発行者の確認に関するトラブルシューティング

  • [アーティクル]

発行者の確認で、エラーが発生してプロセスを完了できない場合、または予期しない動作が発生する場合は、次の手順を行う必要があります。

  1. 要件を調べて、すべてが満たされていることを確認します。
  2. 指示に従って、アプリを発行者確認済みとしてマークし、すべての手順が正常に実行されていることを確認します。
  3. 一般的な問題の一覧を確認します。
  4. Graph エクスプローラーを使用して要求を再現し、さらに情報を収集して、UI の問題を除外します。

一般的な問題

以下に示すのは、プロセスの間に発生する可能性がある一般的な問題です。

  • 自分の クラウド パートナー プログラム ID (Partner One ID) がわかりません、またはアカウントの主要な連絡先がわかりません。

    1. [Cloud Partner Program enrollment] (クラウド パートナー プログラムの登録) ページに移動します。
    2. 組織のプライマリ Microsoft Entra テナントにユーザー アカウントでサインインします
    3. クラウド パートナー プログラム アカウントが既に存在する場合は、これが認識され、アカウントに追加されます。
    4. Partner One ID とプライマリ アカウントの連絡先が表示される[partner profile page] (パートナー プロファイル ページ) に移動します。

  • 自分の Microsoft Entra 全体管理者 (会社の管理者またはテナント管理者とも呼ばれます) がわからない場合は、どのようにして見つけることができますか。 アプリケーション管理者またはクラウド アプリケーション管理者はどうですか。

    1. 少なくともクラウド アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
    2. [Identity]> (ID)[役割と管理者]>[役割と管理者] の順に移動します。
    3. 目的の管理者ロールを選択します。
    4. そのロールを割り当てられているユーザーの一覧が表示されます。

  • 自分の CPP アカウントの管理者がわかりませんCPP のユーザー管理ページにアクセスし、ユーザー一覧をフィルター処理して、さまざまな管理者ロールのユーザーを確認します。

  • Partner One ID が無効である、またはアクセス権を持っていない、というエラーが表示されます。 修復のガイダンスに従ってください。

  • Microsoft Entra 管理センターにサインインしても、登録したアプリが表示されません。 なぜですか? アプリの登録は、このテナントの別のユーザー アカウント、個人またはコンシューマー アカウント、または別のテナントを使用して作成された可能性があります。 アプリの登録が作成されたテナントで、正しいアカウントを使用してサインインしていることを確認します。

  • 多要素認証に関連するエラーが発生します。 どうすればよいですか。 多要素認証が有効になっており、かつサインインに使用しているユーザーとこのシナリオで必須になっていることを確認します。 たとえば、MFA には次のような条件があります。

Microsoft Graph API の呼び出しを行う

問題が発生しても、UI に表示されている内容に基づいてその理由を把握できない場合は、Microsoft Graph の呼び出しを使用して、アプリ登録ポータルで実行できる操作と同じ操作を実行することで、さらにトラブルシューティングを行うと役に立つことがあります。

これらの要求を行う最も簡単な方法は、Graph エクスプローラーを使用することです。 また、Postman の使用や、PowerShell を使用した Web 要求の呼び出しなど、他のオプションを検討することもできます。

Microsoft Graph を使用して、アプリの確認済み発行者を設定および設定解除し、これらの操作のいずれかを実行した後で結果を確認できます。 結果は、アプリの登録に対応するアプリケーション オブジェクトと、そのアプリからインスタンス化されている任意のサービス プリンシパルのどちらでも確認できます。 それらのオブジェクト間の関係の詳細については、次を参照してください: 「Microsoft Entra ID のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」。

いくつかの便利な要求の例を次に示します。

確認済み発行者を設定する

Request

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/setVerifiedPublisher 

{ 

    "verifiedPublisherId": "12345678" 

}

回答

204 No Content

Note

verifiedPublisherID が Partner One ID です。

確認済み発行者を設定解除する

要求:

POST /applications/00001111-aaaa-2222-bbbb-3333cccc4444/unsetVerifiedPublisher

Response

204 No Content

アプリケーションから確認済み発行者の情報を取得する

GET https://graph.microsoft.com/v1.0/applications/00001111-aaaa-2222-bbbb-3333cccc4444 

HTTP/1.1 200 OK 

{ 
    "id": "00001111-aaaa-2222-bbbb-3333cccc4444", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
}

サービス プリンシパルから確認済み発行者の情報を取得する

GET https://graph.microsoft.com/v1.0/servicePrincipals/11112222-bbbb-3333-cccc-4444dddd5555

HTTP/1.1 200 OK 

{ 
    "id": "11112222-bbbb-3333-cccc-4444dddd5555", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
}

エラー リファレンス

Microsoft Graph でのトラブルシューティングのとき、またはアプリ登録ポータルでのプロセスの間に発生する可能性のあるエラー コードの一覧を以下に示します。

MPNAccountNotFoundOrNoAccess

指定した Partner One ID (MPNID) が存在しないか、それに対するアクセス権がありません。 有効な Partner One ID を指定してから、やり直してください。

サインインしているユーザーがパートナー センターの CPP アカウントの適切なロールのメンバーになっていないことが原因で最もよく発生します。対象となるロールの一覧については、「必要条件」をご覧ください。また、詳しくは、「一般的な問題」をご覧ください。 また、アプリが登録されているテナントが CPP アカウントに追加されていないか、Partner One ID が無効であるために発生する可能性もあります。

修復手順

  1. 自分のパートナー プロファイルに移動し、次のことを確認します。

    • Partner One ID は正常です。
    • エラーまたは "保留中のアクション" が表示されず、会社プロファイルとパートナー情報の両方の検証状態が "承認済み" または "成功" と表示される。

  2. CPP テナント管理ページに移動し、アプリが登録されているテナント、およびサインインに使用しているユーザー アカウントのテナントが、関連付けられているテナントの一覧に含まれることを確認します。 別のテナントを追加するには、マルチテナントアカウントの手順に従います。 追加したテナントのすべてのグローバル管理者には、パートナー センター アカウントのグローバル管理者特権が付与されます。

  3. CPP ユーザー管理ページに移動し、サインインに使用しているユーザーが、グローバル管理者、MPN 管理者、またはアカウント管理者のいずれかであることを確認します。パートナー センターでロールにユーザーを追加するには、ユーザー アカウントの作成およびアクセス許可の設定の手順に従います。

MPNGlobalAccountNotFound

指定した Partner One ID (MPNID) が無効です。 有効な Partner One ID を指定してから、やり直してください。

パートナーの場所アカウント (PLA) に対応する Partner One ID が指定されている場合に最もよく発生します。 パートナー グローバル アカウントのみがサポートされています。 詳しくは、パートナー センターのアカウントの構造に関する記事をご覧ください。

修復手順

  1. パートナー プロファイル> [識別子] ブレード >[Microsoft Cloud Partner Program] タブに移動します。
  2. PartnerGlobal 型のパートナー ID を使用します。

MPNAccountInvalid

指定した Partner One ID (MPNID) が無効です。 有効な Partner One ID を指定してから、やり直してください。

間違った Partner One ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード >[Microsoft Cloud Partner Program] タブに移動します。
  2. PartnerGlobal 型のパートナー ID を使用します。

MPNAccountNotVetted

指定した Partner One ID (MPNID) は、審査プロセスを完了していません。 パートナー センターでこのプロセスを完了してから、操作をやり直してください。

CPP アカウントが検証プロセスを完了していない場合に最もよく発生します。

修復手順

  1. パートナー プロファイルに移動し、エラーまたは保留中のアクションが表示されておらず、会社プロファイルとパートナー情報の両方の検証状態が承認済みまたは成功と表示されていることを確認します。
  2. そうでない場合は、パートナー センターで保留中のアクション アイテムを表示し、こちらでトラブルシューティングを行います。

NoPublisherIdOnAssociatedMPNAccount

指定した Partner One ID (MPNID) が無効です。 有効な Partner One ID を指定してから、やり直してください。

間違った Partner One ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード >[Microsoft Cloud Partner Program] タブに移動します。
  2. PartnerGlobal 型のパートナー ID を使用します。

MPNIdDoesNotMatchAssociatedMPNAccount

指定した Partner One ID (MPNID) が無効です。 有効な Partner One ID を指定してから、やり直してください。

間違った Partner One ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード >[Microsoft Cloud Partner Program] タブに移動します。
  2. PartnerGlobal 型のパートナー ID を使用します。

ApplicationNotFound

ターゲット アプリケーション (AppId) が見つかりません。 有効なアプリケーション ID を指定して、もう一度やり直してください。

Graph API 経由で検証が実行され、指定されたアプリケーションの ID が正しくない場合に最もよく発生します。

修復手順

  1. AppId や ClientId ではなくアプリケーションの Object ID を指定する必要があります。 こちらのアプリケーション プロパティの一覧で ID を参照してください。
  2. 少なくとも クラウド アプリケーション管理者 として Microsoft Entra 管理センター にサインインします。
  3. [ID]>[アプリケーション]>[Application registrations] (アプリケーションの登録) を参照します。
  4. アプリの登録を見つけてオブジェクト ID を確認します。

ApplicationObjectisInvalid

ターゲット アプリケーションのオブジェクト ID が無効です。 有効な ID を指定して、やり直してください。

Graph API 経由で検証が実行され、指定されたアプリケーションの ID が存在しない場合に最もよく発生します。

修復手順

  1. AppId や ClientId ではなくアプリケーションの Object ID を指定する必要があります。 こちらのアプリケーション プロパティの一覧で ID を参照してください。
  2. 少なくとも クラウド アプリケーション管理者 として Microsoft Entra 管理センター にサインインします。
  3. [ID]>[アプリケーション]>[Application registrations] (アプリケーションの登録) を参照します。
  4. アプリの登録を見つけてオブジェクト ID を確認します。

B2CTenantNotAllowed

この機能は、Azure AD B2C テナントではサポートされていません。

EmailVerifiedTenantNotAllowed

この機能は、メールで確認されたテナントではサポートされていません。

NoPublisherDomainOnApplication

ターゲット アプリケーション (AppId) には、パブリッシャー ドメインが設定されている必要があります。 パブリッシャー ドメインを設定してから、やり直してください。

アプリでパブリッシャー ドメインが構成されていない場合に発生します。

修復手順こちらの指示に従ってパブリッシャー ドメインを設定します。

PublisherDomainMismatch

ターゲット アプリケーションのパブリッシャー ドメイン (publisherDomain) がパートナー センターでメール検証を実行するために使用されたドメイン (pcDomain) と一致しないか、検証が行われていません。 これらのドメインが一致し、検証されていることを確認してから、やり直してください。

アプリのパブリッシャー ドメインと Microsoft Entra テナントに追加されたカスタム ドメインのいずれもがパートナー センターでメール検証を実行するために使用されたドメインと一致しないか、検証が行われていない場合に発生します。

許可されるドメインまたはサブドメインの一致の一覧については、「要件」を参照してください。

修復手順

  1. パートナー プロファイルに移動し、主要連絡先としてリストされているメール アドレスを表示します
  2. パートナー センターでメール アドレスの検証を実行するために使用されるドメインは、主要連絡先のメール アドレスの "@" の後の部分です
  3. 少なくとも クラウド アプリケーション管理者 として Microsoft Entra 管理センター にサインインします。
  4. [ID]>[アプリケーション]>[Application registrations](アプリケーションの登録)>[Branding and Properties](ブランドとプロパティ) を参照します。
  5. [パブリッシャー ドメインの更新] を選択し、[新しいドメインの確認] の指示に従います。
  6. パートナー センターでメール アドレスの検証を実行するために使用するドメインを新しいドメインとして追加します。

NotAuthorizedToVerifyPublisher

アプリケーション (<AppId) の検証済みパブリッシャー プロパティを設定することを認可されていません。

サインインしているユーザーが Microsoft Entra ID の CPP アカウントの適切なロールのメンバーになっていないことが原因で最もよく発生します。対象となるロールの一覧については、「必要条件」をご覧ください。また、詳しくは、「一般的な問題」をご覧ください。

修復手順

  1. 少なくとも クラウド アプリケーション管理者 として Microsoft Entra 管理センター にサインインします。
  2. [ID]>[アプリケーション]>[役割と管理者]>[役割と管理者] を参照します。
  3. 自分に十分なアクセス許可がある場合は、必要な管理者ロールを選択して [割り当ての追加] を選択します。
  4. 自分に十分なアクセス許可がない場合は、管理者ロールを持つユーザーに支援を依頼します。

MPNIdWasNotProvided

要求本文で Partner One ID が指定されていないか、または要求の内容の種類が "application/json" ではありませんでした。

Graph API 経由で検証が実行され、Partner One ID が要求で指定されない場合に最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード >[Microsoft Cloud Partner Program] タブに移動します。
  2. 要求では PartnerGlobal 型のパートナー ID を使用します。

MSANotSupported

この機能は、Microsoft コンシューマー アカウントではサポートされていません。 Microsoft Entra ユーザーによって Microsoft Entra ID に登録されたアプリケーションのみがサポートされます。

コンシューマー アカウントがアプリの登録に使用されている場合に発生します (Hotmail、Messenger、OneDrive、MSN、Xbox Live、または Microsoft 365)。

InteractionRequired

検証済みのパブリッシャーをアプリに追加しようとする前に多要素認証 (MFA) が有効化され実行されていない場合に発生します。 詳しくは、「一般的な問題」をご覧ください。 注:確認済み発行者を追加するときは、同じセッションで MFA を行う必要があります。 MFA が有効になっていても、そのセッションで行う必要がない場合、要求は失敗します。

"管理者によって構成が変更されたか、自分が新しい場所に移動したため、続行するには多要素認証を使用する必要があります" というエラー メッセージが表示されます。

修復手順

  1. 多要素認証が有効になっており、かつサインインに使用しているユーザーとこのシナリオで必須になっていることを確認します。
  2. 発行者の確認を再試行します

UserUnableToAddPublisher

エラー: "確認済みパブリッシャーをこのアプリケーションに追加できません。 管理者にお問い合わせください"。

確認済み発行者を追加する要求が行われると、多数のシグナルを使用してセキュリティ リスク評価が実行されます。 ユーザー リスクの状態が "AtRisk" であると判断された場合、上記のエラーが返されます。 ユーザー リスクを調査し、リスクを修復するための適切な手順を実行します(以下のガイダンス)。

修復手順

リスクの調査

リスクの修復/ユーザーのブロック解除

自己修復ガイダンス

セルフサービス パスワード リセット (SSPR): 組織で SSPR が許可されている場合は、aka.ms/sspr を使用して、修復のためにパスワードをリセットします。 強力なパスワードを選択してください。脆弱なパスワードを選択しても、リスク状態をリセットできない場合があります。

注意

修復後にリスク状態を更新する時間を置いてから、やり直してください。

UnableToAddPublisher

エラー: "確認済みパブリッシャーをこのアプリケーションに追加できません。 Please contact your administrator for assistance. (管理者にお問い合わせください。)"

確認済み発行者を追加する要求が行われると、多数のシグナルを使用してセキュリティ リスク評価が実行されます。 要求がリスクありと判断された場合は、上記のエラーが返されます。 セキュリティ上の理由から、Microsoft は、要求が危険かどうかを判断するために使用される具体的な基準を公開していません。

修復手順

"リスクあり"という評価が正しくないと信じられる場合は、次の日に確認要求をもう一度送信してみてください。 リスク状態が更新されるまで、しばらくかかる場合があります。

次のステップ

以上のすべての情報を確認しても、まだ Microsoft Graph からエラーを受け取る場合は、失敗した要求に関連する次の情報をできるだけ多く収集し、Microsoft サポートにお問い合わせください。

  • Timestamp
  • CorrelationId
  • サインインしているユーザーの ObjectID または UserPrincipalName
  • ターゲット アプリケーションの ObjectId
  • ターゲット アプリケーションの AppId
  • アプリが登録されている TenantId
  • Partner One ID
  • 行われた REST 要求
  • 返されるエラー コードとメッセージ