Verificar o status do provisionamento do usuário
O serviço de provisionamento do Microsoft Entra executa um ciclo de provisionamento inicial com o sistema de origem e o sistema de destino, seguido de ciclos incrementais periódicos. Ao configurar o provisionamento para um aplicativo, você pode verificar o status atual do serviço de provisionamento e ver quando um usuário pode acessar um aplicativo.
Exibir a barra de progresso do provisionamento
Na página Provisionamento de um aplicativo, você pode exibir o status do serviço de provisionamento do Microsoft Entra. A seção Status Atual na parte inferior da página mostra se um ciclo de provisionamento começou a provisionar contas de usuário. Você pode ver o progresso do ciclo, ver quantos usuários e grupos foram provisionados e ver quantas funções foram criadas.
Quando você configura o provisionamento automático pela primeira vez, a seção Status Atual na parte inferior da página mostra o status do ciclo de provisionamento inicial. Essa seção é atualizada toda vez que um ciclo incremental é executado. Os seguintes detalhes são mostrados:
- O tipo de ciclo de provisionamento (inicial ou incremental) que está em execução no momento ou que foi concluído por último.
- Uma barra de progresso que mostra a porcentagem do ciclo de provisionamento concluído. A porcentagem reflete a contagem de páginas provisionada. Cada página pode conter vários usuários ou grupos, portanto, a porcentagem não está relacionada diretamente com o número de usuários, grupos ou funções provisionadas.
- Um botão Atualizar que você pode usar para manter a exibição atualizada.
- O número de Usuários e Grupos no armazenamento de dados do conector. A contagem aumenta sempre que um objeto é adicionado ao escopo do provisionamento. A contagem não diminui se um usuário for excluído de forma reversível ou excluído de forma irreversível porque a operação não remove o objeto do armazenamento de dados do conector. A contagem é recalculada na primeira sincronização depois que o CDS for redefinido
- Um link Exibir Logs de Auditoria, que abre os logs de provisionamento do Microsoft Entra. Para saber mais sobre as operações executadas pelo serviço de provisionamento de usuários, incluindo o status de provisionamento para usuários individuais, consulte Usar logs de provisionamento mais adiante no artigo.
Após a conclusão de um ciclo de provisionamento, a seção Estatísticas até a data mostra os números cumulativos de usuários e grupos que foram provisionados até a data, junto com a data de conclusão e a duração do último ciclo. A ID da atividade identifica exclusivamente o ciclo de provisionamento mais recente. A ID do trabalho é um identificador exclusivo para o trabalho de provisionamento e é específico para o aplicativo em seu locatário.
O progresso do provisionamento é exibido no Centro de administração do Microsoft Entra emt Identidade>Aplicativos>Aplicativos empresariais> [nome do aplicativo] >Provisionamento.
Você também pode usar o Microsoft Graph para monitorar programaticamente o status do provisionamento de um aplicativo. Para obter mais informações, confira monitorar o provisionamento.
Usar logs de provisionamento para verificar o status de provisionamento de um usuário
Para ver o status de provisionamento de um usuário selecionado, consulte os Logs de provisionamento no Microsoft Entra ID. Todas as operações executadas pelo serviço de provisionamento de usuário são registradas nos logs de provisionamento do Microsoft Entra. Os logs incluem operações de leitura e gravação feitas pelos sistemas de fonte e destino. Os dados de usuário associados relacionados a operações de leitura e gravação também são registrados.
Você pode acessar os logs de provisionamento no centro de administração do Microsoft Entra selecionando Identidade>Aplicativos> Aplicativos Empresariais>Logs de provisionamento na seção Atividade. É possível pesquisar os dados de provisionamento com base no nome do usuário ou no identificador no sistema de origem ou no sistema de destino. Confira os detalhes em Logs de provisionamento.
Os logs de provisionamento registram todas as operações executadas pelo serviço de provisionamento, incluindo:
- Consulta ao Microsoft Entra para usuários atribuídos que estão no escopo de provisionamento
- Consultando o aplicativo de destino para a existência desses usuários
- Comparando objetos de usuário entre o sistema
- Adicionar, atualizar ou desabilitar a conta de usuário no sistema de destino com base na comparação
Para obter mais informações sobre como ler os logs de provisionamento no Centro de administração do Microsoft Entra, confira o guia de relatório de provisionamento.
Quanto tempo levará para provisionar os usuários?
Quando você está usando o provisionamento automático de usuário com um aplicativo, há algumas coisas a ter em mente. Primeiro, o Microsoft Entra ID provisiona e atualiza automaticamente contas de usuário em um aplicativo baseado em coisas como atribuição de usuário e grupo. A sincronização ocorre em um intervalo de tempo agendado regularmente, normalmente a cada 40 minutos.
O tempo necessário para que um determinado usuário seja provisionado depende principalmente do trabalho de provisionamento estar executando um ciclo inicial ou um ciclo incremental.
Para ciclo inicial, o tempo do trabalho depende de vários fatores, incluindo o número de usuários e grupos em escopo para provisionamento, e o número total de usuários e grupos no sistema de origem. A primeira sincronização entre o Microsoft Entra ID e um aplicativo pode acontecer em até 20 minutos ou levar várias horas. A duração depende do tamanho do diretório do Microsoft Entra e do número de usuários no escopo para provisionamento. Veja posteriormente nesta seção uma lista abrangente dos fatores que afetam o desempenho do ciclo inicial.
Para ciclos incrementais após o ciclo inicial, o tempo do trabalho tende a ser mais rápido (em 10 minutos), pois o serviço de provisionamento armazena as marcas d'água que representam o estado dos dois sistemas após o ciclo inicial, melhorando o desempenho de sincronizações subsequentes. O tempo de trabalho depende do número de alterações detectadas nesse ciclo de provisionamento. Se houver menos de 5.000 alterações de usuários ou associação de grupo, o trabalho poderá terminar dentro de um único ciclo de provisionamento incremental.
A tabela a seguir resume os tempos de sincronização para cenários comuns de provisionamento. Nesses cenários, o sistema de origem é o Microsoft Entra ID e o sistema de destino é um aplicativo SaaS. Os tempos de sincronização são derivados de uma análise estatística dos trabalhos de sincronização dos aplicativos SaaS ServiceNow, Workplace, Salesforce e G Suite.
Configuração de escopo | Usuários, grupos e membros no escopo | Tempo do ciclo inicial |
---|---|---|
Sincronizar somente usuários e grupos atribuídos | < 1.000 | < 30 minutos |
Sincronizar somente usuários e grupos atribuídos | 1.000 a 10.000 | 142 a 708 minutos |
Sincronizar somente usuários e grupos atribuídos | 10.000 a 100.000 | 1.170 a 2.340 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | < 1.000 | < 30 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | 1.000 a 10.000 | < 30 a 120 minutos |
Sincronizar todos os usuários e grupos no Microsoft Entra ID | 10.000 a 100.000 | 713 minutos a 1.425 minutos |
Sincronizar todos os usuários no Microsoft Entra ID | < 1.000 | < 30 minutos |
Sincronizar todos os usuários no Microsoft Entra ID | 1.000 a 10.000 | 43 a 86 minutos |
Para a configuração Sincronizar apenas usuários e grupos atribuídos, você pode usar as fórmulas a seguir para determinar o tempo aproximado, mínimo e máximo, esperado para o ciclo inicial:
- Mínimo de minutos = 0,01 x [número de usuários, grupos e membros de grupo atribuídos]
- Máximo de minutos = 0,08 x [número de usuários atribuídos, grupos e membros do grupo]
Resumo de fatores que influenciam o tempo necessário para concluir um ciclo inicial:
O número total de usuários e grupos no escopo para provisionamento.
O número total de usuários, grupos e membros do grupo presentes no sistema de origem (Microsoft Entra ID).
Se os usuários no escopo para provisionamento correspondem aos usuários existentes no aplicativo de destino ou se é necessário criá-los pela primeira vez. Os trabalhos de sincronização para os quais todos os usuários são criados pela primeira vez demoram aproximadamente duas vezes mais do que os trabalhos de sincronização para os quais todos os usuários correspondem aos usuários existentes.
Número de erros nos logs de provisionamento. O desempenho será mais lento se houver muitos erros e o serviço de provisionamento tiver entrado em estado de quarentena.
Limites de taxa de solicitação implementados pelo sistema de destino. Alguns sistemas de destino implementam limitação e limites de taxa de solicitação que podem afetar o desempenho durante operações de sincronização de grande porte. Sob essas condições, um aplicativo que recebe muitas solicitações de forma muito rápida pode reduzir sua taxa de resposta ou fechar a conexão. Para melhorar o desempenho, o conector precisa fazer ajustes para não enviar as solicitações de aplicativo mais rápido do que o aplicativo pode processá-las. Os conectores de provisionamento criados pela Microsoft fazem esse ajuste.
O número e os tamanhos de grupos atribuídos. A sincronização de grupos atribuídos demora mais do que a sincronização de usuários. O número e os tamanhos dos grupos atribuídos afetam o desempenho. Se um aplicativo tiver mapeamentos habilitados para sincronização de objeto de grupo, propriedades de grupo como nomes de grupo e associações serão sincronizadas, além dos usuários. Essas sincronizações tomam mais tempo do que apenas sincronizar os objetos de usuário.
Se o desempenho se tornar um problema e você estiver tentando provisionar a maioria dos usuários e grupos no locatário, use filtros de escopo. Filtros de escopo permitem ajustar os dados que o serviço de provisionamento extrai do Microsoft Entra ID, filtrando usuários com base em valores de atributo específicos. Para obter mais informações sobre filtros de escopo, consulte provisionamento de aplicativos com base em atributo com filtros de escopo.
Na maioria dos casos, o ciclo incremental é concluído em 30 minutos. Entretanto, quando há centenas ou milhares de alterações de usuários ou de associação a grupos, o tempo do ciclo incremental aumentará proporcionalmente ao número de alterações a serem processadas e poderá levar várias horas. Usar a sincronização de usuários e grupos atribuídos e minimizar o número de usuários/grupos no escopo do provisionamento ajudará a reduzir o tempo de sincronização.
Recomendações para reduzir o tempo de provisionamento de um usuário e/ou grupo:
- Defina o escopo de provisionamento para sincronizar
assigned users and groups
, em vez desync all users and groups
. - Minimize o número total de usuários e grupos no escopo para provisionamento.
- Crie vários trabalhos de provisionamento direcionados ao mesmo sistema. Ao fazer isso, cada trabalho de sincronização funcionará de forma independente, reduzindo o tempo para processar alterações. Verifique se o escopo dos usuários é distinto entre esses trabalhos de provisionamento para evitar que alterações de um trabalho afete outro.
- Adicione filtros de escopo para limitar ainda mais o número de usuários e grupos no escopo para provisionamento.
Auditar as alterações na configuração de provisionamento
Todas as alterações de configuração são registradas nos logs de auditoria. Os usuários com as permissões necessárias, como o administrador do aplicativo e o leitor de relatórios, podem acessar os registros por meio da interface de usuário de logs de auditoria, API e através do PowerShell. Você pode usar o filtro de atividade nos logs de auditoria para identificar as ações a seguir.
Observação
Para ações executadas pelo serviço de provisionamento, como criar usuários, atualizar usuários e excluir usuários, recomendamos usar os logs de provisionamento. Para monitorar as alterações na configuração de provisionamento, é recomendável usar os logs de auditoria.
Ação | Atividade (filtre os logs nesta propriedade) |
---|---|
Atualizar credenciais (por exemplo: adicionar um novo token de portador) | Atualizar configuração ou credenciais de provisionamento |
Alterar as configurações em seu trabalho de provisionamento (por exemplo: email de notificação, sincronizar todos versus sincronizar usuários e grupos atribuídos, prevenção de exclusões acidentais) | Atualizar configuração ou credenciais de provisionamento |
Iniciar provisionamento | Habilitar/iniciar configuração de provisionamento |
Interromper provisionamento | Desabilitar/pausar configuração de provisionamento |
Reiniciar provisionamento | Habilitar/reiniciar configuração de provisionamento |
Atualizar mapeamentos de atributo ou regras de escopo | Atualizar mapeamentos de atributo ou escopo |