如何下載和分析 Microsoft Entra 佈建記錄

發行項
06/24/2024

Microsoft Entra 佈建記錄提供租用戶中發生的佈建事件詳細資料。您可以使用佈建記錄中擷取的資訊，協助疑難排解已佈建使用者的問題。

本文說明從 Microsoft Entra 系統管理中心下載佈建記錄的選項，以及如何分析記錄。此外，也包含錯誤碼和特殊考慮。

必要條件

若要檢視佈建記錄，您的租用戶必須具有與其相關聯的 Microsoft Entra ID P1 或 P2 授權。若要升級您的 Microsoft Entra 版本，請參閱開始使用 Microsoft Entra ID P1 或 P2。

應用程式擁有者可以檢視自己應用程式的記錄。需要下列角色才能檢視佈建記錄：

報告讀取者
安全性讀取者
安全性操作員
安全性系統管理員
應用程式系統管理員
雲端應用程式系統管理員
具有 provisioningLogs 權限的自訂角色中的使用者

如何檢視佈建記錄

有數種方式可以檢視或分析佈建記錄：

在 Azure 入口網站中檢視。
透過診斷設定將記錄串流至 Azure 監視器。
透過活頁簿範本分析記錄。
透過 Microsoft Graph API，以程式設計方式存取記錄。
以 CSV 或 JSON 檔案形式下載記錄。

提示

根據您開始使用的入口網站，本文中的步驟可能略有不同。

若要在 Azure 入口網站中存取記錄：

以至少報表讀者身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]> [監視和健康情況]> [佈建記錄]。

如何下載佈建記錄

您可以前往 Azure 入口網站中的記錄，然後選取 [下載]，以下載佈建記錄供稍後使用。系統會根據您所選取的篩選準則來篩選結果。盡可能讓篩選更具體，以減少下載的大小和時間。

佈建記錄中 [下載] 按鈕的螢幕擷取畫面。

CSV 格式

CSV 下載包含三個檔案：

ProvisioningLogs：下載所有記錄，除了佈建步驟和修改過的屬性。
ProvisioningLogs_ProvisioningSteps：包含佈建步驟和變更識別碼。您可以使用變更識別碼，將事件與另兩個檔案聯結。
ProvisioningLogs_ModifiedProperties：包含已變更的屬性和變更識別碼。您可以使用變更識別碼，將事件與另兩個檔案聯結。

JSON 格式

若要開啟 JSON 檔案，請使用文字編輯器，例如 Microsoft Visual Studio Code。 Visual Studio Code 藉由提供語法醒目提示，讓檔案更容易閱讀。您也可以使用瀏覽器 (例如Microsoft Edge) 以無法編輯的格式開啟 JSON 檔案。

修飾 JSON 檔案

JSON 檔案會以縮小下載大小的格式下載。此格式可能會讓承載難以閱讀。查看用來修飾檔案的兩個選項：

使用 Visual Studio Code 來格式化 JSON。
使用 PowerShell 來格式化 JSON。此指令碼會以包含索引標籤和空白的格式產生 JSON 輸出：

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

剖析 JSON 檔案

您可以使用任何您所熟悉的程式設計語言。下列範例位於 PowerShell 中。

讀取 JSON 檔案：

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

現在您可以根據您的案例來剖析資料。以下提供幾個範例：

輸出 JSON 檔案中的所有作業識別碼：

foreach ($provitem in $JSONContent) { $provitem.jobId }
輸出動作為「建立」的事件的所有變更識別碼：

foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

您應該知道的事情

以下是分析佈建記錄的一些提示和考量：

如果您有進階版本，Azure 入口網站會將報告的佈建資料儲存 30 天，而如果您有免費版本，則會儲存 7 天。您可以將佈建記錄路由至 Azure 監視器記錄，以保留超過 30 天。
例如，您可以使用變更識別碼屬性作為唯一識別碼，這在與產品支援互動時會很有用。
針對範圍以外的使用者，您可能會看到略過的事件。
- 範例 1：若已將範圍設定為 all users and groups 並設定範圍篩選條件，您可能會看到不符合範圍準則之使用者的略過記錄。
- 範例 2：若已將範圍設定為 assigned users and groups，即使未將使用者指派給該應用程式，仍會繼續在略過記錄中看到他們。這是因為佈建服務如何從目錄接收變更而導致的。
佈建記錄不會顯示角色匯入 (適用於 AWS、Salesforce 和 Zendesk)。您可以在稽核記錄中找到角色匯入的記錄。

錯誤碼

使用下表進一步了解如何解決您在佈建記錄中找到的錯誤。

錯誤碼	描述
Conflict, EntryConflict	更正 Microsoft Entra ID 或應用程式中的衝突屬性值。或者，如果衝突的使用者帳戶應該進行比對和接管，請檢閱比對屬性設定。如需設定比對屬性的詳細資訊，請檢閱文件。
TooManyRequests	目標應用程式拒絕此更新使用者的嘗試，因為它已超載且收到太多要求。不需要執行任何動作。此嘗試會自動淘汰。 Microsoft 也已收到此問題的通知。
InternalServerError	目標應用程式傳回未預期的錯誤。目標應用程式的服務問題可能導致其無法運作。此嘗試會在 40 分鐘內自動重試。
InsufficientRights, MethodNotAllowed, NotPermitted，未經授權	Microsoft Entra 向目標應用程式進行驗證，但未獲授權而無法執行更新。檢閱目標應用程式提供的任何指示，以及個別的應用程式教學課程。
UnprocessableEntity	目標應用程式傳回未預期的回應。目標應用程式的設定可能不正確，或目標應用程式的服務問題可能導致其無法運作。
WebExceptionProtocolError	連結至目標應用程式時發生 HTTP 通訊協定錯誤。不需要執行任何動作。此嘗試會在 40 分鐘內自動重試。
InvalidAnchor	先前由佈建服務所建立或比對的使用者已不存在。確保該使用者存在。若要強制對所有使用者進行新的比對，請使用 Microsoft Graph API 來重新開始該作業。重新開始佈建會觸發初始迴圈，其可能需要一些時間才能完成。重新開始佈建也會刪除佈建服務用來作業的快取。這表示租用戶中的所有使用者和群組都必須重新評估，而且可能會捨棄某些佈建事件。
NotImplemented	目標應用程式傳回未預期的回應。應用程式的設定可能不正確，或目標應用程式的服務問題可能導致其無法運作。檢閱目標應用程式提供的任何指示，以及個別的應用程式教學課程。
MandatoryFieldsMissing, MissingValues	因為遺漏必要的值而無法建立使用者。更正來源記錄中遺漏的屬性值，或檢查比對屬性設定，確保不會省略必要的欄位。深入了解如何設定比對屬性。
SchemaAttributeNotFound	因為指定的屬性不存在於目標應用程式中，而無法執行該作業。請參閱有關屬性自訂的文件，並確保您的設定正確無誤。
InternalError	Microsoft Entra 佈建服務內發生內部服務錯誤。不需要執行任何動作。此嘗試會在 40 分鐘內自動淘汰。
InvalidDomain	因為屬性值包含無效的網域名稱，無法執行該作業。更新使用者的網域名稱，或將其新增至目標應用程式中的允許清單。
Timeout	因為目標應用程式耗費太長時間來回應，無法完成作業。不需要執行任何動作。此嘗試會在 40 分鐘內自動重試。
LicenseLimitExceeded	因為沒有此使用者的可用授權，無法在目標應用程式中建立使用者。針對目標應用程式購買更多授權。或者，檢閱您的使用者指派和屬性對應設定，以確保已為正確的使用者指派正確的屬性。
DuplicateTargetEntries	因為發現目標應用程式中有一個以上的使用者具有設定的比對屬性，作業無法完成。從目標應用程式中移除重複的使用者，或重新設定您的屬性對應。
DuplicateSourceEntries	因為發現一個以上的使用者具有設定的比對屬性，作業無法完成。移除重複的使用者，或重新設定您的屬性對應。
ImportSkipped	評估每位使用者時，系統會嘗試從來源系統匯入使用者。當匯入的使用者遺漏您的屬性對應中定義的比對屬性時，通常會發生此錯誤。如果使用者物件上沒有比對屬性的值，系統就無法評估範圍、比對或匯出變更。存在此錯誤並不表示使用者在範圍內，因為您尚未評估使用者的範圍。
EntrySynchronizationSkipped	佈建服務已成功查詢來源系統並識別該使用者。未對使用者採取任何進一步的動作，而且已略過。使用者可能超出範圍，或使用者可能已存在於目標系統中，因此不需要進一步變更。
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse	擷取使用者或群組的 GET 要求，在回應中收到多個使用者或群組。系統預期只會在回應中收到一個使用者或群組。舉例來說，若執行擷取群組的 GET Group 要求並提供篩選條件以排除成員，但「跨網域身分識別管理系統 (SCIM)」端點卻傳回成員，則會顯示此錯誤。
SystemForCrossDomainIdentity ManagementServiceIncompatible	Microsoft Entra 佈建服務無法剖析第三方應用程式的回應。請與應用程式開發人員合作，確保 SCIM 伺服器與 Microsoft Entra SCIM 用戶端相容。
SchemaPropertyCanOnlyAcceptValue	目標系統中的屬性只能接受一個值，但來源系統中的屬性有多個值。請確保您將單一值屬性與擲出錯誤的屬性對應，或將來源中的值更新為單一值，或者從對應中移除該屬性。

跨租用戶同步處理的錯誤碼

使用下表進一步了解如何解決您在佈建記錄中找到的跨租用戶同步處理錯誤。

錯誤碼	原因	解決方法
Microsoft Entra ID CannotUpdateObjectsOriginated InExternalService	同步作業引擎無法更新目標租用戶中的一或多個使用者屬性。強制執行「授權單位來源 (SOA)」，導致 Microsoft Graph API 發生作業失敗。目前，下列屬性會顯示在清單中： `Mail` `showInAddressList`	在某些情況下(例如，在 `showInAddressList` 屬性包含在使用者更新項目中時)，同步作業引擎可能會自動重試 (使用者) 更新，但不包含有問題的屬性。否則，您必須直接在目標租用戶中更新屬性。
AzureDirectory B2BManagementPolicy CheckFailure	允許自動兌換的跨租用戶同步處理原則發生失敗。同步作業引擎會檢查，以確保目標租用戶的系統管理員所建立的輸入跨租用戶同步處理原則，允許自動兌換。同步作業引擎也會檢查來源租用戶的系統管理員是否已啟用自動兌換的輸出原則。	請確定已為來源和目標租用戶啟用自動兌換設定。如需詳細資訊，請參閱自動兌換設定。
Microsoft Entra ID QuotaLimitExceeded	租用戶中的物件數目超過目錄限制。 Microsoft Entra ID 會限制可在租用戶中建立的物件數目。	檢查是否可以增加配額。如需目錄限制和增加配額的步驟的相關資訊，請參閱 Microsoft Entra 服務限額和限制。
InvitationCreationFailure	Microsoft Entra 佈建服務嘗試邀請目標租用戶中的使用者。該邀請發生失敗。	進一步調查可能需要連絡客戶服務中心。
Microsoft Entra ID 禁止	外部共同作業設定已封鎖邀請。	瀏覽至使用者設定，並確定允許外部共同作業設定。
InvitationCreation FailureInvalidPropertyValue	可能的原因： * 主要 SMTP 地址不是有效的值。 * UserType 不是來賓或成員 * 不支援群組電子郵件地址	可能的解決方案： * 主要 SMTP 地址有無效的值。解決此問題可能需要更新來源使用者的郵件屬性。如需詳細資訊，請參閱準備將目錄同步至 Microsoft 365 * 確定 userType 屬性已佈建為類型來賓或成員。您可以藉由檢查屬性對應來修正此問題，以了解 userType 屬性的對應方式。 * 使用者的電子郵件地址與租用戶中群組的電子郵件地址相符。更新這兩個物件其中一個的電子郵件地址。
InvitationCreation FailureAmbiguousUser	受邀的使用者具有 Proxy 位址，其符合目標租用戶中的內部使用者。 Proxy 位址必須是唯一的。	若要解決此錯誤，請刪除目標租用戶中的現有內部使用者，或從同步範圍中移除此使用者。
Microsoft Entra ID CannotUpdateObjects MasteredOnPremises	如果目標租用戶中的使用者原本已從 AD 同步至 Microsoft Entra ID，並轉換成外部使用者，則授權來源仍為內部部署，且使用者無法更新。	跨租用戶同步處理無法更新使用者
EntityTypeNotSupported	群組可用來判斷哪些使用者位於佈建範圍內。群組物件無法同步。	不需採取客戶動作。這是略過的事件。若使用隨選佈建，請確定您選擇要佈建使用者，而非群組。

共用方式為