Compartilhar via

Verificar o status do provisionamento do usuário

O serviço de provisionamento do Microsoft Entra executa um ciclo de provisionamento inicial com o sistema de origem e o sistema de destino, seguido de ciclos incrementais periódicos. Ao configurar o provisionamento para um aplicativo, você pode verificar o status atual do serviço de provisionamento e ver quando um usuário pode acessar um aplicativo.

Exibir a barra de progresso do provisionamento

Na página Provisionamento de um aplicativo, você pode exibir o status do serviço de provisionamento do Microsoft Entra. A seção Status Atual na parte inferior da página mostra se um ciclo de provisionamento iniciou o provisionamento de contas de usuário. Você pode ver o progresso do ciclo, ver quantos usuários e grupos foram provisionados e ver quantas funções foram criadas.

Quando você configura o provisionamento automático pela primeira vez, a seção Status Atual na parte inferior da página mostra o status do ciclo de provisionamento inicial. Essa seção é atualizada toda vez que um ciclo incremental é executado. Os seguintes detalhes são mostrados:

  • O tipo de ciclo de provisionamento (inicial ou incremental) que está em execução no momento ou que foi concluído por último.
  • Uma barra de progresso mostrando o percentual do ciclo de provisionamento concluído. A porcentagem reflete a contagem de páginas provisionada. Cada página pode conter vários usuários ou grupos, portanto, a porcentagem não está relacionada diretamente com o número de usuários, grupos ou funções provisionadas.
  • Um botão Atualizar que você pode usar para manter a exibição atualizada.
  • O número de Usuários e Grupos no repositório de dados do conector. A contagem aumenta sempre que um objeto é adicionado ao escopo do provisionamento. A contagem não diminui se um usuário for excluído de forma reversível ou excluído de forma irreversível porque a operação não remove o objeto do armazenamento de dados do conector. A contagem é recalculada na primeira sincronização após a redefinição do CDS.
  • Um link Exibir Logs de Provisionamento, que abre os logs de provisionamento do Microsoft Entra. Para saber mais sobre as operações executadas pelo serviço de provisionamento de usuários, incluindo o status de provisionamento para usuários individuais, consulte Usar logs de provisionamento mais adiante no artigo.

Após a conclusão de um ciclo de provisionamento, a seção Estatísticas até o momento mostra os números cumulativos de usuários e grupos que foram provisionados até o momento, juntamente com a data de conclusão e a duração do último ciclo. A ID da Atividade identifica exclusivamente o ciclo de provisionamento mais recente. A ID do trabalho é um identificador exclusivo para o trabalho de provisionamento e é específico para o aplicativo no seu locatário.

O progresso do provisionamento é exibido no Centro de administração do Microsoft Entra em Entra ID>Aplicativos empresariais> [nome do aplicativo] >Provisionamento.

Barra de progresso da página de provisionamento

Você também pode usar o Microsoft Graph para monitorar programaticamente o status do provisionamento de um aplicativo. Para obter mais informações, consulte monitorar o provisionamento.

Usar logs de provisionamento para verificar o status de provisionamento de um usuário

Para ver o status de provisionamento de um usuário selecionado, consulte os logs de provisionamento na ID do Microsoft Entra. Todas as operações executadas pelo serviço de provisionamento de usuário são registradas nos logs de provisionamento do Microsoft Entra. Os logs incluem operações de leitura e gravação feitas pelos sistemas de fonte e destino. Os dados de usuário associados relacionados a operações de leitura e gravação também são registrados.

Você pode acessar os logs de provisionamento no Centro de administração do Microsoft Entra selecionando Entra ID>Aplicativos empresariais>Logs de provisionamento na seção Atividade. É possível pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Para obter detalhes, consulte Os logs de provisionamento.

Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo:

  • Consulta ao Microsoft Entra ID para usuários atribuídos que estão no escopo do provisionamento
  • Consultar o aplicativo de destino quanto à existência desses usuários
  • Comparando objetos de usuário entre o sistema
  • Adicionar, atualizar ou desabilitar a conta de usuário no sistema de destino com base na comparação

Para obter mais informações sobre como ler os logs de provisionamento no Centro de administração do Microsoft Entra, consulte o guia de relatório de provisionamento.

Quanto tempo levará para provisionar os usuários?

O tempo para provisionar um usuário, grupo ou associação de grupo varia de acordo com vários fatores.

  • Quanto mais usuários, grupos e associações de grupo estiverem no escopo do provisionamento, mais tempo levará para que o trabalho de sincronização seja concluído. Por exemplo, um trabalho de sincronização com 10 grupos, cada um com 20 mil membros, levará mais tempo para ser provisionado do que um trabalho de sincronização com um grupo de 20 mil membros.
  • Se o escopo de sincronização estiver definido como "sincronizar todos os usuários e grupos", o mecanismo de sincronização avaliará cada usuário e cada grupo no locatário durante o ciclo inicial. Isso permite que o mecanismo de sincronização determine quais objetos estão no escopo. Como resultado, o número total de usuários, grupos e membros do grupo presentes no sistema de origem (por exemplo: ID do Microsoft Entra) afeta o desempenho.
  • O número de alterações no sistema de origem afeta o tempo para provisionar atualizações durante um ciclo incremental. Alterações em usuários ou grupos que não estão no escopo do provisionamento (por exemplo: novos usuários criados no locatário ou associações de grupo atualizadas) podem afetar o desempenho, pois o serviço precisará avaliar a alteração e ignorá-la. Isso é particularmente importante quando o escopo é "sincronizar todos os usuários e grupos"
  • Alguns sistemas de destino implementam limites de taxa de solicitação e limitação que podem afetar o desempenho durante as operações de sincronização de grande porte. Sob essas condições, um aplicativo que recebe muitas solicitações de forma muito rápida pode reduzir sua taxa de resposta ou fechar a conexão. Os aplicativos da galeria são configurados para seguir os limites de taxa definidos pelo desenvolvedor de aplicativos, sem nenhuma ação exigida por um administrador que configure o provisionamento.
  • Os trabalhos de sincronização para os quais todos os usuários são criados pela primeira vez levam cerca de duas vezes mais tempo que os trabalhos de sincronização para os quais todos os usuários são correspondidos aos usuários existentes.
  • O número de falhas que o serviço de provisionamento precisa tentar novamente em um determinado ciclo de sincronização afeta o desempenho. Verifique a barra de progresso e os logs de provisionamento para quaisquer falhas e corrija-os.
  • Os trabalhos de provisionamento em quarentena são executados em uma frequência reduzida. Examine o motivo da quarentena e corrija-o para restaurar a frequência de execução típica.

Para a configuração Sincronizar somente usuários e grupos atribuídos, você pode usar as seguintes fórmulas para determinar os tempos aproximados mínimos e máximos esperados do ciclo inicial:

  • Mínimo de minutos = 0,01 x [número de usuários, grupos e membros de grupo atribuídos]
  • Máximo de minutos = 0,08 x [número de usuários atribuídos, grupos e membros do grupo]

Recomendações para reduzir o tempo de provisionamento de um usuário e/ou grupo:

  1. Defina o escopo de provisionamento para sincronizar assigned users and groups em vez de sync all users and groups.
  2. Minimize o número total de usuários e grupos no escopo do provisionamento.
  3. Crie vários trabalhos de provisionamento direcionados ao mesmo sistema. Ao fazer isso, cada trabalho de sincronização funcionará de forma independente, reduzindo o tempo para processar alterações. Verifique se o escopo dos usuários é distinto entre esses trabalhos de provisionamento para evitar que alterações de um trabalho afete outro.
  4. Adicione filtros de escopo para limitar ainda mais o número de usuários e grupos no escopo para provisionamento. Se o desempenho se tornar um problema e você estiver tentando provisionar a maioria dos usuários e grupos no locatário, use filtros de escopo. Filtros de escopo permitem ajustar os dados que o serviço de provisionamento extrai do Microsoft Entra ID, filtrando usuários com base em valores de atributo específicos. Para obter mais informações sobre filtros de escopo, consulte provisionamento de aplicativo baseado em atributo com filtros de escopo.

Auditar as alterações na configuração de provisionamento

Todas as alterações de configuração são registradas nos logs de auditoria. Os usuários com as permissões necessárias, como o Administrador de aplicativos e o Leitor de relatórios, podem acessar os logs por meio da interface do usuário dos logs de auditoria, da API e do PowerShell. Você pode usar o filtro de atividade nos logs de auditoria para identificar as ações a seguir.

Observação

Para ações executadas pelo serviço de provisionamento, como criar usuários, atualizar usuários e excluir usuários, recomendamos usar os logs de provisionamento. Para monitorar alterações na configuração de provisionamento, é recomendável usar os logs de auditoria.

Captura de tela dos logs de auditoria.

Ação Atividade (filtre os logs nesta propriedade)
Atualizar credenciais (por exemplo: adicionar um novo token de portador) Atualizar configuração ou credenciais de provisionamento
Alterar as configurações em seu trabalho de provisionamento (por exemplo: email de notificação, sincronizar todos versus sincronizar usuários e grupos atribuídos, prevenção de exclusões acidentais) Atualizar configuração ou credenciais de provisionamento
Iniciar provisionamento Habilitar/iniciar configuração de provisionamento
Interromper provisionamento Desabilitar/pausar configuração de provisionamento
Reiniciar provisionamento Habilitar/reiniciar configuração de provisionamento
Atualizar mapeamentos de atributo ou regras de escopo Atualizar mapeamentos de atributo ou escopo

Próximas etapas

Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com a ID do Microsoft Entra