Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Entra-provisioneringsloggarna innehåller information om de provisioneringshändelser som inträffar i din hyresgäst. Du kan använda informationen som samlas in i etableringsloggarna för att felsöka problem med en etablerad användare.
I den här artikeln beskrivs alternativen för att ladda ned etableringsloggarna från administrationscentret för Microsoft Entra och hur du analyserar loggarna. Felkoder och särskilda överväganden ingår också.
Förutsättningar
- En fungerande Microsoft Entra-klientorganisation med en Microsoft Entra ID P1- eller P2-licens som är associerad med den.
-
Rapportläsare är den minst privilegierade rollen som krävs för att komma åt konfigurationsloggarna.
- En fullständig lista över roller finns i Minsta privilegierade roll efter uppgift.
Så här visar du tilldelningsloggarna
Det finns flera sätt att visa eller analysera tilldelningsloggarna.
- Visa i administrationscentret för Microsoft Entra.
- Skicka loggar till Azure Monitor genom diagnostikinställningar.
- Analysera loggar via arbetsboksmallar .
- Få åtkomst till loggar programmatiskt via Microsoft Graph API.
- Ladda ned loggarna som en CSV- eller JSON-fil.
Så här kommer du åt loggarna i administrationscentret för Microsoft Entra:
- Logga in på Microsoft Entras administrationscenter som minst en Rapportläsare.
- Bläddra till
Entra ID Övervakning & hälsa Försörjningsloggar .
Hur man laddar ner etableringsloggarna
Om du vill ladda ned etableringsloggarna väljer du Ladda ned från sidan Etableringsloggar . Ange filtren så specifika som möjligt för att minska nedladdningens storlek och tid.
CSV-format
CSV-nedladdningen innehåller tre filer:
- ProvisioningLogs: Laddar ned alla loggar, förutom etableringsstegen och ändrade egenskaper.
- ProvisioningLogs_ProvisioningSteps: Innehåller etableringsstegen och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
- ProvisioningLogs_ModifiedProperties: Innehåller attributen som har ändrats och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
JSON-format
Om du vill öppna JSON-filen använder du en textredigerare som Microsoft Visual Studio Code. Visual Studio Code gör filen enklare att läsa genom att ange syntaxmarkering. Du kan också öppna JSON-filen med hjälp av en webbläsare i ett icke-redigerbart format, till exempel Microsoft Edge.
Prettifiera JSON-filen
JSON-filen laddas ned i ett format för att minska storleken på nedladdningen. Det här formatet kan göra nyttolasten svår att läsa. Det finns två alternativ för att prettifiera filen:
Använd PowerShell för att formatera JSON. Det här skriptet genererar JSON-utdata i ett format som innehåller flikar och blanksteg:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
Pars JSON-filen
Du kan använda valfritt programmeringsspråk som du är bekväm med. Följande exempel finns i PowerShell.
-
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Nu kan du parsa data enligt ditt scenario. Här är några exempel:
Mata ut alla jobb-ID:t i JSON-filen:
foreach ($provitem in $JSONContent) { $provitem.jobId }Visa alla ändrings-ID:n för händelser där åtgärden var "skapa".
foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }
Det här bör du känna till
Här är några tips och överväganden för att granska försörjningsloggarna:
Administrationscentret för Microsoft Entra lagrar rapporterade etableringsdata i 30 dagar om du har en premiumversion och 7 dagar om du har en kostnadsfri utgåva. Du kan dirigera etableringsloggarna till Azure Monitor-loggar för att behålla dem längre än 30 dagar.
Du kan till exempel använda attributet ändrings-ID som unik identifierare, vilket kan vara användbart när du interagerar med produktsupport.
Du kan se överhoppade händelser för användare som inte är inkluderade i omfattningen.
- Exempel 1: Om omfånget är inställt på
all users and groupsoch konfigurerar omfångsfilter kan du se överhoppade loggar för användare som inte uppfyller omfångsvillkoren. - Exempel 2: Om omfånget är inställt på
assigned users and groupskan du fortsätta att se användare i loggarna som överhoppade, även om de inte har tilldelats till programmet. Det sätt på vilket etableringstjänsten tar emot ändringar från katalogen gör att dessa användare visas.
- Exempel 1: Om omfånget är inställt på
Etableringsloggarna visar inte rollimporter (gäller för Amazon Web Services, Salesforce och Zendesk). Du hittar loggarna för rollimporter i granskningsloggarna.
Vissa felkoder innehåller
AzureActiveDirectoryi namnet. Dessa felkoder refererar till Microsoft Entra-ID, men det gick inte att byta namn från Azure Active Directory.
Felkoder
Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna.
| Felkod | beskrivning |
|---|---|
| Konflikt Inträdeskonflikt |
Korrigera de motstridiga attributvärdena i antingen Microsoft Entra-ID eller programmet. Eller granska konfigurationen av matchande attribut om det motstridiga användarkontot skulle matchas och tas över. Mer information om hur du konfigurerar matchande attribut finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| För många förfrågningar | Målappen avvisade det här försöket att uppdatera användaren eftersom appen tar emot för många förfrågningar. Det finns inget att göra. Det här försöket görs automatiskt på nytt och Microsoft har fått ett meddelande om det här problemet. |
| InternalServerError (på engelska) | Målappen returnerade ett oväntat fel. Ett tjänstproblem med målprogrammet kan hindra det från att fungera. Försöket görs automatiskt igen om 40 minuter. |
| Otillräckligarättigheter MethodNotAllowed (Metod ej tillåten) Ej tillåten Behörighet saknas |
Microsoft Entra-ID autentiserades med målprogrammet men hade inte behörighet att utföra uppdateringen. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive program. Mer information finns i Självstudier för att integrera program med Microsoft Entra-ID. |
| Ohanterbar enhet | Målprogrammet returnerade ett oväntat svar. Konfigurationen av målprogrammet kanske inte är korrekt, eller så kan ett tjänstproblem med målprogrammet hindra det från att fungera. |
| WebExceptionProtocolError | Ett HTTP-protokollfel uppstod vid anslutning till målprogrammet. Det finns inget att göra. Försöket görs automatiskt igen om 40 minuter. |
| Ogiltig Ankarpunkt | En användare som tidigare har skapats eller matchats av etableringstjänsten finns inte längre. Kontrollera att användaren finns. Om du vill tvinga fram en ny matchning av alla användare använder du Microsoft Graph API för att starta om jobbet. Att återstarta provisionering utlöser en inledande cykel, vilket kan ta tid att fullfölja. Omstart av etableringen raderar även det cacheminne som etableringstjänsten använder för att fungera normalt. Det innebär att alla användare och grupper i hyresgästen måste utvärderas igen och vissa provisioneringsevenemang kan komma att utgå. |
| Ej implementerad | Målapplikationen returnerade ett oväntat svar. Konfigurationen av appen kanske inte är korrekt, eller så kan ett tjänstproblem med målappen hindra den från att fungera. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive program. Mer information finns i Självstudier för att integrera program med Microsoft Entra-ID. |
| ObligatoriskaFältSaknas Saknade Värden |
Det gick inte att skapa användaren eftersom nödvändiga värden saknas. Korrigera de saknade attributvärdena i källposten eller granska konfigurationen av matchande attribut för att säkerställa att de obligatoriska fälten inte utelämnas. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| Schemaattribut ej hittat | Det gick inte att utföra åtgärden eftersom ett attribut angavs som inte finns i målprogrammet. Kontrollera att konfigurationen är korrekt genom att referera till Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| Internfel | Ett internt tjänstfel uppstod i Microsoft Entra-etableringstjänsten. Det finns inget att göra. Försöket görs automatiskt igen om 40 minuter. |
| OgiltigDomän | Det gick inte att utföra åtgärden eftersom ett attributvärde innehåller ett ogiltigt domännamn. Uppdatera domännamnet för användaren eller lägg till det i listan över tillåtna i målprogrammet. |
| Tidsavbrott | Det gick inte att slutföra åtgärden eftersom målprogrammet tog för lång tid att svara. Det finns inget att göra. Försöket görs automatiskt igen om 40 minuter. |
| Licensgräns överskriden | Det gick inte att skapa användaren i målprogrammet eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa fler licenser för målprogrammet. Eller granska konfigurationen för användartilldelningar och attributmappning för att säkerställa att rätt användare tilldelas rätt attribut. |
| DupliceradeMålposter | Det gick inte att slutföra åtgärden eftersom fler än en användare i målprogrammet hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren från målprogrammet eller konfigurera om attributmappningarna. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| DupliceradeKällposter | Det gick inte att slutföra åtgärden eftersom fler än en användare hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren eller konfigurera om attributmappningarna. Mer information finns i Anpassa attributmappningar för användaretablering för SaaS-program i Microsoft Entra-ID. |
| Import hoppades över | När varje användare utvärderas försöker systemet importera användaren från källsystemet. Det här felet uppstår ofta när den användare som importeras saknar den matchande egenskapen som definierats i attributmappningarna. Utan ett värde som finns på användarobjektet för det matchande attributet kan systemet inte utvärdera omfångs-, matchnings- eller exportändringar. Förekomsten av det här felet indikerar inte att användaren befinner sig inom området, eftersom du ännu inte har bedömt omfånget för användaren. |
| Inläggssynkronisering hoppades över | Tillhandahållandetjänsten har framgångsrikt förfrågat källsystemet och identifierat användaren. Ingen ytterligare åtgärd vidtogs gentemot användaren och den hoppades över. Användaren kan ha varit utanför omfånget eller redan fanns i målsystemet utan ytterligare ändringar. |
| SystemFörDomänÖvergripandeIdentitet Hantering av flera poster i svar |
En GET-begäran om att hämta en användare eller grupp tog emot flera användare eller grupper i svaret. Systemet förväntar sig att endast ta emot en användare eller grupp i svaret. Om du till exempel gör en GET-gruppbegäran för att hämta en grupp, anger ett filter för att exkludera medlemmar och din SCIM-slutpunkt (System for Cross-Domain Identity Management) returnerar medlemmarna visas det här felet. |
| SystemFörDomänÖvergripandeIdentitet ManagementService Inkompatibel |
Microsoft Entra-etableringstjänsten kan inte parsa svaret från programmet som inte kommer från Microsoft. Samarbeta med programutvecklaren för att säkerställa att SCIM-servern är kompatibel med Microsoft Entra SCIM-klienten. |
| Schematillgången kan endast acceptera värden | Egenskapen i målsystemet kan bara acceptera ett värde, men egenskapen i källsystemet har flera. Se till att du antingen mappar ett attribut med ett envärdesvärde till egenskapen som utlöser ett fel, uppdaterar värdet i källan så att det är envärdesvärde eller tar bort attributet från mappningarna. |
Felkoder för synkronisering mellan klientorganisationer
Använd följande tabell för att bättre förstå hur du löser fel som du hittar i provisioneringsloggarna för gränsöverskridande synkronisering mellan klientorganisationer. Vissa felkoder mappas till mer än en orsak, så det finns flera rader för samma felkod.
| Felkod | Orsak | Lösning |
|---|---|---|
| AzureActiveDirectory Förbjuden | Egenskapen dirSync-aktiverad är inställd på true. Därför kan etableringstjänsten inte uppdatera användaregenskaper som immutableId och extensionProperty1-15. | Ta bort attributet från attributmappningarna för att förhindra fel. |
| AzureActiveDirectory Förbjuden | Externa samarbetsinställningar blockerade inbjudningar. | Gå till användarinställningar och se till att externa samarbetsinställningar är tillåtna. |
| AzureActiveDirectoryCannot UppdateraObjektUrsprung InExternalService |
Källan till behörigheten för användaren är Exchange Online. Etableringstjänsten kan inte uppdatera ett eller flera exchange-attribut för användaren (t.ex. extensionAttribute 1–15). Detta påverkar användare som fanns i målklientorganisationen när egenskapen dirSyncEnabled ändrades från "True" till "False". | Uppdatera attributet direkt i målklientorganisationens exchange online. Till exempel: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell" |
| AzureActiveDirectory KanInteUppdateraObjektSomHärstammar InExternalService |
Synkroniseringsmotorn kunde inte uppdatera ett eller flera användarattribut i målklienten. Åtgärden misslyckades i Microsoft Graph API på grund av krav på Source of Authority (SOA). För närvarande visas följande egenskaper i listan: MailshowInAddressList |
I vissa fall (till exempel när showInAddressList egenskapen är en del av användaruppdateringen) kan synkroniseringsmotorn automatiskt försöka uppdatera (användaren) igen utan den felaktiga egenskapen. Annars måste du uppdatera egenskapen direkt i målhyrtagaren. |
| AzureDirectory B2B-hanteringspolicy Kontrollfel |
Synkroniseringsprincipen mellan klientorganisationer som tillåter automatisk inlösen misslyckades. Synkroniseringsmotorn kontrollerar att administratören för målklientorganisationen har skapat en inkommande synkroniseringsprincip mellan klientorganisationer som tillåter automatisk återlösen. Synkroniseringsmotorn kontrollerar också om administratören för källtenanten har aktiverat en utgående policy för automatisk inlösen. |
Kontrollera att inställningen för automatisk inlösning har aktiverats för både käll- och målhyresgästerna. Mer information finns i Automatisk inlösen-inställning. |
| AzureActiveDirectory Kvotgräns överskriden |
Antalet objekt i klientorganisationen överskrider kataloggränsen. Microsoft Entra-ID har gränser för antalet objekt som kan skapas i en klientorganisation. |
Kontrollera om kvoten kan ökas. Information om kataloggränser och steg för att öka kvoten finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten. |
| Inbjudanskapandefel | Microsoft Entra-försörjningstjänsten försökte bjuda in användaren till målklientorganisationen. Inbjudan misslyckades. | Ytterligare undersökning kräver sannolikt att du kontaktar supporten. |
| Mislyckades med att skapa inbjudan - Användarkonto avaktiverat | Microsoft Entra-försörjningstjänsten försökte bjuda in användaren till målklientorganisationen. Inbjudan misslyckades. | Användaren finns i målklientorganisationen, men kontot är inaktiverat och inbjudan väntar. Aktivera användarkontot i målklientorganisationen och försök att provisionera användaren igen. |
| Inbjudanskapande FelOgiltigtEgenskapsvärde |
Möjliga orsaker: * Den primära SMTP-adressen är ett ogiltigt värde. * UserType är inte gäst eller medlem * Grupp-e-postadress stöds inte |
Potentiella lösningar: * Den primära SMTP-adressen har ett ogiltigt värde. För att lösa det här problemet måste du förmodligen uppdatera källanvändarens e-postegenskap. Mer information finns i Förbereda för katalogsynkronisering till Microsoft 365 * Kontrollera att egenskapen userType har konfigurerats som gäst eller medlem. Kontrollera attributmappningarna för att förstå hur attributet userType mappas. * E-postadressen för användaren matchar e-postadressen för en grupp i klientorganisationen. Uppdatera e-postadressen för ett av de två objekten. |
| Inbjudanskapande FelTvetydigAnvändare |
Den inbjudna användaren har en proxyadress som matchar en intern användare i målklientorganisationen. Proxyadressen måste vara unik. | Lös det här felet genom att ta bort den befintliga interna användaren i målklientorganisationen eller ta bort den här användaren från synkroniseringsomfånget. |
| AzureActiveDirectory KanInteUppdateraObjekt MasteredOnPremises |
Om användaren i målklientorganisationen ursprungligen synkroniserades från AD till Microsoft Entra-ID och konverterades till en extern användare är auktoritetskällan fortfarande lokal och användaren kan inte uppdateras. | Användaren kan inte uppdateras med synkronisering mellan tenanter. |
| EntitetstypEjStödd | Grupper kan användas för att avgöra vilka användare som är i omfånget för försörjning. Det går inte att synkronisera gruppobjekt. | Ingen kundåtgärd krävs. Det här är en överhoppad händelse. Om du använder etablering vid behov, kontrollera att du väljer en användare istället för en grupp att etablera. |