Aprovisionar registos no Azure Active Directory

O Azure Active Directory (Azure AD) integra-se em vários serviços de terceiros para aprovisionar utilizadores no seu inquilino. Se precisar de resolver um problema com um utilizador aprovisionado, pode utilizar as informações capturadas no Azure AD registos de aprovisionamento para ajudar a encontrar uma solução.

Estão também disponíveis dois outros registos de atividades para ajudar a monitorizar o estado de funcionamento do seu inquilino:

  • Inícios de sessão – informações sobre inícios de sessão e como os seus recursos são utilizados pelos seus utilizadores.
  • Auditoria – informações sobre as alterações aplicadas ao seu inquilino, como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do inquilino.

Este artigo fornece-lhe uma descrição geral dos registos de aprovisionamento.

O que posso fazer com isto?

Pode utilizar os registos de aprovisionamento para encontrar respostas a perguntas como:

  • Que grupos foram criados com êxito no ServiceNow?

  • Que utilizadores foram removidos com êxito do Adobe?

  • Que utilizadores do Workday foram criados com êxito no Active Directory?

Como pode aceder aos registos de aprovisionamento?

Para ver os registos de aprovisionamento, o inquilino tem de ter uma licença Azure AD Premium associada. Para atualizar a sua edição Azure AD, consulte Introdução ao Azure Active Directory Premium.

Os proprietários de aplicações podem ver os registos das suas próprias aplicações. São necessárias as seguintes funções para ver os registos de aprovisionamento:

  • Leitor de Relatórios
  • Leitor de Segurança
  • Operador de Segurança
  • Administrador de Segurança
  • Administrador da Aplicação
  • Administrador de Aplicações na Cloud
  • Administrador Global
  • Utilizadores numa função personalizada com a permissão provisioningLogs

Para aceder aos dados de registo de aprovisionamento, tem as seguintes opções:

  • Selecione Registos de aprovisionamento na secção Monitorização do Azure AD.

  • Transmita os registos de aprovisionamento para o Azure Monitor. Este método permite a retenção alargada de dados e a criação de dashboards, alertas e consultas personalizados.

  • Consulte o Microsoft Graph API para os registos de aprovisionamento.

  • Transfira os registos de aprovisionamento como um ficheiro CSV ou JSON.

Ver os registos de aprovisionamento

Para ver o registo de aprovisionamento de forma mais eficaz, passe alguns momentos a personalizar a vista para as suas necessidades. Pode especificar as colunas a incluir e filtrar os dados para restringir as coisas.

Personalizar o esquema

O registo de aprovisionamento tem uma vista predefinida, mas pode personalizar colunas.

  1. Selecione Colunas no menu na parte superior do registo.
  2. Selecione as colunas que pretende ver e selecione o botão Guardar na parte inferior da janela.

Captura de ecrã que mostra o botão para personalizar colunas.

Esta área permite-lhe apresentar mais campos ou remover campos já apresentados.

Filtrar os resultados

Quando filtra os dados de aprovisionamento, alguns valores de filtro são preenchidos dinamicamente com base no seu inquilino. Por exemplo, se não tiver eventos de "criar" no seu inquilino, não haverá uma opção Criar filtro.

O filtro Identidade permite-lhe especificar o nome ou a identidade que lhe interessa. Esta identidade pode ser um utilizador, grupo, função ou outro objeto.

Pode procurar pelo nome ou ID do objeto. O ID varia consondo o cenário.

  • Se estiver a aprovisionar um objeto de Azure AD para o Salesforce, o ID de origem é o ID do objeto do utilizador no Azure AD. O ID de destino é o ID do utilizador no Salesforce.
  • Se estiver a aprovisionar do Workday para o Azure AD, o ID de origem é o ID do funcionário de trabalho do Workday. O ID de destino é o ID do utilizador no Azure AD.

Nota

O nome do utilizador pode nem sempre estar presente na coluna Identidade . Haverá sempre um ID.

O filtro Data permite-lhe definir um período de tempo para os dados devolvidos. Os valores possíveis são:

  • Um mês
  • Sete dias
  • 30 dias
  • 24 horas
  • Intervalo de tempo personalizado (configurar uma data de início e uma data de fim)

O filtro Estado permite-lhe selecionar:

  • Todos
  • Com êxito
  • Falha
  • Ignorado

O filtro Ação permite-lhe filtrar estas ações:

  • Criar
  • Atualizar
  • Eliminar
  • Desativar
  • Outro

Além dos filtros da vista predefinida, pode definir os seguintes filtros.

  • ID da Tarefa: está associado um ID de trabalho exclusivo a cada aplicação para a qual ativou o aprovisionamento.

  • ID do Ciclo: o ID do ciclo identifica exclusivamente o ciclo de aprovisionamento. Pode partilhar este ID com o suporte do produto para procurar o ciclo em que este evento ocorreu.

  • ID de Alteração: o ID de alteração é um identificador exclusivo para o evento de aprovisionamento. Pode partilhar este ID com o suporte do produto para procurar o evento de aprovisionamento.

  • Sistema de Origem: pode especificar de onde a identidade está a ser aprovisionada. Por exemplo, quando está a aprovisionar um objeto de Azure AD para o ServiceNow, o sistema de origem é Azure AD.

  • Sistema de Destino: pode especificar para onde a identidade está a ser aprovisionada. Por exemplo, quando está a aprovisionar um objeto de Azure AD para o ServiceNow, o sistema de destino é ServiceNow.

  • Aplicação: só pode mostrar registos de aplicações com um nome a apresentar que contenha uma cadeia específica.

Analisar os registos de aprovisionamento

Quando seleciona um item na vista de lista de aprovisionamento, obtém mais detalhes sobre este item, como os passos dados para aprovisionar o utilizador e sugestões para resolver problemas. Os detalhes são agrupados em quatro separadores.

  • Passos: descreve os passos dados para aprovisionar um objeto. O aprovisionamento de um objeto pode consistir em quatro passos:

    1. Importe o objeto.
    2. Determinar se o objeto está no âmbito.
    3. Corresponder o objeto entre a origem e o destino.
    4. Aprovisionar o objeto (criar, atualizar, eliminar ou desativar).

    Captura de ecrã a mostrar os passos de aprovisionamento no separador Passos.

  • Resolução de & problemas Recomendações: fornece o código de erro e o motivo. As informações de erro só estão disponíveis se ocorrer uma falha.

  • Propriedades Modificadas: mostra o valor antigo e o novo valor. Se não existir nenhum valor antigo, essa coluna estará em branco.

  • Resumo: fornece uma descrição geral do que aconteceu e dos identificadores do objeto nos sistemas de origem e de destino.

Transferir registos como CSV ou JSON

Pode transferir os registos de aprovisionamento para utilização posterior ao aceder aos registos no portal do Azure e selecionar Transferir. O ficheiro será filtrado com base nos critérios de filtro que selecionou. Torne os filtros o mais específicos possível para reduzir o tamanho e o tempo da transferência.

A transferência do CSV inclui três ficheiros:

  • ProvisioningLogs: transfere todos os registos, exceto os passos de aprovisionamento e as propriedades modificadas.
  • ProvisioningLogs_ProvisioningSteps: contém os passos de aprovisionamento e o ID de alteração. Pode utilizar o ID de alteração para aderir ao evento com os outros dois ficheiros.
  • ProvisioningLogs_ModifiedProperties: contém os atributos que foram alterados e o ID da alteração. Pode utilizar o ID de alteração para aderir ao evento com os outros dois ficheiros.

Abrir o ficheiro JSON

Para abrir o ficheiro JSON, utilize um editor de texto, como Microsoft Visual Studio Code. O Visual Studio Code facilita a leitura do ficheiro ao fornecer realces de sintaxe. Também pode abrir o ficheiro JSON com browsers num formato ineditável, como o Microsoft Edge.

Prettificar o ficheiro JSON

O ficheiro JSON é transferido em formato minificado para reduzir o tamanho da transferência. Este formato pode dificultar a leitura do payload. Consulte duas opções para pretificar o ficheiro:

  • Utilize o Visual Studio Code para formatar o JSON.

  • Utilize o PowerShell para formatar o JSON. Este script irá produzir o JSON num formato que inclui separadores e espaços:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Analisar o ficheiro JSON

Seguem-se alguns comandos de exemplo para trabalhar com o ficheiro JSON com o PowerShell. Pode utilizar qualquer linguagem de programação com a qual se sinta confortável.

Primeiro, leia o ficheiro JSON ao executar este comando:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Agora, pode analisar os dados de acordo com o seu cenário. Veja a seguir alguns exemplos:

  • Exportar todos os IDs de trabalho no ficheiro JSON:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Exportar todos os IDs de alteração para eventos em que a ação foi "criar":

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

O que deve saber

Eis algumas sugestões e considerações sobre o aprovisionamento de relatórios:

  • O portal do Azure armazena dados de aprovisionamento reportados durante 30 dias se tiver uma edição premium e 7 dias se tiver uma edição gratuita. Pode publicar os registos de aprovisionamento no Log Analytics para retenção superior a 30 dias.

  • Pode utilizar o atributo ID de alteração como identificador exclusivo, o que pode ser útil quando interage com o suporte do produto, por exemplo.

  • Poderá ver eventos ignorados para utilizadores que não estão no âmbito. Este comportamento é esperado, especialmente quando o âmbito de sincronização está definido para todos os utilizadores e grupos. O serviço avalia todos os objetos no inquilino, mesmo os que estão fora do âmbito.

  • Os registos de aprovisionamento não mostram importações de funções (aplica-se ao AWS, Salesforce e Zendesk). Pode encontrar os registos das importações de funções nos registos de auditoria.

Códigos de erro

Utilize a tabela seguinte para compreender melhor como resolver erros encontrados nos registos de aprovisionamento. Para quaisquer códigos de erro em falta, forneça feedback utilizando a ligação na parte inferior desta página.

Código de erro Descrição
Conflito,
EntryConflict
Corrija os valores de atributos em conflito no Azure AD ou na aplicação. Em alternativa, reveja a configuração do atributo correspondente se a conta de utilizador em conflito deveria ser correspondida e assumida. Veja a documentação para obter mais informações sobre como configurar atributos correspondentes.
TooManyRequests A aplicação de destino rejeitou esta tentativa de atualizar o utilizador porque está sobrecarregado e a receber demasiados pedidos. Não há nada para fazer. Esta tentativa será automaticamente descontinuada. Microsoft também foi notificado sobre este problema.
InternalServerError A aplicação de destino devolveu um erro inesperado. Um problema de serviço com a aplicação de destino pode estar a impedir que funcione. Esta tentativa será repetida automaticamente em 40 minutos.
InsufficientRights,
MethodNotAllowed,
NãoPermitido,
Não autorizado
Azure AD autenticado com a aplicação de destino, mas não estava autorizado a efetuar a atualização. Reveja as instruções fornecidas pela aplicação de destino, juntamente com o respetivo tutorial de aplicação.
UnprocessableEntity A aplicação de destino devolveu uma resposta inesperada. A configuração da aplicação de destino pode não estar correta ou um problema de serviço com a aplicação de destino pode estar a impedi-la de funcionar.
WebExceptionProtocolError Ocorreu um erro de protocolo HTTP ao ligar à aplicação de destino. Não há nada para fazer. Esta tentativa será repetida automaticamente em 40 minutos.
InvalidAnchor Já não existe um utilizador que tenha sido criado ou correspondido pelo serviço de aprovisionamento. Certifique-se de que o utilizador existe. Para forçar uma nova correspondência de todos os utilizadores, utilize a Microsoft Graph API para reiniciar a tarefa.

Reiniciar o aprovisionamento irá acionar um ciclo inicial, que pode demorar algum tempo a concluir. Reiniciar o aprovisionamento também elimina a cache que o serviço de aprovisionamento utiliza para operar. Isto significa que todos os utilizadores e grupos no inquilino terão de ser avaliados novamente e determinados eventos de aprovisionamento poderão ser removidos.
NotImplemented A aplicação de destino devolveu uma resposta inesperada. A configuração da aplicação pode não estar correta ou um problema de serviço com a aplicação de destino pode estar a impedi-la de funcionar. Reveja as instruções fornecidas pela aplicação de destino, juntamente com o respetivo tutorial de aplicação.
MandatoryFieldsMissing,
MissingValues
Não foi possível criar o utilizador porque faltam os valores necessários. Corrija os valores de atributo em falta no registo de origem ou reveja a configuração do atributo correspondente para garantir que os campos necessários não são omitidos. Saiba mais sobre como configurar atributos correspondentes.
SchemaAttributeNotFound Não foi possível executar a operação porque foi especificado um atributo que não existe na aplicação de destino. Veja a documentação sobre a personalização de atributos e certifique-se de que a configuração está correta.
InternalError Ocorreu um erro de serviço interno no serviço de aprovisionamento de Azure AD. Não há nada para fazer. Esta tentativa será repetida automaticamente em 40 minutos.
InvalidDomain Não foi possível executar a operação porque um valor de atributo contém um nome de domínio inválido. Atualize o nome de domínio no utilizador ou adicione-o à lista permitida na aplicação de destino.
Tempo Limite Não foi possível concluir a operação porque a aplicação de destino demorou demasiado tempo a responder. Não há nada para fazer. Esta tentativa será repetida automaticamente em 40 minutos.
LicenseLimitExceeded Não foi possível criar o utilizador na aplicação de destino porque não existem licenças disponíveis para este utilizador. Obtenha mais licenças para a aplicação de destino. Em alternativa, reveja as atribuições de utilizador e a configuração do mapeamento de atributos para garantir que os utilizadores corretos são atribuídos com os atributos corretos.
DuplicateTargetEntries Não foi possível concluir a operação porque foi encontrado mais do que um utilizador na aplicação de destino com os atributos correspondentes configurados. Remova o utilizador duplicado da aplicação de destino ou reconfigure os mapeamentos de atributos.
DuplicateSourceEntries Não foi possível concluir a operação porque foi encontrado mais do que um utilizador com os atributos correspondentes configurados. Remova o utilizador duplicado ou reconfigure os mapeamentos de atributos.
ImportSkipped Quando cada utilizador é avaliado, o sistema tenta importar o utilizador do sistema de origem. Normalmente, este erro ocorre quando o utilizador que está a ser importado não tem a propriedade correspondente definida nos mapeamentos de atributos. Sem um valor presente no objeto de utilizador para o atributo correspondente, o sistema não consegue avaliar o âmbito, a correspondência ou a exportação de alterações. A presença deste erro não indica que o utilizador está no âmbito, porque ainda não avaliou o âmbito do utilizador.
EntrySynchronizationSkipped O serviço de aprovisionamento consultou com êxito o sistema de origem e identificou o utilizador. Não foram tomadas mais medidas sobre o utilizador e foram ignoradas. O utilizador pode ter estado fora do âmbito ou o utilizador pode já ter existido no sistema de destino sem que sejam necessárias mais alterações.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
Um pedido GET para obter um utilizador ou grupo recebeu vários utilizadores ou grupos na resposta. O sistema espera receber apenas um utilizador ou grupo na resposta. Por exemplo, se fizer um pedido do Grupo GET para obter um grupo, fornecer um filtro para excluir membros e o ponto final do Sistema de Gestão de Identidades Entre Domínios (SCIM) devolver os membros, obterá este erro.
SystemForCrossDomainIdentity
ManagementServiceIncompatible
O serviço de aprovisionamento Azure AD não consegue analisar a resposta da aplicação de terceiros. Trabalhe com o programador da aplicação para garantir que o servidor SCIM é compatível com o Azure AD cliente SCIM.
SchemaPropertyCanOnlyAcceptValue A propriedade no sistema de destino só pode aceitar um valor, mas a propriedade no sistema de origem tem vários. Certifique-se de que mapeia um atributo de valor único para a propriedade que está a gerar um erro, atualize o valor na origem para ser de valor único ou remova o atributo dos mapeamentos.

Passos seguintes