Provisioning di un’applicazione in stato di quarantena

  • Articolo

Il servizio di provisioning di Microsoft Entra monitora l'integrità della configurazione. Mette anche le app non integre in uno stato di "quarantena". Se la maggior parte o tutte le chiamate effettuate al sistema di destinazione hanno sempre esito negativo, il processo di provisioning viene contrassegnato come in quarantena. Un esempio di errore può essere un errore restituito perché le credenziali dell’amministratore non sono valide.

Nello stato di quarantena:

  • La frequenza dei cicli incrementali viene gradualmente ridotta fino a diventare giornaliera.
  • Il processo di provisioning viene rimosso dalla quarantena dopo la correzione di tutti gli errori e l’avvio del ciclo di sincronizzazione successivo.
  • Se il processo di provisioning rimane nello stato di quarantena per più di quattro settimane, viene disabilitato.

Come si determina se l'applicazione è in quarantena?

Esistono tre modi per verificare se un'applicazione è in quarantena:

  • Nell’Interfaccia di amministrazione di Microsoft Entra passare a Identità>Applicazioni>Applicazioni aziendali><nome dell’applicazione>>Provisioning e verificare se l’indicatore di stato visualizza un messaggio di quarantena.

    Barra di stato del provisioning che mostra lo stato di quarantena

  • Nell’Interfaccia di amministrazione di Microsoft Entra passare a Identità>Monitoraggio e integrità>Log di controllo>, selezionare il filtro Attività: quarantena ed esaminare la cronologia della quarantena. La visualizzazione nell'indicatore di stato descritto in precedenza indica se il provisioning è attualmente in quarantena. I log di controllo visualizzano la cronologia della quarantena per un'applicazione.

  • Usare la richiesta di Microsoft Graph Get synchronizationJob per ottenere lo stato del processo di provisioning a livello di codice:

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/

  • Controllare l'e-mail. Quando un'applicazione viene messa in quarantena, viene inviato un singolo messaggio di posta elettronica di notifica. Se il motivo della quarantena cambia, viene inviato un messaggio di posta elettronica aggiornato che specifica il nuovo motivo della quarantena. Se non si riceve un messaggio di posta elettronica:

    • Assicurarsi di aver specificato un indirizzo di posta elettronica per le notifiche valido nella configurazione del provisioning per l'applicazione.
    • Assicurarsi di non aver abilitato alcun filtro per la posta indesiderata nella cartella Posta in arrivo a cui vengono inviate le notifiche.
    • Assicurarsi di non aver annullato la sottoscrizione ai messaggi di posta elettronica.
    • Individuare i messaggi di posta elettronica provenienti da azure-noreply@microsoft.com

Perché l'applicazione è in quarantena?

Di seguito sono riportati i motivi comuni per cui l'applicazione può essere messa in quarantena

Descrizione Azione consigliata
Problema di conformità SCIM: è stata restituita una risposta HTTP/404 Non trovato anziché la risposta HTTP/200 OK prevista. In questo caso, il servizio di provisioning di Microsoft Entra ha effettuato una richiesta all'applicazione di destinazione e ha ricevuto una risposta imprevista. Nella sezione Credenziali dell’amministratore. Verificare se l'applicazione richiede che venga specificato l'URL del tenant e che l'URL sia corretto. Se non si riscontra un problema, contattare lo sviluppatore dell'applicazione per verificare che il servizio sia conforme a SCIM. https://tools.ietf.org/html/rfc7644#section-3.4.2
Credenziali non valide: durante il tentativo di autorizzare l'accesso all'applicazione di destinazione, tale applicazione ha inviato una risposta indicando che le credenziali fornite non sono valide. Passare alla sezione Credenziali dell’amministratore nell'interfaccia utente di configurazione del provisioning e autorizzare nuovamente l'accesso con credenziali valide. Se l'applicazione è presente nella raccolta, rivedere l'esercitazione sulla configurazione dell'applicazione per individuare quali altri passaggi devono essere eseguiti.
Ruoli duplicati: i ruoli importati da determinate applicazioni, come Salesforce e Zendesk, devono essere univoci. Passare al manifesto dell'applicazione nell'Interfaccia di amministrazione di Microsoft Entra e rimuovere il ruolo duplicato.

Una richiesta di Microsoft Graph finalizzata a ottenere lo stato del processo di provisioning mostra il motivo seguente per la quarantena:

  • EncounteredQuarantineException indica che sono state fornite credenziali non valide. Il servizio di provisioning non è in grado di stabilire una connessione tra il sistema di origine e quello di destinazione.
  • EncounteredEscrowProportionThreshold indica che il provisioning ha superato la soglia di deposito. Questa condizione si verifica quando più del 40% degli eventi di provisioning non ha avuto esito positivo. Per altre informazioni, vedere i dettagli della soglia di deposito riportati di seguito.
  • QuarantineOnDemand significa che è stato rilevato un problema con l'applicazione e che l’applicazione è stata messa manualmente in quarantena.

Soglie di deposito

Se viene raggiunta la soglia proporzionale di deposito, il processo di provisioning verrà messo in quarantena. Questa logica è soggetta a modifiche, ma funziona approssimativamente come descritto di seguito:

Un processo può essere messo in quarantena indipendentemente dal numero di errori per problemi come le credenziali di amministratore o la conformità SCIM. Tuttavia, in generale, 5.000 errori sono il minimo per iniziare a valutare se mettere il processo in quarantena a causa del numero eccessivo di errori. Ad esempio, un processo con 4.000 errori non verrebbe messo in quarantena. Tuttavia, un processo con 5.000 errori attiverebbe una valutazione. Una valutazione usa i criteri seguenti:

  • Se più del 40% degli eventi di provisioning ha esito negativo o si verificano più di 40.000 errori, il processo di provisioning verrà messo in quarantena. Gli errori di riferimento non verranno conteggiati come parte della soglia del 40% o del limite di 40.000. Ad esempio, un errore di aggiornamento di un responsabile o un membro del gruppo è considerato un errore di riferimento.
  • Un processo in cui è stato effettuato il provisioning di 45.000 utenti verrebbe messo in quarantena perché supera la soglia di 40.000.
  • Un processo in cui 30.000 utenti non hanno superato il provisioning e 5.000 lo hanno superato verrebbe messo in quarantena perché supera la soglia del 40% e il minimo di 5.000 errori.
  • Un processo con 20.000 errori e 100.000 operazioni riuscite non verrebbe messo in quarantena perché non supera la soglia di errore del 40% o il massimo di 40.000 errori.
  • È prevista una soglia assoluta di 60.000 errori che include sia per gl errori di riferimento che quelli non di riferimento. Ad esempio, il provisioning di 40.000 utenti e 21.000 aggiornamenti del responsabile non hanno avuto esito positivo. Il totale è di 61.000 errori e supera il limite di 60.000.

Durata dei tentativi

La logica documentata qui può essere diversa per determinati connettori per garantire un'esperienza ottimale per i clienti, ma in genere dopo un errore sono disponibili i cicli di ripetizione seguenti:

Dopo l'errore, il primo tentativo verrà eseguito dopo 6 ore.

  • Il secondo tentativo si verifica 12 ore dopo il primo errore.
  • Il terzo tentativo si verifica 24 ore dopo il primo errore.

Verranno eseguiti nuovi tentativi ogni 24 ore dopo il terzo tentativo. I tentativi verranno continuati per 28 giorni dopo il primo errore dopo di che la voce del deposito viene rimossa e il processo viene disabilitato.
Se uno dei tentativi descritti in precedenza ottiene una risposta con esito positivo, il processo viene automaticamente rimosso dalla quarantena e riprenderà il normale comportamento di sincronizzazione.

Come si rimuove l’applicazione dalla quarantena?

Prima di tutto, risolvere il problema che ha causato la messa in quarantena dell'applicazione.

  • Controllare le impostazioni di provisioning dell'applicazione per assicurarsi di aver immesso credenziali di amministratore valide. Microsoft Entra ID deve stabilire un trust con l'applicazione di destinazione. Assicurarsi di avere immesso credenziali valide e che l'account disponga delle autorizzazioni necessarie.

  • Esaminare i log di provisioning per analizzare ulteriormente gli errori che causano la quarantena e risolvere l'errore. Passare a Microsoft Entra ID>Applicazioni aziendali>Log di provisioning (anteprima) nella sezione Attività.

Dopo aver risolto il problema, riavviare il processo di provisioning. Alcune modifiche alle impostazioni di provisioning dell'applicazione, ad esempio al mapping degli attributi o ai filtri per la definizione dell’ambito, determineranno il riavvio automatico del provisioning. L’indicatore di stato nella pagina Provisioning dell'applicazione indica l'ultimo avvio del provisioning. Per riavviare manualmente il processo di provisioning, usare uno dei metodi seguenti:

  • Usare l'Interfaccia di amministrazione di Microsoft Entra per riavviare il processo di provisioning. Nella pagina Provisioning dell'applicazione selezionare Riavvia provisioning Questa azione riavvia completamente il servizio di provisioning, che può richiedere del tempo. Verrà eseguito di nuovo un ciclo iniziale completo, che cancella i depositi, rimuove l'app dalla quarantena e cancella eventuali filigrane. Il servizio valuterà quindi tutti gli utenti nel sistema di origine e determinerà se sono inclusi nell'ambito per il provisioning. Questa operazione può essere utile quando l'applicazione è attualmente in quarantena o è necessario apportare una modifica ai mapping degli attributi. Si noti che il completamento del ciclo iniziale richiede più tempo rispetto al ciclo incrementale tipico a causa del numero di oggetti che devono essere valutati. Altre informazioni sulle prestazioni dei cicli iniziali e incrementali sono disponibili qui.

  • Usare Microsoft Graph per riavviare il processo di provisioning. L'utente ha il controllo completo su cosa riavviare. È possibile scegliere di cancellare i depositi (per riavviare il contatore del deposito in cui vengono accumulati gli errori per lo stato di quarantena), cancellare la quarantena (per rimuovere l'applicazione dalla quarantena) o cancellare le filigrane. Usare la richiesta seguente:

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Sostituire "{ID}" con il valore dell'ID applicazione e sostituire "{jobId}" con l'ID del processo di sincronizzazione.