檢查使用者布建的狀態
Microsoft Entra 布建服務會針對來源系統和目標系統執行初始布建週期,後面接著定期累加迴圈。 當您設定應用程式的佈建時,您可以檢查布建服務的目前狀態,並查看使用者何時能夠存取應用程式。
檢視布建進度列
在應用程式的 [ 布建 ] 頁面上,您可以檢視 Microsoft Entra 布建服務的狀態。 頁面底部的 [ 目前狀態] 區段會顯示布建週期是否已開始布建用戶帳戶。 您可以觀看周期的進度、查看布建的使用者和群組數目,以及查看有多少角色已建立。
當您第一次設定自動布建時,頁面底部的 [ 目前狀態 ] 區段會顯示初始布建周期的狀態。 本節會在每次執行累加循環時更新。 顯示下列詳細資料:
- 目前正在執行或上次完成的布建周期類型(初始或累加式)。
- 進度 列 ,顯示已完成布建週期的百分比。 百分比反映布建的頁面計數。 每個頁面都可以包含多個使用者或群組,因此百分比不會與布建的使用者、群組或角色數目直接相互關聯。
- 您可以使用 [ 重新 整理] 按鈕來更新檢視。
- 連接器數據存放區中的使用者和群組數目。 每當物件新增至布建範圍時,計數就會增加。 如果使用者遭到虛刪除或硬刪除,則計數不會下降,因為作業不會從連接器數據存放區中移除物件。 重設 CDS 之後,計數會重新計算第一個同步處理
- [ 檢視稽核記錄 ] 鏈接,開啟 Microsoft Entra 布建記錄。 若要深入了解使用者布建服務所執行的作業,包括個別使用者的布建狀態,請參閱 本文稍後的使用布建記錄 。
布建週期完成之後,[ 統計數據到日期 ] 區段會顯示迄今布建的使用者和群組累計數目,以及最後一個週期的完成日期和持續時間。 活動 標識碼 可唯一識別最新的布建週期。 作業 標識碼 是布建作業的唯一標識符,而且是租用戶中應用程式特有的標識碼。
布建進度會在身分識別>應用程式>企業應用程式> [應用程式名稱] >布建的 Microsoft Entra 系統管理中心檢視。
您也可以使用 Microsoft Graph 以程式設計方式監視布建至應用程式的狀態。 如需詳細資訊,請參閱 監視布建。
使用布建記錄來檢查使用者的布建狀態
若要查看所選使用者的布建狀態,請參閱 Microsoft Entra 識別碼中的布建記錄 。 使用者布建服務執行的所有作業都會記錄在 Microsoft Entra 布建記錄中。 記錄包含對來源和目標系統的讀取和寫入作業。 也會記錄與讀取和寫入作業相關的相關聯用戶數據。
您可以在 [活動] 區段中選取 [身分識別>應用程式企業應用程式>>布建記錄],以存取 Microsoft Entra 系統管理中心的布建記錄。 您可以根據來源系統或目標系統中的使用者名稱或識別碼來搜尋布建數據。 如需詳細資訊,請參閱 布建記錄。
布建記錄會記錄布建服務執行的所有作業,包括:
- 查詢 Microsoft Entra 識別碼,以取得布建範圍內指派的使用者
- 查詢目標應用程式是否有這些使用者存在
- 比較系統之間的用戶物件
- 根據比較,在目標系統中新增、更新或停用用戶帳戶
如需如何在 Microsoft Entra 系統管理中心讀取布建記錄的詳細資訊,請參閱 布建報告指南。
布建使用者需要多久的時間?
當您搭配應用程式使用自動使用者布建時,請記住一些事項。 首先,Microsoft Entra ID 會根據使用者和群組指派等專案,自動布建和更新應用程式中的用戶帳戶。 同步處理會在定期排程的時間間隔發生,通常是每 40 分鐘一次。
布建指定使用者所需的時間主要取決於布建作業是執行初始迴圈還是累加迴圈。
針對 初始週期,作業時間取決於許多因素,包括布建範圍中的使用者和群組數目,以及來源系統中的使用者和群組總數。 Microsoft Entra ID 與應用程式之間的第一次同步處理會以 20 分鐘的速度發生,或需要數小時的時間。 時間取決於 Microsoft Entra 目錄的大小,以及布建範圍中的用戶數目。 本節稍後會摘要說明影響初始迴圈效能的完整因素清單。
對於 累加迴圈,在初始迴圈之後,作業時間往往較快(在10分鐘內),因為布建服務會儲存浮水印,代表初始迴圈之後這兩個系統的狀態,以改善後續同步的效能。 作業時間取決於該布建週期中偵測到的變更數目。 如果少於5,000個使用者或群組成員資格變更,作業可以在單一累加布建週期內完成。
下表摘要說明常見布建案例的同步處理時間。 在這些案例中,來源系統是 Microsoft Entra ID,而目標系統是 SaaS 應用程式。 同步時間衍生自 SaaS 應用程式 ServiceNow、Workplace、Salesforce 和 G Suite 同步作業的統計分析。
| 範圍設定 | 範圍中的使用者、群組和成員 | 初始週期時間 |
|---|---|---|
| 僅同步指派的使用者和群組 | < 1,000 | < 30 分鐘 |
| 僅同步指派的使用者和群組 | 1,000 - 10,000 | 142 - 708 分鐘 |
| 僅同步指派的使用者和群組 | 10,000 - 100,000 | 1,170 - 2,340 分鐘 |
| 同步處理 Microsoft Entra 識別碼中的所有使用者和群組 | < 1,000 | < 30 分鐘 |
| 同步處理 Microsoft Entra 識別碼中的所有使用者和群組 | 1,000 - 10,000 | < 30 - 120 分鐘 |
| 同步處理 Microsoft Entra 識別碼中的所有使用者和群組 | 10,000 - 100,000 | 713 - 1,425 分鐘 |
| 同步處理 Microsoft Entra 識別碼中的所有使用者 | < 1,000 | < 30 分鐘 |
| 同步處理 Microsoft Entra 識別碼中的所有使用者 | 1,000 - 10,000 | 43 - 86 分鐘 |
針對僅限同步指派的使用者和群組,您可以使用下列公式來判斷預期的最小和最大預期初始週期時間:
- 最小分鐘數 = 0.01 x [指派的使用者、群組和群組成員數目]
- 最大分鐘數 = 0.08 x [指派的使用者、群組和群組成員數目]
影響完成 初始週期所需時間的因素摘要:
布建範圍中的使用者和群組總數。
來源系統中存在的使用者、群組和群組成員總數(Microsoft Entra ID)。
布建範圍中的使用者是否與目標應用程式中的現有使用者相符,或必須第一次建立。 第一次建立所有使用者的同步作業需要大約兩倍的時間,讓所有使用者都符合現有使用者的同步作業。
布建 記錄中的錯誤數目。 如果有許多錯誤且布建服務已進入隔離狀態,效能會變慢。
目標系統所實作的要求速率限制和節流。 某些目標系統會實作要求速率限制和節流,這可能會影響大型同步作業期間的效能。 在這些情況下,收到太多要求的應用程式可能會使回應速率變慢或關閉連線。 為了改善效能,連接器必須透過不傳送應用程式要求的速度比應用程式可處理快,來調整。 Microsoft 所建置的布建連接器會進行這項調整。
指派群組的數目和大小。 同步指派的群組比同步處理用戶的時間還長。 指派群組的數目和大小都會影響效能。 如果應用程式已啟用 群組物件同步的對應,除了使用者之外,也會同步群組屬性,例如組名和成員資格。 這些同步處理花費的時間比只同步處理用戶對象還要長。
如果效能變成問題,而且您嘗試在租使用者中布建大部分的使用者和群組,請使用範圍篩選。 範圍篩選可讓您根據特定屬性值篩選出使用者,微調布建服務從 Microsoft Entra ID 擷取的數據。 如需範圍篩選的詳細資訊,請參閱 使用範圍篩選器布建屬性型應用程式。
在大部分情況下, 累加迴圈 會在30分鐘內完成。 不過,當有數百或數千個用戶變更或群組成員資格變更時,累加週期時間會隨著處理變更的數目成比例增加,而且可能需要數小時的時間。 使用 同步指派的使用者和群組 ,並將布建範圍中的使用者/群組數目降到最低,將有助於減少同步時間。
建議,以減少布建使用者和/或群組的時間:
- 將布建範圍設定為同步
assigned users and groups處理 ,而不是sync all users and groups。 - 將布建範圍中的使用者和群組數目降到最低。
- 建立多個以相同系統為目標的布建作業。 這樣做時,每個同步作業都會獨立運作,以減少處理變更的時間。 請確定這些布建作業之間的用戶範圍不同,以避免從某個作業影響另一個作業的變更。
- 新增範圍篩選,以進一步限制布建範圍中的使用者和群組數目。
稽核布建組態的變更
布建組態變更會記錄在稽核記錄中。 具有必要許可權的使用者,例如應用程式管理員和報表讀取者,可以透過稽核記錄 UI、API,以及透過 PowerShell 存取記錄。 您可以使用稽核記錄中的活動篩選來識別下列動作。
| 動作 | 活動 (篩選此屬性上的記錄檔) |
|---|---|
| 更新認證(例如:新增持有人令牌) | 更新布建設定或認證 |
| 變更佈建作業的設定(例如:通知電子郵件、同步處理所有與同步指派的使用者和群組、意外刪除防護) | 更新布建設定或認證 |
| 開始布建 | 啟用/開始布建設定 |
| 停止布建 | 停用/暫停布建設定 |
| 重新開始佈建 | 啟用/重新啟動布建設定 |
| 更新屬性對應或範圍規則 | 更新屬性對應或範圍 |