檢查使用者佈建的狀態

文章
06/28/2024

Microsoft Entra 佈建服務會先對來源系統和目標系統執行初始佈建週期，後續再執行定期增量週期。為應用程式設定佈建時，您可以檢查佈建服務的目前狀態，並查看使用者何時將能夠存取應用程式。

檢視佈建進度列

在應用程式的 [佈建] 頁面上，您可以檢視 Microsoft Entra 佈建服務的狀態。頁面底部的 [目前狀態] 區段會顯示佈建週期是否已開始佈建使用者帳戶。您可以監看週期的進度、查看已佈建的使用者和群組數目，以及查看已建立的角色數目。

當您第一次設定自動佈建時，頁面底部的 [目前狀態] 區段會顯示初始佈建週期的狀態。此區段會在每次執行增量週期時更新。其中會顯示下列詳細資料：

目前正在執行或上次已完成的佈建週期類型 (初始或增量)。
顯示佈建週期已完成百分比的進度列。百分比會反映佈建的頁面計數。每個頁面可能包含多個使用者或群組，因此百分比不會直接與佈建的使用者、群組或角色數目相互關聯。
您可以使用 [重新整理] 按鈕將檢視保持在最新狀態。
連接器資料存放區中的使用者和群組數目。每當將物件新增至佈建範圍時，此計數都會增加。如果使用者遭到虛刪除或實刪除，此計數不會減少，因為該作業不會將物件從連接器資料存放區中移除。重設 CDS 之後的第一次同步時，系統會重新計算計數
檢視稽核記錄連結，其可開啟 Microsoft Entra 佈建記錄。若要深入了解使用者佈建服務所執行的作業 (包括個別使用者的佈建狀態)，請參閱本文稍後的使用佈建記錄。

佈建週期完成之後，[迄今的統計資料] 區段會顯示迄今已佈建的使用者和群組累計數目，以及最後一個週期的完成日期和持續時間。 [活動識別碼] 可唯一識別最近的佈建週期。 [作業識別碼] 是佈建作業的唯一識別碼，而且會專屬於您租用戶中的應用程式。

您可以在 Microsoft Entra 系統管理中心的 [身分識別]> [應用程式]> [企業應用程式]> [應用程式名稱] >[佈建] 中檢視佈建進度。

佈建頁面進度列

您也可以使用 Microsoft Graph，以程式設計方式監視佈建至應用程式的狀態。如需詳細資訊，請參閱監視佈建。

使用佈建記錄來檢查使用者的佈建狀態

若要查看所選使用者的佈建狀態，請參閱 Microsoft Entra ID 中的佈建記錄。使用者佈建服務所執行的所有作業，都會記錄在 Microsoft Entra 佈建記錄中。記錄包含對來源和目標系統所做的讀取和寫入作業。還會記錄與讀取和寫入作業相關的相關聯使用者資料。

您可以在 [活動] 區段中選取 [身分識別]> [應用程式]> [企業應用程式]> [佈建記錄]，以存取 Microsoft Entra 系統管理中心的佈建記錄。您可以根據使用者的名稱或識別碼，在來源系統或目標系統中搜尋佈建資料。如需詳細資訊，請參閱佈建記錄。

佈建記錄會記錄佈建服務所執行的所有作業，包括：

查詢在佈建範圍中已指派使用者的 Microsoft Entra ID
查詢目標應用程式以確定那些使用者是否存在
比較系統之間的使用者物件
根據比較，在目標系統中新增、更新或停用使用者帳戶

如需如何在 Microsoft Entra 系統管理中心讀取佈建記錄的詳細資訊，請參閱佈建報告指南。

佈建使用者需要多久時間？

在應用程式中使用自動使用者佈建時，請記住一些事項。首先，Microsoft Entra ID 會根據使用者和群組指派等資訊，自動佈建和更新應用程式中的使用者帳戶。同步會以定期排程的時間間隔進行，通常是每 40 分鐘一次。

佈建指定使用者所需的時間，主要取決於您的佈建作業是執行初始週期或增量週期。

初始週期的作業時間取決於許多因素，包括佈建範圍中的使用者和群組數目，以及來源系統中的使用者和群組總數。 Microsoft Entra ID 與應用程式之間的第一次同步最快需要 20 分鐘，最長需要數小時。時間取決於 Microsoft Entra 目錄的大小，以及佈建範圍中的使用者數目。本節稍後將完整列出會影響初始週期效能的因素摘要。
初始週期之後的增量週期工作時間通常會更快 (在 10 分鐘內)，因為佈建服務會儲存浮水印，代表兩個系統在初始週期之後的狀態，所以會改善後續同步的效能。作業時間取決於在該佈建週期中偵測到的變更數目。如果少於 5,000 個使用者或群組成員資格發生變更，則作業可以在單一增量佈建週期內完成。

下表摘要說明常見佈建案例的同步處理時間。在這些案例中，來源系統是 Microsoft Entra ID，而目標系統是 SaaS 應用程式。同步時間衍生自 SaaS 應用程式 ServiceNow、工作場所、Salesforce 和 G Suite 的同步作業統計分析。

範圍設定	範圍中的使用者、群組和成員	初始週期時間
僅同步已指派的使用者與群組	< 1,000	< 30 分鐘
僅同步已指派的使用者與群組	1,000 - 10,000	142 - 708 分鐘
僅同步已指派的使用者與群組	10,000 - 100,000	1,170 - 2,340 分鐘
在 Microsoft Entra ID 中同步所有使用者和群組	< 1,000	< 30 分鐘
在 Microsoft Entra ID 中同步所有使用者和群組	1,000 - 10,000	< 30 - 120 分鐘
在 Microsoft Entra ID 中同步所有使用者和群組	10,000 - 100,000	713 - 1,425 分鐘
在 Microsoft Entra ID 中同步所有使用者	< 1,000	< 30 分鐘
在 Microsoft Entra ID 中同步所有使用者	1,000 - 10,000	43 - 86 分鐘

針對 [僅同步已指派的使用者與群組] 設定，您可以使用下列公式來判斷初始週期時間的預估最小值和最大值：

最小分鐘數 = 0.01 x [已指派的使用者、群組和群組成員數目]
最大分鐘數 = 0.08 x [已指派的使用者、群組和群組成員數目]

影響初始週期完成時間的因素摘要：

佈建範圍中的使用者和群組總數。
來源系統 (Microsoft Entra ID) 中存在的使用者、群組和群組成員總數。
佈建範圍內的使用者是否對應到目標應用程式中的現有使用者，或是必須在初次同步時加已建立。比起所有使用者皆對應到現有使用者的同步作業，需建立所有使用者的初次同步作業約需要「雙倍」時間。
佈建記錄中的錯誤數目。如果有許多錯誤且佈建服務已進入隔離狀態，效能就會變差。
目標系統實作的要求速率限制和節流設定。某些目標系統會實作要求速率限制和節流設定，這可能會影響大型同步作業的效能。在這樣的情況下，太快收到太多要求的應用程式，可能會因此降低其回應速率或關閉連線。若要改善效能，連接器必須進行調整，傳送應用程式要求的速度不可比應用程式處理這些要求的速度快。由 Microsoft 所建置的佈建連接器會進行這項調整。
指派群組的數目和大小。同步指派群組所花的時間可能比同步使用者的時間長。指派群組的數目和大小會影響效能。如果應用程式啟用群組物件同步處理的對應，則除了使用者外，群組屬性 (例如群組名稱和成員資格) 也會一起同步。比起只同步使用者物件，這些同步作業將會花費更長時間。
如果效能變成問題，而且您嘗試在租用戶中佈建大部分的使用者和群組，請使用範圍篩選條件。範圍篩選條件可讓您根據特定的屬性值篩選出使用者，以微調佈建服務從 Microsoft Entra ID 擷取的資料。如需範圍設定篩選條件的詳細資訊，請參閱含範圍篩選器的屬性型應用程式佈建。

在大部分情況下，增量週期會在 30 分鐘內完成。不過，在有數百或數千個使用者變更或群組成員資格變更的情況下，增量週期時間會隨著要處理的變更數目按比例增加，而且可能需要數小時的時間。使用同步指派的使用者和群組，並將佈建範圍中的使用者/群組數目降到最低，有助於縮短同步時間。

縮短佈建使用者和/或群組時間的建議：

將佈建範圍設定為同步 assigned users and groups，而不是 sync all users and groups。
將佈建範圍中的使用者和群組數目降到最低。
建立多個以相同系統為目標的佈建工作。執行此動作時，每個同步工作都會獨立運作，以縮短處理變更的時間。請確定這些佈建工作之間的使用者範圍不同，以避免某個工作的變更影響另一個工作。
新增範圍篩選條件，以進一步限制佈建範圍中的使用者和群組數目。

稽核佈建設定的變更

佈建設定變更會記錄在稽核記錄中。具有必要權限的使用者 (例如應用程式系統管理員和報告讀取者)，可以透過稽核記錄 UI、API 以及 PowerShell 存取記錄。您可以使用稽核記錄中的活動篩選條件來識別下列動作。

注意

對於佈建服務所執行的動作 (例如建立使用者、更新使用者，以及刪除使用者)，建議使用佈建記錄。對於監視佈建設定的變更，建議使用稽核記錄。

螢幕擷取畫面：稽核記錄。

動作	活動 (篩選此屬性上的記錄)
更新認證 (例如：新增持有人權杖)	更新佈建設定或認證
變更佈建工作的設定 (例如：通知電子郵件、全部同步與同步已指派的使用者和群組、意外刪除防護)	更新佈建設定或認證
開始佈建	啟用/啟動佈建設定
停止佈建	停用/暫停佈建設定
重新開始佈建	啟用/重新啟動佈建設定
更新屬性對應或範圍規則	更新屬性對應或範圍

下一步

使用 Microsoft Entra ID 自動進行 SaaS 應用程式的使用者佈建和解除佈建

分享方式：