Microsoft Entra ID でのプロビジョニングに関する既知の問題

この記事では、アプリのプロビジョニングまたはテナント間同期を操作する場合に注意する必要がある既知の問題について説明します。 UserVoice のアプリケーション プロビジョニング サービスに関するフィードバックを提供するには、Microsoft Entra のアプリケーションのプロビジョニングの UserVoice ページを参照してください。 Microsoft では、サービスを改善するために UserVoice を注意深く確認しています。

注意

この記事は既知の問題の包括的な一覧ではありません。 一覧にない問題をご存じの場合は、ページの下部でフィードバックを提供してください。

テナント間同期

サポートされていない同期シナリオ

• グループ、デバイス、連絡先を別のテナントに同期する
• クラウド間でのユーザーの同期
• テナント間での写真の同期
• 連絡先の同期と B2B ユーザーへの連絡先の変換
• テナント間での会議室の同期

Microsoft Teams

テナント間同期で作成されたタイプ member の外部または B2B ユーザーを Microsoft Teams の共有チャンネルに追加することができます。 ただし、テナント間同期の外部で作成された外部メンバー ユーザーを Teams 共有チャネルに追加することはできません。

ユーザーのプロビジョニング

ソース (ホーム) テナントの外部ユーザーを別のテナントにプロビジョニングすることはできません。 ソース テナントの内部ゲスト ユーザーを別のテナントにプロビジョニングすることはできません。 ソース テナントの内部メンバー ユーザーのみをターゲット テナントにプロビジョニングできます。 詳細については、Microsoft Entra B2B コラボレーション ユーザーのプロパティに関するページをご覧ください。

さらに、SMS サインインが有効になっているユーザーをテナント間同期で同期することはできません。

showInAddressList プロパティの更新が失敗する

既存の B2B コラボレーション ユーザーの場合、B2B コラボレーション ユーザーがターゲット テナントでメールボックスを有効にしていない限り、showInAddressList 属性が更新されます。 メールボックスがターゲット テナントで有効になっている場合は、 Set-MailUser PowerShell コマンドレットを使用して HiddenFromAddressListsEnabled プロパティを $false の値に設定します。

Set-MailUser [GuestUserUPN] -HiddenFromAddressListsEnabled:$false

ここで、[GuestUserUPN] は計算された UserPrincipalName です。 例:

Set-MailUser guestuser1_contoso.com#EXT#@fabricam.onmicrosoft.com -HiddenFromAddressListsEnabled:$false

詳細については、Exchange Online PowerShell モジュールに関するページを参照してください。

ターゲット テナントからの同期の構成

ターゲット テナントからの同期の構成はサポートされていません。 すべての構成は、ソース テナントで行う必要があります。 ターゲット管理者は、テナント間の同期をいつでもオフにできることに注意してください。

ソース テナント内の 2 人のユーザーが、ターゲット テナント内の同じユーザーと一致しました

ソース テナント内の 2 人のユーザーが同じメールを持っていて、両方のユーザーをターゲット テナントに作成する必要がある場合、1 人のユーザーがターゲットに作成されて、ソースの 2 人のユーザーにリンクされます。 メール属性がソース テナント内のユーザー間で共有されていないことを確認してください。 また、ソース テナント内のユーザーのメールが検証済みドメインから送信されていることを確認してください。 メールが未確認のドメインからのものである場合、外部ユーザーは正常に作成されません。

テナント間アクセスのための Microsoft Entra B2B コラボレーションの使用

• B2B ユーザーは、ディレクトリ ピッカーがないため、リモート テナントで (Exchange Online などの) 特定の Microsoft 365 サービスを管理できません。
• B2B ユーザーの Azure Virtual Desktop サポートに関する詳細については、「Azure Virtual Desktop の前提条件」を参照してください。
• 外部メンバー ユーザーに対する Power BI サポートの最新の状態については、「Microsoft Entra B2B を使用して外部ゲスト ユーザーに Power BI コンテンツを配布する」を参照してください

承認

プロビジョニング モードを手動に変更することができない

プロビジョニングを初めて構成すると、プロビジョニング モードが手動から自動に切り替わることがわかります。 手動に戻すことはできません。 ただし、UI を使用してプロビジョニングをオフにすることはできます。 UI でプロビジョニングをオフにすると、ドロップダウンを手動に設定する場合と同様に動作します。

属性マッピング

属性 SamAccountName または userType をソース属性として使用できない

属性 SamAccountName および userType は、既定ではソース属性として使用できません。 スキーマを拡張して属性を追加してください。 スキーマを拡張すると、使用できるソース属性の一覧に属性を追加することができます。 詳細については、ソース属性の欠落いに関するページを参照してください。

スキーマ拡張のソース属性ドロップダウンがない

UI のソース属性ドロップダウンにスキーマの拡張機能が表示されない場合があります。 属性マッピングの詳細設定に移動し、手動で属性を追加します。 詳細については、属性マッピングのカスタマイズに関するページを参照してください。

null 属性をプロビジョニングできない

現在、Microsoft Entra によって null 属性をプロビジョニングすることはできません。 ユーザー オブジェクトの属性が null の場合は、スキップされます。

属性マッピング式の最大文字数

属性マッピング式には、最大 10,000 文字を使用できます。

サポートされていないスコープ フィルター

appRoleAssignments、userType、accountExpires 属性は、スコープ フィルターとしてはサポートされていません。

OtherMails をターゲット属性として属性マッピングに含めないでください。

otherMails プロパティは、ターゲット テナントで自動的に計算されます。 ターゲット テナントで直接ユーザー オブジェクトを変更すると、otherMails プロパティが更新され、テナント間同期によって設定された値がオーバーライドされる可能性があります。 結果として、otherMails は、ターゲット属性としてテナント間同期属性マッピングに含めるべきではありません。

複数値ディレクトリ拡張機能

複数値ディレクトリ拡張機能は、属性マッピングまたはスコープ フィルターでは使用できません。

サービスに関する問題

サポートされていないシナリオ

• パスワードのプロビジョニングはサポートされていません。
• 入れ子になったグループのプロビジョニングはサポートされていません。
• テナントのサイズにより、B2C テナントへのプロビジョニングはサポートされていません。
• すべてのクラウドですべてのプロビジョニング アプリが使用できるわけではありません。 たとえば、Atlassian は、政府機関向けクラウドではまだ利用できません。 アプリ開発者と連携して、アプリをすべてのクラウドにオンボードしています。

OIDC ベースのアプリケーションで自動プロビジョニングを使用できない

アプリの登録を作成した場合、エンタープライズ アプリ内の対応するサービス プリンシパルが、自動ユーザー プロビジョニングで有効になりません。 ギャラリーにアプリを追加するように要求するか (複数の組織での使用を想定している場合)、プロビジョニング用にギャラリー以外の 2 つ目のアプリを作成する必要があります。

マネージャーがプロビジョニングされない

ユーザーとそのマネージャーが両方ともプロビジョニング対象となっている場合は、ユーザーがプロビジョニングされた後でマネージャーが更新されます。 初日に、ユーザーがプロビジョニング対象でマネージャーが対象外となっている場合、マネージャーを参照せずにユーザーがプロビジョニングされます。 その後マネージャーがプロビジョニング対象となっても、プロビジョニングを再開し、サービスによってすべてのユーザーがもう一度評価されるまで、マネージャーの参照は更新されません。

プロビジョニングの間隔が固定されている

プロビジョニング サイクル間の時間は現在構成できません。

変更がターゲット アプリから Microsoft Entra ID に反映されない

アプリのプロビジョニング サービスでは、外部アプリで行われた変更が認識されません。 そのため、ロールバックするアクションは行われません。 アプリのプロビジョニング サービスは、Microsoft Entra ID で行われた変更に依存しています。

[すべて同期] から [割り当てられた同期] への切り替えが機能しない

[すべて同期] から [割り当てられた同期] にスコープを変更したら、変更を有効にするために必ず再起動も実行します。 再起動は UI から実行できます。

プロビジョニング サイクルが完了するまで続行される

enabled = off のプロビジョニングを設定するか、 [停止] を選択すると、現在のプロビジョニング サイクルが完了するまで実行は続行されます。 プロビジョニングを再び有効にするまで、サービスによって今後のサイクルの実行が停止されます。

グループのメンバーがプロビジョニングされない

グループがスコープ内にあり、メンバーがスコープ外にある場合、グループはプロビジョニングされます。 スコープ外のユーザーはプロビジョニングされません。 メンバーがスコープ内に戻っても、サービスではすぐに変更が検出されません。 プロビジョニングを再開すると、問題が解決されます。 すべてのユーザーが適切にプロビジョニングされるようにするため、サービスを定期的に再起動してください。

グローバル閲覧者

グローバル閲覧者ロールはプロビジョニング構成を読み取ることができません。 Microsoft Entra 管理センターからプロビジョニング構成を読み取るためには、microsoft.directory/applications/synchronization/standard/read アクセス許可を持つカスタム ロールを作成してください。

Microsoft Azure Government クラウド

シークレット トークン、通知用メール、SSO 証明書通知用メールなどを合わせた資格情報には、Microsoft Azure Government クラウドで 1 KB の制限があります。

オンプレミス アプリケーションのプロビジョニング

次の情報は、Microsoft Entra ECMA コネクタ ホストとオンプレミス アプリケーションのプロビジョニングに関する既知の制限事項の最新の一覧です。

アプリケーションとディレクトリ

次のアプリケーションとディレクトリは、まだサポートされていません。

Active Directory Domain Services (オンプレミスのプロビジョニング プレビューを使用した Microsoft Entra ID からのユーザーまたはグループの書き戻し)

• ユーザーが Microsoft Entra Connect によって管理されている場合、権限ソースはオンプレミスの Active Directory Domain Services です。 そのため、ユーザー属性を Microsoft Entra ID で変更することはできません。 このプレビューでは、Microsoft Entra Connect によって管理されるユーザーの権限のソースは変更されません。
• Microsoft Entra Connect とオンプレミスのプロビジョニングを使用して Active Directory Domain Services にグループまたはユーザーをプロビジョニングしようとすると、ループが作成される可能性があります。この場合、Microsoft Entra Connect はクラウドのプロビジョニング サービスによって行われた変更を上書きできます。 Microsoft では、グループまたはユーザーの書き戻し専用の機能に取り組んでいます。 この Web サイトで UserVoice のフィードバックに賛成投票して、プレビューの状態を追跡します。 または、Microsoft Entra ID から Active Directory へのユーザーまたはグループの書き戻しに Microsoft Identity Manager を使用することもできます。

Microsoft Entra ID

オンプレミスのプロビジョニングを使用することにより、既に Microsoft Entra ID にあるユーザーを利用して、サードパーティのアプリケーションにプロビジョニングすることができます。 サードパーティ製アプリケーションのディレクトリにユーザーを持ち込むことはできません。 お客様は、ネイティブの HR 統合、Microsoft Entra Connect、Microsoft Identity Manager、または Microsoft Graph を利用して、ユーザーをディレクトリに取り込む必要があります。

属性とオブジェクト

次の属性とオブジェクトはサポートされていません。

• 複数値の属性。
• 参照属性 (manager など)。
• グループ。
• 複雑なアンカー (ObjectTypeName+UserName など)。
• "." や "[" などの文字を持つ属性
• バイナリ属性。
• オンプレミスのアプリケーションは Microsoft Entra ID とフェデレーションされないことがあり、ローカル パスワードが必要になることがあります。 オンプレミス プロビジョニングのプレビューでは、パスワードの同期はサポートされていません。 初期ワンタイム パスワードのプロビジョニングがサポートされています。 ログからのパスワードの編集には、必ず Redact 関数を使用してください。 SQL および LDAP コネクタでは、パスワードは、アプリケーションへの最初の呼び出し時ではなく、パスワードが設定された 2 回目の呼び出し時にエクスポートされます。

SSL 証明書の数

現在、Microsoft Entra ECMA コネクタ ホストでは、Azure によって信頼されている SSL 証明書、またはプロビジョニング エージェントを使用する必要があります。 証明書のサブジェクトは Microsoft Entra ECMA コネクタ ホストがインストールされているホスト名と一致する必要があります。

アンカー属性

現在、Microsoft Entra ECMA コネクタ ホストでは、アンカー属性の変更 (名前の変更) またはアンカーを形成するには複数の属性が必要となるターゲット システムはサポートされていません。

属性の検出とマッピング

ターゲット アプリケーションによってサポートされる属性が検出され、Microsoft Entra 管理センターの [属性マッピング] に表示されます。 新しく追加された属性は引き続き検出されます。 属性の型が変更されており (たとえば、文字列からブール値)、属性がマッピングの一部である場合、型は Microsoft Entra 管理センター内で自動的に変更されません。 ユーザーは [マッピング] の [詳細設定] にアクセスし、属性の種類を手動で更新する必要があります。

プロビジョニング エージェント

• エージェントでは、現在、オンプレミス アプリケーションのプロビジョニング シナリオの自動更新はサポートされていません。 このギャップを解消し、すべてのお客様に対して自動更新を既定で有効にし、必須にするための取り組みを積極的に行っています。
• 同じプロビジョニング エージェントを、オンプレミス アプリのプロビジョニングおよびクラウド同期または人事主導のプロビジョニングに使用することはできません。

次のステップ

プロビジョニングのしくみ