Microsoft Entra 预配服务监视配置的运行状况。 它还会将不正常的应用置于“隔离”状态。 如果针对目标系统的大多数或全部调用一致失败,则预配作业将标记为隔离区。 失败的示例是由于管理员凭据无效而收到错误。
处于隔离状态:
- 增量周期的频率逐渐减少到每天一次。
- 修复所有错误并启动下一个同步周期后,预配作业将从隔离区中删除。
- 如果预配作业保持隔离状态超过四周,则会禁用预配作业(停止运行)。
如何知道我的应用程序是否处于隔离状态?
可通过三种方法检查应用程序是否处于隔离状态:
在 Microsoft Entra 管理中心,导航到 Entra ID>企业应用><应用程序名称>>预配 并查看进度栏中的隔离消息。
在 Microsoft Entra 管理中心,导航到Entra ID>监视和运行状况>审核日志>,然后筛选活动:隔离并查看隔离历史记录。 如上所述,进度栏中的视图显示预配当前是否处于隔离状态。 审核日志显示应用程序的隔离历史记录。
检查你的电子邮件。 将应用程序置于隔离区时,将发送一次性通知电子邮件。 如果隔离原因发生更改,则会发送更新的电子邮件,显示隔离的新原因。 如果未看到电子邮件:
- 请确保在应用程序的预配配置中指定了有效的 通知电子邮件 。
- 请确保通知电子邮件收件箱中没有垃圾邮件筛选。
- 请确保尚未取消订阅电子邮件。
- 检查来自
azure-noreply@microsoft.com的电子邮件
为什么我的应用程序处于隔离状态?
下面是应用程序可能进入隔离区的常见原因
| 说明 | 建议措施 |
|---|---|
| SCIM 合规性问题: 返回了 HTTP/404 未找到响应,而非预期的 HTTP/200 OK 响应。 在这种情况下,Microsoft Entra 预配服务已向目标应用程序发出请求并收到意外响应。 | 检查管理员凭据部分。 查看应用程序是否需要指定租户 URL,以及 URL 是否正确。 如果未看到问题,请联系应用程序开发人员,确保其服务符合 SCIM。 https://tools.ietf.org/html/rfc7644#section-3.4.2 |
| 凭据无效: 尝试授权、访问目标应用程序时,我们收到了来自目标应用程序的响应,指示提供的凭据无效。 | 导航到预配配置 UI 的“管理员凭据”部分,并使用有效凭据再次授权访问。 如果应用程序位于库中,请查看应用程序配置教程,了解可能需要的其他步骤。 |
| 重复的角色: 从 Salesforce 和 Zendesk 等某些应用程序导入的角色必须是唯一的。 | 导航到 Microsoft Entra 管理中心中的应用程序清单并删除重复角色。 |
获取预配任务状态的一项 Microsoft Graph 请求显示出隔离的原因如下:
-
EncounteredQuarantineException指示提供了无效凭据。 预配服务无法在源系统和目标系统之间建立连接。 -
EncounteredEscrowProportionThreshold指示预配超出了托管阈值。 当预配事件超过 40% 失败时,会出现这种情况。 有关详细信息,请参阅下面的托管阈值详细信息。 -
QuarantineOnDemand表示我们检测到应用程序出现问题,并已手动将其设置为隔离区。
托管阈值
如果比例托付阈值被满足,部署任务将进入隔离环境。 此逻辑可能会发生更改,但大致按如下所述工作:
无论管理员凭据或 SCIM 符合性等问题的失败计数如何,作业都可以进入隔离区。 通常,最少有 5,000 次故障才会开始评估是否因故障过多而进行隔离。 例如,有 4,000 次失败的任务不会进入隔离区。 但是,有 5,000 个失败的任务将触发评估。 评估使用以下条件:
- 如果超过40%的供应事件失败,或者失败超过40,000次,则供应作业将进入隔离区。 引用失败不会计入 40% 阈值或 40,000 阈值的一部分。 例如,如果未能更新管理者或组成员,则会出现引用失败。
- 如果一个作业未能成功配置 45,000 个用户,将导致隔离,因为它超过了 40,000 个用户的阈值。
- 一个任务中有 30,000 个用户预配失败,而 5,000 个用户成功,这会导致隔离,因为这超出了40%的阈值和5,000的最小限制。
- 在有 20,000 个失败和 100,000 个成功的作业不会进入隔离区,因为其失败率未超过 40% 的失败阈值或40,000 个失败的最大限度。
- 绝对阈值为 60,000 次故障,涵盖了引用故障和非引用故障。 例如,40,000 个用户未能预配,21,000 个管理器更新失败。 总数为 61,000 次故障,超过 60,000 的限制。
重试持续时间
对于某些连接器,此处记录的逻辑可能有所不同,以确保最佳的客户体验,但在发生故障后,我们通常具有以下重试周期:
失败后,第一次重试将在 6 小时内发生。
- 第二次重试发生在第一次失败后的 12 小时。
- 第三次重试发生在第一次失败后的 24 小时。
第三次重试后,每隔 24 小时重试一次。 出现第一次失败后,重试将持续28天,之后将删除托管记录,并禁用该任务。
如果上述任何重试都获得成功的响应,作业将自动退出隔离,并恢复常规同步行为。
如何将应用程序移出隔离区?
首先,解决导致应用程序置于隔离区的问题。
检查应用程序的预配设置,确保输入 了有效的管理员凭据。 Microsoft Entra ID 必须与目标应用程序建立信任。 确保输入了有效的凭据,并且帐户具有必要的权限。
查看 预配日志 ,进一步调查导致隔离的错误并解决错误。 转到Microsoft Entra ID>企业应用>预配日志,位于活动部分。
解决问题后,重启预配作业。 应用程序预配设置的某些更改(如属性映射或范围筛选器)将自动重启预配。 应用程序的 “预配 ”页上的进度栏指示上次启动预配时。 如果需要手动重启预配作业,请使用以下方法之一:
- 使用 Microsoft Entra 管理中心重启预配作业。 在应用程序的 “预配 ”页上,选择“ 重启预配”。 此操作会完全重启预配服务,这可能需要一些时间。 完整的初始周期将再次运行,这会清除保证金,把应用程序从隔离区中移除,并清除任何水印。 然后,该服务将再次评估源系统中的所有用户,并确定它们是否在预配范围内。 当应用程序当前处于隔离状态时(如本文所述),或者需要更改属性映射时,这非常有用。 请注意,由于需要评估的对象数,初始周期完成的时间比典型的增量周期长。 可以 在此处详细了解初始周期和增量周期的性能。