方法: プロビジョニング構成をエクスポートし、既知の良好な状態にロールバックする

  • [アーティクル]

この記事では、次のことについて説明します。

  • Microsoft Entra 管理センターからプロビジョニング構成のエクスポートおよびインポートを行う
  • Microsoft Graph API を使用して、プロビジョニング構成をエクスポートし、インポートする

Microsoft Entra 管理センターからプロビジョニング構成のエクスポートおよびインポートを行う

プロビジョニング構成をエクスポートする

ヒント

この記事の手順は、開始するポータルによって若干異なる場合があります。

構成をエクスポートするには:

  1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に参照し、アプリケーションを選択します。
  3. 左側のナビゲーション ウィンドウで [プロビジョニング] を選択します。 プロビジョニング構成ページで、 [属性マッピング] をクリックし、次に [詳細オプションの表示] をクリックし、最後に [スキーマを確認する] をクリックします。 スキーマ エディターが開きます。
  4. ページの上部にあるコマンド バーで [ダウンロード] をクリックしてスキーマをダウンロードします。

ディザスター リカバリー - 既知の良好な状態にロールバックする

構成をエクスポートして保存すると、以前のバージョンの構成にロールバックできます。 属性マッピングまたはスコープ フィルターを変更するときにいつでも使用できるように、プロビジョニング構成をエクスポートして保存することをお勧めします。 ダウンロードした JSON ファイルを開き、コンテンツ全体をコピーします。 次に、スキーマ エディターで JSON ペイロードのコンテンツ全体を置き換え、保存します。 アクティブなプロビジョニング サイクルがある場合、そのサイクルは完了し、次のサイクルで更新されたスキーマが使用されます。 また、次のサイクルは、新しい構成に基づいてすべてのユーザーとグループを再評価する初期サイクルになります。

前の構成にロールバックする場合、次の点を考慮してください。

  • ユーザーをスコープに含める必要があるかどうかを判断するために、ユーザーはもう一度評価されます。 スコープ フィルターが変更された場合、ユーザーは無効になっているため、スコープ内にありません。 ほとんどの場合、この動作は望ましいものですが、場合によってはそれを防ぎたい場合もあります。 この動作を防ぐには、 スコープ外の削除をスキップする機能を使用します。
  • プロビジョニング構成を変更すると、サービスが再起動され、初回サイクルがトリガーされます。

Microsoft Graph API を使用して、プロビジョニング構成をエクスポートし、インポートする

Microsoft Graph API と Microsoft Graph Explorer を使用すると、ご自分のユーザー プロビジョニングの属性マッピングとスキーマを JSON ファイルにエクスポートし、それを Microsoft Entra ID にインポートし直すことができます。 ここでキャプチャした手順を使用して、プロビジョニング構成のバックアップを作成することもできます。

手順 1:プロビジョニング アプリのサービス プリンシパル ID (オブジェクト ID) を取得します

  1. Microsoft Entra 管理センター にサインインし、プロビジョニング アプリケーションの [プロパティ] セクションに移動します。 たとえば、"Workday to AD User Provisioning アプリケーション" のマッピングをエクスポートする場合は、そのアプリの [プロパティ] セクションに移動します。

  2. プロビジョニング アプリの [プロパティ] セクションで、"オブジェクト ID" フィールドに関連付けられている GUID 値をコピーします。 この値はお使いのアプリの ServicePrincipalId とも呼ばれ、Microsoft Graph Explorer の操作で使用されます。

    Workday App Service Principal ID

手順 2:Microsoft Graph Explorer にサインインします

  1. Microsoft Graph Explorer を起動します

  2. [Microsoft アカウントでサインイン] ボタンをクリックし、Microsoft Entra グローバル管理者またはアプリ管理者の資格情報を使用してサインインします。

    Microsoft Graph Sign-in

  3. サインインに成功すると、左側のペインにユーザー アカウントの詳細が表示されます。

手順 3:プロビジョニング アプリのプロビジョニング ジョブ ID を取得します

Microsoft Graph エクスプローラーで、[servicePrincipalId] を手順 1 から抽出した ServicePrincipalId に置き換え、次の GET クエリを実行します。

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs

表示されている応答が返されます。 応答に存在する id 属性をコピーします。 この値は ProvisioningJobId であり、基になるスキーマ メタデータを取得するために使用されます。

Provisioning Job ID

手順 4:プロビジョニング スキーマをダウンロードする

Microsoft Graph Explorer で、[servicePrincipalId] と [ProvisioningJobId] を、前の手順で取得した ServicePrincipalId と ProvisioningJobId に置き換えて、次の GET クエリを実行します。

   GET https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

応答から JSON オブジェクトをコピーしてファイルに保存し、スキーマのバックアップを作成します。

手順 5:プロビジョニング スキーマをインポートする

注意事項

Microsoft Entra 管理センターを使用して変更できない構成のスキーマを変更する必要がある場合、または有効で機能しているスキーマを使用して以前にバックアップしたファイルから構成を復元する必要がある場合にのみ、この手順を実行します。

Microsoft Graph Explorer で、[servicePrincipalId] と [ProvisioningJobId] を、前の手順で取得した ServicePrincipalId と ProvisioningJobId に置き換えて、次の PUT クエリを構成します。

    PUT https://graph.microsoft.com/beta/servicePrincipals/[servicePrincipalId]/synchronization/jobs/[ProvisioningJobId]/schema

[Request Body](要求本文) タブで、JSON スキーマ ファイルの内容をコピーします。

Request Body

[Request Headers](要求ヘッダー) タブで、値が "application/json" の Content-Type ヘッダー属性を追加します。

Request Headers

[クエリの実行] を選択して新しいスキーマをインポートします。