado a assinatura de emails.
    • Verificar emails de azure-noreply@microsoft.com

Por que meu aplicativo está em quarentena?

Abaixo estão os motivos comuns pelos quais o aplicativo pode ser posto em quarentena

Descrição Ação recomendada
Problema de conformidade do SCIM: Uma resposta HTTP/404 não encontrada foi retornada em vez da resposta HTTP/200 OK esperada. Nesse caso, o serviço de provisionamento do Microsoft Entra fez uma solicitação ao aplicativo de destino e recebeu uma resposta inesperada. Verifique a seção de credenciais de administrador. Veja se o aplicativo requer a especificação da URL do locatário e se a URL está correta. Caso não veja nenhum problema, entre em contato com o desenvolvedor do aplicativo para garantir que seu serviço seja compatível com o SCIM. https://tools.ietf.org/html/rfc7644#section-3.4.2
Credenciais inválidas: Ao tentar autorizar acesso ao aplicativo de destino, recebemos uma resposta do aplicativo de destino que indica que as credenciais fornecidas são inválidas. Navegue até a seção credenciais de administrador da IU de configuração de provisionamento e autorize o acesso novamente com credenciais válidas. Se o aplicativo estiver na galeria, examine o tutorial de configuração do aplicativo para obter mais etapas necessárias.
Funções duplicadas: as funções importadas de determinados aplicativos, como o Salesforce e o Zendesk, devem ser exclusivas. Navegue até o manifesto do aplicativo no Centro de administração do Microsoft Entra e remova a função duplicada.

Uma solicitação do Microsoft Graph para obter o status do trabalho de provisionamento mostra o seguinte motivo para a quarentena:

  • EncounteredQuarantineException indica que foram fornecidas credenciais inválidas. O serviço de provisionamento não pode estabelecer uma conexão entre o sistema de origem e o sistema de destino.
  • EncounteredEscrowProportionThreshold indica que o provisionamento excedeu o limite de caução. Essa condição ocorre quando mais de 40% dos eventos de provisionamento falharam. Para obter mais informações, consulte detalhes do limite de caução abaixo.
  • QuarantineOnDemand significa que detectamos um problema com o aplicativo e o definimos manualmente como quarentena.

Limites de caução

Se o limite de caução proporcional for atendido, o trabalho de provisionamento entrará em quarentena. Essa lógica está sujeita a alterações, mas funciona, aproximadamente, conforme descrito abaixo:

Um trabalho pode entrar em quarentena independentemente das contagens de falhas para problemas como credenciais de administrador ou conformidade do SCIM. No entanto, em geral, 5.000 falhas são o mínimo para começar a avaliar se é necessário colocar em quarentena devido a muitas falhas. Por exemplo, um trabalho com 4.000 falhas não entrará em quarentena. Mas, um trabalho com 5.000 falhas dispararia uma avaliação. Uma avaliação usa os seguintes critérios:

  • Se mais de 40% dos eventos de provisionamento falharem ou houver mais de 40.000 falhas, o trabalho de provisionamento entrará em quarentena. Falhas de referência não serão contadas como parte do limite de 40% ou de 40.000. Por exemplo, uma falha ao atualizar um gerente ou um membro do grupo é uma falha de referência.
  • Um trabalho em que 45.000 usuários não foram provisionados com êxito resultaria em quarentena, pois excede o limite de 40.000.
  • Um trabalho em que 30.000 usuários tiveram falha no provisionamento e 5.000 foram bem-sucedidos resultaria em quarentena, pois excede o limite de 40% e o mínimo de 5.000.
  • Um trabalho com 20.000 falhas e 100.000 êxitos não entraria em quarentena, pois não excede o limite de falha de 40% ou o máximo de 40.000 falhas.
  • Há um limite absoluto de 60.000 falhas que conta tanto para falhas de referência e como de não referência. Por exemplo, 40.000 usuários não obtiveram êxito no provisionamento e 21.000 atualizações do gerenciador falharam. O total é de 61.000 falhas e excede o limite de 60.000.

Duração da repetição

A lógica documentada aqui pode ser diferente para determinados conectores para garantir a melhor experiência do cliente, mas geralmente temos os ciclos de repetição abaixo após uma falha:

Após a falha, a primeira repetição ocorrerá em seis horas.

  • A segunda repetição ocorre 12 horas após a primeira falha.
  • A terceira repetição ocorre 24 horas após a primeira falha.

Haverá novas tentativas a cada 24 horas após a terceira tentativa. As novas tentativas continuarão por 28 dias após a primeira falha, após o que a entrada de garantia será removida e o trabalho será desabilitado.
Se qualquer uma das tentativas acima receber uma resposta bem-sucedida, o trabalho será automaticamente retirado da quarentena e retomará o comportamento regular de sincronização.

Como fazer para tirar meu aplicativo da quarentena?

Primeiro, resolva o problema que fez com que o aplicativo fosse colocado em quarentena.

  • Verifique as configurações de provisionamento do aplicativo para se certificar de que tenha inserido credenciais de administrador válidas. A ID do Microsoft Entra deve estabelecer uma relação de confiança com o aplicativo de destino. Certifique-se de que tenha inserido credenciais válidas e se sua conta tem as permissões necessárias.

  • Examine os logs de provisionamento para investigar melhor quais erros estão causando a quarentena e resolver o erro. Vá até ID do Microsoft Entra>Aplicativos empresariais>Logs de provisionamento (versão prévia) na seção Atividade.

Depois de resolver o problema, reinicie o trabalho de provisionamento. Determinadas alterações nas configurações de provisionamento do aplicativo, como mapeamentos de atributos ou filtros de escopos, reiniciarão o provisionamento automaticamente para você. A barra de progresso na página de Provisionamento do aplicativo indica quando o provisionamento foi iniciado pela última vez. Caso precise reiniciar o trabalho de provisionamento manualmente, use um dos seguintes métodos:

  • Use o Centro de administração do Microsoft Entra para reiniciar o trabalho de provisionamento. Na página de Provisionamento do aplicativo, selecione Reiniciar provisionamento. Essa ação reinicia completamente o serviço de provisionamento, o que pode levar algum tempo. Um ciclo inicial completo será executado novamente, o que limpa as cauções, remove o aplicativo da quarentena e limpa as marcas d' água. O serviço, então, avaliará todos os usuários no sistema de origem novamente e determinará se eles estão no escopo do provisionamento. Isso pode ser útil quando o aplicativo está em quarentena no momento, conforme discutido neste artigo, ou quando é necessário fazer uma alteração nos mapeamentos de atributos. Observe que o ciclo inicial leva mais tempo para ser concluído do que o ciclo incremental típico, devido ao número de objetos que precisam ser avaliados. Saiba mais sobre o desempenho dos ciclos iniciais e incrementais aqui.

  • Use o Microsoft Graph para reiniciar o trabalho de provisionamento. Você terá controle total sobre o que reinicia. É possível optar por limpar as cauções (para reiniciar o contador de cauções que se acumula para o status de quarentena), limpar a quarentena (para remover o aplicativo da quarentena) ou limpar as marcas d' água. Envie a seguinte solicitação:

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Substitua "{ID}" pelo valor da ID do aplicativo e substitua "{jobId}" pela ID do trabalho de sincronização.