Toepassing inrichten in quarantainestatus

De Azure AD-inrichtingsservice bewaakt de status van uw configuratie. Ook worden apps die niet in orde zijn in quarantaine geplaatst. Als de meeste of alle aanroepen op het doelsysteem consistent mislukken, wordt de inrichtings job gemarkeerd als in quarantaine. Een voorbeeld van een fout is een fout die is ontvangen vanwege ongeldige beheerdersreferenties.

In quarantaine:

  • De frequentie van incrementele cycli wordt geleidelijk gereduceerd tot één keer per dag.
  • De inrichtings job wordt uit quarantaine verwijderd nadat alle fouten zijn opgelost en de volgende synchronisatiecyclus wordt gestart.
  • Als de inrichtings job langer dan vier weken in quarantaine blijft, wordt de inrichtings job uitgeschakeld (wordt niet meer uitgevoerd).

Hoe kan ik weten of mijn toepassing in quarantaine is?

Er zijn drie manieren om te controleren of een toepassing in quarantaine is:

  • Navigeer in Azure Portal naar Azure Active Directory naam van de toepassing > > < > > Enterprise-toepassingen Inrichten en controleer de voortgangsbalk op een quarantainebericht.

    Inrichtingsstatusbalk met quarantainestatus

  • Navigeer in Azure Portal naar Azure Active Directory > auditlogboeken > filter op Activiteit: Quarantaine en controleer de quarantainegeschiedenis. In de weergave in de voortgangsbalk zoals hierboven wordt beschreven, ziet u of het inrichten momenteel in quarantaine is. De auditlogboeken tonen de quarantainegeschiedenis voor een toepassing.

  • Gebruik de Microsoft Graph Get synchronizationJob om programmatisch de status van de inrichtingsjob op te halen:

        GET https://graph.microsoft.com/beta/servicePrincipals/{id}/synchronization/jobs/{jobId}/
  • Controleer uw e-mail. Wanneer een toepassing in quarantaine wordt geplaatst, wordt er een een keer een e-mailmelding verzonden. Als de reden voor quarantaine verandert, wordt er een bijgewerkt e-mailbericht verzonden met de nieuwe reden voor quarantaine. Als u geen e-mail ziet:

    • Zorg ervoor dat u een geldig e-mailadres voor meldingen hebt opgegeven in de inrichtingsconfiguratie voor de toepassing.
    • Zorg ervoor dat er geen spamfilters worden gefilterd in het postvak IN voor e-mailmeldingen.
    • Zorg ervoor dat u zich niet hebt afgemeld voor e-mailberichten.
    • Controleren op e-mailberichten van azure-noreply@microsoft.com

Waarom is mijn toepassing in quarantaine?

Description Aanbevolen actie
ScIM-nalevingsprobleem: Er is een HTTP/404 Niet gevonden antwoord geretourneerd in plaats van het verwachte HTTP/200 OK-antwoord. In dit geval heeft de Azure AD-inrichtingsservice een aanvraag ingediend bij de doeltoepassing en een onverwacht antwoord ontvangen. Controleer de sectie met beheerdersreferenties. Kijk of voor de toepassing de tenant-URL moet worden opgegeven en of de URL juist is. Als u geen probleem ziet, neem dan contact op met de ontwikkelaar van de toepassing om ervoor te zorgen dat de service SCIM-compatibel is. https://tools.ietf.org/html/rfc7644#section-3.4.2
Ongeldige referenties: Bij een poging om de doeltoepassing te autoreren, hebben we een antwoord ontvangen van de doeltoepassing dat aangeeft dat de opgegeven referenties ongeldig zijn. Navigeer naar de sectie met beheerdersreferenties van de gebruikersinterface voor de inrichtingsconfiguratie en autor beheer de toegang opnieuw met geldige referenties. Als de toepassing zich in de galerie, bekijkt u de zelfstudie over toepassingsconfiguratie voor meer vereiste stappen.
Dubbele rollen: Rollen die zijn geïmporteerd uit bepaalde toepassingen, zoals Salesforce en Zendesk, moeten uniek zijn. Navigeer naar het toepassingsmanifest in Azure Portal en verwijder de dubbele rol.

Een Microsoft Graph om de status van de inrichtings job op te halen, toont de volgende reden voor quarantaine:

  • EncounteredQuarantineException geeft aan dat er ongeldige referenties zijn opgegeven. De inrichtingsservice kan geen verbinding maken tussen het bronsysteem en het doelsysteem.
  • EncounteredEscrowProportionThreshold geeft aan dat het inrichten de escrow-drempelwaarde heeft overschreden. Deze situatie treedt op wanneer meer dan 40% van de inrichtingsgebeurtenissen is mislukt. Zie de onderstaande escrow-drempelwaardegegevens voor meer informatie.
  • QuarantineOnDemand betekent dat er een probleem met uw toepassing is gedetecteerd en handmatig is ingesteld op quarantaine.

Escrow-drempelwaarden

Als aan de evenredige escrow-drempelwaarde wordt voldaan, wordt de inrichtings job in quarantaine geplaatst. Deze logica kan worden gewijzigd, maar werkt ongeveer zoals hieronder wordt beschreven:

Een taak kan in quarantaine worden geplaatst, ongeacht het aantal fouten voor problemen zoals beheerdersreferenties of SCIM-naleving. Over het algemeen zijn 5000 fouten echter het minimum om te beginnen met het evalueren of in quarantaine moet worden geplaatst vanwege te veel fouten. Een taak met 4000 mislukte pogingen wordt bijvoorbeeld niet in quarantaine geplaatst. Maar een taak met 5000 fouten zou een evaluatie activeren. Voor een evaluatie worden de volgende criteria gebruikt:

  • Als meer dan 40% van de inrichtingsgebeurtenissen mislukt of als er meer dan 40.000 fouten zijn, wordt de inrichtings job in quarantaine geplaatst. Referentiefouten worden niet geteld als onderdeel van de drempelwaarde van 40% of de drempelwaarde van 40.000. Het niet bijwerken van een manager of een groepslid is bijvoorbeeld een referentiefout.
  • Een taak waarbij 45.000 gebruikers zonder succes zijn ingericht, leidt tot quarantaine omdat deze de drempelwaarde van 40.000 overschrijdt.
  • Een taak waarbij het inrichten van 30.000 gebruikers is mislukt en er 5000 zijn geslaagd, leidt tot quarantaine omdat deze de drempelwaarde van 40% en minimaal 5000 overschrijdt.
  • Een taak met 20.000 fouten en 100.000 mislukte pogingen gaat niet in quarantaine omdat deze niet de drempelwaarde van 40% of het maximum van 40.000 mislukte pogingen overschrijdt.
  • Er is een absolute drempelwaarde van 60.000 fouten die zowel referentie- als niet-verwijzingsfouten vertegenwoordigen. 40.000 gebruikers kunnen bijvoorbeeld niet worden ingericht en 21.000 managerupdates zijn mislukt. Het totaal is 61.000 fouten en overschrijdt de limiet van 60.000.

Hoe kan ik mijn toepassing uit quarantaine halen?

Los eerst het probleem op waardoor de toepassing in quarantaine is geplaatst.

  • Controleer de inrichtingsinstellingen van de toepassing om te controleren of u geldige beheerdersreferenties hebt ingevoerd. Azure AD moet een vertrouwensrelatie met de doeltoepassing tot stand brengen. Zorg ervoor dat u geldige referenties hebt ingevoerd en dat uw account over de benodigde machtigingen beschikt.

  • Bekijk de inrichtingslogboeken om verder te onderzoeken welke fouten de quarantaine veroorzaken en de fout op te pakken. Ga naar Azure Active Directory > enterprise > apps-inrichtingslogboeken (preview) in de sectie Activiteit.

Nadat u het probleem hebt opgelost, start u de inrichtings job opnieuw. Bepaalde wijzigingen in de inrichtingsinstellingen van de toepassing, zoals kenmerktoewijzingen of bereikfilters, starten automatisch opnieuw inrichten voor u. De voortgangsbalk op de pagina Inrichten van de toepassing geeft aan wanneer het inrichten voor het laatst is gestart. Als u de inrichtings job handmatig opnieuw moet starten, gebruikt u een van de volgende methoden:

  • Gebruik de Azure Portal om de inrichtings job opnieuw te starten. Selecteer op de pagina Inrichten van de toepassing de optie Inrichting opnieuw starten. Met deze actie wordt de inrichtingsservice volledig opnieuw gestart, wat enige tijd kan duren. Er wordt opnieuw een volledige initiële cyclus uitgevoerd, die escrows verwijdert, de app uit quarantaine verwijdert en eventuele watermerken verwijdert. De service evalueert vervolgens alle gebruikers in het bronsysteem opnieuw en bepaalt of ze binnen het bereik van de inrichting vallen. Dit kan handig zijn wanneer uw toepassing momenteel in quarantaine is, zoals in dit artikel wordt besproken, of als u een wijziging moet aanbrengen in uw kenmerktoewijzingen. Houd er rekening mee dat de initiële cyclus langer duurt dan de normale incrementele cyclus vanwege het aantal objecten dat moet worden geëvalueerd. Meer informatie over de prestaties van initiële en incrementele cycli vindt u hier.

  • Gebruik Microsoft Graph om de inrichtings job opnieuw op te starten. U hebt volledige controle over wat u opnieuw start. U kunt ervoor kiezen om escrows te verwijderen (om de escrow-teller die in de richting van de quarantainestatus komt, opnieuw te starten), quarantaine te verwijderen (om de toepassing uit quarantaine te verwijderen) of watermerken te verwijderen. Gebruik de volgende aanvraag:

        POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

Vervang {ID} door de waarde van de toepassings-id en vervang {jobId} door de id van de synchronisatie job.