Etableringsloggar i Azure Active Directory

Azure Active Directory (Azure AD) integreras med flera tjänster från tredje part för att etablera användare i din klientorganisation. Om du behöver felsöka ett problem med en etablerad användare kan du använda informationen som samlas in i Azure AD etableringsloggar för att hitta en lösning.

Två andra aktivitetsloggar är också tillgängliga för att övervaka hälsotillståndet för din klientorganisation:

  • Inloggningar – Information om inloggningar och hur dina resurser används av dina användare.
  • Granskning – Information om ändringar som tillämpas på din klientorganisation, till exempel användare och grupphantering eller uppdateringar som tillämpas på klientorganisationens resurser.

Den här artikeln ger dig en översikt över etableringsloggarna.

Vad kan jag göra med den?

Du kan använda etableringsloggarna för att få svar på frågor som:

  • Vilka grupper har skapats i ServiceNow?

  • Vilka användare har tagits bort från Adobe?

  • Vilka användare från Workday har skapats i Active Directory?

Hur kommer du åt etableringsloggarna?

Om du vill visa etableringsloggarna måste din klientorganisation ha en Azure AD Premium-licens som är associerad med den. Information om hur du uppgraderar din Azure AD-utgåva finns i Komma igång med Azure Active Directory Premium.

Programägare kan visa loggar för sina egna program. Följande roller krävs för att visa etableringsloggar:

  • Rapportläsare
  • Säkerhetsläsare
  • Säkerhetsoperatör
  • Säkerhetsadministratör
  • Programadministratör
  • Molnprogramadministratör
  • Global administratör
  • Användare i en anpassad roll med behörigheten provisioningLogs

Du har följande alternativ för att komma åt etableringsloggdata:

  • Välj Etableringsloggar i avsnittet Övervakning i Azure AD.

  • Strömma etableringsloggarna till Azure Monitor. Med den här metoden kan du utöka datakvarhållning och skapa anpassade instrumentpaneler, aviseringar och frågor.

  • Fråga Microsoft Graph API efter etableringsloggarna.

  • Ladda ned etableringsloggarna som en CSV- eller JSON-fil.

Visa etableringsloggarna

Om du vill visa etableringsloggen på ett effektivare sätt kan du ägna en stund åt att anpassa vyn efter dina behov. Du kan ange vilka kolumner som ska inkluderas och filtrera data för att begränsa saker och ting.

Anpassa layouten

Etableringsloggen har en standardvy, men du kan anpassa kolumner.

  1. Välj Kolumner på menyn överst i loggen.
  2. Markera de kolumner som du vill visa och välj knappen Spara längst ned i fönstret.

Skärmbild som visar knappen för att anpassa kolumner.

Med det här området kan du visa fler fält eller ta bort fält som redan visas.

Filtrera resultaten

När du filtrerar dina etableringsdata fylls vissa filtervärden dynamiskt baserat på din klientorganisation. Om du till exempel inte har några "skapa"-händelser i klientorganisationen finns det inget alternativ för att skapa filter.

Med identitetsfiltret kan du ange namnet eller identiteten som du bryr dig om. Den här identiteten kan vara en användare, grupp, roll eller något annat objekt.

Du kan söka efter objektets namn eller ID. ID:t varierar beroende på scenario.

  • Om du etablerar ett objekt från Azure AD till Salesforce är käll-ID:t objekt-ID:t för användaren i Azure AD. Mål-ID:t är ID:t för användaren på Salesforce.
  • Om du etablerar från Workday till Azure AD är käll-ID:t arbetsarbetar-ID:t. Mål-ID:t är ID:t för användaren i Azure AD.

Anteckning

Namnet på användaren kanske inte alltid finns i identitetskolumnen . Det kommer alltid att finnas ett ID.

Med filtret Datum kan du definiera en tidsram för de data som returneras. Möjliga värden:

  • En månad
  • Sju dagar
  • 30 dagar
  • 24 timmar
  • Anpassat tidsintervall (konfigurera ett startdatum och ett slutdatum)

Med filtret Status kan du välja:

  • Alla
  • Klart
  • Fel
  • Överhoppad

Med åtgärdsfiltret kan du filtrera dessa åtgärder:

  • Skapa
  • Uppdatera
  • Ta bort
  • Inaktivera
  • Annat

Förutom filtren i standardvyn kan du ange följande filter.

  • Jobb-ID: Ett unikt jobb-ID associeras med varje program som du har aktiverat etablering för.

  • Cykel-ID: Cykel-ID:t identifierar etableringscykeln unikt. Du kan dela detta ID med produktsupport för att leta upp cykeln där händelsen inträffade.

  • Ändrings-ID: Ändrings-ID är en unik identifierare för etableringshändelsen. Du kan dela detta ID med produktsupport för att leta upp etableringshändelsen.

  • Källsystem: Du kan ange var identiteten etableras från. När du till exempel etablerar ett objekt från Azure AD till ServiceNow är källsystemet Azure AD.

  • Målsystem: Du kan ange var identiteten etableras. När du till exempel etablerar ett objekt från Azure AD till ServiceNow är målsystemet ServiceNow.

  • Program: Du kan bara visa poster för program med ett visningsnamn som innehåller en specifik sträng.

Analysera etableringsloggarna

När du väljer ett objekt i etableringslistvyn får du mer information om det här objektet, till exempel de steg som vidtagits för att etablera användaren och tips för felsökning av problem. Informationen är grupperad i fyra flikar.

  • Steg: Beskriver de steg som vidtagits för att etablera ett objekt. Etableringen av ett objekt kan bestå av fyra steg:

    1. Importera objektet.
    2. Kontrollera om objektet finns i omfånget.
    3. Matcha objektet mellan källa och mål.
    4. Etablera objektet (skapa, uppdatera, ta bort eller inaktivera).

    Skärmbild som visar etableringsstegen på fliken Steg.

  • Felsökning & Rekommendationer: Innehåller felkoden och orsaken. Felinformationen är endast tillgänglig om ett fel inträffar.

  • Ändrade egenskaper: Visar det gamla värdet och det nya värdet. Om det inte finns något gammalt värde är kolumnen tom.

  • Sammanfattning: Ger en översikt över vad som hände och identifierare för objektet i käll- och målsystemen.

Ladda ned loggar som CSV eller JSON

Du kan ladda ned etableringsloggarna för senare användning genom att gå till loggarna i Azure Portal och välja Ladda ned. Filen filtreras baserat på de filtervillkor som du har valt. Gör filtren så specifika som möjligt för att minska nedladdningens storlek och tid.

CSV-nedladdningen innehåller tre filer:

  • ProvisioningLogs: Laddar ned alla loggar, förutom etableringsstegen och ändrade egenskaper.
  • ProvisioningLogs_ProvisioningSteps: Innehåller etableringsstegen och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
  • ProvisioningLogs_ModifiedProperties: Innehåller attributen som har ändrats och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.

Öppna JSON-filen

Om du vill öppna JSON-filen använder du en textredigerare som Microsoft Visual Studio Code. Visual Studio Code gör filen enklare att läsa genom att ange syntaxmarkering. Du kan också öppna JSON-filen med hjälp av webbläsare i ett oåterkalleligt format, till exempel Microsoft Edge.

Prettifiera JSON-filen

JSON-filen laddas ned i minimerat format för att minska storleken på nedladdningen. Det här formatet kan göra nyttolasten svårläst. Ta en titt på två alternativ för att prettifiera filen:

  • Använd Visual Studio Code för att formatera JSON.

  • Använd PowerShell för att formatera JSON. Det här skriptet matar ut JSON i ett format som innehåller flikar och blanksteg:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Parsa JSON-filen

Här följer några exempelkommandon för att arbeta med JSON-filen med hjälp av PowerShell. Du kan använda valfritt programmeringsspråk som du känner dig bekväm med.

Läs först JSON-filen genom att köra det här kommandot:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Nu kan du parsa data enligt ditt scenario. Här följer några exempel:

  • Mata ut alla jobb-ID:t i JSON-filen:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Mata ut alla ändrings-ID:t för händelser där åtgärden var "create":

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Det här bör du veta

Här följer några tips och överväganden för etablering av rapporter:

  • Azure Portal lagrar rapporterade etableringsdata i 30 dagar om du har en Premium Edition och 7 dagar om du har en kostnadsfri utgåva. Du kan publicera etableringsloggarna till Log Analytics för kvarhållning längre än 30 dagar.

  • Du kan till exempel använda attributet ändrings-ID som unik identifierare, vilket kan vara användbart när du interagerar med produktsupporten.

  • Du kan se överhoppade händelser för användare som inte ingår i omfånget. Det här beteendet är förväntat, särskilt när synkroniseringsomfånget är inställt på alla användare och grupper. Tjänsten utvärderar alla objekt i klientorganisationen, även de som ligger utanför omfånget.

  • Etableringsloggarna visar inte rollimporter (gäller för AWS, Salesforce och Zendesk). Du hittar loggarna för rollimporter i granskningsloggarna.

Felkoder

Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna. För eventuella felkoder som saknas kan du ge feedback med hjälp av länken längst ned på den här sidan.

Felkod Beskrivning
Konflikt
EntryConflict
Korrigera de motstridiga attributvärdena i Azure AD eller i programmet. Eller granska din matchande attributkonfiguration om det motstridiga användarkontot skulle matchas och tas över. Mer information om hur du konfigurerar matchande attribut finns i dokumentationen .
TooManyRequests Målappen avvisade det här försöket att uppdatera användaren eftersom den är överbelastad och tar emot för många begäranden. Det finns inget att göra. Det här försöket dras tillbaka automatiskt. Microsoft har också underrättats om problemet.
InternalServerError Målappen returnerade ett oväntat fel. Ett tjänstproblem med målprogrammet kan hindra det från att fungera. Det här försöket görs automatiskt igen om 40 minuter.
InsufficientRights,
MethodNotAllowed,
NotPermitted,
Behörighet saknas
Azure AD autentiserades med målprogrammet men hade inte behörighet att utföra uppdateringen. Granska alla instruktioner som målprogrammet har tillhandahållit, tillsammans med respektive programsjälvstudie.
UnprocessableEntity Målprogrammet returnerade ett oväntat svar. Konfigurationen av målprogrammet kanske inte är korrekt, eller så kan ett tjänstproblem med målprogrammet hindra det från att fungera.
WebExceptionProtocolError Ett HTTP-protokollfel uppstod vid anslutning till målprogrammet. Det finns inget att göra. Det här försöket görs automatiskt igen om 40 minuter.
InvalidAnchor En användare som tidigare har skapats eller matchats av etableringstjänsten finns inte längre. Kontrollera att användaren finns. Om du vill framtvinga en ny matchning av alla användare använder du Microsoft Graph API för att starta om jobbet.

Om du startar om etableringen utlöses en inledande cykel, vilket kan ta tid att slutföra. När etableringen startas om tas även den cache som etableringstjänsten använder för att fungera bort. Det innebär att alla användare och grupper i klientorganisationen måste utvärderas igen och vissa etableringshändelser kan tas bort.
NotImplemented Målappen returnerade ett oväntat svar. Konfigurationen av appen kanske inte är korrekt, eller så kan ett tjänstproblem med målappen hindra den från att fungera. Granska alla instruktioner som målprogrammet har tillhandahållit, tillsammans med respektive programsjälvstudie.
MandatoryFieldsMissing,
MissingValues
Det gick inte att skapa användaren eftersom nödvändiga värden saknas. Korrigera de saknade attributvärdena i källposten eller granska din matchande attributkonfiguration för att säkerställa att de obligatoriska fälten inte utelämnas. Läs mer om hur du konfigurerar matchande attribut.
SchemaAttributeNotFound Det gick inte att utföra åtgärden eftersom ett attribut har angetts som inte finns i målprogrammet. Se dokumentationen om attributanpassning och kontrollera att konfigurationen är korrekt.
InternalError Ett internt tjänstfel uppstod i Azure AD-etableringstjänsten. Det finns inget att göra. Det här försöket görs automatiskt igen om 40 minuter.
InvalidDomain Det gick inte att utföra åtgärden eftersom ett attributvärde innehåller ett ogiltigt domännamn. Uppdatera domännamnet för användaren eller lägg till det i listan över tillåtna i målprogrammet.
Tidsgräns Det gick inte att slutföra åtgärden eftersom målprogrammet tog för lång tid att svara. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter.
LicenseLimitExceededed Det gick inte att skapa användaren i målprogrammet eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa fler licenser för målprogrammet. Eller granska konfigurationen av användartilldelningar och attributmappning för att säkerställa att rätt användare tilldelas rätt attribut.
DuplicateTargetEntries Det gick inte att slutföra åtgärden eftersom fler än en användare i målprogrammet hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren från målprogrammet eller konfigurera om attributmappningarna.
DuplicateSourceEntries Det gick inte att slutföra åtgärden eftersom fler än en användare hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren eller konfigurera om attributmappningarna.
ImportSkipped När varje användare utvärderas försöker systemet importera användaren från källsystemet. Det här felet uppstår ofta när användaren som importeras saknar den matchande egenskapen som definierats i attributmappningarna. Utan ett värde som finns på användarobjektet för det matchande attributet kan systemet inte utvärdera omfångs-, matchnings- eller exportändringar. Förekomsten av det här felet indikerar inte att användaren är i omfånget eftersom du ännu inte har utvärderat omfånget för användaren.
EntrySynchronizationSkipped Etableringstjänsten har frågat källsystemet och identifierat användaren. Inga ytterligare åtgärder vidtogs för användaren och de hoppades över. Användaren kan ha varit utanför omfånget eller så kanske användaren redan har funnits i målsystemet utan ytterligare ändringar.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
En GET-begäran om att hämta en användare eller grupp tog emot flera användare eller grupper i svaret. Systemet förväntar sig att bara ta emot en användare eller grupp i svaret. Om du till exempel gör en GET-gruppbegäran för att hämta en grupp, anger ett filter för att exkludera medlemmar och scim-slutpunkten (System for Cross-Domain Identity Management) returnerar medlemmarna får du det här felet.
SystemForCrossDomainIdentity
ManagementServiceInkompatibel
Den Azure AD etableringstjänsten kan inte parsa svaret från programmet från tredje part. Samarbeta med programutvecklaren för att säkerställa att SCIM-servern är kompatibel med den Azure AD SCIM-klienten.
SchemaPropertyCanOnlyAcceptValue Egenskapen i målsystemet kan bara acceptera ett värde, men egenskapen i källsystemet har flera. Se till att du antingen mappar ett envärdesattribut till egenskapen som genererar ett fel, uppdaterar värdet i källan så att det är envärdesvärde eller tar bort attributet från mappningarna.

Nästa steg