Informes de aprovisionamiento en el portal de Azure Active Directory (versión preliminar)Provisioning reports in the Azure Active Directory portal (preview)

La arquitectura de los informes de Azure Active Directory (Azure AD) consta de los siguientes componentes:The reporting architecture in Azure Active Directory (Azure AD) consists of the following components:

  • ActividadActivity

    • Inicios de sesión: información sobre el uso de aplicaciones administradas y actividades de inicio de sesión de usuario.Sign-ins – Information about the usage of managed applications and user sign-in activities.
    • Registros de auditoría: los registros de auditoría proporcionan información de la actividad del sistema sobre la administración de usuarios y grupos, aplicaciones administradas y actividades de directorio. - Audit logs - Audit logs provide system activity information about users and group management, managed applications and directory activities.
    • Registros de aprovisionamiento: proporcionan la actividad del sistema sobre el usuario, los grupos y los roles aprovisionados por el servicio de aprovisionamiento de Azure AD.Provisioning logs - Provide system activity about user, groups, and roles that are provisioned by the Azure AD provisioning service.
  • SeguridadSecurity

    • Inicios de sesión de riesgo: un inicio de sesión de riesgo es un indicador de un intento de inicio de sesión que puede haber realizado alguien que no es el propietario legítimo de una cuenta de usuario.Risky sign-ins - A risky sign-in is an indicator for a sign-in attempt that might have been performed by someone who is not the legitimate owner of a user account.
    • Usuarios marcados en riesgo: un usuario en riesgo es un indicador de una cuenta de usuario que puede haber estado en peligro.Users flagged for risk - A risky user is an indicator for a user account that might have been compromised.

Este tema ofrece una visión general del informe de aprovisionamiento.This topic gives you an overview of the provisioning report.

Requisitos previosPrerequisites

¿Quién puede acceder a los datos?Who can access the data?

  • Los usuarios con los roles Administrador de seguridad, Lector de seguridad, Lector de informes, Administrador de aplicaciones y Administrador de aplicaciones en la nube.Users in the Security Administrator, Security Reader, Report Reader, Application Administrator, and Cloud Application Administrator roles
  • Administradores globalesGlobal Administrators

¿Qué licencia de Azure AD se necesita para acceder a las actividades de aprovisionamiento?What Azure AD license do you need to access provisioning activities?

El inquilino debe tener una licencia de Azure AD Premium asociada para ver el informe de actividades de aprovisionamiento al completo.Your tenant must have an Azure AD Premium license associated with it to see the all up provisioning activity report. Consulte Introducción a Azure Active Directory Premium para actualizar la edición de Azure Active Directory.See Getting started with Azure Active Directory Premium to upgrade your Azure Active Directory edition.

Registros de aprovisionamientoProvisioning logs

Los registros de aprovisionamiento proporcionan respuestas a las siguientes preguntas:The provisioning logs provide answers to the following questions:

  • ¿Qué grupos se han creado correctamente en ServiceNow?What groups were successfully created in ServiceNow?
  • ¿Cómo se han importado los roles de Amazon Web Services?How roles were imported from Amazon Web Services?
  • ¿Qué usuarios no se han creado correctamente en DropBox?What users were unsuccessfully created in DropBox?

Se puede tener acceso a los registros de aprovisionamiento si se selecciona Registros de aprovisionamiento en la sección Supervisión de la hoja Azure Active Directory en Azure Portal.You can access the provisioning logs by selecting Provisioning Logs in the Monitoring section of the Azure Active Directory blade in the Azure portal. Algunos registros de aprovisionamiento pueden tardar hasta dos horas en aparecer en el portal.It can take up to two hours for some provisioning records to show up in the portal.

Registros de aprovisionamientoProvisioning logs

Un registro de aprovisionamiento tiene una vista de lista predeterminada que muestra:A provisioning log has a default list view that shows:

  • La identidadThe identity
  • La acciónThe action
  • El sistema de origenThe source system
  • El sistema de destinoThe target system
  • El estadoThe status
  • La fechaThe date

Columnas predeterminadasDefault columns

Puede personalizar la vista de lista, haga clic en Columnas en la barra de herramientas.You can customize the list view by clicking Columns in the toolbar.

Selector de columnasColumn chooser

Esto le permite mostrar los campos adicionales o quitar los campos que ya se están mostrando.This enables you to display additional fields or remove fields that are already displayed.

Columnas disponiblesAvailable columns

Seleccione un elemento de la vista de lista para obtener información más detallada.Select an item in the list view to get more detailed information.

Información detalladaDetailed information

Filtrado de las actividades de aprovisionamientoFilter provisioning activities

Para restringir los datos del informe a un nivel que se adapte a sus necesidades, puede filtrar los datos de aprovisionamiento con los campos predeterminados que se indican a continuación.To narrow down the reported data to a level that works for you, you can filter the provisioning data using the following default fields. Tenga en cuenta que los valores de los filtros se rellenan dinámicamente en función del inquilino.Note that the values in the filters are dynamically populated based on your tenant. Por ejemplo, si no tiene ningún evento de creación en el inquilino, no habrá una opción de filtro para la creación.If, for example, you don't have any create events in your tenant, there won't be a filter option for create.

  • IdentidadIdentity
  • .Action
  • Sistema de origenSource system
  • Sistema de destinoTarget system
  • StatusStatus
  • DateDate

FilterFilter

El filtro Identidad le permite especificar el nombre o la identidad que le interesa.The Identity filter enables you to specify the name or the identity that you care about. Esta identidad podría ser un usuario, un grupo, un rol u otro objeto.This identity could be a user, group, role, or other object. Puede buscar por nombre o por identificador de objeto.You can search by the name or ID of the object. El identificador varía según el escenario.The ID varies by scenario. Por ejemplo, al aprovisionar un objeto de Azure AD en SalesForce, el identificador de origen es el identificador de objeto del usuario en Azure AD, mientras que el identificador de destino es el identificador del usuario en Salesforce.For example, when provisioning an object from Azure AD to SalesForce, the Source ID is the object ID of the user in Azure AD while the TargetID is the ID of the user in Salesforce. Al aprovisionar de Workday a Active Directory, el identificador de origen es el identificador de empleado del trabajador de Workday.When provisioning from Workday to Active Directory, the Source ID is the Workday worker employee ID. Tenga en cuenta que el nombre del usuario puede no estar siempre presente en la columna de identidad.Note that the Name of the user may not always be present in the Identity column. Siempre habrá un identificador.There will always be one ID.

El filtro Sistema de origen le permite especificar desde dónde se aprovisiona la identidad.The Source System filter enables you to specify where the identity is getting provisioned from. Por ejemplo, al aprovisionar un objeto de Azure AD a ServiceNow, el sistema de origen es Azure AD.For example, when provisioning an object from Azure AD to ServiceNow, the Source system is Azure AD.

El filtro Sistema de destino le permite especificar en dónde se aprovisiona la identidad.The Target System filter enables you to specify where the identity is getting provisioned to. Por ejemplo, al aprovisionar un objeto de Azure AD a ServiceNow, el sistema de destino es ServiceNow.For example, when provisioning an object from Azure AD to ServiceNow, the Target System is ServiceNow.

El filtro Estado le permite seleccionar:The Status filter enables you to select:

  • AllAll
  • CorrectoSuccess
  • ErrorFailure
  • SkippedSkipped

El filtro Acción permite filtrar:The Action filter enables you to filter the:

  • CrearCreate
  • ActualizarUpdate
  • EliminarDelete
  • DisableDisable
  • OtrosOther

El filtro Fecha le permite definir un período de tiempo para los datos devueltos.The Date filter enables to you to define a timeframe for the returned data.
Los valores posibles son:Possible values are:

  • 1 mes1 month
  • 7 días7 days
  • 30 días30 days
  • 24 horas24 hours
  • Intervalo de tiempo personalizadoCustom time interval

Cuando se selecciona un período de tiempo personalizado, puede configurar una fecha de inicio y una fecha de finalización.When you select a custom time frame, you can configure a start date and an end date.

Además de los campos predeterminados, cuando se selecciona, también puede incluir los siguientes campos en el filtro:In addition to the default fields, when selected, you can also include the following fields in your filter:

  • Id. de trabajo: es un identificador de trabajo único que está asociado a cada aplicación para la que se ha habilitado el aprovisionamiento.Job ID - A unique Job ID is associated with each application that you have enabled provisioning for.

  • Id. de ciclo: identifica de forma única el ciclo de aprovisionamiento.Cycle ID - Uniquely identifies the provisioning cycle. Puede compartir este identificador para permitir buscar el ciclo en el que se ha producido este evento.You can share this ID to support to look up the cycle in which this event occurred.

  • Id. de cambio: identificador único para el evento de aprovisionamiento.Change ID - Unique identifier for the provisioning event. Puede compartir este identificador para permitir buscar el evento de aprovisionamiento.You can share this ID to support to look up the provisioning event.

Detalles de aprovisionamientoProvisioning details

Al seleccionar un elemento en la vista de lista de aprovisionamiento, obtendrá más información sobre dicho elemento.When you select an item in the provisioning list view, you get more details about this item. Los detalles se agrupan en función de las categorías siguientes:The details are grouped based on the following categories:

  • PasosSteps

  • Solución de problemas y recomendacionesTroubleshoot and recommendations

  • Propiedades modificadasModified properties

  • ResumenSummary

FilterFilter

PasosSteps

En la pestaña Pasos se describen los pasos necesarios para aprovisionar un objeto.The Steps tab outlines the steps taken to provision an object. El aprovisionamiento de un objeto puede constar de cuatro pasos:Provisioning an object can consist of four steps:

  • Importación del objetoImport object
  • Determinación de si el objeto está en el ámbitoDetermine if the object is in scope
  • Coincidencia del objeto entre el origen y el destinoMatch object between source and target
  • Aprovisionamiento del objeto (realización de una acción, como crear, actualizar, eliminar o deshabilitar)Provision object (take action - this could be a create, update, delete, or disable)

FilterFilter

Solución de problemas y recomendacionesTroubleshoot and recommendations

La pestaña Solución de problemas y recomendaciones proporciona el código de error y el motivo.The troubleshoot and recommendations tab provides the error code and reason. La información del error solo está disponible en caso de error.The error information is only available in the case of a failure.

Propiedades modificadasModified properties

En la pestaña Propiedades modificadas se muestran el valor anterior y el nuevo.The modified properties shows the old value and new value. En los casos en los que no hay ningún valor anterior, la columna con este valor está en blanco.In cases where there is no old value the old value column is blank.

ResumenSummary

En la pestaña Resumen se proporciona información general sobre lo que sucedió y los identificadores del objeto en el sistema de origen y de destino.The summary tab provides an overview of what happened and identifiers for the object in the source and target system.

Qué debería saberWhat you should know

  • Azure Portal almacena durante 30 días los datos de aprovisionamiento detectados si tiene una edición Premium y durante siete días si tiene una edición gratuita.The Azure portal stores reported provisioning data for 30 days if you have a premium edition and 7 days if you have a free edition..

  • Puede usar el atributo Id. de cambio como identificador único.You can use the Change ID attribute as unique identifier. Esto es útil, por ejemplo, al hablar con el soporte técnico del producto.This is, for example, helpful when interacting with product support.

  • Actualmente no hay ninguna opción para descargar los datos de aprovisionamiento.There is currently no option to download provisioning data.

  • Actualmente no se presta soporte técnico para el análisis de registros.There is currently no support for log analytics.

  • Al acceder a los registros de aprovisionamiento desde el contexto de una aplicación, los eventos no se filtran automáticamente según la aplicación específica, como sucede en el caso de los registros de auditoría.When you access the provisioning logs from the context of an app, it doesn’t automatically filter events to the specific app the way audit logs do.

Códigos de errorError Codes

Use la tabla siguiente para entender mejor cómo resolver los errores que puede encontrar en los registros de aprovisionamiento.Use the table below to better understand how to resolve errors you may find in the provisioning logs. En el caso de los códigos de error que faltan, proporcione comentarios mediante el vínculo situado en la parte inferior de esta página.For any error codes that are missing, provide feedback using the link at the bottom of this page.

Código de errorError Code DESCRIPCIÓNDescription
Conflict, EntryConflictConflict, EntryConflict Corrija los valores de atributo en conflicto en Azure AD o en la aplicación, o bien revise la configuración de atributo correspondiente si se supone que la cuenta de usuario en conflicto debía coincidir y tomarse.Correct the conflicting attribute values in either Azure AD or the application, or review your matching attribute configuration if the conflicting user account was supposed to be matched and taken over. Revise la siguiente documentación para obtener más información sobre cómo configurar atributos coincidentes.Review the following documentation for more information on configuring matching attributes.
TooManyRequestsTooManyRequests La aplicación de destino rechazó este intento de actualizar el usuario porque está sobrecargado y recibe demasiadas solicitudes.The target app rejected this attempt to update the user because it is overloaded and receiving too many requests. No hay nada que hacer.There is nothing to do. Este intento se retirará automáticamente.This attempt will automatically be retired. También se ha notificado a Microsoft de este problema.Microsoft has also been notified of this issue.
InternalServerErrorInternalServerError La aplicación de destino devolvió un error inesperado.The target app returned an unexpected error. Es posible que haya un problema de servicio con la aplicación de destino que impide que esto funcione.There may be a service issue with the target application that is preventing this from working. Este intento se retirará automáticamente en 40 minutos.This attempt will automatically be retired in 40 minutes.
InsufficientRights, MethodNotAllowed, NotPermitted, UnauthorizedInsufficientRights, MethodNotAllowed, NotPermitted, Unauthorized Azure AD se pudo autenticar con la aplicación de destino, pero no tenía autorización para realizar la actualización.Azure AD was able to authenticate with the target application, but was not authorized to perform the update. Revise las instrucciones proporcionadas por la aplicación de destino, así como el tutorial de la aplicación correspondiente.Please review any instructions provided by the target application as well as the respective application tutorial.
UnprocessableEntityUnprocessableEntity La aplicación de destino devolvió una respuesta inesperada.The target application returned an unexpected response. Es posible que la configuración de la aplicación de destino no sea correcta o que haya un problema de servicio con la aplicación de destino que impide que esto funcione.The configuration of the target application may not be correct, or there may be a service issue with the target application that is preventing this from working.
WebExceptionProtocolErrorWebExceptionProtocolError Error de protocolo HTTP al conectarse a la aplicación de destino.An HTTP protocol error occurred while connecting to the target application. No hay nada que hacer.There is nothing to do. Este intento se retirará automáticamente en 40 minutos.This attempt will automatically be retired in 40 minutes.
InvalidAnchorInvalidAnchor Ya no existe un usuario que se había creado previamente o que coincidía con el servicio de aprovisionamiento.A user that was previously created or matched by the provisioning service no longer exists. Compruebe que el usuario existe.Check to ensure the user exists. Para forzar una nueva coincidencia de todos los usuarios, use MS Graph API para reiniciar el trabajo.To force a re-match of all users, use the MS Graph API to restart job. Tenga en cuenta que al reiniciar el aprovisionamiento se desencadenará un ciclo inicial, que puede tardar en completarse.Note that restarting provisioning will trigger an initial cycle, which can take time to complete. También se elimina la memoria caché que usa el servicio de aprovisionamiento para operar, lo que significa que todos los usuarios y grupos del inquilino tendrán que volver a evaluarse y se podrían quitar ciertos eventos de aprovisionamiento.It also deletes the cache the provisioning service uses to operate, meaning that all users and groups in the tenant will have to be evaluated again and certain provisioning events could be dropped.
NotImplementedNotImplemented La aplicación de destino devolvió una respuesta inesperada.The target app returned an unexpected response. Es posible que la configuración de la aplicación no sea correcta o que haya un problema de servicio con la aplicación de destino que impide que esto funcione.The configuration of the app may not be correct, or there may be a service issue with the target app that is preventing this from working. Revise las instrucciones proporcionadas por la aplicación de destino, así como el tutorial de la aplicación correspondiente.Please review any instructions provided by the target application as well as the respective application tutorial.
MandatoryFieldsMissing, MissingValuesMandatoryFieldsMissing, MissingValues No se pudo crear el usuario porque faltan los valores necesarios.The user could not be created because required values are missing. Corrija los valores de atributo que faltan en el registro de origen o revise la configuración de atributo coincidente para asegurarse de que no se omiten los campos obligatorios.Correct the missing attribute values in the source record, or review your matching attribute configuration to ensure the required fields are not omitted. Más información sobre cómo configurar atributos coincidentes.Learn more about configuring matching attributes.
SchemaAttributeNotFoundSchemaAttributeNotFound No se pudo realizar la operación porque se especificó un atributo que no existe en la aplicación de destino.Could not perform the operation because an attribute was specified that does not exist in the target application. Consulte la documentación sobre la personalización de atributos y asegúrese de que la configuración es correcta.See the documentation on attribute customization and ensure your configuration is correct.
InternalErrorInternalError Se produjo un error de servicio interno en el servicio de aprovisionamiento de Azure AD.An internal service error occurred within the Azure AD provisioning service. No hay nada que hacer.There is nothing to do. Este intento se retirará automáticamente en 40 minutos.This attempt will automatically be retried in 40 minutes.
InvalidDomainInvalidDomain No se pudo realizar la operación debido a un valor de atributo que contiene un nombre de dominio no válido.The operation could not be performed due to an attribute value containing an invalid domain name. Actualice el nombre de dominio en el usuario o agréguelo a la lista de valores permitidos en la aplicación de destino.Update the domain name on the user or add it to the permitted list in the target application.
Tiempo de esperaTimeout No se pudo completar la operación porque la aplicación de destino tardó demasiado tiempo en responder.The operation could not be completed because the target application took too long to respond. No hay nada que hacer.There is nothing to do. Este intento se retirará automáticamente en 40 minutos.This attempt will automatically be retried in 40 minutes.
LicenseLimitExceededLicenseLimitExceeded No se pudo crear el usuario en la aplicación de destino porque no hay licencias disponibles para este usuario.The user could not be created in the target application because there are no available licenses for this user. Puede adquirir licencias adicionales para la aplicación de destino o revisar las asignaciones de usuario y la configuración de asignación de atributos para asegurarse de que se asignan los atributos correctos a los usuarios correctos.Either procure additional licenses for the target application, or review your user assignments and attribute mapping configuration to ensure that the correct users are assigned with the correct attributes.
DuplicateTargetEntriesDuplicateTargetEntries No se pudo completar la operación porque se encontró más de un usuario en la aplicación de destino con los atributos coincidentes configurados.The operation could not be completed because more than one user in the target application was found with the configured matching attributes. Quite el usuario duplicado de la aplicación de destino o vuelva a configurar las asignaciones de atributos como se describe aquí.Either remove the duplicate user from the target application, or reconfigure your attribute mappings as described here.
DuplicateSourceEntriesDuplicateSourceEntries No se pudo completar la operación porque se encontró más de un usuario con los atributos coincidentes configurados.The operation could not be completed because more than one user was found with the configured matching attributes. Quite el usuario duplicado o vuelva a configurar las asignaciones de atributos como se describe aquí.Either remove the duplicate user, or reconfigure your attribute mappings as described here.

Pasos siguientesNext steps