Kontrollera status för användaretablering
Microsoft Entra-etableringstjänsten kör en inledande etableringscykel mot källsystemet och målsystemet, följt av periodiska inkrementella cykler. När du konfigurerar etablering för en app kan du kontrollera etableringstjänstens aktuella status och se när en användare kan komma åt en app.
Visa förloppsindikatorn för etablering
På sidan Etablering för en app kan du visa status för Microsoft Entra-etableringstjänsten. Avsnittet Aktuell status längst ned på sidan visar om en etableringscykel har börjat etablera användarkonton. Du kan titta på förloppet för cykeln, se hur många användare och grupper som har etablerats och se hur många roller som skapas.
När du först konfigurerar automatisk etablering visar avsnittet Aktuell status längst ned på sidan status för den inledande etableringscykeln. Det här avsnittet uppdateras varje gång en inkrementell cykel körs. Följande information visas:
- Den typ av etableringscykel (inledande eller inkrementell) som för närvarande körs eller som senast slutfördes.
- En förloppsindikator som visar procentandelen av etableringscykeln som har slutförts. Procentandelen visar antalet etablerade sidor. Varje sida kan innehålla flera användare eller grupper, så procentandelen korrelerar inte direkt med antalet användare, grupper eller roller som har etablerats.
- En uppdateringsknapp som du kan använda för att hålla vyn uppdaterad.
- Antalet användare och grupper i datalagret för anslutningsappen. Antalet ökar när ett objekt läggs till i etableringsomfånget. Antalet går inte ned om en användare tas bort mjukt eller tas bort hårt eftersom åtgärden inte tar bort objektet från datalagret för anslutningsprogrammet. Antalet beräknas om den första synkroniseringen efter att CDS har återställts
- En länk till Visa granskningsloggar som öppnar Microsoft Entra-etableringsloggarna. Mer information om åtgärder som körs av användaretableringstjänsten, inklusive etableringsstatus för enskilda användare, finns i Använda etableringsloggar senare i artikeln.
När en etableringscykel är klar visar avsnittet Statistik hittills det kumulativa antalet användare och grupper som har etablerats hittills, tillsammans med slutförandedatum och varaktighet för den senaste cykeln. Aktivitets-ID :t identifierar unikt den senaste etableringscykeln. Jobb-ID är en unik identifierare för etableringsjobbet och är specifikt för appen i din klientorganisation.
Etableringsstatusen visas i administrationscentret för Microsoft Entra i Identity>Applications>Enterprise-program> [programnamn] >Etablering.
Du kan också använda Microsoft Graph för att programmatiskt övervaka statusen för etablering till ett program. Mer information finns i övervaka etablering.
Använda etableringsloggar för att kontrollera en användares etableringsstatus
Om du vill se etableringsstatusen för en vald användare läser du etableringsloggarna i Microsoft Entra-ID. Alla åtgärder som körs av användaretableringstjänsten registreras i Microsoft Entra-etableringsloggarna. Loggarna omfattar läs- och skrivåtgärder som görs till käll- och målsystemen. Associerade användardata som rör läs- och skrivåtgärder loggas också.
Du kan komma åt etableringsloggarna i administrationscentret för Microsoft Entra genom att välja Etableringsloggar för Identity>Applications>Enterprise-program>i avsnittet Aktivitet. Du kan söka i etableringsdata baserat på namnet på användaren eller identifieraren i källsystemet eller målsystemet. Mer information finns i Etableringsloggar.
Etableringsloggarna registrerar alla åtgärder som utförs av etableringstjänsten, inklusive:
- Köra frågor mot Microsoft Entra-ID för tilldelade användare som är i omfånget för etablering
- Fråga målappen om dessa användares existens
- Jämföra användarobjekten mellan systemet
- Lägga till, uppdatera eller inaktivera användarkontot i målsystemet baserat på jämförelsen
Mer information om hur du läser etableringsloggarna i administrationscentret för Microsoft Entra finns i guiden för etableringsrapportering.
Hur lång tid tar det att etablera användare?
När du använder automatisk användaretablering med ett program finns det några saker att tänka på. Först etablerar och uppdaterar Microsoft Entra-ID automatiskt användarkonton i en app baserat på saker som användar- och grupptilldelning. Synkroniseringen sker med ett regelbundet schemalagt tidsintervall, vanligtvis var 40:e minut.
Den tid det tar för en viss användare att etableras beror främst på om etableringsjobbet kör en inledande cykel eller en inkrementell cykel.
För den inledande cykeln beror jobbtiden på många faktorer, inklusive antalet användare och grupper i omfånget för etablering och det totala antalet användare och grupper i källsystemet. Den första synkroniseringen mellan Microsoft Entra-ID och en app sker så snabbt som 20 minuter eller tar så lång tid som flera timmar. Tiden beror på storleken på Microsoft Entra-katalogen och antalet användare i omfånget för etablering. En omfattande lista över faktorer som påverkar prestanda för den inledande cykeln sammanfattas senare i det här avsnittet.
För inkrementella cykler tenderar jobbtiderna efter den inledande cykeln att vara snabbare (inom 10 minuter), eftersom etableringstjänsten lagrar vattenstämplar som representerar tillståndet för båda systemen efter den inledande cykeln, vilket förbättrar prestandan för efterföljande synkroniseringar. Jobbtiden beror på antalet ändringar som identifierats i etableringscykeln. Om det finns färre än 5 000 ändringar av användar- eller gruppmedlemskap kan jobbet slutföras inom en enda inkrementell etableringscykel.
I följande tabell sammanfattas synkroniseringstiderna för vanliga etableringsscenarier. I dessa scenarier är källsystemet Microsoft Entra-ID och målsystemet är ett SaaS-program. Synkroniseringstiderna härleds från en statistisk analys av synkroniseringsjobb för SaaS-programmen ServiceNow, Workplace, Salesforce och G Suite.
Omfångskonfiguration | Användare, grupper och medlemmar i omfånget | Inledande cykeltid |
---|---|---|
Synkronisera endast tilldelade användare och grupper | < 1,000 | < 30 minuter |
Synkronisera endast tilldelade användare och grupper | 1 000 – 10 000 | 142–708 minuter |
Synkronisera endast tilldelade användare och grupper | 10,000 - 100,000 | 1 170 – 2 340 minuter |
Synkronisera alla användare och grupper i Microsoft Entra-ID | < 1,000 | < 30 minuter |
Synkronisera alla användare och grupper i Microsoft Entra-ID | 1 000 – 10 000 | < 30–120 minuter |
Synkronisera alla användare och grupper i Microsoft Entra-ID | 10,000 - 100,000 | 713 – 1 425 minuter |
Synkronisera alla användare i Microsoft Entra-ID | < 1,000 | < 30 minuter |
Synkronisera alla användare i Microsoft Entra-ID | 1 000 – 10 000 | 43–86 minuter |
För konfigurationen Synkronisera tilldelad användare och grupper kan du använda följande formler för att fastställa ungefärliga lägsta och högsta förväntade inledande cykeltider :
- Minsta minuter = 0,01 x [Antal tilldelade användare, grupper och gruppmedlemmar]
- Maximalt antal minuter = 0,08 x [Antal tilldelade användare, grupper och gruppmedlemmar]
Sammanfattning av faktorer som påverkar den tid det tar att slutföra en inledande cykel:
Det totala antalet användare och grupper i omfånget för etablering.
Det totala antalet användare, grupper och gruppmedlemmar som finns i källsystemet (Microsoft Entra-ID).
Om användare i omfånget för etablering matchas med befintliga användare i målprogrammet eller behöver skapas för första gången. Synkroniseringsjobb som alla användare skapas för första gången för tar ungefär dubbelt så lång tid som synkroniseringsjobb som alla användare matchas mot befintliga användare för.
Antal fel i etableringsloggarna. Prestandan går långsammare om det finns många fel och etableringstjänsten har hamnat i karantäntillstånd.
Begär hastighetsbegränsningar och begränsning som implementeras av målsystemet. Vissa målsystem implementerar hastighetsbegränsningar för begäranden och begränsning, vilket kan påverka prestanda vid stora synkroniseringsåtgärder. Under dessa förhållanden kan en app som tar emot för många begäranden för snabbt sakta ned svarsfrekvensen eller stänga anslutningen. För att förbättra prestandan måste anslutningsappen justeras genom att appbegäranden inte skickas snabbare än appen kan bearbeta dem. Etableringsanslutningsprogram som skapats av Microsoft gör den här justeringen.
Antal och storlekar för tilldelade grupper. Synkronisering av tilldelade grupper tar längre tid än att synkronisera användare. Både antalet och storleken på de tilldelade grupperna påverkar prestanda. Om ett program har mappningar aktiverade för synkronisering av gruppobjekt synkroniseras gruppegenskaper som gruppnamn och medlemskap utöver användarna. Dessa synkroniseringar tar längre tid än att bara synkronisera användarobjekt.
Om prestanda blir ett problem och du försöker etablera de flesta användare och grupper i klientorganisationen använder du omfångsfilter. Med omfångsfilter kan du finjustera de data som etableringstjänsten extraherar från Microsoft Entra-ID genom att filtrera bort användare baserat på specifika attributvärden. Mer information om omfångsfilter finns i Attributbaserad programetablering med omfångsfilter.
I de flesta fall slutförs den inkrementella cykeln på 30 minuter. Men när det finns hundratals eller tusentals ändringar av användar- eller gruppmedlemskap ökar den inkrementella cykeltiden proportionellt med antalet ändringar som ska bearbetas och kan ta flera timmar. Om du använder synkroniseringstilldelade användare och grupper och minimerar antalet användare/grupper i omfånget för etablering kan du minska synkroniseringstiden.
Rekommendationer för att minska tiden för att etablera en användare och/eller grupp:
- Ställ in etableringsomfånget för att synkronisera
assigned users and groups
i stället försync all users and groups
. - Minimera antalet användare och grupper i omfånget för etablering.
- Skapa flera etableringsjobb för samma system. När du gör detta fungerar varje synkroniseringsjobb separat, vilket minskar tiden för att bearbeta ändringar. Kontrollera att användarnas omfång skiljer sig åt mellan dessa etableringsjobb för att undvika ändringar från ett jobb som påverkar ett annat.
- Lägg till omfångsfilter för att ytterligare begränsa antalet användare och grupper i omfånget för etablering.
Granska ändringar i etableringskonfigurationen
Konfigurationsändringar för etablering loggas i granskningsloggarna. Användare med nödvändiga behörigheter, till exempel programadministratör och rapportläsare, kan komma åt loggar via användargränssnittet för granskningsloggar, API och via PowerShell. Du kan använda aktivitetsfiltret i granskningsloggarna för att identifiera följande åtgärder.
Kommentar
För åtgärder som etableringstjänsten utför, till exempel att skapa användare, uppdatera användare och ta bort användare rekommenderar vi att du använder etableringsloggarna. För övervakning av ändringar i konfigurationen av etableringen rekommenderar vi att du använder granskningsloggarna.
Åtgärd | Aktivitet (filtrera loggarna på den här egenskapen) |
---|---|
Uppdatera autentiseringsuppgifter (tillex. lägga till en ny ägartoken) | Uppdatera etableringsinställning eller autentiseringsuppgifter |
Ändra inställningarna för etableringsjobbet (till exempel e-postavisering, synkronisera alla användare och grupper som tilldelats synkronisering, förebyggande av oavsiktliga borttagningar) | Uppdatera etableringsinställning eller autentiseringsuppgifter |
Starta etablering | Aktivera/starta etableringskonfiguration |
Stoppa etablering | Inaktivera/pausa etableringskonfiguration |
Starta om etablering | Aktivera/starta om etableringskonfiguration |
Uppdatera attributmappningar eller omfångsregler | Uppdatera attributmappningar eller omfång |
Nästa steg
Automatisera användaretablering och avetablering för SaaS-program med Microsoft Entra ID