Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O serviço de provisionamento Microsoft Entra executa um ciclo de provisionamento inicial no sistema de origem e no sistema de destino, seguido por ciclos incrementais periódicos. Ao configurar o provisionamento para um aplicativo, você pode verificar o status atual do serviço de provisionamento e ver quando um usuário pode acessar um aplicativo.
Exibir a barra de progresso de provisionamento
Na página Provisionamento de um aplicativo, você pode exibir o status do serviço de provisionamento do Microsoft Entra. A seção Status Atual na parte inferior da página mostra se um ciclo de provisionamento começou a provisionar contas de usuário. Você pode observar o progresso do ciclo, ver quantos usuários e grupos foram provisionados e quantas funções foram criadas.
Quando você configura o provisionamento automático pela primeira vez, a seção Status atual na parte inferior da página mostra o status do ciclo de provisionamento inicial. Esta seção é atualizada sempre que um ciclo incremental é executado. Os seguintes detalhes são mostrados:
- O tipo de ciclo de provisionamento (inicial ou incremental) que está em execução atualmente ou foi concluído pela última vez.
- Uma barra de progresso mostrando a porcentagem do ciclo de provisionamento concluído. A porcentagem reflete a contagem de páginas provisionadas. Cada página pode conter vários usuários ou grupos, portanto, a porcentagem não se correlaciona diretamente com o número de usuários, grupos ou funções provisionadas.
- Um botão Atualizar que você pode usar para manter a exibição atualizada.
- O número de Usuários e Grupos no armazenamento de dados do conector. A contagem aumenta sempre que um objeto é adicionado ao escopo do provisionamento. A contagem não diminui se um utilizador for eliminado temporariamente ou permanentemente porque a operação não remove o objeto do armazenamento de dados do conector. A contagem é recalculada na primeira sincronização após o CDS ser redefinido
- Um link Visualizar Logs de Provisionamento que abre os logs de provisionamento do Microsoft Entra. Para saber mais sobre as operações executadas pelo serviço de provisionamento de usuário, incluindo o status de provisionamento para usuários individuais, consulte Usar logs de provisionamento mais adiante no artigo.
Após a conclusão de um ciclo de provisionamento, a seção Estatísticas até a data mostra os números acumulados de usuários e grupos que foram provisionados até a data, juntamente com a data de conclusão e a duração do último ciclo. O ID de atividade identifica exclusivamente o ciclo de provisionamento mais recente. O ID do Trabalho é um identificador exclusivo para o trabalho de provisionamento e é específico para a aplicação no seu inquilino.
É possível visualizar o progresso do provisionamento no centro de administração do Microsoft Entra em Entra ID>Aplicações empresariais> [nome da aplicação] >Provisionamento.
Você também pode usar o Microsoft Graph para monitorar programaticamente o status do provisionamento para um aplicativo. Para obter mais informações, consulte monitorar o provisionamento.
Usar logs de provisionamento para verificar o status de provisionamento de um usuário
Para ver o status de provisionamento de um usuário selecionado, consulte os logs de provisionamento na ID do Microsoft Entra. Todas as operações executadas pelo serviço de provisionamento do usuário são registradas nos logs de provisionamento do Microsoft Entra. Os logs incluem operações de leitura e gravação feitas nos sistemas de origem e destino. Os dados de usuário associados relacionados a operações de leitura e gravação também são registrados.
Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra selecionando Entra ID>Aplicativos empresariais>Logs de provisionamento na seção Atividade. Você pode pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Para obter detalhes, consulte Registos de aprovisionamento.
Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo:
- Consultar o Microsoft Entra ID para utilizadores atribuídos que estão no escopo de provisionamento.
- Consultando o aplicativo de destino para a existência desses usuários
- Comparando os objetos do usuário entre o sistema
- Adicionar, atualizar ou desativar a conta de usuário no sistema de destino com base na comparação
Para obter mais informações sobre como ler os logs de provisionamento no centro de administração do Microsoft Entra, consulte o guia de relatórios de provisionamento.
Quanto tempo levará para provisionar usuários?
O tempo para provisionar um usuário, grupo ou associação de grupo varia com base em vários fatores.
- Quanto mais utilizadores, grupos e membros de grupos estiverem no âmbito de provisionamento, mais tempo levará para a conclusão da tarefa de sincronização. Por exemplo, um trabalho de sincronização com 10 grupos, cada um com 20 mil membros, levará mais tempo para ser provisionado do que um trabalho de sincronização com 1 grupo de 20 mil membros.
- Se o escopo de sincronização estiver definido como "sincronizar todos os usuários e grupos", o mecanismo de sincronização avaliará cada usuário, grupo no locatário durante o ciclo inicial. Isso permite que o mecanismo de sincronização determine quais objetos estão no escopo. Como resultado, o número total de usuários, grupos e membros do grupo presentes no sistema de origem (por exemplo, Microsoft Entra ID) afeta o desempenho.
- O número de alterações no sistema de origem afeta o tempo de provisionamento de atualizações durante um ciclo incremental. Alterações em usuários ou grupos que não estão no escopo para provisionamento (por exemplo, novos usuários criados nas associações de locatário ou grupo atualizadas) podem afetar o desempenho, pois o serviço precisará avaliar a alteração e ignorá-la. Isso é particularmente importante quando o escopo é "sincronizar todos os usuários e grupos"
- Alguns sistemas de destino implementam limites de taxa de pedidos e restrições, o que pode afetar o desempenho durante grandes operações de sincronização. Nessas condições, um aplicativo que recebe muitas solicitações muito rápido pode diminuir sua taxa de resposta ou fechar a conexão. Os aplicativos de galeria são configurados para aderir aos limites de taxa definidos pelo desenvolvedor do aplicativo, sem nenhuma ação exigida por um administrador que configure o provisionamento.
- Os trabalhos de sincronização para os quais todos os usuários são criados pela primeira vez levam cerca de duas vezes mais tempo do que os trabalhos de sincronização para os quais todos os usuários são correspondidos aos usuários existentes.
- O número de falhas que o serviço de provisionamento precisa repetir em um determinado ciclo de sincronização afeta o desempenho. Verifique a barra de progresso e os logs de provisionamento para quaisquer falhas e corrija-as.
- Os trabalhos de provisionamento em quarentena são executados com frequência reduzida. Revise o motivo da quarentena e corrija-o para restaurar a frequência de execução típica.
Somente para a configuração Sincronizar usuários e grupos atribuídos, você pode usar as seguintes fórmulas para determinar os tempos de ciclo inicial mínimos e máximos esperados aproximados:
- Minutos mínimos = 0,01 x [Número de usuários, grupos e membros do grupo atribuídos]
- Máximo de minutos = 0,08 x [Número de usuários, grupos e membros do grupo atribuídos]
Recomendações para reduzir o tempo de provisionamento de um usuário e/ou grupo:
- Defina o escopo de provisionamento para sincronizar
assigned users and groupsem vez desync all users and groups. - Minimize o número de usuários e grupos no escopo do provisionamento.
- Crie vários trabalhos de provisionamento direcionados ao mesmo sistema. Ao fazer isso, cada trabalho de sincronização funcionará de forma independente, reduzindo o tempo para processar alterações. Certifique-se de que o escopo dos usuários seja distinto entre esses trabalhos de provisionamento para evitar que as alterações de um trabalho afetem outro.
- Adicione filtros de escopo para limitar ainda mais o número de usuários e grupos no escopo do provisionamento. Se o desempenho se tornar um problema e você estiver tentando provisionar a maioria dos usuários e grupos em seu locatário, use filtros de escopo. Os filtros de escopo permitem ajustar os dados que o serviço de provisionamento extrai da ID do Microsoft Entra filtrando os usuários com base em valores de atributos específicos. Para obter mais informações sobre filtros de escopo, consulte Provisionamento de aplicativos baseado em atributos com filtros de escopo.
Auditar alterações na configuração de provisionamento
As alterações de configuração de provisionamento são registradas nos logs de auditoria. Os utilizadores com as permissões necessárias, como Administrador de Aplicações e Leitor de Relatórios, podem aceder aos logs através da interface de logs de auditoria, da API e do PowerShell. Você pode usar o filtro de atividade nos logs de auditoria para identificar as seguintes ações.
Nota
Para ações que o serviço de provisionamento executa, como criar usuários, atualizar usuários e excluir usuários, recomendamos o uso dos logs de provisionamento. Para monitorar as alterações na configuração de provisionamento, recomendamos o uso dos logs de auditoria.
| Ação | Atividade (filtrar os logs desta propriedade) |
|---|---|
| Atualizar credenciais (por exemplo, adicionar um novo token de portador) | Atualizar configuração ou credenciais de provisionamento |
| Alterar as configurações em seu trabalho de provisionamento (por exemplo, e-mail de notificação, sincronizar todos vs. sincronizar usuários e grupos atribuídos, prevenção de exclusões acidentais) | Atualizar configuração ou credenciais de provisionamento |
| Iniciar o provisionamento | Ativar/iniciar a configuração de provisionamento |
| Interromper o provisionamento | Desativar/pausar a configuração de provisionamento |
| Reiniciar o aprovisionamento | Ativar/reiniciar a configuração de provisionamento |
| Atualizar mapeamentos de atributos ou regras de escopo | Atualizar mapeamentos de atributos ou escopo |