Registos de provisionamento no Diretório Ativo Azure

O Azure Ative Directory (Azure AD) integra vários serviços de terceiros para a prestação de utilizadores no seu inquilino. Se precisar de resolver um problema com um utilizador a provisionado, pode utilizar as informações capturadas no Azure AD registos de provisionamento para ajudar a encontrar uma solução.

Outros dois registos de atividades também estão disponíveis para ajudar a monitorizar a saúde do seu inquilino:

  • Insuposições – Informações sobre insinusagens e como os seus recursos são utilizados pelos seus utilizadores.
  • Auditoria – Informação sobre alterações aplicadas ao seu inquilino, como utilizadores e gestão de grupos ou atualizações aplicadas aos recursos do seu inquilino.

Este artigo dá-lhe uma visão geral dos registos de provisionamento.

O que posso fazer com isto?

Pode utilizar os registos de provisionamento para encontrar respostas a questões como:

  • Que grupos foram criados com sucesso no ServiceNow?

  • Que utilizadores foram removidos com sucesso da Adobe?

  • Que utilizadores do Workday foram criados com sucesso no Ative Directory?

Como acede aos registos de provisionamento?

Para ver os registos de provisionamento, o seu inquilino deve ter uma licença Azure AD Premium associada. Para atualizar a sua edição Azure AD, consulte Começar com Azure Ative Directory Premium.

Os proprietários de aplicações podem ver registos para as suas próprias aplicações. São necessárias as seguintes funções para visualizar os registos de provisionamento:

  • Leitor de Relatórios
  • Leitor de Segurança
  • Operador de Segurança
  • Administrador de Segurança
  • Administrador da Aplicação
  • Administrador de Aplicações na Cloud
  • Administrador Global
  • Utilizadores em um papel personalizado com a permissão de provisioningLogs

Para aceder aos dados de registo de provisionamento, tem as seguintes opções:

  • Selecione registos de provisão da secção de monitorização de Azure AD.

  • Transmita os registos de provisionamento para o Monitor Azure. Este método permite a retenção alargada de dados e a construção de dashboards, alertas e consultas personalizados.

  • Consultar o microsoft Graph API para os registos de provisionamento.

  • Descarregue os registos de provisionamento como um ficheiro CSV ou JSON.

Ver os registos de provisionamento

Para ver mais eficazmente o registo de provisionamento, passe alguns momentos personalizando a vista para as suas necessidades. Pode especificar quais as colunas a incluir e filtrar os dados para reduzir as coisas.

Personalize o layout

O registo de provisionamento tem uma visão predefinida, mas pode personalizar colunas.

  1. Selecione Colunas do menu na parte superior do registo.
  2. Selecione as colunas que pretende visualizar e selecione o botão Guardar na parte inferior da janela.

Screenshot que mostra o botão para personalizar colunas.

Esta área permite-lhe exibir mais campos ou remover campos que já estão expostos.

Filtrar os resultados

Quando filtra os seus dados de atenção, alguns valores de filtro são dinamicamente povoados com base no seu inquilino. Por exemplo, se não tiver nenhum evento de "criar" no seu inquilino, não haverá uma opção de filtro Create .

O filtro identidade permite-lhe especificar o nome ou a identidade com que se preocupa. Esta identidade pode ser um utilizador, grupo, papel ou outro objeto.

Pode pesquisar pelo nome ou identificação do objeto. O ID varia por cenário.

  • Se estiver a atear um objeto de Azure AD à Salesforce, o ID de origem é o ID do objeto do utilizador em Azure AD. O ID-alvo é a identificação do utilizador na Salesforce.
  • Se estiver a providenciar de workday a Azure AD, a identificação da fonte é a identificação do trabalhador do workday. O ID-alvo é o ID do utilizador em Azure AD.

Nota

O nome do utilizador pode nem sempre estar presente na coluna Identidade . Haverá sempre uma identificação.

O filtro Data permite-lhe definir um período de tempo para os dados devolvidos. Os valores possíveis são:

  • Um mês
  • Sete dias
  • 30 dias
  • 24 horas
  • Intervalo de tempo personalizado (configurar uma data de início e uma data de fim)

O filtro 'Estado' permite-lhe selecionar:

  • Todos
  • Com êxito
  • Falha
  • Ignorado

O filtro Action permite filtrar estas ações:

  • Criar
  • Atualizar
  • Eliminar
  • Desativar
  • Outro

Além dos filtros da vista padrão, pode definir os seguintes filtros.

  • ID de trabalho: Um ID de trabalho único está associado a cada aplicação que você habilitado a provisão.

  • ID do ciclo: O ID do ciclo identifica exclusivamente o ciclo de provisionamento. Você pode compartilhar este ID com suporte do produto para olhar para cima o ciclo em que este evento ocorreu.

  • Alterar ID: O ID de alteração é um identificador único para o evento de provisionamento. Você pode compartilhar este ID com suporte do produto para procurar o evento de provisionamento.

  • Sistema de Origem: Pode especificar de onde a identidade está a ser fornecida. Por exemplo, quando está a aatar um objeto de Azure AD para o ServiceNow, o sistema de origem é Azure AD.

  • Sistema alvo: Pode especificar para onde a identidade está a ser a provisionada. Por exemplo, quando está a aatar um objeto de Azure AD para o ServiceNow, o sistema-alvo é o ServiceNow.

  • Aplicação: Só pode apresentar registos de aplicações com um nome de exibição que contenha uma cadeia específica.

Analisar os registos de provisionamento

Ao selecionar um item na vista da lista de provisionamento, obtém mais detalhes sobre este item, tais como as medidas tomadas para providenciar ao utilizador e dicas para resolver problemas. Os detalhes são agrupados em quatro separadores.

  • Passos: Delineia as medidas tomadas para a disponibilização de um objeto. O provisionamento de um objeto pode consistir em quatro etapas:

    1. Importe o objeto.
    2. Determinar se o objeto está no âmbito.
    3. Combine o objeto entre a fonte e o alvo.
    4. Forrar o objeto (criar, atualizar, eliminar ou desativar).

    A screenshot mostra os passos de provisionamento no separador Passos.

  • Resolução de problemas & Recomendações: Fornece o código de erro e a razão. A informação de erro só está disponível se uma falha acontecer.

  • Propriedades modificadas: Mostra o valor antigo e o novo valor. Se não há valor antigo, a coluna está em branco.

  • Resumo: Fornece uma visão geral do que aconteceu e identifica o objeto nos sistemas de origem e alvo.

Baixar registos como CSV ou JSON

Pode descarregar os registos de provisionamento para utilização posterior, indo para os registos no portal Azure e selecionando Download. O ficheiro será filtrado com base nos critérios de filtro selecionados. Faça os filtros o mais específico possível para reduzir o tamanho e a hora do download.

O download do CSV inclui três ficheiros:

  • ProvisioningLogs: Descarrega todos os registos, exceto as etapas de provisionamento e propriedades modificadas.
  • ProvisioningLogs_ProvisioningSteps: Contém os passos de provisionamento e a alteração do ID. Pode utilizar o ID de alteração para se juntar ao evento com os outros dois ficheiros.
  • ProvisioningLogs_ModifiedProperties: Contém os atributos que foram alterados e o ID de alteração. Pode utilizar o ID de alteração para se juntar ao evento com os outros dois ficheiros.

Abra o ficheiro JSON

Para abrir o ficheiro JSON, utilize um editor de texto como o Microsoft Visual Studio Code. O Código do Estúdio Visual facilita a leitura do ficheiro fornecendo o realce de sintaxe. Também pode abrir o ficheiro JSON utilizando navegadores num formato não editado, como o Microsoft Edge.

Prettify o ficheiro JSON

O ficheiro JSON é descarregado em formato minificado para reduzir o tamanho do download. Este formato pode dificultar a leitura da carga útil. Confira duas opções para preentificar o ficheiro:

  • Utilize o Código do Estúdio Visual para formatar o JSON.

  • Utilize o PowerShell para formatar o JSON. Este script irá descodua o JSON num formato que inclui separadores e espaços:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Parse o ficheiro JSON

Aqui estão alguns comandos de amostra para trabalhar com o ficheiro JSON utilizando o PowerShell. Pode usar qualquer linguagem de programação com a qual se sinta confortável.

Primeiro, leia o ficheiro JSON executando este comando:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Agora pode analisar os dados de acordo com o seu cenário. Veja a seguir alguns exemplos:

  • Descodem todas as IDs de trabalho no ficheiro JSON:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Todas as iDs de alteração para eventos onde a ação foi "criar":

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

O que deve saber

Aqui ficam algumas dicas e considerações para os relatórios de provisionamento:

  • As lojas do portal Azure reportaram dados de provisionamento durante 30 dias se tiver uma edição premium e 7 dias se tiver uma edição gratuita. Pode publicar os registos de provisionamento no Log Analytics para retenção para além de 30 dias.

  • Pode usar o atributo de ID de alteração como identificador único, o que pode ser útil quando está a interagir com o suporte do produto, por exemplo.

  • Pode ver eventos ignorados para utilizadores que não estão no âmbito. Este comportamento é esperado, especialmente quando o âmbito de sincronização é definido para todos os utilizadores e grupos. O serviço avalia todos os objetos no inquilino, mesmo os que estão fora do âmbito.

  • Os registos de provisionamento não apresentam importações de funções (aplica-se à AWS, Salesforce e Zendesk). Pode encontrar os registos para importações de funções nos registos de auditoria.

Códigos de erro

Utilize a tabela seguinte para entender melhor como resolver os erros que encontra nos registos de provisionamento. Para quaisquer códigos de erro que faltem, forneça feedback utilizando o link na parte inferior desta página.

Código de erro Description
Conflito,
EntradaConflito
Corrija os valores de atributos contraditórios em Azure AD ou na aplicação. Ou, reveja a configuração do seu atributo correspondente se a conta de utilizador conflituosa deveria ser correspondida e assumida. Reveja a documentação para obter mais informações sobre a configuração de atributos correspondentes.
TooManyRequests A aplicação-alvo rejeitou esta tentativa de atualizar o utilizador por estar sobrecarregado e receber demasiados pedidos. Não há nada a fazer. Esta tentativa será automaticamente retirada. A Microsoft também foi notificada deste problema.
InternalServerError A aplicação-alvo devolveu um erro inesperado. Um problema de serviço com a aplicação-alvo pode estar a impedi-lo de funcionar. Esta tentativa será automaticamente novamente julgada em 40 minutos.
Direitos Insuficientes,
MethodNotAllowed,
Não Se comprometeu,
Não autorizado
A Azure AD autenticou-se com a aplicação-alvo, mas não estava autorizada a realizar a atualização. Reveja todas as instruções que o pedido-alvo forneceu, juntamente com o respetivo tutorial de aplicação.
Entidade Não Processável O pedido de destino devolveu uma resposta inesperada. A configuração da aplicação-alvo pode não estar correta, ou um problema de serviço com a aplicação-alvo pode estar a impedi-la de funcionar.
WebExceptionProtocolError Ocorreu um erro de protocolo HTTP na ligação à aplicação-alvo. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
InvalidAnchor Um utilizador que tenha sido previamente criado ou correspondido pelo serviço de fornecimento já não existe. Certifique-se de que o utilizador existe. Para forçar uma nova correspondência de todos os utilizadores, utilize a API do Microsoft Graph para reiniciar o trabalho.

O reinício do provisionamento irá desencadear um ciclo inicial, que pode levar algum tempo a ser concluído. O reinício do fornecimento também elimina a cache que o serviço de fornecimento utiliza para funcionar. Isto significa que todos os utilizadores e grupos do arrendatário terão de ser novamente avaliados, e certos eventos de provisionamento poderão ser eliminados.
Não É Implacável A aplicação-alvo devolveu uma resposta inesperada. A configuração da aplicação pode não estar correta, ou um problema de serviço com a aplicação alvo pode estar a impedir o seu funcionamento. Reveja todas as instruções que o pedido-alvo forneceu, juntamente com o respetivo tutorial de aplicação.
Aeródromo Obrigatória,
MissingValues
O utilizador não pôde ser criado porque faltam valores necessários. Corrija os valores de atributos em falta no registo de origem ou reveja a configuração do seu atributo correspondente para garantir que os campos necessários não sejam omitidos. Saiba mais sobre configurar atributos correspondentes.
SchemaAttributeNotFound A operação não pôde ser realizada porque foi especificado um atributo que não existe na aplicação-alvo. Consulte a documentação sobre a personalização do atributo e certifique-se de que a sua configuração está correta.
InternalError Ocorreu um erro de serviço interno no serviço de fornecimento de Azure AD. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
InvalidDomain A operação não pôde ser realizada porque um valor de atributo contém um nome de domínio inválido. Atualize o nome de domínio no utilizador ou adicione-o à lista permitida na aplicação-alvo.
Tempo Limite A operação não pôde ser concluída porque a aplicação do alvo demorou muito tempo a responder. Não há nada a fazer. Esta tentativa será automaticamente novamente julgada em 40 minutos.
LicençaLimitExceed O utilizador não pôde ser criado na aplicação-alvo porque não existem licenças disponíveis para este utilizador. Obtenha mais licenças para o pedido de destino. Ou, reveja as suas atribuições de utilizador e atribua a configuração de mapeamento para garantir que os utilizadores corretos são atribuídos com os atributos corretos.
DuplicateTargets A operação não pôde ser concluída porque mais de um utilizador na aplicação-alvo foi encontrado com os atributos correspondentes configurados. Remova o utilizador duplicado da aplicação-alvo ou reconfigure os mapeamentos do seu atributo.
DuplicateSourceEntries A operação não pôde ser concluída porque mais de um utilizador foi encontrado com os atributos correspondentes configurados. Remova o utilizador duplicado ou reconfigure os mapeamentos do seu atributo.
ImportSkipped Quando cada utilizador é avaliado, o sistema tenta importar o utilizador do sistema de origem. Este erro ocorre geralmente quando o utilizador que está a ser importado está a perder a propriedade correspondente definida nos mapeamentos do seu atributo. Sem um valor presente no objeto do utilizador para o atributo correspondente, o sistema não pode avaliar alterações de scoping, correspondência ou exportação. A presença deste erro não indica que o utilizador esteja no âmbito, uma vez que ainda não avaliou a verificação para o utilizador.
EntradaSsynchronizaçãoSkipped O serviço de fornecimento solicitou com sucesso o sistema de origem e identificou o utilizador. Não foram tomadas mais medidas contra o utilizador e foram ignoradas. O utilizador pode ter estado fora de alcance, ou o utilizador pode já ter existido no sistema alvo, sem necessidade de mais alterações.
SystemForCrossDomainDentity
Entradas De GestãoMultipleInResponse
Um pedido GET para recuperar um utilizador ou grupo recebeu vários utilizadores ou grupos na resposta. O sistema espera receber apenas um utilizador ou grupo na resposta. Por exemplo, se fizer um pedido do Grupo GET para recuperar um grupo, fornecer um filtro para excluir membros, e o seu ponto final de Gestão de Identidade de Domínio Cruzado (SCIM) retorna os membros, obterá este erro.
SystemForCrossDomainDentity
ManagementServiceIncompatável
O serviço de prestação de serviços Azure AD não consegue analisar a resposta do pedido de terceiros. Trabalhe com o desenvolvedor de aplicações para garantir que o servidor SCIM é compatível com o Azure AD cliente SCIM.
SchemaPropertyCanOnlyAcceptValue A propriedade no sistema alvo só pode aceitar um valor, mas a propriedade no sistema de origem tem vários. Certifique-se de que mapeia um atributo de valor único para a propriedade que está a lançar um erro, atualize o valor na fonte a ser de valor único ou remova o atributo dos mapeamentos.

Passos seguintes