発行者の確認に関するトラブルシューティング

  • [アーティクル]

発行者の確認で、エラーが発生してプロセスを完了できない場合、または予期しない動作が発生する場合は、次の手順を行う必要があります。

  1. 要件を調べて、すべてが満たされていることを確認します。

  2. 指示に従って、アプリを発行者確認済みとしてマークし、すべての手順が正常に実行されていることを確認します。

  3. 一般的な問題の一覧を確認します。

  4. Graph エクスプローラーを使用して要求を再現し、さらに情報を収集して、UI の問題を除外します。

一般的な問題

以下に示すのは、プロセスの間に発生する可能性がある一般的な問題です。

  • 自分の Microsoft Partner Network ID (MPN ID) がわかりません。または、アカウントの主要な連絡先がわかりません。

    1. MPN の登録ページに移動します。
    2. 組織のプライマリ Azure AD テナントにユーザー アカウントでサインインします。
    3. MPN アカウントが既に存在する場合は、これが認識され、アカウントに追加されます。
    4. MPN ID とプライマリ アカウントの連絡先が表示されるパートナー プロファイル ページに移動します。

  • 自分の Azure AD 全体管理者 (会社の管理者またはテナント管理者とも呼ばれます) がわからない場合は、どのようにして見つけることができますか。 アプリケーション管理者またはクラウド アプリケーション管理者はどうですか。

    1. 組織のプライマリ テナントのユーザー アカウントを使用して、Azure portal にサインインします。
    2. [Azure Active Directory]>[ロールと管理者] を参照します。
    3. 目的の管理者ロールを選択します。
    4. そのロールを割り当てられているユーザーの一覧が表示されます。

  • 自分の MPN アカウントの管理者がわかりませんMPN のユーザー管理ページにアクセスし、ユーザー一覧をフィルター処理して、さまざまな管理者ロールのユーザーを確認します。

  • MPN ID が無効である、またはアクセス権を持っていない、というエラーが表示されます。 修復のガイダンスに従ってください。

  • Azure portal にサインインすると、登録されているアプリが表示されません。 なぜですか? アプリの登録は、このテナントの別のユーザー アカウント、個人またはコンシューマー アカウント、または別のテナントを使用して作成された可能性があります。 アプリの登録が作成されたテナントで、正しいアカウントを使用してサインインしていることを確認します。

  • 多要素認証に関連するエラーが発生します。 どうすればよいですか。 多要素認証が有効になっており、かつサインインに使用しているユーザーとこのシナリオに必要であることを確認します。 たとえば、MFA には次のような条件があります。

Microsoft Graph API の呼び出しを行う

問題が発生しても、UI に表示されている内容に基づいてその理由を把握できない場合は、Microsoft Graph の呼び出しを使用して、アプリ登録ポータルで実行できる操作と同じ操作を実行することで、さらにトラブルシューティングを行うと役に立つことがあります。

これらの要求を行う最も簡単な方法は、Graph エクスプローラーを使用することです。 また、Postman の使用や、PowerShell を使用した Web 要求の呼び出しなど、他のオプションを検討することもできます。

Microsoft Graph を使用して、アプリの確認済み発行者を設定および設定解除し、これらの操作のいずれかを実行した後で結果を確認できます。 結果は、アプリの登録に対応するアプリケーション オブジェクトと、そのアプリからインスタンス化されている任意のサービス プリンシパルのどちらでも確認できます。 それらのオブジェクト間の関係の詳細については、次を参照してください: 「Azure Active Directory のアプリケーション オブジェクトとサービス プリンシパル オブジェクト」。

いくつかの便利な要求の例を次に示します。

確認済み発行者を設定する

Request

POST /applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec/setVerifiedPublisher 

{ 

    "verifiedPublisherId": "12345678" 

}

Response

204 No Content

注意

verifiedPublisherID は自分の MPN ID です。

確認済み発行者を設定解除する

要求:

POST /applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec/unsetVerifiedPublisher

Response

204 No Content

アプリケーションから確認済み発行者の情報を取得する

GET https://graph.microsoft.com/v1.0/applications/0cd04273-0d11-4e62-9eb3-5c3971a7cbec 

HTTP/1.1 200 OK 

{ 
    "id": "0cd04273-0d11-4e62-9eb3-5c3971a7cbec", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
}

サービス プリンシパルから確認済み発行者の情報を取得する

GET https://graph.microsoft.com/v1.0/servicePrincipals/010422a7-4d77-4f40-9335-b81ef5c23dd4 

HTTP/1.1 200 OK 

{ 
    "id": "010422a7-4d77-4f40-9335-b81ef5c22dd4", 

    ... 

    "verifiedPublisher" : { 
        "displayName": "myexamplePublisher", 
        "verifiedPublisherId": "12345678", 
        "addedDateTime": "2019-12-10T00:00:00" 
    } 
}

エラー リファレンス

Microsoft Graph でのトラブルシューティングのとき、またはアプリ登録ポータルでのプロセスの間に発生する可能性のあるエラー コードの一覧を以下に示します。

MPNAccountNotFoundOrNoAccess

指定した MPN ID (MPNID) が存在しないか、それへのアクセス権がありません。 有効な MPN ID を指定して、やり直してください。

サインインしているユーザーがパートナー センターの MPN アカウントの適切なロールのメンバーになっていないことが原因で最もよく発生します。対象となるロールの一覧については、「必要条件」をご覧ください。詳しくは、「一般的な問題」 をご覧ください。 また、アプリが登録されているテナントが MPN アカウントに追加されていないか、MPN ID が無効であるために発生する可能性もあります。

修復手順

  1. 自分のパートナー プロファイルに移動し、次のことを確認します。

    • MPN ID が正しい。
    • エラーまたは "保留中のアクション" が表示されず、会社プロファイルとパートナー情報の両方の検証状態が "承認済み" または "成功" と表示される。

  2. MPN テナント管理ページに移動し、アプリが登録されているテナント、およびサインインに使用しているユーザー アカウントのテナントが、関連付けられているテナントの一覧に含まれることを確認します。 別のテナントを追加するには、マルチテナントアカウントの手順に従います。 追加したテナントのすべてのグローバル管理者には、パートナー センター アカウントのグローバル管理者特権が付与されます。

  3. MPN ユーザー管理ページに移動し、サインインに使用しているユーザーが、グローバル管理者、MPN 管理者、またはアカウント管理者のいずれかであることを確認します。パートナー センターでロールにユーザーを追加するには、ユーザー アカウントの作成およびアクセス許可の設定の手順に従います。

MPNGlobalAccountNotFound

指定した MPN ID (MPNID) が無効です。 有効な MPN ID を指定して、やり直してください。

パートナーの場所アカウント (PLA) に対応する MPN ID が指定されている場合に最もよく発生します。 パートナー グローバル アカウントのみがサポートされています。 詳しくは、パートナー センターのアカウントの構造に関する記事をご覧ください。

修復手順

  1. パートナー プロファイル> [識別子] ブレード > [Microsoft Cloud Partner Program] タブに移動します
  2. PartnerGlobal タイプのパートナー ID を使用する

MPNAccountInvalid

指定した MPN ID (MPNID) が無効です。 有効な MPN ID を指定して、やり直してください。

間違った MPN ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード > [Microsoft Cloud Partner Program] タブに移動します
  2. PartnerGlobal タイプのパートナー ID を使用する

MPNAccountNotVetted

指定した MPN ID (MPNID) は、審査プロセスを完了していません。 パートナー センターでこのプロセスを完了してから、操作をやり直してください。

MPN アカウントが検証プロセスを完了していない場合に最もよく発生します。

修復手順

  1. パートナー プロファイルに移動し、エラーまたは保留中のアクションが表示されておらず、会社プロファイルとパートナー情報の両方の検証状態が承認済みまたは成功と表示されていることを確認します。
  2. そうでない場合は、パートナー センターで保留中のアクション アイテムを表示し、こちらでトラブルシューティングを行 います

NoPublisherIdOnAssociatedMPNAccount

指定した MPN ID (MPNID) が無効です。 有効な MPN ID を指定して、やり直してください。

間違った MPN ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード > [Microsoft Cloud Partner Program] タブに移動します
  2. PartnerGlobal タイプのパートナー ID を使用する

MPNIdDoesNotMatchAssociatedMPNAccount

指定した MPN ID (MPNID) が無効です。 有効な MPN ID を指定して、やり直してください。

間違った MPN ID が指定されていることが原因で最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード > [Microsoft Cloud Partner Program] タブに移動します
  2. PartnerGlobal タイプのパートナー ID を使用する

ApplicationNotFound

ターゲット アプリケーション (AppId) が見つかりません。 有効なアプリケーション ID を指定して、もう一度やり直してください。

Graph API 経由で検証が実行され、指定されたアプリケーションの ID が正しくない場合に最もよく発生します。

修復手順

  1. AppId や ClientId ではなくアプリケーションの Object ID を指定する必要があります。 アプリケーション プロパティの一覧の ID について、こちらを参照してください。
  2. 組織のプライマリ テナントのユーザー アカウントを使用して Azure Active Directory にログインし、[Azure Active Directory] > [アプリ登録] ブレードに移動します
  3. アプリの登録を見つけてオブジェクト ID を表示します

ApplicationObjectisInvalid

ターゲット アプリケーションのオブジェクト ID が無効です。 有効な ID を指定して、やり直してください。

Graph API 経由で検証が実行され、指定されたアプリケーションの ID が存在しない場合に最もよく発生します。

修復手順

  1. AppId や ClientId ではなくアプリケーションの Object ID を指定する必要があります。 アプリケーション プロパティの一覧の ID について、こちらを参照してください。
  2. 組織のプライマリ テナントのユーザー アカウントを使用して Azure Active Directory にログインし、[Azure Active Directory] > [アプリ登録] ブレードに移動します
  3. アプリの登録を見つけてオブジェクト ID を表示します

B2CTenantNotAllowed

この機能は、Azure AD B2C テナントではサポートされていません。

EmailVerifiedTenantNotAllowed

この機能は、メールで確認されたテナントではサポートされていません。

NoPublisherDomainOnApplication

ターゲット アプリケーション (AppId) には、パブリッシャー ドメインが設定されている必要があります。 パブリッシャー ドメインを設定してから、やり直してください。

アプリでパブリッシャー ドメインが構成されていない場合に発生します。

修復手順

  1. こちらの指示に従ってパブリッシャー ドメインを設定します

PublisherDomainMismatch

ターゲット アプリケーションのパブリッシャー ドメイン (publisherDomain) がパートナー センターでメール検証を実行するために使用されたドメイン (pcDomain) と一致しないか、検証が行われていません。 これらのドメインが一致し、検証されていることを確認してから、やり直してください。

アプリのパブリッシャー ドメインと Azure AD テナントに追加されたカスタム ドメインのいずれもがパートナー センターでメール検証を実行するために使用されたドメインと一致しないか、検証が行われていない場合に発生します。

許可されるドメインまたはサブドメインの一致の一覧については、「要件」を参照してください。

修復手順

  1. パートナー プロファイルに移動し、主要連絡先としてリストされているメール アドレスを表示します
  2. パートナー センターでメール アドレスの検証を実行するために使用されるドメインは、主要連絡先のメール アドレスの "@" の後の部分です
  3. Azure Active Directory にログインし、[Azure Active Directory] > [アプリの登録] ブレード > (Your App) > [ブランド化とプロパティ] に移動します
  4. [パブリッシャー ドメインの更新] を選択し、[新しいドメインの確認] の指示に従います。
  5. パートナー センターでメール アドレスの検証を実行するために使用するドメインを新しいドメインとして追加します

NotAuthorizedToVerifyPublisher

アプリケーション (<AppId) の検証済みパブリッシャー プロパティを設定することを認可されていません。

サインインしているユーザーが Azure AD の MPN アカウントの適切なロールのメンバーになっていないことが原因で最もよく発生します。対象となるロールの一覧については、「必要条件」をご覧ください。詳しくは、「一般的な問題」 をご覧ください。

修復手順

  1. 組織のプライマリ テナントのユーザー アカウントを使用して、Azure AD ポータルにサインインします。
  2. [ロール管理] に移動します。
  3. 必要な管理者ロールを選択し、十分なアクセス許可がある場合は [割り当ての追加] をクリックします。
  4. 十分なアクセス許可がない場合は、管理者ロールを持つユーザーに支援を依頼します

MPNIdWasNotProvided

要求本文で MPN ID が指定されていないか、または要求の内容の種類が "application/json" ではありませんでした。

Graph API 経由で検証が実行され、MPN ID が要求で指定されない場合に最もよく発生します。

修復手順

  1. パートナー プロファイル> [識別子] ブレード > [Microsoft Cloud Partner Program] タブに移動します
  2. PartnerGlobal タイプのパートナー ID を要求で使用します

MSANotSupported

この機能は、Microsoft コンシューマー アカウントではサポートされていません。 Azure AD ユーザーによって Azure AD に登録されているアプリケーションのみがサポートされます。

コンシューマー アカウントがアプリの登録に使用されている場合に発生します (Hotmail、Messenger、OneDrive、MSN、Xbox Live、または Microsoft 365)。

InteractionRequired

検証済みのパブリッシャーをアプリに追加しようとする前に多要素認証 (MFA) が有効化され実行されていない場合に発生します。 詳しくは、「一般的な問題」をご覧ください。 注:確認済み発行者を追加するときは、同じセッションで MFA を行う必要があります。 MFA が有効になっていても、そのセッションで行う必要がない場合、要求は失敗します。

次のようなエラー メッセージが表示されます。"管理者によって構成が変更されたか、自分が新しい場所に移動したため、続行するには多要素認証を使用する必要があります。"

修復手順

  1. 多要素認証が有効になっており、かつサインインに使用しているユーザーとこのシナリオで必須になっていることを確認します
  2. 発行者の確認を再試行します

UserUnableToAddPublisher

確認済み発行者を追加する要求が行われると、多数のシグナルを使用してセキュリティ リスク評価が実行されます。 ユーザー リスクの状態が 'AtRisk' であると判断された場合は、"このアプリケーションに検証済みパブリッシャーを追加できません。 管理者にお問い合わせください" というエラーが表示されます。 ユーザー リスクを調査し、リスクを修復するための適切な手順を実行してください (以下のガイダンス)。

修復手順

リスクの調査

リスクの修復/ユーザーのブロック解除

自己修復ガイダンス

セルフサービス パスワード リセット (SSPR): 組織で SSPR が許可されている場合は、aka.ms/sspr を使用して、修復のためにパスワードをリセットします。 強力なパスワードを選択してください。脆弱なパスワードを選択しても、リスク状態をリセットできない場合があります。

注意

修復後にリスク状態を更新する時間を置いてから、やり直してください。

UnableToAddPublisher

確認済み発行者を追加する要求が行われると、多数のシグナルを使用してセキュリティ リスク評価が実行されます。 要求が危険であると判断された場合は、エラーが返されます。 セキュリティ上の理由から、Microsoft は、要求が危険かどうかを判断するために使用される具体的な基準を公開していません。 このエラーを受け取り、"危険"という評価が正しくないと思う場合は、待機してから確認要求を再送信してみてください。 一部のお客様からは、複数回試行した後に成功したという報告を受けています。

次のステップ

以上のすべての情報を確認しても、まだ Microsoft Graph からエラーを受け取る場合は、失敗した要求に関連する次の情報をできるだけ多く収集し、Microsoft サポートにお問い合わせください。

  • Timestamp
  • CorrelationId
  • サインインしているユーザーの ObjectID または UserPrincipalName
  • ターゲット アプリケーションの ObjectId
  • ターゲット アプリケーションの AppId
  • アプリが登録されている TenantId
  • MPN ID
  • 行われた REST 要求
  • 返されるエラー コードとメッセージ