Microsoft Entra ID 包括 用户帐户预配服务。 该服务有助于在 SaaS 应用和其他系统中自动进行用户帐户的预配和取消预配。 自动化有助于实现端到端标识生命周期管理。 Microsoft Entra ID 支持许多应用程序和系统的预集成的用户预配连接器。
本文介绍如何在设置后检查预配作业的状态,以及如何排查单个用户和组的预配问题。
概述
预配连接器使用 Microsoft Entra 管理中心进行设置和配置,方法是遵循受支持的应用程序提供的文档。 配置并运行连接器时,可以使用以下方法报告预配作业:
将预配日志流式传输到 Azure Monitor。 此方法允许扩展数据保留和生成自定义仪表板、警报和查询。
查询 Microsoft图形 API 以获取预配日志。
将预配日志下载为 CSV 或 JSON 文件。
定义
本文使用以下术语:
- 源系统 - Microsoft Entra 预配服务从中同步的用户存储库。 Microsoft Entra ID 是大多数预集成预配连接器的源系统,但存在一些例外情况。
- 目标系统 - Microsoft Entra 预配服务同步的用户存储库。 存储库通常是 SaaS 应用程序,例如 Salesforce、ServiceNow、G Suite 和 Dropbox for Business。 在某些情况下,存储库可以是本地系统,例如 Active Directory。
从 Microsoft Entra 管理中心获取预配报告
若要获取给定应用程序的预配报告信息,请执行以下操作:
- 至少以应用程序管理员的身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>企业应用。
- 在“活动”部分选择“预配日志”。 还可以浏览到配置预配的企业应用程序。 例如,如果要将用户预配为LinkedIn Elevate,则应用程序详细信息的导航路径为:
Entra ID>企业应用>所有应用程序>LinkedIn Elevate
从所有应用程序区域,可以访问预配进度栏和预配日志。
预配进度栏
预配 进度栏 在给定应用程序的 “预配 ”选项卡中可见。 它显示在 “当前状态 ”部分中,并显示当前初始周期或增量周期的状态。 本部分还显示:
- 在源系统和目标系统之间,同步并处于预配范围内的用户和组的总数。
- 上次运行同步的时间。 初始周期完成后,同步通常每隔 20-40 分钟进行一次。
- 初始周期的状态以及周期是否完成。
- 资源配置过程的状态以及它是否处于隔离状态。 状态还显示隔离的原因。 例如,状态可能表示由于管理员凭据无效而无法与目标系统通信。
当前状态应该是管理员首先查看配置任务运行状况的地方。
预配日志
预配服务执行的所有活动都记录在 Microsoft Entra 预配日志中。 可以在 Microsoft Entra 管理中心访问预配日志。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅 预配日志。
故障排除
预配摘要报告和预配日志起着关键作用,帮助管理员排查各种用户帐户预配问题。
有关如何排查自动用户预配问题的基于方案的指南,请参阅 将用户配置和预配到应用程序时遇到的问题。