Microsoft Entra 预配服务针对源系统和目标系统运行初始预配周期,然后运行定期的增量周期。 配置应用的预配时,可以检查预配服务的当前状态,并查看用户何时可以访问应用。
查看预配进度条
在应用的 “预配 ”页上,可以查看Microsoft Entra 预配服务的状态。 页面底部的“当前状态”部分显示预配周期是否已开始预配用户帐户。 可以查看周期的进度,查看已预配的用户和组的数量,并查看已创建的角色数。
首次配置自动预配时,页面底部的“当前状态”部分会显示初始预配周期的状态。 每次运行增量循环后,这一部分都会更新。 显示以下详细信息:
- 当前正在运行或最后完成的预配周期的类型(初始或增量)。
- 显示已完成预配周期百分比的进度条。 百分比反映预配页的计数。 每个页面可能包含多个用户或组,因此该百分比并不与预配的用户、组或角色的数目直接相关。
- 可以使用“刷新”按钮来更新视图。
- 连接器数据存储中的用户和组的数目。 只要向预配作用域中添加了某个对象,计数将立即增加。 如果用户被软删除或硬删除,则计数不会关闭,因为此操作不会从连接器数据存储中删除对象。 在重置 CDS 后的第一次同步时,计数将被重新计算
- “查看预配日志”链接,用于打开Microsoft Entra 预配日志。 若要详细了解用户预配服务运行的作,包括单个用户的预配状态,请参阅本文后面的 “使用预配日志 ”。
预配周期完成后,“到目前为止的统计信息”部分显示到目前为止已经预配的用户和组的累计数量,以及最后一个周期的完成日期和持续时间。 活动 ID 可唯一标识最新的预配周期。 作业 ID 是预配作业的唯一标识符,特定于租户中的应用。
可以在 Microsoft Entra 管理中心的 Entra ID>企业应用> [应用程序名称] >预配中查看预配进度。
还可以使用 Microsoft Graph 以编程方式监视向应用程序进行预配的状态。 有关详细信息,请参阅 监视器预配。
使用预配日志检查用户的预配状态
若要查看所选用户的预配状态,请参阅Microsoft Entra ID 中的 预配日志 。 Microsoft Entra 预配日志(预览版)中记录了用户预配服务运行的所有操作。 日志包括对源和目标系统所做的读取和写入操作。 还会记录与读取和写入操作相关的关联用户数据。
可以通过在活动部分中选择 Entra ID>企业应用>和预配日志来访问 Microsoft Entra 管理中心中的日志。 你可以根据用户的名称或者根据源系统或目标系统中的标识符来搜索预配数据。 有关详细信息,请参阅 预配日志。
预配审核日志记录了预配服务执行的全部操作,包括:
- 查询 Microsoft Entra ID 以找到预配作用域中分配的用户
- 查询目标应用以验证是否存在这些用户
- 比较系统之间的用户对象
- 根据比较结果在目标系统中添加、更新或禁用用户帐户
有关如何在 Microsoft Entra 管理中心读取预配日志的详细信息,请参阅 预配报告指南。
预配用户需要多长时间?
预配用户、组或组成员身份的时间因多种因素而异。
- 预配范围中的用户、组和组成员身份越多,同步作业完成所需的时间就越长。 例如,包含 10 个组的同步作业(每个组有 20K 个成员)的预配时间比包含 1 组 20K 成员的同步作业要长。
- 如果同步范围设置为“同步所有用户和组”,同步引擎将在初始周期内评估租户中的每个用户、组。 这使同步引擎能够确定哪些对象在范围内。 因此,源系统中存在的用户、组和组成员总数(例如:Microsoft Entra ID)会影响性能。
- 源系统中的更改数会影响在增量周期内预配更新的时间。 对不在预配范围内的用户或组的更改(例如:在租户或组成员身份更新中创建新用户)可能会影响性能,因为服务需要评估更改并跳过更改。 当范围是“同步所有用户和组”时,这一点尤其重要
- 某些目标系统实施了请求速率限制和调节,这一特性在大型同步操作期间可能会影响性能。 在这些情况下,太快地接收太多请求的应用可能会拖慢其响应速率或关闭连接。 图库应用程序被配置为遵循由应用程序开发人员设置的速率限制,管理员无需执行任何操作即可完成配置和预配。
- 首次创建所有用户的同步作业所需的时间大约是所有用户与现有用户匹配的同步作业所需时间的两倍。
- 预配服务在给定同步周期上必须重试的失败次数会影响性能。 检查进度栏和 预配日志 是否存在任何故障并修正它们。
- 在隔离区中预配作业的频率会降低。 查看隔离原因并修正它以还原典型的执行频率。
仅对于配置 同步分配的用户和组,可以使用以下公式来确定 预计的最小 和最大 预期初始周期 时间:
- 最小分钟数 = 0.01 x [分配的用户、组和组成员的数目]
- 最大分钟数 = 0.08 x [分配的用户、组和组成员的数目]
有关减少预配用户和/或组时间的建议:
- 将预配范围设置为同步
assigned users and groups,而不是sync all users and groups。 - 在最大程度上减小预配范围内用户和组的数量。
- 创建多个面向同一系统的预配作业。 执行此操作时,每个同步作业将独立运行,从而减少处理更改的时间。 请确保这些预配作业之间的用户范围不同,以避免一个作业的更改影响另一个作业。
- 添加范围筛选器以进一步限制预配范围内的用户和组数。 如果需要考虑性能问题,并且你正在尝试预配租户中的大部分用户和组,请使用范围筛选器。 使用范围筛选器,可优化预配服务通过筛选用户(基于特定属性值)从 Microsoft Entra ID 提取的数据。 有关范围筛选器的详细信息,请参阅 使用范围筛选器进行基于属性的应用程序预配。
审核对预配配置的更改
预配配置更改记录在审核日志中。 具有必要权限(如应用程序管理员和报表读取者)的用户可以通过审核日志 UI、API 和 PowerShell 访问日志。 可以使用审核日志中的活动筛选器来标识以下操作。
| 操作 | 活动(筛选此属性上的日志) |
|---|---|
| 更新凭据(例如:添加新的持有者令牌) | 更新预配设置或凭据 |
| 更改预配作业的设置(例如:通知电子邮件、同步所有与同步分配的用户和组、意外删除防护) | 更新预配设置或凭据 |
| 开始预配 | 启用/启动预配配置 |
| 停止预配 | 禁用/暂停预配配置 |
| 重新启动预配 | 启用/重启预配配置 |
| 更新特性映射或范围限定规则 | 更新属性映射或范围 |