Microsoft Entra 预配服务针对源系统和目标系统运行初始预配周期,后跟定期增量周期。 为应用配置预配时,可以检查预配服务的当前状态,并查看用户何时能够访问应用。
查看预配进度栏
在应用的 “预配 ”页上,可以查看Microsoft Entra 预配服务的状态。 页面底部的“ 当前状态 ”部分显示预配周期是否已启动预配用户帐户。 可以查看周期的进度,查看预配的用户和组数,并查看创建的角色数。
首次配置自动预配时,页面底部的 “当前状态 ”部分显示初始预配周期的状态。 每次运行增量周期时,此部分都会更新。 将显示以下详细信息:
- 当前正在运行或上次完成的预配周期(初始或增量)的类型。
- 显示已完成的预配周期百分比的 进度栏 。 百分比反映被配置的页面数量。 每个页面可以包含多个用户或组,因此百分比不会直接关联到预配的用户、组或角色数。
- 可用于保持视图更新的 “刷新 ”按钮。
- 连接器数据存储中的 用户 和 组 数。 每当对象添加到预配范围时,计数就会增加。 如果用户是软删除或硬删除的,则计数不会下降,因为该操作不会从连接器数据存储中删除对象。 在 CDS 重置后的第一次同步时,将重新计算计数。
- “查看预配日志”链接,用于打开Microsoft Entra 预配日志。 若要详细了解用户预配服务运行的操作,包括单个用户的预配状态,请参阅本文后面的 “使用预配日志 ”。
预配周期完成后,“截至目前的统计”部分显示到目前为止已预配的用户和组的累计数量,以及最后一个周期的完成日期和历时。 活动 ID 唯一标识最新的预配周期。 作业 ID 是预配作业的唯一标识符,且特定于您租户中的应用程序。
在 Microsoft Entra 管理中心中查看预配进度,路径为 Entra ID>企业应用> [应用程序名称] >预配。
使用预配日志检查用户的预配状态
若要查看所选用户的预配状态,请参阅Microsoft Entra ID 中的 预配日志 。 用户预配服务运行的所有操作都记录在 Microsoft Entra 预配日志中。 日志包括对源系统和目标系统的读取和写入操作。 还会记录与读取和写入操作相关的关联用户数据。
可以通过在活动部分中选择 >>预配日志来访问 Microsoft Entra 管理中心中的预配日志。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅 预配日志。
预配日志记录预配服务执行的所有操作,包括:
- 查询 Microsoft Entra ID 获取在预配范围内的已分配用户
- 查询目标应用是否存在这些用户
- 比较系统之间的用户对象
- 基于比较在目标系统中添加、更新或禁用用户帐户
有关如何在 Microsoft Entra 管理中心读取预配日志的详细信息,请参阅 预配报告指南。
预配用户需要多长时间?
预配用户、组或组成员身份的时间因多种因素而异。
- 预配范围中的用户、组和组成员身份越多,同步作业完成所需的时间就越长。 例如,包含 10 个组的同步作业(每个组有 20K 个成员)的预配时间比包含 1 组 20K 成员的同步作业要长。
- 如果同步范围设置为“同步所有用户和组”,同步引擎将在初始周期内评估租户中的每个用户、组。 这使同步引擎能够确定哪些对象在范围内。 因此,源系统中存在的用户、组和组成员总数(例如:Microsoft Entra ID)会影响性能。
- 源系统中的更改数会影响在增量周期内预配更新的时间。 对不在预配范围内的用户或组的更改(例如:在租户或组成员身份更新中创建新用户)可能会影响性能,因为服务需要评估更改并跳过更改。 当范围是“同步所有用户和组”时,这一点尤其重要
- 某些目标系统实施请求速率限制和限制,这可能会影响大型同步操作的性能。 在这些情况下,接收请求过多的应用可能会减慢其响应速率或关闭连接。 图库应用程序配置为遵循应用程序开发人员设置的速率限制,管理员在配置预配时无需执行任何操作。
- 首次为所有用户创建的同步作业所需时间大约是所有用户与现有用户匹配的同步作业的两倍。
- 预配服务在给定同步周期上必须重试的失败次数会影响性能。 检查进度栏和 预配日志 是否存在任何故障并修正它们。
- 在隔离区中预配作业的频率会降低。 查看隔离原因并修正它以还原典型的执行频率。
仅对于配置 同步分配的用户和组,可以使用以下公式来确定 预计的最小 和最大 预期初始周期 时间:
- 最小分钟数 = 0.01 x [分配的用户数、组和组成员数]
- 最大分钟数 = 0.08 x [分配的用户数、组和组成员数]
有关缩短预配用户和/或组时间的建议:
- 将预配范围设置为同步
assigned users and groups,而不是sync all users and groups。 - 最大程度地减少预配范围内的用户和组数。
- 创建针对同一系统的多个预配作业。 执行此操作时,每个同步作业将独立运行,从而减少处理更改的时间。 请确保这些预配作业的用户范围明确区分,以避免一个作业的更改影响到另一个作业。
- 添加范围筛选器以进一步限制预配范围内的用户和组数。 如果性能出现问题,并且你尝试在租户中配置大多数用户和组,请使用范围筛选器。 范围筛选器允许您微调预配服务从 Microsoft Entra ID 提取的数据,方法是根据特定属性值过滤出用户。 有关范围筛选器的详细信息,请参阅 使用范围筛选器进行基于属性的应用程序预配。
审核对供应配置的更改
预配配置更改记录在审核日志中。 具有必要权限(如应用程序管理员和报表读取者)的用户可以通过审核日志 UI、API 和 PowerShell 访问日志。 可以使用审核日志中的活动筛选器来标识以下操作。
注释
对于预配服务执行的操作,例如创建用户、更新用户和删除用户,我们建议使用预配日志。 若要监视预配配置的更改,建议使用 审核日志。
| Action | 活动(筛选此属性上的日志) |
|---|---|
| 更新凭据(例如:添加新持有者令牌) | 更新预配设置或凭据 |
| 更改预配作业的设置(例如通知电子邮件、同步所有与同步分配的用户和组、意外删除防护) | 更新预配设置或凭据 |
| 开始预配 | 启用/启动预配配置 |
| 停止预配 | 禁用/暂停预配配置 |
| 重新启动预配 | 启用/重启预配配置 |
| 更新属性映射或范围规则 | 更新属性映射或范围 |