Provisionamento de registos em Azure Ative Directory

Como administrador de TI, quer saber como está o ambiente de TI. A informação sobre a saúde do seu sistema permite-lhe avaliar se e como precisa responder a potenciais problemas.

Para apoiá-lo com este objetivo, o portal Azure Ative Directory dá-lhe acesso a três registos de atividades:

  • Insuposições – Informações sobre insinusagens e como os seus recursos são utilizados pelos seus utilizadores.
  • Auditoria – Informação sobre alterações aplicadas ao seu inquilino, como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do seu inquilino.
  • Provisionamento – Atividades realizadas pelo serviço de prestação de serviços, como a criação de um grupo no ServiceNow ou um utilizador importado do Workday.

Este artigo dá-lhe uma visão geral dos registos de provisionamento.

O que se pode fazer com isto?

Pode utilizar os registos de provisionamento para encontrar respostas a questões como:

  • Que grupos foram criados com sucesso no ServiceNow?

  • Que utilizadores foram removidos com sucesso da Adobe?

  • Que utilizadores do Workday foram criados com sucesso no Ative Directory?

Quem pode aceder??

Estes utilizadores podem aceder aos dados em registos de fornecimento:

  • Proprietários de aplicações (registos para as suas próprias aplicações)

  • Utilizadores nas funções de Administrador de Segurança, Leitor de Segurança, Leitor de Relatórios, Operador de Segurança, Administrador de Aplicações e Administrador de Aplicações cloud

  • Utilizadores em um papel personalizado com a permissão de provisioningLogs

  • Administradores globais

Que licença de AD Azure precisa?

Para ver o relatório de atividades de provisionamento, o seu inquilino deve ter uma licença de Azure AD Premium associada. Para atualizar a sua edição AD Azure, consulte Começar com Azure Ative Directory Premium.

Como pode acessá-lo?

Para aceder aos dados de registo, tem as seguintes opções:

  • O portal do Azure

  • Transmitir os registos de provisionamento para o Monitor Azure. Este método permite a retenção alargada de dados e a construção de dashboards, alertas e consultas personalizados.

  • Consultando o microsoft Graph API para os registos de provisionamento.

  • Descarregando os registos de provisionamento como um ficheiro CSV ou JSON.

Onde pode encontrá-lo no portal do Azure?

O portal do Azure oferece-lhe várias opções para aceder ao registo. Por exemplo, no menu Azure Ative Directory, pode abrir o registo na secção de Monitorização.

Open provisioning logs

Além disso, pode chegar diretamente aos registos de login utilizando este link: https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/SignIns

Pode aceder aos registos de provisionamento selecionando Registos de Provisionamento na secção de Monitorização do painel de Azure Ative Directory no portal do Azure. Pode levar até duas horas para que alguns registos de provisionamento apareçam no portal.

Screenshot that shows selections for accessing provisioning logs.

Qual é a vista padrão?

Um registo de provisionamento tem uma visão de lista padrão que mostra:

  • A identidade
  • A ação
  • O sistema de origem
  • O sistema alvo
  • O estado
  • A data

Screenshot that shows default columns in a provisioning log.

Pode personalizar a vista da lista selecionando Colunas na barra de ferramentas.

Screenshot that shows the button for customizing columns.

Esta área permite-lhe exibir campos adicionais ou remover campos que já estão expostos.

Screenshot that shows available columns with some selected.

Selecione um item na vista da lista para obter informações mais detalhadas.

Screenshot that shows detailed information.

Atividades de provisão de filtros

Pode filtrar os seus dados de atenção. Alguns valores de filtro são dinamicamente povoados com base no seu inquilino. Se, por exemplo, não tiver eventos de "criar" no seu inquilino, não haverá uma opção de filtro Create .

Na vista predefinitiva, pode selecionar os seguintes filtros:

  • Identidade
  • Data
  • Estado
  • Ação

Screenshot that shows filter values.

O filtro identidade permite-lhe especificar o nome ou a identidade com que se preocupa. Esta identidade pode ser um utilizador, grupo, papel ou outro objeto.

Pode pesquisar pelo nome ou identificação do objeto. O ID varia por cenário. Por exemplo, quando está a aatar um objeto do AD AD AD ao Salesforce, o ID de origem é o ID do objeto do utilizador em Azure AD. O ID-alvo é o ID do utilizador na Salesforce. Quando se fornece de Workday a Ative Directory, a identificação de fonte é a identificação do trabalhador do workday.

Nota

O nome do utilizador pode nem sempre estar presente na coluna Identidade . Haverá sempre uma identificação.

O filtro Data permite-lhe definir um período de tempo para os dados devolvidos. Os valores possíveis são:

  • 1 mês
  • 7 dias
  • 30 dias
  • 24 horas
  • Intervalo de tempo personalizado

Quando selecionar um prazo personalizado, pode configurar uma data de início e uma data de fim.

O filtro 'Estado' permite-lhe selecionar:

  • Todos
  • Com êxito
  • Falha
  • Ignorado

O filtro Action permite filtrar estas ações:

  • Criar
  • Atualizar
  • Eliminar
  • Desativar
  • Outro

Além dos filtros da vista padrão, pode definir os seguintes filtros.

Screenshot that shows fields that you can add as filters.

  • ID de trabalho: Um ID de trabalho único está associado a cada aplicação que você habilitado a provisão.

  • ID do ciclo: O ID do ciclo identifica exclusivamente o ciclo de provisionamento. Você pode compartilhar este ID com suporte do produto para olhar para cima o ciclo em que este evento ocorreu.

  • Alterar ID: O ID de alteração é um identificador único para o evento de provisionamento. Você pode compartilhar este ID com suporte do produto para procurar o evento de provisionamento.

  • Sistema de Origem: Pode especificar de onde a identidade está a ser fornecida. Por exemplo, quando está a aatar um objeto do AZure AD ao ServiceNow, o sistema de origem é Azure AD.

  • Sistema alvo: Pode especificar para onde a identidade está a ser a provisionada. Por exemplo, quando está a forretar um objeto de Azure AD para ServiceNow, o sistema-alvo é o ServiceNow.

  • Aplicação: Só pode apresentar registos de aplicações com um nome de exibição que contenha uma cadeia específica.

Provisionamento de detalhes

Ao selecionar um item na vista da lista de provisionamento, obtém mais detalhes sobre este item. Os detalhes são agrupados nos seguintes separadores.

Screenshot that shows four tabs that contain provisioning details.

  • Passos: Delineia as medidas tomadas para a disponibilização de um objeto. O provisionamento de um objeto pode consistir em quatro etapas:

    1. Importe o objeto.
    2. Determinar se o objeto está no âmbito.
    3. Combine o objeto entre a fonte e o alvo.
    4. Forrar o objeto (criar, atualizar, eliminar ou desativar).

    Screenshot shows the provisioning steps on the Steps tab.

  • Resolução de & problemas Recomendações: Fornece o código de erro e a razão. A informação de erro só está disponível se uma falha acontecer.

  • Propriedades modificadas: Mostra o valor antigo e o novo valor. Se não há valor antigo, esta coluna está em branco.

  • Resumo: Fornece uma visão geral do que aconteceu e identifica o objeto nos sistemas de origem e alvo.

Baixar registos como CSV ou JSON

Pode descarregar os registos de provisionamento para utilização posterior, indo para os registos da portal do Azure e selecionando Download. O ficheiro será filtrado com base nos critérios de filtro selecionados. Faça os filtros o mais específico possível para reduzir o tamanho e a hora do download.

O download do CSV inclui três ficheiros:

  • ProvisioningLogs: Descarrega todos os registos, exceto as etapas de provisionamento e propriedades modificadas.
  • ProvisioningLogs_ProvisioningSteps: Contém os passos de provisionamento e a alteração do ID. Pode utilizar o ID de alteração para se juntar ao evento com os outros dois ficheiros.
  • ProvisioningLogs_ModifiedProperties: Contém os atributos que foram alterados e o ID de alteração. Pode utilizar o ID de alteração para se juntar ao evento com os outros dois ficheiros.

Abra o ficheiro JSON

Para abrir o ficheiro JSON, utilize um editor de texto como o Microsoft Visual Studio Code. Visual Studio Código facilita a leitura do ficheiro fornecendo o realce de sintaxe. Também pode abrir o ficheiro JSON usando navegadores num formato não editado, como Microsoft Edge.

Prettify o ficheiro JSON

O ficheiro JSON é descarregado em formato minificado para reduzir o tamanho do download. Este formato pode dificultar a leitura da carga útil. Confira duas opções para preentificar o ficheiro:

  • Utilize Visual Studio Código para formatar o JSON.

  • Utilize o PowerShell para formatar o JSON. Este script irá descodua o JSON num formato que inclui separadores e espaços:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Parse o ficheiro JSON

Aqui estão alguns comandos de amostra para trabalhar com o ficheiro JSON utilizando o PowerShell. Pode usar qualquer linguagem de programação com a qual se sinta confortável.

Primeiro, leia o ficheiro JSON executando este comando:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Agora pode analisar os dados de acordo com o seu cenário. Veja a seguir alguns exemplos:

  • Descodem todas as IDs de trabalho no ficheiro JSON:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Todas as iDs de alteração para eventos onde a ação foi "criar":

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

O que deve saber

Aqui ficam algumas dicas e considerações para os relatórios de provisionamento:

  • As lojas portal do Azure reportaram dados de provisionamento durante 30 dias se tiver uma edição premium e 7 dias se tiver uma edição gratuita. Pode publicar os registos de provisionamento no Log Analytics para retenção para além de 30 dias.

  • Pode utilizar o atributo de ID de alteração como identificador único. Isto é útil quando está a interagir com o suporte do produto, por exemplo.

  • Pode ver eventos ignorados para utilizadores que não estão no âmbito. Este comportamento é esperado, especialmente quando o âmbito de sincronização é definido para todos os utilizadores e grupos. O serviço avalia todos os objetos no inquilino, mesmo os que estão fora do âmbito.

  • Os registos de provisionamento não apresentam importações de funções (aplica-se à AWS, Salesforce e Zendesk). Pode encontrar os registos para importações de funções nos registos de auditoria.

Códigos de erro

Utilize a tabela seguinte para entender melhor como resolver os erros que encontra nos registos de provisionamento. Para quaisquer códigos de erro que faltem, forneça feedback utilizando o link na parte inferior desta página.

Código de erro Description
Conflito, Conflito de Entrada Corrija os valores de atributos contraditórios em Azure AD ou na aplicação. Ou, reveja a configuração do seu atributo correspondente se a conta de utilizador conflituosa deveria ser correspondida e assumida. Reveja a documentação para obter mais informações sobre a configuração de atributos correspondentes.
TooManyRequests A aplicação-alvo rejeitou esta tentativa de atualizar o utilizador por estar sobrecarregado e receber demasiados pedidos. Não há nada a fazer. Esta tentativa será automaticamente retirada. A Microsoft também foi notificada deste problema.
InternalServerError A aplicação-alvo devolveu um erro inesperado. Um problema de serviço com a aplicação-alvo pode estar a impedir que isto funcione. Esta tentativa será automaticamente novamente julgada em 40 minutos.
Insuficientes Direitos, MétodoNotAllowed, Não Autorizado, Não Autorizado A Azure AD autenticou-se com a aplicação-alvo, mas não estava autorizada a realizar a atualização. Reveja todas as instruções que o pedido-alvo forneceu, juntamente com o respetivo tutorial de aplicação.
Entidade Não Processável O pedido de destino devolveu uma resposta inesperada. A configuração da aplicação-alvo pode não estar correta, ou um problema de serviço com a aplicação-alvo pode estar a impedir que isso funcione.
WebExceptionProtocolError Ocorreu um erro de protocolo HTTP na ligação à aplicação-alvo. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
InvalidAnchor Um utilizador que tenha sido previamente criado ou correspondido pelo serviço de fornecimento já não existe. Certifique-se de que o utilizador existe. Para forçar uma nova correspondência de todos os utilizadores, utilize o microsoft Graph API para reiniciar o trabalho.

O reinício do provisionamento irá desencadear um ciclo inicial, que pode levar algum tempo a ser concluído. O reinício do fornecimento também elimina a cache que o serviço de fornecimento utiliza para funcionar. Isto significa que todos os utilizadores e grupos do arrendatário terão de ser novamente avaliados, e certos eventos de provisionamento poderão ser eliminados.
Não É Implacável A aplicação-alvo devolveu uma resposta inesperada. A configuração da aplicação pode não estar correta, ou um problema de serviço com a aplicação alvo pode estar a impedir que isso funcione. Reveja todas as instruções que o pedido-alvo forneceu, juntamente com o respetivo tutorial de aplicação.
Aeródromos ObrigatóriasMissing, MissingValues O utilizador não pôde ser criado porque faltam valores necessários. Corrija os valores de atributos em falta no registo de origem ou reveja a configuração do seu atributo correspondente para garantir que os campos necessários não sejam omitidos. Saiba mais sobre configurar atributos correspondentes.
SchemaAttributeNotFound A operação não pôde ser realizada porque foi especificado um atributo que não existe na aplicação-alvo. Consulte a documentação sobre a personalização do atributo e certifique-se de que a sua configuração está correta.
InternalError Ocorreu um erro de serviço interno no serviço de fornecimento de Azure AD. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
InvalidDomain A operação não pôde ser realizada porque um valor de atributo contém um nome de domínio inválido. Atualize o nome de domínio no utilizador ou adicione-o à lista permitida na aplicação-alvo.
Tempo Limite A operação não pôde ser concluída porque a aplicação do alvo demorou muito tempo a responder. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
LicençaLimitExceed O utilizador não pôde ser criado na aplicação-alvo porque não existem licenças disponíveis para este utilizador. Obtenha mais licenças para o pedido de destino. Ou, reveja as suas atribuições de utilizador e atribua a configuração de mapeamento para garantir que os utilizadores corretos são atribuídos com os atributos corretos.
DuplicateTargets A operação não pôde ser concluída porque mais de um utilizador na aplicação-alvo foi encontrado com os atributos correspondentes configurados. Remova o utilizador duplicado da aplicação-alvo ou reconfigure os mapeamentos do seu atributo.
DuplicateSourceEntries A operação não pôde ser concluída porque mais de um utilizador foi encontrado com os atributos correspondentes configurados. Remova o utilizador duplicado ou reconfigure os mapeamentos do seu atributo.
ImportSkipped Quando cada utilizador é avaliado, o sistema tenta importar o utilizador do sistema de origem. Este erro ocorre geralmente quando o utilizador que está a ser importado está a perder a propriedade correspondente definida nos mapeamentos do seu atributo. Sem um valor presente no objeto do utilizador para o atributo correspondente, o sistema não pode avaliar alterações de scoping, correspondência ou exportação. Note que a presença deste erro não indica que o utilizador esteja no âmbito, uma vez que ainda não avaliou a verificação para o utilizador.
EntradaSsynchronizaçãoSkipped O serviço de fornecimento solicitou com sucesso o sistema de origem e identificou o utilizador. Não foram tomadas mais medidas contra o utilizador e foram ignoradas. O utilizador pode ter estado fora de alcance, ou o utilizador pode já ter existido no sistema alvo, sem necessidade de mais alterações.
SystemForCrossDomainIdentityManagementMultipleEntriesInResponse Um pedido GET para recuperar um utilizador ou grupo recebeu vários utilizadores ou grupos na resposta. O sistema espera receber apenas um utilizador ou grupo na resposta. Por exemplo, se fizer um pedido GET para recuperar um grupo e fornecer um filtro para excluir membros, e o seu ponto final de gestão de identidade de domínio cruzado (SCIM) devolve os membros, obterá este erro.
SystemForCrossDomainIdEntityManagementServiceIncompatável O serviço de prestação de Azure AD não consegue analisar a resposta da aplicação de terceiros. Por favor, trabalhe com o desenvolvedor de aplicações para garantir que o servidor SCIM é compatível com o cliente Azure AD SCIM.
SchemaPropertyCanOnlyAcceptValue A propriedade no sistema alvo só pode aceitar um valor, mas a propriedade no sistema de origem tem vários. Certifique-se de que mapeia um único atributo de valor para a propoerdade que está a lançar um erro, atualize o valor na fonte a ser valorizado individualmente ou remova o atributo dos mapeamentos.

Passos seguintes