Скачивание и анализ журналов подготовки Microsoft Entra

Журналы подготовки Microsoft Entra содержат сведения о событиях подготовки, происходящих в клиенте. Информацию, записанную в журналах подготовки, можно использовать для устранения неполадок с подготовленным пользователем.

В этой статье описываются параметры загрузки журналов подготовки из Центра администрирования Microsoft Entra и анализ журналов. Также включены коды ошибок и специальные рекомендации.

Необходимые условия

Чтобы просмотреть журналы подготовки, клиент должен иметь лицензию Microsoft Entra ID P1 или P2. Сведения об обновлении выпуска Microsoft Entra см. в статье "Начало работы с Microsoft Entra ID P1 или P2".

Владельцы приложений могут просматривать журналы для собственных приложений. Для просмотра журналов подготовки требуются следующие роли:

  • Средство чтения отчетов
  • Средство чтения безопасности
  • Оператор безопасности
  • Администратор безопасности
  • Администратор приложений
  • Администратор облачных приложений
  • Пользователи в настраиваемой роли с разрешением provisioningLogs

Просмотр журналов подготовки

Существует несколько способов просмотра или анализа журналов подготовки.

  • Просмотр в Центре администрирования Microsoft Entra.
  • Потоковая передача журналов в Azure Monitor с помощью параметров диагностики.
  • Анализ журналов с помощью шаблонов книги .
  • Доступ к журналам программным способом через API Microsoft Graph.
  • Скачайте журналы в виде CSV-файла или JSON.

Кончик

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

Чтобы получить доступ к журналам в Центре администрирования Microsoft Entra, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как минимум средство чтения отчетов.
  2. Перейдите к журналам мониторинга удостоверений и подготовки работоспособности>>.

Скачивание журналов подготовки

Чтобы скачать журналы подготовки, выберите "Скачать " на странице журналов подготовки . Задайте фильтры как можно более конкретным, чтобы уменьшить размер и время загрузки.

Снимок экрана: кнопка скачивания в журналах подготовки.

Формат CSV

Скачивание CSV включает три файла:

  • ProvisioningLogs: загружает все журналы, кроме шагов подготовки и измененных свойств.
  • ProvisioningLogs_ProvisioningSteps. Содержит шаги подготовки и идентификатор изменения. Идентификатор изменения можно использовать для присоединения события к другим двум файлам.
  • ProvisioningLogs_ModifiedProperties. Содержит атрибуты, которые были изменены, и идентификатор изменения. Идентификатор изменения можно использовать для присоединения события к другим двум файлам.

Формат JSON

Чтобы открыть JSON-файл, используйте текстовый редактор, например Microsoft Visual Studio Code. Visual Studio Code упрощает чтение файла, предоставляя выделение синтаксиса. Вы также можете открыть JSON-файл с помощью браузеров в неизменяемом формате, например Microsoft Edge.

Подготовка JSON-файла

JSON-файл загружается в формате, чтобы уменьшить размер загрузки. Этот формат может затруднить чтение полезных данных. Для подготовки файла существует два варианта:

  • Используйте Visual Studio Code для форматирования JSON.

  • Используйте PowerShell для форматирования JSON. Этот скрипт создает выходные данные JSON в формате, включающее вкладки и пробелы:

    $JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

    $JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

Анализ JSON-файла

Вы можете использовать любой язык программирования, с которым вы комфортно. В PowerShell приведены следующие примеры.

Теперь вы можете проанализировать данные в соответствии с вашим сценарием. Ниже приведено несколько примеров.

  • Вывод всех идентификаторов заданий в JSON-файле:

    foreach ($provitem in $JSONContent) { $provitem.jobId }

  • Вывод всех идентификаторов изменений для событий, в которых действие было создано:

    foreach ($provitem in $JSONContent) { if ($provItem.action -eq 'Create') { $provitem.changeId } }

Что вы должны знать

Ниже приведены некоторые советы и рекомендации по анализу журналов подготовки:

  • Центр администрирования Microsoft Entra хранит данные подготовки в течение 30 дней, если у вас есть выпуск premium и 7 дней, если у вас есть бесплатный выпуск. Журналы подготовки можно направлять в журналы Azure Monitor за 30 дней.

  • Вы можете использовать атрибут идентификатора изменения в качестве уникального идентификатора, который может оказаться полезным при взаимодействии с поддержкой продуктов, например.

  • Вы можете увидеть пропущенные события для пользователей, которые не входят в область действия.

    • Пример 1. Если для области заданы all users and groups фильтры области и настроены фильтры области, может появиться пропущенные журналы для пользователей, которые не соответствуют критериям области.
    • Пример 2. Если задана assigned users and groupsобласть, вы можете продолжать видеть пользователей в журналах как пропущенные, даже если они не назначены приложению. Способ получения служб подготовки изменений из каталога приводит к отображению этих пользователей.
  • Журналы подготовки не отображают импорт ролей (применяется к Amazon Web Services, Salesforce и Zendesk). Журналы для импорта ролей можно найти в журналах аудита.

Коды ошибок

Используйте следующую таблицу, чтобы лучше понять, как устранить ошибки, которые вы найдете в журналах подготовки.

Код ошибки Описание
Конфликт
EntryConflict
Исправьте конфликтующие значения атрибутов в идентификаторе Microsoft Entra или приложении.

Или просмотрите конфигурацию соответствующего атрибута, если конфликтующая учетная запись пользователя должна быть сопоставлена и взята. Дополнительные сведения о настройке соответствующих атрибутов см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
TooManyRequests Целевое приложение отклонило эту попытку обновить пользователя, так как приложение получает слишком много запросов. Ничего не делать. Эта попытка автоматически извлекается, и корпорация Майкрософт уведомила об этой проблеме.
InternalServerError Целевое приложение вернуло непредвиденное сообщение об ошибке. Проблема со службой целевого приложения может препятствовать его работе. Эта попытка автоматически выполняется через 40 минут.
Недостаточные райты,
MethodNotAllowed,
NotPermitted,
Несанкционированный
Идентификатор Microsoft Entra, прошедший проверку подлинности с помощью целевого приложения, но не был авторизован для выполнения обновления. Просмотрите все инструкции, предоставленные целевым приложением вместе с соответствующим приложением. Дополнительные сведения см. в руководствах по интеграции приложений с идентификатором Microsoft Entra.
UnprocessableEntity Целевое приложение вернуло неожиданный ответ. Конфигурация целевого приложения может быть неправильной, или проблема со службой с целевым приложением может препятствовать его работе.
WebExceptionProtocolError При подключении к целевому приложению произошла ошибка протокола HTTP. Ничего не делать. Эта попытка автоматически выполняется через 40 минут.
InvalidAnchor Пользователь, который ранее был создан или сопоставлен службой подготовки, больше не существует. Убедитесь, что пользователь существует. Чтобы принудительно выполнить новое сопоставление всех пользователей, используйте API Microsoft Graph для перезапуска задания.

Перезапуск подготовки активирует начальный цикл, который может занять время. Перезапуск подготовки также удаляет кэш, который служба подготовки использует для работы. Это означает, что все пользователи и группы в клиенте должны быть оценены снова, и некоторые события подготовки могут быть удалены.
NotImplemented Целевое приложение вернуло неожиданный ответ. Конфигурация приложения может быть неправильной, или проблема службы с целевым приложением может препятствовать его работе. Просмотрите все инструкции, предоставленные целевым приложением вместе с соответствующим приложением. Дополнительные сведения см. в руководствах по интеграции приложений с идентификатором Microsoft Entra.
Обязательные поляMissing,
MissingValues
Пользователь не может быть создан, так как необходимые значения отсутствуют. Исправьте отсутствующие значения атрибутов в исходной записи или просмотрите конфигурацию соответствующего атрибута, чтобы убедиться, что обязательные поля не опущены. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
SchemaAttributeNotFound Не удалось выполнить операцию, так как атрибут был указан, который не существует в целевом приложении. Убедитесь, что конфигурация правильна, ссылаясь на параметры сопоставления атрибутов подготовки пользователей для приложений SaaS в идентификаторе Microsoft Entra ID.
InternalError Внутренняя ошибка службы произошла в службе подготовки Microsoft Entra. Ничего не делать. Эта попытка автоматически выполняется через 40 минут.
Недопустимый домен Не удалось выполнить операцию, так как значение атрибута содержит недопустимое доменное имя. Обновите доменное имя пользователя или добавьте его в разрешенный список в целевом приложении.
Времени ожидания Не удалось выполнить операцию, так как целевое приложение заняло слишком много времени для ответа. Ничего не делать. Эта попытка автоматически выполняется через 40 минут.
LicenseLimitExceed Пользователь не может быть создан в целевом приложении, так как для этого пользователя нет доступных лицензий. Приобретение дополнительных лицензий для целевого приложения.

Или просмотрите конфигурацию назначений пользователей и сопоставления атрибутов, чтобы убедиться, что правильные пользователи назначены правильными атрибутами.
ДубликатыTargetEntries Не удалось выполнить операцию, так как несколько пользователей в целевом приложении были найдены с настроенными атрибутами сопоставления. Удалите повторяющегося пользователя из целевого приложения или перенастроите сопоставления атрибутов. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
ДубликатыSourceEntries Не удалось завершить операцию, так как несколько пользователей были найдены с настроенными атрибутами сопоставления. Удалите повторяющегося пользователя или перенастроите сопоставления атрибутов. Дополнительные сведения см. в разделе "Настройка сопоставления атрибутов подготовки пользователей" для приложений SaaS в идентификаторе Microsoft Entra ID.
ImportSkipped При оценке каждого пользователя система пытается импортировать пользователя из исходной системы. Эта ошибка часто возникает, когда пользователь, импортированный, отсутствует соответствующее свойство, определенное в сопоставлениях атрибутов. Без значения в объекте пользователя для соответствующего атрибута система не может оценивать области, сопоставления или экспортировать изменения. Наличие этой ошибки не указывает, что пользователь находится в области, так как вы еще не оценили область для пользователя.
EntrySynchronizationSkipped Служба подготовки успешно запросила исходную систему и определила пользователя. Никаких дальнейших действий не было предприняно для пользователя, и они были пропущены. Возможно, пользователь не был в области действия или уже существовал в целевой системе без дополнительных изменений.
SystemForCrossDomainIdentity
ManagementMultipleEntriesInResponse
Запрос GET для получения пользователя или группы получил несколько пользователей или групп в ответе. Система ожидает получения только одного пользователя или группы в ответе. Например, если вы выполняете запрос GET Group для получения группы, предоставьте фильтр для исключения участников, а конечная точка system for Cross-Domain Identity Management (SCIM) возвращает элементы, эта ошибка появляется.
SystemForCrossDomainIdentity
ManagementServiceIncompatible
Служба подготовки Microsoft Entra не может проанализировать ответ от приложения, отличного от Майкрософт. Обратитесь к разработчику приложений, чтобы убедиться, что сервер SCIM совместим с клиентом Microsoft Entra SCIM.
SchemaPropertyCanOnlyAcceptValue Свойство в целевой системе может принимать только одно значение, но свойство в исходной системе имеет несколько. Убедитесь, что атрибут с одним значением сопоставляется со свойством, вызывающим ошибку, обновите значение в источнике, чтобы быть однозначным, или удалите атрибут из сопоставлений.

Коды ошибок для синхронизации между клиентами

Используйте следующую таблицу, чтобы лучше понять, как устранить ошибки, которые вы найдете в журналах подготовки для синхронизации между клиентами.

Код ошибки Причина Решение
AzureActiveDirectoryCannot
UpdateObjectsOriginated
InExternalService
Источником центра для пользователя является Exchange Online. Служба подготовки не может обновить один или несколько атрибутов exchange для пользователя (например, extensionAttribute 1 – 15). Это влияет на пользователей, которые существовали в целевом клиенте, когда свойство dirSyncEnabled изменилось с True на False. Обновите атрибут непосредственно в exchange целевого клиента в Интернете. Например: Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell"
Идентификатор Microsoft Entra
Не удаетсяUpdateObjectsOriginated
InExternalService
Подсистема синхронизации не могла обновить одно или несколько свойств пользователя в целевом клиенте.

Операция завершилась сбоем в API Microsoft Graph из-за принудительного применения источника центра (SOA). В настоящее время в списке отображаются следующие свойства:
Mail
showInAddressList
В некоторых случаях (например, если showInAddressList свойство является частью обновления пользователя), подсистема синхронизации может автоматически повторить обновление (пользователя) без обиженного свойства. В противном случае необходимо обновить свойство непосредственно в целевом клиенте.
AzureDirectory
B2BManagementPolicy
CheckFailure
Политика синхронизации между клиентами, разрешающая сбой автоматического активации.

Подсистема синхронизации проверяет, что администратор целевого клиента создал политику синхронизации входящего трафика между клиентами, разрешающую автоматическое активацию. Подсистема синхронизации также проверяет, включена ли администратор исходного клиента политику исходящего трафика для автоматического активации.
Убедитесь, что параметр автоматического активации включен как для исходных, так и для целевых клиентов. Дополнительные сведения см. в разделе "Параметр автоматического активации".
Идентификатор Microsoft Entra
QuotaLimitExceeded
Число объектов в клиенте превышает ограничение каталога.

Идентификатор Microsoft Entra имеет ограничения на количество объектов, которые можно создать в клиенте.
Проверьте, можно ли увеличить квоту. Сведения об ограничениях каталога и шагах по увеличению квоты см. в ограничениях и ограничениях службы Microsoft Entra.
InvitationCreationFailure Служба подготовки Microsoft Entra попыталась пригласить пользователя в целевой клиент. Это приглашение завершилось ошибкой. Для дальнейшего исследования, вероятно, требуется обратиться в службу поддержки.
InvitationCreationFailureUserAccountDisabled Служба подготовки Microsoft Entra попыталась пригласить пользователя в целевой клиент. Это приглашение завершилось ошибкой. Пользователь существует в целевом клиенте, но учетная запись отключена и приглашение ожидается. Включите учетную запись пользователя в целевом клиенте и повторите попытку подготовки пользователя.
Идентификатор Microsoft Entra
Запретный
Параметры внешней совместной работы блокируют приглашения. Перейдите к параметрам пользователя и убедитесь, что разрешены параметры внешней совместной работы.
ПриглашениеCreation
FailureInvalidPropertyValue
Возможные причины:
* Основной SMTP-адрес является недопустимым значением.
* UserType не является гостевым или членом
* Адрес электронной почты группы не поддерживается
Возможные решения:
* Основной SMTP-адрес имеет недопустимое значение. Для устранения этой проблемы, скорее всего, требуется обновить свойство почты исходного пользователя. Дополнительные сведения см. в статье "Подготовка к синхронизации каталогов с Microsoft 365"
* Убедитесь, что свойство userType подготовлено как гостевой или член типа. Проверьте сопоставления атрибутов, чтобы понять, как сопоставляется атрибут userType.
* Адрес электронной почты пользователя совпадает с адресом электронной почты группы в клиенте. Обновите адрес электронной почты для одного из двух объектов.
ПриглашениеCreation
FailureAmbiguousUser
Приглашенный пользователь имеет прокси-адрес, соответствующий внутреннему пользователю в целевом клиенте. Адрес прокси-сервера должен быть уникальным. Чтобы устранить эту ошибку, удалите существующего внутреннего пользователя в целевом клиенте или удалите этого пользователя из области синхронизации.
Идентификатор Microsoft Entra
Не удается выполнить запросы
MasteredOnPremises
Если пользователь в целевом клиенте изначально синхронизирован с AD с идентификатором Microsoft Entra и преобразован во внешний пользователь, источник центра по-прежнему находится в локальной среде, и пользователь не может быть обновлен. Пользователь не может быть обновлен с помощью синхронизации между клиентами.
EntityTypeNotSupported Группы можно использовать для определения областей подготовки пользователей. Объекты групп не могут быть синхронизированы. Никаких действий клиента не требуется. Это пропущенное событие. Если вы используете подготовку по запросу, убедитесь, что вы выбрали пользователя, а не группу для подготовки.

Дальнейшие действия