Microsoft Entra sağlama günlüklerini indirme ve analiz etme
Microsoft Entra sağlama günlükleri, kiracınızda gerçekleşen sağlama olayları hakkında ayrıntılı bilgi sağlar. Sağlanan bir kullanıcıyla ilgili sorunları gidermeye yardımcı olmak için sağlama günlüklerinde yakalanan bilgileri kullanabilirsiniz.
Bu makalede, Microsoft Entra yönetim merkezinden sağlama günlüklerini indirme seçenekleri ve günlüklerin nasıl çözümlenmesi anlatılmaktadır. Hata kodları ve dikkat edilmesi gereken özel noktalar da dahildir.
Önkoşullar
Sağlama günlüklerini görüntülemek için kiracınızın kendisiyle ilişkilendirilmiş bir Microsoft Entra ID P1 veya P2 lisansı olmalıdır. Microsoft Entra sürümünüzü yükseltmek için bkz . Microsoft Entra ID P1 veya P2'yi kullanmaya başlama.
Uygulama sahipleri kendi uygulamalarının günlüklerini görüntüleyebilir. Sağlama günlüklerini görüntülemek için aşağıdaki roller gereklidir:
- Rapor Okuyucusu
- Güvenlik Okuyucusu
- Güvenlik İşleci
- Güvenlik Yöneticisi
- Uygulama Yöneticisi
- Bulut Uygulaması Yöneticisi
- ProvisioningLogs iznine sahip özel bir roldeki kullanıcılar
Sağlama günlüklerini görüntüleme
Sağlama günlüklerini görüntülemenin veya analiz etmenin çeşitli yolları vardır:
- Azure portalında görüntüleyin.
- Tanılama ayarları aracılığıyla günlükleri Azure İzleyici'ye akışla aktarabilirsiniz.
- Çalışma kitabı şablonları aracılığıyla günlükleri analiz edin.
- Microsoft Graph API'sini kullanarak program aracılığıyla günlüklere erişin.
- Günlükleri CSV veya JSON dosyası olarak indirin.
İpucu
Bu makaledeki adımlar, başladığınız portala göre biraz değişiklik gösterebilir.
Azure portalında günlüklere erişmek için:
- Microsoft Entra yönetim merkezinde en az Bir Rapor Okuyucusu olarak oturum açın.
- Kimlik>İzleme ve sistem durumu>Sağlama günlüklerine göz atın.
Sağlama günlüklerini indirme
Azure portalındaki günlüklere gidip İndir'i seçerek daha sonra kullanmak üzere sağlama günlüklerini indirebilirsiniz. Sonuçlar, seçtiğiniz filtre ölçütlerine göre filtrelenir. İndirme boyutunu ve süresini azaltmak için filtreleri mümkün olduğunca belirli hale getirin.
CSV biçimi
CSV indirmesi üç dosya içerir:
- ProvisioningLogs: Sağlama adımları ve değiştirilen özellikler dışında tüm günlükleri indirir.
- ProvisioningLogs_ProvisioningSteps: Sağlama adımlarını ve değişiklik kimliğini içerir. Olayı diğer iki dosyayla birleştirmek için değişiklik kimliğini kullanabilirsiniz.
- ProvisioningLogs_ModifiedProperties: Değiştirilen öznitelikleri ve değişiklik kimliğini içerir. Olayı diğer iki dosyayla birleştirmek için değişiklik kimliğini kullanabilirsiniz.
JSON biçimi
JSON dosyasını açmak için Microsoft Visual Studio Code gibi bir metin düzenleyicisi kullanın. Visual Studio Code, söz dizimi vurgulama sağlayarak dosyanın daha kolay okunmasını sağlar. JSON dosyasını, tarayıcıları Microsoft Edge gibi düzenlenemez bir biçimde kullanarak da açabilirsiniz.
JSON dosyasını önceden onaylama
JSON dosyası, indirme boyutunu küçültmek için bir biçimde indirilir. Bu biçim yükün okunmasını zorlaştırabilir. Dosyayı daraltmak için iki seçeneğe göz atın:
JSON'ı biçimlendirmek için PowerShell kullanın. Bu betik, sekmeler ve boşluklar içeren bir biçimde bir JSON çıkışı oluşturur:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>
JSON dosyasını ayrıştırma
İstediğiniz programlama dilini kullanabilirsiniz. Aşağıdaki örnekler PowerShell'de verilmiştir.
JSON dosyasını okuyun:
$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON
Artık verileri senaryonuza göre ayrıştırabilirsiniz. Aşağıda birkaç örnek verilmiştir:
JSON dosyasındaki tüm iş kimliklerinin çıktısını alın:
foreach ($provitem in $JSONContent) { $provitem.jobId }Eylemin "create" olduğu olaylar için tüm değişiklik kimliklerinin çıktısını alın:
foreach ($provitem in $JSONContent) {if ($provItem.action -eq 'Create') {$provitem.changeId}}
Bilmeniz gerekenler
Sağlama günlüklerini analiz etmek için bazı ipuçları ve dikkat edilmesi gerekenler şunlardır:
Azure portalı, premium sürümünüz varsa 30 gün, ücretsiz sürümünüz varsa 7 gün boyunca raporlanan sağlama verilerini depolar. Sağlama günlüklerini 30 günden daha fazla saklama için Azure İzleyici günlüklerine yönlendirebilirsiniz.
Değişiklik kimliği özniteliğini benzersiz tanımlayıcı olarak kullanabilirsiniz. Bu, örneğin ürün desteğiyle etkileşim kurarken yararlı olabilir.
Kapsam dahilinde olmayan kullanıcılar için atlanan olaylar görebilirsiniz.
- Örnek 1: Kapsam olarak ayarlanmışsa
all users and groupsve kapsam filtreleri ayarladıysanız, kapsam ölçütlerini karşılamamış kullanıcılar için atlanmış günlükler görebilirsiniz. - Örnek 2: Kapsamı olarak
assigned users and groupsayarladıysanız, uygulamaya atanmamış olsalar bile günlüklerdeki kullanıcıları atlanmış olarak görmeye devam edebilirsiniz. Bunun nedeni, sağlama hizmetinin dizinden değişiklikleri nasıl aldığıdır.
- Örnek 1: Kapsam olarak ayarlanmışsa
Sağlama günlüklerinde rol içeri aktarma işlemleri gösterilmez (AWS, Salesforce ve Zendesk için geçerlidir). Rol içeri aktarma günlüklerini denetim günlüklerinde bulabilirsiniz.
Hata kodları
Sağlama günlüklerinde bulduğunuz hataların nasıl çözüleceğini daha iyi anlamak için aşağıdaki tabloyu kullanın.
| Hata kodu | Açıklama |
|---|---|
| Çakışma EntryConflict |
Microsoft Entra Id veya uygulamadaki çakışan öznitelik değerlerini düzeltin. Ya da çakışan kullanıcı hesabının eşleştirilip devralınması gerekiyorsa eşleşen öznitelik yapılandırmanızı gözden geçirin. Eşleşen öznitelikleri yapılandırma hakkında daha fazla bilgi için belgeleri gözden geçirin. |
| TooManyRequests | Hedef uygulama, aşırı yüklendiği ve çok fazla istek aldığı için kullanıcıyı güncelleştirme girişimini reddetti. Yapacak bir şey yok. Bu girişim otomatik olarak kullanımdan kaldırılır. Bu sorun Microsoft'a da bildirilmiştir. |
| InternalServerError | Hedef uygulama beklenmeyen bir hata döndürdü. Hedef uygulamayla ilgili bir hizmet sorunu çalışmasını engelliyor olabilir. Bu deneme 40 dakika içinde otomatik olarak yeniden denendi. |
| InsufficientRights, MethodNotAllowed, NotPermitted, Yetkisiz |
Microsoft Entra hedef uygulamayla kimlik doğrulaması yaptı ancak güncelleştirmeyi gerçekleştirme yetkisi yoktu. İlgili uygulama öğreticisiyle birlikte hedef uygulamanın sağladığı tüm yönergeleri gözden geçirin. |
| unprocessableEntity | Hedef uygulama beklenmeyen bir yanıt döndürdü. Hedef uygulamanın yapılandırması doğru olmayabilir veya hedef uygulamayla ilgili bir hizmet sorunu çalışmasını engelliyor olabilir. |
| WebExceptionProtocolError | Hedef uygulamaya bağlanırken BIR HTTP protokolü hatası oluştu. Yapacak bir şey yok. Bu deneme 40 dakika içinde otomatik olarak yeniden denendi. |
| InvalidAnchor | Sağlama hizmeti tarafından önceden oluşturulmuş veya eşleştirilmiş bir kullanıcı artık yok. Kullanıcının var olduğundan emin olun. Tüm kullanıcıların yeni eşleşmesini zorlamak için Microsoft Graph API'sini kullanarak işi yeniden başlatın. Sağlamayı yeniden başlatmak ilk döngüyü tetikler ve bu da tamamlanması zaman alabilir. Sağlamayı yeniden başlatmak, sağlama hizmetinin çalışmak için kullandığı önbelleği de siler. Başka bir deyişle, kiracıdaki tüm kullanıcıların ve grupların yeniden değerlendirilmesi gerekir ve bazı sağlama olayları bırakılabilir. |
| NotImplemented | Hedef uygulama beklenmeyen bir yanıt döndürdü. Uygulamanın yapılandırması doğru olmayabilir veya hedef uygulamayla ilgili bir hizmet sorunu çalışmasını engelliyor olabilir. İlgili uygulama öğreticisiyle birlikte hedef uygulamanın sağladığı tüm yönergeleri gözden geçirin. |
| MandatoryFieldsMissing, MissingValues |
Gerekli değerler eksik olduğundan kullanıcı oluşturulamadı. Kaynak kayıttaki eksik öznitelik değerlerini düzeltin veya gerekli alanların atlanmamış olduğundan emin olmak için eşleşen öznitelik yapılandırmanızı gözden geçirin. Eşleşen öznitelikleri yapılandırma hakkında daha fazla bilgi edinin. |
| SchemaAttributeNotFound | Hedef uygulamada mevcut olmayan bir öznitelik belirtildiğinden işlem gerçekleştirilemedi. Öznitelik özelleştirme belgelerine bakın ve yapılandırmanızın doğru olduğundan emin olun. |
| InternalError | Microsoft Entra sağlama hizmetinde bir iç hizmet hatası oluştu. Yapacak bir şey yok. Bu girişim 40 dakika içinde otomatik olarak kullanımdan kaldırılır. |
| InvalidDomain | Öznitelik değeri geçersiz bir etki alanı adı içerdiğinden işlem gerçekleştirilemedi. Kullanıcıdaki etki alanı adını güncelleştirin veya hedef uygulamada izin verilenler listesine ekleyin. |
| Timeout | Hedef uygulamanın yanıt vermesi çok uzun sürdüğünden işlem tamamlanamadı. Yapacak bir şey yok. Bu deneme 40 dakika içinde otomatik olarak yeniden denendi. |
| LicenseLimitExceeded | Bu kullanıcı için kullanılabilir lisans olmadığından kullanıcı hedef uygulamada oluşturulamadı. Hedef uygulama için daha fazla lisans temin edin. Alternatif olarak, doğru kullanıcıların doğru özniteliklerle atandığından emin olmak için kullanıcı atamalarınızı ve öznitelik eşleme yapılandırmanızı gözden geçirin. |
| DuplicateTargetEntries | Hedef uygulamada yapılandırılmış eşleşen özniteliklere sahip birden fazla kullanıcı bulunduğundan işlem tamamlanamadı. Yinelenen kullanıcıyı hedef uygulamadan kaldırın veya öznitelik eşlemelerinizi yeniden yapılandırın. |
| DuplicateSourceEntries | Yapılandırılmış eşleşen özniteliklerle birden fazla kullanıcı bulunduğundan işlem tamamlanamadı. Yinelenen kullanıcıyı kaldırın veya öznitelik eşlemelerinizi yeniden yapılandırın. |
| ImportSkipped | Her kullanıcı değerlendirildiğinde, sistem kullanıcıyı kaynak sistemden içeri aktarmaya çalışır. Bu hata genellikle içeri aktarılan kullanıcının öznitelik eşlemelerinizde tanımlanan eşleşen özelliği eksik olduğunda oluşur. Eşleşen öznitelik için kullanıcı nesnesinde bir değer olmadan sistem kapsam belirleme, eşleştirme veya dışarı aktarma değişikliklerini değerlendiremez. Kullanıcı için kapsam belirlemeyi henüz değerlendirmediğiniz için bu hatanın varlığı kullanıcının kapsamda olduğunu göstermez. |
| EntrySynchronizationSkipped | Sağlama hizmeti kaynak sistemi başarıyla sorguladı ve kullanıcıyı tanımladı. Kullanıcı üzerinde başka bir işlem yapılmadı ve bunlar atlandı. Kullanıcı kapsam dışında olabilir veya kullanıcı hedef sistemde başka değişiklik gerekmemiş olabilir. |
| SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse |
Yanıtta birden çok kullanıcı veya grup alan bir kullanıcı veya grup alma isteği. Sistem yanıtta yalnızca bir kullanıcı veya grup almayı bekler. Örneğin, bir grubu almak için GET Grubu isteğinde bulunursanız, üyeleri dışlamak için bir filtre sağlarsanız ve Etki Alanları Arası Kimlik Yönetimi (SCIM) uç noktanız üyeleri döndürürse, bu hata görüntülenir. |
| SystemForCrossDomainIdentity ManagementServiceIncompatible |
Microsoft Entra sağlama hizmeti, yanıtı üçüncü taraf uygulamasından ayrıştıramıyor. SCIM sunucusunun Microsoft Entra SCIM istemcisiyle uyumlu olduğundan emin olmak için uygulama geliştiricisiyle birlikte çalışın. |
| SchemaPropertyCanOnlyAcceptValue | Hedef sistemdeki özelliği yalnızca bir değeri kabul edebilir, ancak kaynak sistemdeki özelliğin birden çok değeri vardır. Tek değerli bir özniteliği hata oluşturan özelliğe eşlediğinizden, kaynaktaki değeri tek değerli olacak şekilde güncelleştirdiğinizden veya özniteliği eşlemelerden kaldırdığınızdan emin olun. |
Kiracılar arası eşitleme için hata kodları
Kiracılar arası eşitleme için sağlama günlüklerinde bulduğunuz hataların nasıl çözüleceğini daha iyi anlamak için aşağıdaki tabloyu kullanın.
| Hata kodu | Nedeni | Çözüm |
|---|---|---|
| Microsoft Entra Kimlik CannotUpdateObjectsOriginated InExternalService |
Eşitleme altyapısı hedef kiracıdaki bir veya daha fazla kullanıcı özelliğini güncelleştiremedi. Microsoft Graph API'sinde işlem, Yetki Kaynağı (SOA) zorlaması nedeniyle başarısız oldu. Şu anda listede aşağıdaki özellikler gösterilir: MailshowInAddressList |
Bazı durumlarda (örneğin, özellik kullanıcı güncelleştirmesinin bir parçası olduğunda showInAddressList ), eşitleme altyapısı (kullanıcı) güncelleştirmesini rahatsız edici özellik olmadan otomatik olarak yeniden deneyebilir. Aksi takdirde, özelliği doğrudan hedef kiracıda güncelleştirmeniz gerekir. |
| AzureDirectory B2BManagementPolicy CheckFailure |
Otomatik kullanıma izin veren kiracılar arası eşitleme ilkesi başarısız oldu. Eşitleme altyapısı, hedef kiracı yöneticisinin otomatik kullanıma izin veren bir gelen kiracılar arası eşitleme ilkesi oluşturup oluşturmadığını denetler. Eşitleme altyapısı, kaynak kiracı yöneticisinin otomatik kullanım için bir giden ilkesi etkinleştirip etkinleştirmediğini de denetler. |
Otomatik kullanım ayarının hem kaynak hem de hedef kiracılar için etkinleştirildiğinden emin olun. Daha fazla bilgi için bkz . Otomatik kullanım ayarı. |
| Microsoft Entra Kimlik QuotaLimitExceeded |
Kiracıdaki nesne sayısı dizin sınırını aşıyor. Microsoft Entra Id,kiracıda oluşturulabilecek nesne sayısı için sınırlara sahiptir. |
Kotanın artırılıp artırılamayacağını denetleyin. Dizin sınırları ve kotayı artırma adımları hakkında bilgi için bkz . Microsoft Entra hizmet sınırları ve kısıtlamaları. |
| InvitationCreationFailure | Microsoft Entra sağlama hizmeti, kullanıcıyı hedef kiracıya davet etmeye çalıştı. Davet başarısız oldu. | Daha fazla araştırma büyük olasılıkla desteğe başvurmayı gerektirir. |
| Microsoft Entra Kimlik Yasak |
Dış işbirliği ayarları engellenen davetler. | Kullanıcı ayarlarına gidin ve dış işbirliği ayarlarına izin verilenden emin olun. |
| InvitationCreation FailureInvalidPropertyValue |
Olası nedenler: * Birincil SMTP Adresi geçersiz bir değer. * UserType konuk veya üye değil * Grup e-posta Adresi desteklenmiyor |
Olası çözümler: * Birincil SMTP Adresi geçersiz bir değere sahip. Bu sorunu çözmek için büyük olasılıkla kaynak kullanıcının posta özelliğinin güncelleştirilmesi gerekecek. Daha fazla bilgi için bkz . Microsoft 365'e dizin eşitlemesine hazırlanma * userType özelliğinin konuk veya üye türü olarak sağlandığından emin olun. Bu, userType özniteliğinin nasıl eşlenmiş olduğunu anlamak için öznitelik eşlemelerinizi denetleyerek düzeltilebilir. * Kullanıcının e-posta adresi, kiracıdaki bir grubun e-posta adresiyle eşleşir. İki nesneden birinin e-posta adresini güncelleştirin. |
| InvitationCreation FailureAmbiguousUser |
Davet edilen kullanıcının, hedef kiracıdaki bir iç kullanıcıyla eşleşen bir proxy adresi vardır. Proxy adresi benzersiz olmalıdır. | Bu hatayı çözmek için hedef kiracıdaki mevcut iç kullanıcıyı silin veya bu kullanıcıyı eşitleme kapsamından kaldırın. |
| Microsoft Entra Kimlik CannotUpdateObjects MasteredOnPremises |
Hedef kiracıdaki kullanıcı başlangıçta AD'den Microsoft Entra Id'ye eşitlendiyse ve bir dış kullanıcıya dönüştürüldüyse, yetki kaynağı hala şirket içindedir ve kullanıcı güncelleştirilemez. | Kullanıcı, kiracılar arası eşitleme ile güncelleştirilemez |
| EntityTypeNotSupported | Gruplar, sağlama kapsamındaki kullanıcıları belirlemek için kullanılabilir. Gruplar nesneleri eşitlenemez. | Müşteri tarafından işlem yapılması gerekmez. Bu atlanan bir olaydır. sağlamayı isteğe bağlı olarak kullanıyorsanız, sağlamak için bir grup yerine bir kullanıcı seçtiğinizden emin olun. |
Sonraki adımlar
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin