エンタイトルメント管理のトラブルシューティング

  • [アーティクル]

この記事では、エンタイトルメント管理のトラブルシューティングに役立てるために確認する必要がある事項について説明します。

管理

  • 全体管理者が、エンタイトルメント管理の構成時に、アクセス拒否メッセージを受け取る場合は、自分のディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID Governance (または EMS E5) のライセンスがあることを確認してください。 期限切れの Microsoft Entra ID P2 または Microsoft Entra ID Governance サブスクリプションを最近更新した場合、このライセンスの更新が表示されるまでに 8 時間かかることがあります。

  • テナントの Microsoft Entra ID P2 または Microsoft Entra ID Governance ライセンスの有効期限が切れている場合は、新しいアクセス要求を処理したり、アクセス レビューを実行したりできません。

  • アクセス パッケージの作成中または表示中に、アクセスが拒否されたというメッセージが表示された場合、自分がカタログ作成者グループのメンバーであるときは、最初のアクセス パッケージを作成する前にカタログを作成する必要があります。

リソース

  • アプリケーションのロールはアプリケーション自体によって定義され、Microsoft Entra ID で管理されます。 アプリケーションにリソース ロールがない場合、エンタイトルメント管理によってユーザーが [既定のアクセス] ロールに割り当てられます。

    Microsoft Entra 管理センターには、アプリケーションとして選択できないサービスのサービス プリンシパルが表示される場合もあります。 特に、Exchange OnlineSharePoint Online はサービスであり、ディレクトリにリソース ロールがあるアプリケーションではないため、アクセス パッケージに含めることはできません。 代わりに、グループ ベースのライセンスを使用して、それらのサービスへのアクセスを必要とするユーザーに対して適切なライセンスを確立します。

  • 認証に関して個人用の Microsoft アカウント ユーザーのみをサポートし、ディレクトリ内の組織アカウントをサポートしないアプリケーションは、アプリケーション ロールを持たず、アクセス パッケージ カタログに追加することはできません。

  • グループがアクセス パッケージ内のリソースになるためには、そのグループが Microsoft Entra ID で変更可能である必要があります。 オンプレミスの Active Directory に由来するグループは、その所有者またはメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更できません。

  • SharePoint Online のドキュメント ライブラリと個別のドキュメントはリソースとして追加できません。 代わりに、Microsoft Entra セキュリティ グループを作成し、そのグループとサイト ロールをアクセス パッケージに含め、SharePoint Online でそのグループを使用してドキュメント ライブラリまたはドキュメントへのアクセスを制御します。

  • アクセス パッケージで管理するリソースにユーザーが既に割り当てられている場合は、適切なポリシーを使用してユーザーがアクセス パッケージに割り当てられていることを確認します。 たとえば、既にユーザーがいるグループをアクセス パッケージに含めるとよいでしょう。 グループ内のこれらのユーザーが引き続きアクセスを必要とする場合、これらのユーザーは、アクセス パッケージに対する適切なポリシーを持ち、グループへのアクセスが不可能にならないようにする必要があります。 アクセス パッケージを割り当てるには、そのリソースを含むアクセス パッケージを要求するようにユーザーに依頼するか、またはアクセス パッケージにユーザーを直接割り当てます。 詳細については、アクセス パッケージの要求と承認の設定の変更に関する記事を参照してください。

  • チームのメンバーを削除すると、Microsoft 365 グループからも削除されます。 チームのチャット機能から削除されるタイミングは遅れる場合があります。 詳細については、「グループ メンバーシップ」を参照してください。

アクセス パッケージ

  • アクセス パッケージまたはポリシーを削除しようとしたときに、アクティブな割り当てがあることを示すエラー メッセージが表示されるのに、割り当てがあるユーザーが表示されない場合は、最近削除されたユーザーに、割り当てがあるかどうかを確認してください。 ユーザーが削除されてから 30 日間は、ユーザー アカウントを復元できます。

外部ユーザー

  • 外部ユーザーがアクセス パッケージへのアクセスを要求する必要がある場合は、そのアクセス パッケージのマイ アクセス ポータル リンクをユーザーが使用していることを確認します。 詳細については、アクセス パッケージを要求するためのリンクの共有に関する記事を参照してください。 外部ユーザーが単に myaccess.microsoft.com にアクセスしているだけで、完全なマイ アクセス ポータル リンクを使用しない場合、表示されるのは、そのユーザーの組織内で使用可能なアクセス パッケージであり、ご自分の組織内で使用可能なアクセス パッケージは表示されません。

  • 外部ユーザーがアクセス パッケージへのアクセスを要求できない場合や、リソースにアクセスできない場合は、外部ユーザーの設定を確認してください。

  • ディレクトリにまだサインインしていない新規の外部ユーザーが、SharePoint Online サイトを含むアクセス パッケージを受信した場合、このアクセス パッケージは、ユーザーのアカウントが SharePoint Online でプロビジョニングされるまで、配信未完了として表示されます。 共有設定の詳細については、「SharePoint Online の外部共有設定を確認する」を参照してください。

Requests

  • ユーザーがアクセス パッケージへのアクセスを要求する必要がある場合は、アクセス パッケージのマイ アクセス ポータル リンクをユーザーが使用していることを確認します。 詳細については、アクセス パッケージを要求するためのリンクの共有に関する記事を参照してください。

  • プライベート モードやシークレット モードに設定されたブラウザーを使用してマイ アクセス ポータルを開くと、サインインの動作に支障が生じる場合があります。 マイ アクセス ポータルにアクセスする際は、ブラウザーのプライベート モードやシークレット モードは使用しないようお勧めします。

  • ディレクトリにまだ存在しないユーザーが、アクセス パッケージを要求するためにマイ アクセス ポータルにサインインする場合は、ユーザーが組織の自分のアカウントを使用して認証するようにします。 組織のアカウントとして使用できるのは、リソース ディレクトリ内のアカウント、またはアクセス パッケージのいずれかのポリシーに含まれるディレクトリ内のアカウントです。 ユーザーのアカウントが組織のアカウントでない場合、または認証するディレクトリがポリシーに含まれていない場合は、ユーザーにアクセス パッケージが表示されません。 詳細については、アクセス パッケージへのアクセスの要求に関するページを参照してください。

  • リソース ディレクトリへのサインインがブロックされた場合、ユーザーはマイ アクセス ポータルでアクセスを要求できなくなります。 ユーザーがアクセスを要求できるようにするには、ユーザーのプロファイルからサインインのブロックを削除する必要があります。 サインイン ブロックを削除するには、Microsoft Entra 管理センターで [ID][ユーザー] の順に選択し、ユーザーを選んでから [プロファイル] を選択します。 [設定] セクションを編集し、 [サインインのブロック][いいえ] に変更します。 詳細については、「Microsoft Entra ID を使用してユーザーのプロファイル情報を追加または更新する」を参照してください。 ID 保護ポリシーが原因でユーザーがブロックされたかどうかも確認できます。

  • ユーザーが要求者と承認者を兼ねている場合は、マイ アクセス ポータルで [承認] ページにアクセス パッケージの要求が表示されません。 これは、ユーザーが自分の要求を承認できないようにするための動作です。 ユーザーが要求しているアクセス パッケージで、別の承認者がポリシーに基づいて構成されていることを確めてください。 詳細については、アクセス パッケージの要求と承認の設定の変更に関する記事を参照してください。

要求の配信エラーを表示する

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、アクセス パッケージ マネージャー、またはアクセス パッケージ割り当てマネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance] (ID ガバナンス)>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。

  3. [要求] を選択します。

  4. 表示する要求を選択します。

    要求に配信エラーが発生した場合、要求の状態は [Undelivered]\(未配信) または [Partially delivered]\(一部配信済み) になります。

    配信エラーが発生した場合、配信エラーの数が要求の詳細ペインに表示されます。

  5. 数を選択して要求のすべての配信エラーを表示します。

要求を再処理する

アクセス パッケージの再処理要求をトリガーした後にエラーが発生した場合は、システムで要求が再処理されるまで待つ必要があります。 システムでは数時間にわたって再処理が複数回試行されるため、この間に再処理を強制することはできません。

再処理できるのは、状態が [Delivery failed]\(配信失敗) または [Partially delivered]\(一部配信済み) であり、完了日が 1 週間以内の要求のみです。 それ以外の場合、再処理ボタンは淡色表示されます。

Reprocess button grayed out

  • 試用期間中にエラーが修正されると、要求の状態が [Delivering](配信中) に変わります。 要求は、ユーザーからの追加のアクションなしで再処理されます。

  • 試用期間中にエラーが修正されなかった場合、要求の状態は [Delivery failed](配信が失敗しました) または [partially delivered](部分的に配信されました) である可能性があります。 その場合は [再処理] ボタンを使用できます。 要求の再処理には 7 日間かかります。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、アクセス パッケージ マネージャー、またはアクセス パッケージ割り当てマネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動して、アクセス パッケージを開きます。

  3. [要求] を選択します。

  4. 再処理する要求を選択します。

  5. 要求の詳細ペインで、[要求の再処理] を選択します。

    Reprocess a failed request

保留中の要求をキャンセルする

キャンセルできるのは、まだ配信されていないか、配信に失敗した保留中の要求のみです。それ以外の場合、キャンセル ボタンは淡色表示されます。

前提条件となるロール: グローバル管理者、ID ガバナンス管理者、カタログ所有者、アクセス パッケージ マネージャー、またはアクセス パッケージ割り当てマネージャー

  1. Microsoft Entra 管理センターIdentity Governance 管理者以上としてサインインします。

  2. [Identity governance]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動して、アクセス パッケージを開きます。

  3. [要求] を選択します。

  4. キャンセルする要求を選択します。

  5. 要求の詳細ペインで、[要求のキャンセル] を選択します。

自動割り当てポリシー

  • 各自動割り当てポリシーでは、ルールのスコープに最大 5,000 人のユーザーを含めることができます。 ルールのスコープ内の追加ユーザーには、アクセス権が割り当てられない可能性があります。

複数のポリシー

  • エンタイトルメント管理は、最小限の特権のベスト プラクティスを踏襲しています。 該当するポリシーが複数あるアクセス パッケージへのアクセスをユーザーが要求すると、より厳しい (つまり具体的な) ポリシーが汎用的なポリシーよりも確実に優先されるように働き掛けるロジックがエンタイトルメント管理によって含められます。 ポリシーが汎用的である場合、要求元にポリシーが表示されないか、またはより厳しいポリシーが自動的に選択されます。

  • たとえば、ディレクトリのユーザー向けに 2 つのポリシーを含んだアクセス パッケージを考えてみてください。要求元には、その両方のポリシーが当てはまるとします。 1 つ目は、要求元を含む特定のユーザーを対象としたポリシーです。 2 番目のポリシーは、ディレクトリ内のすべてのユーザーに対して行われます。 このシナリオでは、1 つ目のポリシーの方が厳しいため、要求元に対してそれが自動的に選択されます。 要求元には、2 つ目のポリシーを選択するオプションは提供されません。

  • 複数のポリシーが該当する場合、自動的に選択されるポリシー (要求元に表示されるポリシー) は、次の優先順位ロジックに基づいて決定されます。

    ポリシーの優先度 Scope
    P1 ディレクトリ内の特定のユーザーとグループ、または接続されている特定の組織
    P2 ディレクトリ内のすべてのメンバー (ゲストを除く)
    P3 ディレクトリ内のすべてのユーザー (ゲストを含む) または接続されている特定の組織
    P4 構成済みで接続されているすべての組織またはすべてのユーザー (接続されているすべての組織 + 新しい外部ユーザー)

    より優先度の高いカテゴリにポリシーが属している場合、それよりも優先度が低いカテゴリは無視されます。 同じ優先度の複数のポリシーが要求元にどのように表示されるかの例については、「ポリシーの選択」を参照してください。

次のステップ