Så här laddar du ned och analyserar Microsoft Entra-etableringsloggarna

Microsoft Entra-etableringsloggarna innehåller information om de etableringshändelser som inträffar i din klientorganisation. Du kan använda informationen som samlas in i etableringsloggarna för att felsöka problem med en etablerad användare.

I den här artikeln beskrivs alternativen för att ladda ned etableringsloggarna från administrationscentret för Microsoft Entra och hur du analyserar loggarna. Felkoder och särskilda överväganden ingår också.

Förutsättningar

Om du vill visa etableringsloggarna måste din klientorganisation ha en Microsoft Entra ID P1- eller P2-licens associerad med den. Information om hur du uppgraderar din Microsoft Entra-utgåva finns i Komma igång med Microsoft Entra ID P1 eller P2.

Programägare kan visa loggar för sina egna program. Följande roller krävs för att visa etableringsloggar:

• Rapportläsare
• Säkerhetsläsare
• Säkerhetsoperator
• Säkerhetsadministratör
• Appadministratör
• Molnappadministratör
• Användare i en anpassad roll med behörigheten provisioningLogs

Så här visar du etableringsloggarna

Det finns flera sätt att visa eller analysera etableringsloggarna:

• Visa i Azure-portalen.
• Strömma loggar till Azure Monitor via diagnostikinställningar.
• Analysera loggar via arbetsboksmallar .
• Få åtkomst till loggar programmatiskt via Microsoft Graph-API:et.
• Ladda ned loggarna som en CSV- eller JSON-fil.

Dricks

Stegen i den här artikeln kan variera något beroende på vilken portal du börjar från.

Så här kommer du åt loggarna i Azure-portalen:

1. Logga in på administrationscentret för Microsoft Entra som minst en rapportläsare.
2. Bläddra till Loggar för identitetsövervakning>och hälsoetablering.>

Ladda ned etableringsloggarna

Du kan ladda ned etableringsloggarna för senare användning genom att gå till loggarna i Azure-portalen och välja Ladda ned. Resultaten filtreras baserat på de filtervillkor som du har valt. Gör filtren så specifika som möjligt för att minska nedladdningens storlek och tid.

CSV-format

CSV-nedladdningen innehåller tre filer:

• ProvisioningLogs: Laddar ned alla loggar, förutom etableringsstegen och ändrade egenskaper.
• ProvisioningLogs_ProvisioningSteps: Innehåller etableringsstegen och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.
• ProvisioningLogs_ModifiedProperties: Innehåller attributen som har ändrats och ändrings-ID:t. Du kan använda ändrings-ID:t för att ansluta händelsen till de andra två filerna.

JSON-format

Om du vill öppna JSON-filen använder du en textredigerare som Microsoft Visual Studio Code. Visual Studio Code gör filen enklare att läsa genom att ange syntaxmarkering. Du kan också öppna JSON-filen med hjälp av webbläsare i ett namnlös format, till exempel Microsoft Edge.

Prettifiera JSON-filen

JSON-filen laddas ned i ett format för att minska storleken på nedladdningen. Det här formatet kan göra nyttolasten svår att läsa. Kolla in två alternativ för att prettifiera filen:

• Använd Visual Studio Code för att formatera JSON.

• Använd PowerShell för att formatera JSON. Det här skriptet genererar JSON-utdata i ett format som innehåller flikar och blanksteg:

  $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

  $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Parsa JSON-filen

Du kan använda valfritt programmeringsspråk som du är bekväm med. Följande exempel finns i PowerShell.

• Läs JSON-filen:

  $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

Nu kan du parsa data enligt ditt scenario. Här är några exempel:

• Mata ut alla jobb-ID:t i JSON-filen:

  foreach ($provitem in $JSONContent) { $provitem.jobId }

• Mata ut alla ändrings-ID:t för händelser där åtgärden var "create":

  foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Det här bör du känna till

Här följer några tips och överväganden för att analysera etableringsloggarna:

• Azure-portalen lagrar rapporterade etableringsdata i 30 dagar om du har en premiumversion och 7 dagar om du har en kostnadsfri utgåva. Du kan dirigera etableringsloggarna till Azure Monitor-loggar för kvarhållning längre än 30 dagar.

• Du kan till exempel använda attributet ändrings-ID som unik identifierare, vilket kan vara användbart när du interagerar med produktsupport.

• Du kan se överhoppade händelser för användare som inte är i omfånget.

  • Exempel 1: Om du har omfånget inställt på all users and groups och konfigurerar omfångsfilter kan du se överhoppade loggar för användare som inte uppfyller omfångskriterierna.
  • Exempel 2: Om du har angett omfånget till assigned users and groupskan du fortsätta att se användare i loggarna som överhoppade, även om de inte har tilldelats till programmet. Detta beror på hur etableringstjänsten tar emot ändringar från katalogen.

• Etableringsloggarna visar inte rollimporter (gäller för AWS, Salesforce och Zendesk). Du hittar loggarna för rollimporter i granskningsloggarna.

Felkoder

Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna.

Felkod	beskrivning
Konflikt EntryConflict	Korrigera de motstridiga attributvärdena i antingen Microsoft Entra-ID eller programmet. Eller granska konfigurationen av matchande attribut om det motstridiga användarkontot skulle matchas och tas över. Mer information om hur du konfigurerar matchande attribut finns i dokumentationen.
TooManyRequests	Målappen avvisade det här försöket att uppdatera användaren eftersom den är överbelastad och tar emot för många begäranden. Det finns inget att göra. Det här försöket dras tillbaka automatiskt. Microsoft har också fått ett meddelande om det här problemet.
InternalServerError	Målappen returnerade ett oväntat fel. Ett tjänstproblem med målprogrammet kan hindra det från att fungera. Det här försöket görs automatiskt om 40 minuter.
InsufficientRights, MethodNotAllowed, NotPermitted, Behörighet saknas	Microsoft Entra autentiserades med målprogrammet men hade inte behörighet att utföra uppdateringen. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive programguide.
UnprocessableEntity	Målprogrammet returnerade ett oväntat svar. Konfigurationen av målprogrammet kanske inte är korrekt, eller så kan ett tjänstproblem med målprogrammet hindra det från att fungera.
WebExceptionProtocolError	Ett HTTP-protokollfel uppstod vid anslutning till målprogrammet. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter.
InvalidAnchor	En användare som tidigare har skapats eller matchats av etableringstjänsten finns inte längre. Kontrollera att användaren finns. Om du vill tvinga fram en ny matchning av alla användare använder du Microsoft Graph API för att starta om jobbet. Omstart av etablering utlöser en inledande cykel, vilket kan ta tid att slutföra. Om du startar om etableringen tas även det cacheminne som etableringstjänsten använder för att fungera. Det innebär att alla användare och grupper i klientorganisationen måste utvärderas igen och vissa etableringshändelser kan komma att tas bort.
Inteimplementerad	Målappen returnerade ett oväntat svar. Konfigurationen av appen kanske inte är korrekt, eller så kan ett tjänstproblem med målappen hindra den från att fungera. Granska alla instruktioner som målprogrammet har angett tillsammans med respektive programguide.
MandatoryFieldsMissing, MissingValues	Det gick inte att skapa användaren eftersom nödvändiga värden saknas. Korrigera de saknade attributvärdena i källposten eller granska konfigurationen av matchande attribut för att säkerställa att de obligatoriska fälten inte utelämnas. Läs mer om hur du konfigurerar matchande attribut.
SchemaAttributeNotFound	Det gick inte att utföra åtgärden eftersom ett attribut angavs som inte finns i målprogrammet. Se dokumentationen om attributanpassning och se till att konfigurationen är korrekt.
InternalError	Ett internt tjänstfel uppstod i Microsoft Entra-etableringstjänsten. Det finns inget att göra. Det här försöket dras tillbaka automatiskt om 40 minuter.
InvalidDomain	Det gick inte att utföra åtgärden eftersom ett attributvärde innehåller ett ogiltigt domännamn. Uppdatera domännamnet för användaren eller lägg till det i listan över tillåtna i målprogrammet.
Timeout	Det gick inte att slutföra åtgärden eftersom målprogrammet tog för lång tid att svara. Det finns inget att göra. Det här försöket görs automatiskt om 40 minuter.
LicenseLimitExceededed	Det gick inte att skapa användaren i målprogrammet eftersom det inte finns några tillgängliga licenser för den här användaren. Skaffa fler licenser för målprogrammet. Eller granska konfigurationen för användartilldelningar och attributmappning för att säkerställa att rätt användare tilldelas rätt attribut.
DuplicateTargetEntries	Det gick inte att slutföra åtgärden eftersom fler än en användare i målprogrammet hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren från målprogrammet eller konfigurera om attributmappningarna.
DuplicateSourceEntries	Det gick inte att slutföra åtgärden eftersom fler än en användare hittades med de konfigurerade matchande attributen. Ta bort den duplicerade användaren eller konfigurera om attributmappningarna.
ImportSkipped	När varje användare utvärderas försöker systemet importera användaren från källsystemet. Det här felet uppstår ofta när den användare som importeras saknar den matchande egenskapen som definierats i attributmappningarna. Utan ett värde som finns på användarobjektet för det matchande attributet kan systemet inte utvärdera omfångs-, matchnings- eller exportändringar. Förekomsten av det här felet indikerar inte att användaren är i omfånget, eftersom du ännu inte har utvärderat omfånget för användaren.
EntrySynchronizationSkipped	Etableringstjänsten har frågat källsystemet och identifierat användaren. Ingen ytterligare åtgärd vidtogs på användaren och de hoppades över. Användaren kan ha varit utanför omfånget, eller så kanske användaren redan har funnits i målsystemet utan ytterligare ändringar.
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse	En GET-begäran om att hämta en användare eller grupp tog emot flera användare eller grupper i svaret. Systemet förväntar sig att endast ta emot en användare eller grupp i svaret. Om du till exempel gör en GET-gruppbegäran för att hämta en grupp, anger ett filter för att exkludera medlemmar och din SCIM-slutpunkt (System for Cross-Domain Identity Management) returnerar medlemmarna visas det här felet.
SystemForCrossDomainIdentity ManagementServiceInkompatibel	Microsoft Entra-etableringstjänsten kan inte parsa svaret från programmet från tredje part. Samarbeta med programutvecklaren för att säkerställa att SCIM-servern är kompatibel med Microsoft Entra SCIM-klienten.
SchemaPropertyCanOnlyAcceptValue	Egenskapen i målsystemet kan bara acceptera ett värde, men egenskapen i källsystemet har flera. Se till att du antingen mappar ett attribut med ett envärdesvärde till egenskapen som utlöser ett fel, uppdaterar värdet i källan så att det är envärdesvärde eller tar bort attributet från mappningarna.

Felkoder för synkronisering mellan klientorganisationer

Använd följande tabell för att bättre förstå hur du löser fel som du hittar i etableringsloggarna för synkronisering mellan klientorganisationer.

Felkod	Orsak	Lösning
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService	Synkroniseringsmotorn kunde inte uppdatera en eller flera användaregenskaper i målklientorganisationen. Åtgärden misslyckades i Microsoft Graph-API:et på grund av att SOA-tvingande (Source of Authority). För närvarande visas följande egenskaper i listan: Mail showInAddressList	I vissa fall (till exempel när showInAddressList egenskapen är en del av användaruppdateringen) kan synkroniseringsmotorn automatiskt försöka uppdatera (användaren) igen utan den felaktiga egenskapen. Annars måste du uppdatera egenskapen direkt i målklientorganisationen.
AzureDirectory B2BManagementPolicy CheckFailure	Synkroniseringsprincipen mellan klientorganisationer som tillåter automatisk inlösen misslyckades. Synkroniseringsmotorn kontrollerar att administratören för målklientorganisationen har skapat en princip för synkronisering mellan klienter som tillåter automatisk inlösen. Synkroniseringsmotorn kontrollerar också om administratören för källklientorganisationen har aktiverat en utgående princip för automatisk inlösning.	Kontrollera att inställningen för automatisk inlösning har aktiverats för både käll- och målklientenheterna. Mer information finns i inställningen Automatisk inlösen.
Microsoft Entra ID QuotaLimitExceededed	Antalet objekt i klientorganisationen överskrider kataloggränsen. Microsoft Entra-ID har gränser för antalet objekt som kan skapas i en klientorganisation.	Kontrollera om kvoten kan ökas. Information om kataloggränser och steg för att öka kvoten finns i Begränsningar och begränsningar för Microsoft Entra-tjänsten.
InvitationCreationFailure	Microsoft Entra-etableringstjänsten försökte bjuda in användaren i målklientorganisationen. Inbjudan misslyckades.	Ytterligare undersökning kräver sannolikt att du kontaktar supporten.
Microsoft Entra ID Förbjudet	Externa samarbetsinställningar blockerade inbjudningar.	Gå till användarinställningar och se till att externa samarbetsinställningar är tillåtna.
InbjudanSkapa FailureInvalidPropertyValue	Möjliga orsaker: * Den primära SMTP-adressen är ett ogiltigt värde. * UserType är inte gäst eller medlem * Grupp-e-postadress stöds inte	Potentiella lösningar: * Den primära SMTP-adressen har ett ogiltigt värde. För att lösa det här problemet måste du förmodligen uppdatera e-postegenskapen för källanvändaren. Mer information finns i Förbereda för katalogsynkronisering till Microsoft 365 * Kontrollera att egenskapen userType har etablerats som typgäst eller medlem. Detta kan åtgärdas genom att kontrollera attributmappningarna för att förstå hur attributet userType mappas. * E-postadressen för användaren matchar e-postadressen för en grupp i klientorganisationen. Uppdatera e-postadressen för ett av de två objekten.
InbjudanSkapa FailureAmbiguousUser	Den inbjudna användaren har en proxyadress som matchar en intern användare i målklientorganisationen. Proxyadressen måste vara unik.	Lös det här felet genom att ta bort den befintliga interna användaren i målklientorganisationen eller ta bort den här användaren från synkroniseringsomfånget.
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises	Om användaren i målklientorganisationen ursprungligen synkroniserades från AD till Microsoft Entra-ID och konverterades till en extern användare är auktoritetskällan fortfarande lokal och användaren kan inte uppdateras.	Användaren kan inte uppdateras genom synkronisering mellan klientorganisationer
EntityTypeNotSupported	Grupper kan användas för att avgöra vilka användare som är i omfånget för etablering. Det går inte att synkronisera gruppobjekt.	Ingen kundåtgärd krävs. Det här är en överhoppad händelse. Om du använder etableringen på begäran kontrollerar du att du väljer en användare i stället för en grupp som ska etableras.

Nästa steg

• Kontrollera status för användaretablering
• Problem med att konfigurera användaretablering till ett Microsoft Entra-galleriprogram
• Graph API för etableringsloggar