Vérifier l’état de l’approvisionnement d’utilisateurs
Le service de provisionnement Microsoft Entra exécute un cycle de provisionnement initial sur le système source et le système cible, suivi de cycles incrémentiels périodiques. Lorsque vous configurez l’approvisionnement d’une application, vous pouvez vérifier l’état actuel du service d’approvisionnement et voir quand un utilisateur est en mesure d’accéder à une application.
Afficher la barre de progression de l’approvisionnement
Dans la page Provisionnement d’une application, vous pouvez afficher l’état du service de provisionnement Microsoft Entra. La section État actuel en bas de la page indique si le cycle a démarré l’approvisionnement de comptes d’utilisateurs. Vous pouvez surveiller la progression du cycle, voir combien d’utilisateurs et de groupes ont été approvisionnés et combien de rôles sont créés.
Lorsque vous configurez pour la première fois l’approvisionnement automatique, la section État actuel au bas de la page affiche l’état initial du cycle d’approvisionnement. Cette section est mise à jour à chaque exécution d’un cycle incrémentiel. Les détails suivants sont affichés :
- Le type de cycle d’approvisionnement (initial ou incrémentiel) en cours d’exécution ou qui a été complété.
- Une barre de progression qui montre l’accomplissement de l’approvisionnement en pourcentage. Le pourcentage reflète le nombre de pages approvisionnées. Chaque page peut contenir plusieurs utilisateurs ou groupes. Le pourcentage ne reflète donc pas directement le nombre d’utilisateurs, de groupes ou de rôles approvisionnés.
- Un bouton Actualiser que vous pouvez utiliser pour mettre à jour la vue.
- Le nombre d’utilisateurs et de groupes dans le magasin de données du connecteur. Le nombre augmente dès qu’un objet est ajouté à l’étendue de l’approvisionnement. Le nombre ne diminue pas lors de la suppression réversible ou définitive d’un utilisateur, étant donné que l’opération ne supprime pas l’objet du magasin de données du connecteur. Le nombre est recalculé lors de la première synchronisation qui suit la réinitialisation du CDS
- Un lien Afficher les journaux d’audit, qui ouvre les journaux de provisionnement Microsoft Entra. Pour en savoir plus sur les opérations exécutées par le service d’approvisionnement d’utilisateurs, y compris l’état d’approvisionnement pour des utilisateurs individuels, consultez Utiliser les journaux d’approvisionnement plus loin dans l’article.
À la fin d’un cycle d’approvisionnement, la section Statistiques à ce jour affiche le nombre cumulatif d’utilisateurs et de groupes qui ont été approvisionnés à ce jour, ainsi que la date d’achèvement et la durée du dernier cycle. L’ID d’activité identifie uniquement le cycle d’approvisionnement le plus récent. L’ID de tâche est un identificateur unique de la tâche d’approvisionnement et est spécifique à l’application dans votre client.
La progression de l’approvisionnement est visible dans le centre d’administration Microsoft Entra en accédant à Identity>Applications>Applications d’entreprise> [nom de l’application] >Approvisionnement.
Vous pouvez également utiliser Microsoft Graph pour superviser par programmation l’état d’approvisionnement d’une application. Pour plus d’informations, consultez provisionnement du moniteur.
Utiliser les journaux de provisionnement pour vérifier l’état de provisionnement d’un utilisateur
Pour consulter l’état d’approvisionnement d’un utilisateur sélectionné, consultez les Journaux d’approvisionnement dans Microsoft Entra ID. Toutes les opérations exécutées par le service de provisionnement des utilisateurs sont enregistrées dans les journaux de provisionnement Microsoft Entra. Les journaux comprennent les opérations de lecture et d'écriture effectuées sur les systèmes source et cible. Les données utilisateur associées aux opérations de lecture et d’écriture sont également enregistrées.
Vous pouvez accéder aux journaux d’approvisionnement dans le Centre d’administration Microsoft Entra en sélectionnant Identité>Applications>Applications d’entreprise>Journaux d’approvisionnement dans la section Activité. Vous pouvez rechercher les données de provisionnement en fonction du nom de l’utilisateur ou de l’identificateur dans le système source ou le système cible. Pour plus d’informations, consultez Journaux d’approvisionnement.
Les journaux de provisionnement enregistrent toutes les opérations effectuées par le service de provisionnement, y compris :
- Interrogation de Microsoft Entra ID concernant les utilisateurs affectés qui se trouvent dans l’étendue du provisionnement
- Interrogation de l’application cible concernant l’existence de ces utilisateurs
- Comparaison des objets utilisateur du système
- Ajout, mise à jour ou désactivation du compte d’utilisateur dans le système cible en fonction de la comparaison
Pour plus d’informations sur la lecture des journaux de provisionnement dans le centre d’administration Microsoft Entra, consultez le guide de création de rapports sur l’approvisionnement.
Combien de temps faut-il pour approvisionner des utilisateurs ?
Lorsque vous utilisez l’approvisionnement automatique d’utilisateurs avec une application, il y a certaines choses à garder à l’esprit. Tout d’abord, Microsoft Entra ID provisionne et met à jour automatiquement les comptes d’utilisateurs dans une application en fonction d’éléments tels que l’affectation des utilisateurs et des groupes. La synchronisation se produit à un intervalle de temps planifié régulièrement, généralement toutes les 40 minutes.
Le temps de provisionnement d’un utilisateur donné dépend principalement de votre tâche de provisionnement, si elle est en cours d’exécution d’un cycle initial ou incrémentiel.
Pour le cycle initial, le temps nécessaire dépend de plusieurs facteurs, notamment le nombre d’utilisateurs et de groupes dans l’étendue du provisionnement, ainsi que le nombre total d’utilisateurs et de groupes dans le système source. La première synchronisation entre Microsoft Entra ID et une application peut se faire en 20 minutes ou prendre plusieurs heures. La durée dépend de la taille de l’annuaire Microsoft Entra et du nombre d’utilisateurs dans l’étendue du provisionnement. Une liste complète des facteurs affectant les performances du cycle initial est présentée plus loin dans cette section.
Pour les cycles incrémentiels qui suivent le cycle initial, les durées des tâches ont tendance à être plus rapides (en 10 minutes), car le service de provisionnement stocke les filigranes qui représentent l’état des deux systèmes après le cycle initial, ce qui améliore les performances des synchronisations suivantes. Le temps nécessaire dépend du nombre de modifications détectées dans ce cycle d’approvisionnement. S’il existe moins de 5 000 utilisateurs ou les changements d’appartenance au groupe, le travail peut finir dans un cycle d’approvisionnement incrémentiel.
Le tableau suivant récapitule les temps de synchronisation des scénarios d’approvisionnement courants. Dans ces scénarios, le système source est Microsoft Entra ID et le système cible est une application SaaS. Les temps de synchronisation sont dérivés d’une analyse statistique des travaux de synchronisation pour les applications SaaS ServiceNow, Workplace, Salesforce et G Suite.
| Configuration d’étendue | Utilisateurs, groupes et membres dans l’étendue | Durée du cycle initial |
|---|---|---|
| Synchroniser les utilisateurs et groupes assignés uniquement | < 1 000 | < 30 minutes |
| Synchroniser les utilisateurs et groupes assignés uniquement | 1 000 - 10 000 | 142 - 708 minutes |
| Synchroniser les utilisateurs et groupes assignés uniquement | 10 000 - 100 000 | 1 170 - 2 340 minutes |
| Synchroniser tous les utilisateurs et groupes dans Microsoft Entra ID | < 1 000 | < 30 minutes |
| Synchroniser tous les utilisateurs et groupes dans Microsoft Entra ID | 1 000 - 10 000 | < 30 - 120 minutes |
| Synchroniser tous les utilisateurs et groupes dans Microsoft Entra ID | 10 000 - 100 000 | 713 - 1 425 minutes |
| Synchroniser tous les utilisateurs dans Microsoft Entra ID | < 1 000 | < 30 minutes |
| Synchroniser tous les utilisateurs dans Microsoft Entra ID | 1 000 - 10 000 | 43 - 86 minutes |
En ce qui concerne la configuration Synchroniser uniquement les utilisateurs et groupes assignés, vous pouvez utiliser les formules suivantes et déterminer les temps minimum et maximum attendus pour le cycle initial :
- Nombre minimal de minutes = 0,01 x [nombre d’utilisateurs, de groupes et de membres de groupe affectés]
- Nombre maximal de minutes = 0,08 x [nombre d’utilisateurs, de groupes et de membres de groupe affectés]
Récapitulatif des facteurs ayant une incidence sur le temps nécessaire à l’accomplissement d’un cycle initial :
Nombre total d'utilisateurs et de groupes concernés par l'approvisionnement.
Nombre total d’utilisateurs, de groupes et de membres de groupe présents dans le système source (Microsoft Entra ID).
Si les utilisateurs dans l’étendue pour l’approvisionnement sont mis en correspondance ou non avec des utilisateurs existants dans l’application cible, ou doivent être créés la première fois. Les travaux de synchronisation pour lesquels tous les utilisateurs sont créés pour la première fois prennent environ deux fois plus de temps que les travaux de synchronisation pour lesquels tous les utilisateurs sont mis en correspondance avec des utilisateurs existants.
Nombre d’erreurs dans les journaux de provisionnement. Les performances sont ralenties s'il y a beaucoup d'erreurs et que le service d'approvisionnement est passé en quarantaine.
Limites de taux de requêtes et limitation implémentées par le système cible. Certains systèmes cible implémentent des limites de taux de requêtes et une limitation qui peuvent affecter les performances lors d’opérations de synchronisation de grande envergure. Dans ces conditions, une application qui reçoit trop rapidement un trop grand nombre de requêtes risque d’afficher un taux de réponse plus faible ou d’interrompre la connexion. Pour améliorer les performances, le connecteur doit ajuster ce taux en évitant d’envoyer les requêtes d’application plus rapidement que ce que l’application est capable de traiter. Les connecteurs d’approvisionnement intégrés à Microsoft permettent d’effectuer cet ajustement.
Le nombre et la taille des groupes affectés. La synchronisation des groupes affectés prend plus de temps que la synchronisation des utilisateurs. Le nombre et la taille des groupes affectés ont un impact sur les performances. Si une application comporte des mappages activés pour la synchronisation des objets de groupe, les propriétés de groupe, telles que les noms de groupe et les appartenances, sont synchronisées en plus des utilisateurs. Ces synchronisations prendront plus temps que la seule synchronisation des objets utilisateur.
Si les performances deviennent un problème et que vous essayez de provisionner la majorité des utilisateurs et des groupes dans votre locataire, utilisez des filtres d’étendue. Les filtres d’étendue vous permettent d’affiner les données que le service de provisionnement extrait de Microsoft Entra ID en filtrant les utilisateurs en fonction d’attributs spécifiques. Pour plus d’informations sur les filtres d’étendue, consultez Approvisionnement d’applications basé sur les attributs avec filtres d’étendue.
Dans la plupart des cas, le cycle incrémentiel se termine en 30 minutes. Toutefois, lorsqu’il y a des centaines ou des milliers de modifications d’utilisateur ou d’appartenance à un groupe, la durée du cycle incrémentiel augmente proportionnellement au nombre de modifications à traiter et peut prendre plusieurs heures. Vous pouvez réduire la durée de synchronisation en utilisant la configuration Synchroniser les utilisateurs et groupes assignés et en réduisant le nombre d’utilisateurs / groupes concernés par l’approvisionnement.
Recommandations de réduction du temps d’approvisionnement d’un utilisateur et/ou d’un groupe :
- Définissez l’étendue de l’approvisionnement pour synchroniser
assigned users and groups, plutôt quesync all users and groups. - Réduire le nombre d’utilisateurs et de groupes concernés par l’approvisionnement.
- Créez plusieurs travaux d’approvisionnement ciblant le même système. Dans ce cas, chaque travail de synchronisation fonctionne indépendamment, ce qui réduit le temps de traitement des modifications. Assurez-vous que l’étendue des utilisateurs est distincte entre ces travaux d’approvisionnement, afin d’éviter les modifications d’un travail ayant un impact sur une autre.
- Ajoutez des filtres d’étendue pour limiter davantage le nombre d’utilisateurs et de groupes dans l’étendue de l’approvisionnement.
Modifications d’audit à votre configuration d’approvisionnement
Toutes les modifications d’approvisionnement sont consignées dans les journaux d’audit. Les utilisateurs ayant les autorisations nécessaires, comme les administrateurs d’application et les lecteurs de rapports, peuvent accéder aux journaux via les journaux d’audit, l’API et via PowerShell. Vous pouvez utiliser le filtre d’activité dans les journaux d’audit pour identifier les actions suivantes.
Remarque
Pour les actions effectuées par le service d’approvisionnement, comme la création, la mise à jour et la suppression d’utilisateurs, nous vous recommandons d’utiliser les journaux d’approvisionnement. Pour surveiller les modifications apportées à la configuration de votre approvisionnement, nous vous recommandons d’utiliser les journaux d’audit.
| Action | Activité (filtrer les journaux sur cette propriété) |
|---|---|
| Mise à jour des informations d’identification (par exemple, ajouter un nouveau jeton du porteur) | Mettre à jour le paramètre d’approvisionnement ou les informations d’identification |
| Modifier les paramètres sur votre travail d’approvisionnement (par exemple, les e-mails de notification, la synchronisation complète par rapport à la synchronisation de groupes et d’utilisateurs attribués, la prévention des suppressions accidentelles) | Mettre à jour le paramètre d’approvisionnement ou les informations d’identification |
| Démarrer l’approvisionnement | Activer/démarrer la configuration de l’approvisionnement |
| Arrêter le provisionnement | Désactiver/suspendre la configuration de l’approvisionnement |
| Redémarrer le provisionnement | Activer/redémarrer la configuration de l’approvisionnement |
| Mettre à jour les mappages d’attributs ou les règles d’étendue | Mettre à jour les mappages d’attributs ou l’étendue |