エンタイトルメント管理のトラブルシューティング
この記事では、エンタイトルメント管理のトラブルシューティンの際に確認するべき事項について説明します。
管理
エンタイトルメント管理の構成時にアクセス拒否メッセージを受け取ったグローバル管理者は、まず使用しているディレクトリに Microsoft Entra ID P2 または Microsoft Entra ID ガバナンス (または EMS E5) のライセンスがあることを確認してください。 期限切れの Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのサブスクリプションをごく最近更新した場合、ライセンス更新が反映されるまでに 8 時間かかることがあります。
テナントの Microsoft Entra ID P2 または Microsoft Entra ID ガバナンスのライセンスが有効期限切れの場合、新しいアクセス要求を処理したり、アクセス レビューを実行することができません。
アクセス パッケージの作成中または確認中に「アクセスが拒否されました」というメッセージが表示され、自分がカタログ作成者グループのメンバーである場合、最初のアクセス パッケージを作成する前にまずカタログを作成する必要があります。
リソース
アプリケーションのロールはアプリケーション自体によって定義され、Microsoft Entra ID で管理されます。 アプリケーションにリソース ロールがない場合、エンタイトルメント管理により [既定のアクセス] ロールがユーザーに割り当てられます。
Microsoft Entra 管理センターには、アプリケーションとして選択できないサービスのサービス プリンシパルが表示される場合もあります。 特に、Exchange Online と SharePoint Online はサービスであり、ディレクトリにリソース ロールがあるアプリケーションではないため、アクセス パッケージに含めることはできません。 代わりに、グループ ベースのライセンスを使用して、それらのサービスへのアクセスを必要とするユーザー向けに適切なライセンスを確立します。
個人用の Microsoft アカウント ユーザー向け認証のみをサポートし、ディレクトリ内の組織アカウントをサポートしないアプリケーションは、アプリケーション ロールを持たないため、アクセス パッケージ カタログに追加することはできません。
特定のグループをアクセス パッケージ内のリソースとするには、そのグループが Microsoft Entra ID 内で変更可能である必要があります。 オンプレミスの Active Directory に由来するグループは、その所有者やメンバー属性を Microsoft Entra ID で変更できないため、リソースとして割り当てることができません。 配布グループとして Exchange Online に由来するグループも Microsoft Entra ID で変更することはできません。
SharePoint Online のドキュメント ライブラリおよび個別のドキュメントはリソースとして追加できません。 代わりに、Microsoft Entra セキュリティ グループを作成し、そのグループとサイト ロールをアクセス パッケージに含め、SharePoint Online 内でそのグループを使用してドキュメント ライブラリまたはドキュメントへのアクセスを制御します。
アクセス パッケージで管理するリソースにユーザーが既に割り当てられている場合は、それらのユーザーが適切なポリシーに基づいてアクセス パッケージに割り当てられているかどうかを確認してください。 たとえば、既にユーザーがいるグループをアクセス パッケージに含めたいとします。 グループ内のユーザーが引き続きアクセスを必要とする場合、これらのユーザーがグループへのアクセスを失わないようにするには、各ユーザーがアクセス パッケージに対する適切なポリシーを持っている必要があります。 アクセス パッケージを割り当てるには、そのリソースを含むアクセス パッケージを要求するようにユーザーに依頼するか、またはアクセス パッケージにユーザーを直接割り当てます。 詳細については、「アクセス パッケージの要求と承認の設定の変更」を参照してください。
チームのメンバーを削除すると、そのメンバーは Microsoft 365 グループからも削除されます。 ただし、チームのチャット機能から削除されるタイミングは遅れる場合があります。 詳細については、「グループ メンバーシップ」を参照してください。
アクセス パッケージ
- アクセス パッケージまたはポリシーを削除しようとしたときに、アクティブな割り当てがあることを示すエラー メッセージが表示されるのに割り当てがあるユーザーが見つからない場合には、最近削除されたユーザーへの割り当てが残っていないかを確認してください。 ユーザーが削除されてから 30 日間は、ユーザー アカウントを復元できます。
外部ユーザー
外部ユーザーがアクセス パッケージへのアクセスを要求する必要がある場合は、そのアクセス パッケージのマイ アクセス ポータル リンクをユーザーが使用していることを確認します。 詳細については、「アクセス パッケージを要求するためのリンクの共有」を参照してください。 外部ユーザーが単に myaccess.microsoft.com を訪問するだけで、マイ アクセス ポータル リンクをフル使用していない場合、それらのユーザーに表示されるのは、そのユーザーの組織内で使用可能なアクセス パッケージのみであり、お客様の組織内で使用可能なアクセス パッケージは表示されません。
外部ユーザーがアクセス パッケージへのアクセスを要求できない場合や、リソースにアクセスできない場合は、外部ユーザーの設定を確認してください。
ディレクトリにまだサインインしていない新規の外部ユーザーが、SharePoint Online サイトを含むアクセス パッケージを受信した場合、そのアクセス パッケージは、ユーザーのアカウントが SharePoint Online でプロビジョニングされるまで、配信未完了として表示されます。 共有設定の詳細については、「SharePoint Online の外部共有設定を確認する」を参照してください。
要求
ユーザーがアクセス パッケージへのアクセスを要求する必要がある場合は、そのアクセス パッケージ向けのマイ アクセス ポータル リンクをユーザーが使用していることを確認します。 詳細については、「アクセス パッケージを要求するためのリンクの共有」を参照してください。
プライベート モードやシークレット モードに設定されたブラウザーを使用してマイ アクセス ポータルを開くと、サインインの動作に支障が生じる場合があります。 マイ アクセス ポータルにアクセスする際は、ブラウザーのプライベート モードやシークレット モードは使用しないようお勧めします。
ディレクトリにまだ存在しないユーザーが、アクセス パッケージを要求するためにマイ アクセス ポータルにサインインする場合、そのユーザーには自分の組織のアカウントを使用して認証してもらってください。 組織のアカウントとして使用できるのは、リソース ディレクトリ内のアカウントか、またはアクセス パッケージのいずれかのポリシーに含まれるディレクトリ内のアカウントです。 ユーザーのアカウントが組織のアカウントでない場合、または認証するディレクトリがポリシーに含まれていない場合は、そのユーザーにはアクセス パッケージが表示されません。 詳細については、「アクセス パッケージへのアクセス要求」を参照してください。
リソース ディレクトリへのサインインがブロックされた場合、ユーザーはマイ アクセス ポータルでアクセスを要求できなくなります。 ユーザーがアクセスを要求できるようにするには、ユーザーのプロファイルからサインイン ブロックを排除する必要があります。 サインイン ブロックを排除するには、Microsoft Entra 管理センターで [ID]、[ユーザー] の順に選択し、ユーザーを選んでから [プロファイル] を選択します。 [設定] セクションを編集し、 [サインインをブロックする] を [いいえ] に変更します。 詳細については、「Microsoft Entra ID を使用してユーザーのプロファイル情報を追加または更新する」を参照してください。 また、Microsoft Entra ID 保護によるリスク検出が原因でユーザーがブロックされたかどうかを確認することもできます。
ユーザーが要求者と承認者を兼ねている場合、そのユーザーのマイ アクセス ポータル内の [承認] ページにはそのユーザー自身のアクセス パッケージ要求は表示されません。 これは、ユーザーが自分の要求を承認できないようにするための仕組みです。 そのような場合、ポリシーに基づいて別の承認者がそのアクセス パッケージ向けに構成されている必要があります。 詳細については、「アクセス パッケージの要求と承認の設定の変更」を参照してください。
要求の配信エラーを確認する
Microsoft Entra 管理センターに ID ガバナンス管理者 もしくはそれ以上の権限でサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者、アクセス パッケージ マネージャー、アクセス パッケージ割り当てマネージャーがあります。
[ID ガバナンス]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動します。
[要求] を選択します。
確認したい要求を選択します。
要求に配信エラーが発生した場合、要求の状態は [未配信] または [一部配信済み] となります。
配信エラーが発生した場合、配信エラー数が要求の詳細ウィンドウに表示されます。
エラー数を選択すると、その要求のすべての配信エラーを確認できます。
要求を再処理する
アクセス パッケージの再処理要求をトリガーした際にエラーが発生した場合は、システムによる要求処理の再試行が完了するまで待つ必要があります。 システムは数時間にわたって要求処理の再試行を自動で繰り返すため、この間にユーザー操作で再処理を強制することはできません。
要求を再処理できるのは、状態が [配信失敗 (delivery failed)] または [一部配信済み (Partially delivered)] になってからであり、また完了日からまだ 1 週間が経過していない要求に限られます。 それ以外の場合、[再処理] ボタンはグレー表示されます。
試行期間中にエラーが解消されると、要求の状態が [配信中] に変わります。 この状態になると、ユーザーが追加の操作を行わなくても要求が再処理されます。
試行期間中にエラーが解消されなかった場合、要求の状態は [配信失敗] または [一部配信済み] となります。 その場合は [再処理] ボタンを使用できます。 要求を再処理できる期間は 7 日間です。
Microsoft Entra 管理センターに ID ガバナンス管理者 もしくはそれ以上の権限でサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者、アクセス パッケージ マネージャー、アクセス パッケージ割り当てマネージャーがあります。
[ID ガバナンス]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動して、アクセス パッケージを開きます。
[要求] を選択します。
再処理したい要求を選択します。
要求の詳細ペインで、[要求の再処理] を選択します。
保留中の要求をキャンセルする
キャンセルできるのは、まだ配信されていないか、配信に失敗した保留中の要求のみです。 それ以外の場合、[キャンセル] ボタンはグレー表示されます。
Microsoft Entra 管理センターに ID ガバナンス管理者 もしくはそれ以上の権限でサインインします。
ヒント
このタスクを完了できる他の最小特権ロールには、カタログ所有者、アクセス パッケージ マネージャー、アクセス パッケージ割り当てマネージャーがあります。
[ID ガバナンス]>[エンタイトルメント管理]>[アクセス パッケージ] の順に移動して、アクセス パッケージを開きます。
[要求] を選択します。
キャンセルしたい要求を選択します。
要求の詳細ペインで、[要求のキャンセル] を選択します。
自動割り当てポリシー
- 各自動割り当てポリシーには、ルールの対象者のうちから最大 5,000 人のユーザーを含めることができます。 それ以外のユーザーには、たとえルールの対象者であってもアクセス権が割り当てられない可能性があります。
複数のポリシー
エンタイトルメント管理は、最小限特権のベスト プラクティスを踏襲しています。 該当するポリシーが複数あるアクセス パッケージへのアクセスをユーザーが要求した場合に、ジェネリックなポリシーよりもより具体的で厳密なポリシーを常に優先するロジックがエンタイトルメント管理に含まれています。 ポリシーがジェネリックである場合、要求元にポリシーが表示されないか、またはより厳しいポリシーが自動的に選択されます。
たとえば、ディレクトリ内のユーザー向けポリシーを 2 つ含むアクセス パッケージがあり、要求元ユーザーにはその両方のポリシーが当てはまるとします。 1 つ目のポリシーは、要求元ユーザーを含む特定のユーザーを対象としたポリシーです。 2 番目のポリシーは、ディレクトリ内のすべてのユーザーを対象とするポリシーです。 このシナリオでは、1 つ目のポリシーの方が厳しいため、要求元ユーザーに対してはそちらが自動的に選択されます。 要求元ユーザーは、2 つ目のポリシーを選択することはできません。
複数のポリシーが該当する場合、自動的に選択されるポリシー (要求元に表示されるポリシー) は、次の優先順位ロジックに基づいて決定されます。
ポリシーの優先度 範囲 P1 ディレクトリ内の特定のユーザーとグループ、または接続されている特定の組織 P2 ディレクトリ内のすべてのメンバー (ゲストを除く) P3 ディレクトリ内のすべてのユーザー (ゲストを含む) または接続されている特定の組織 P4 接続されている構成済みのすべての組織、またはすべてのユーザー (接続されているすべての組織 + 新しい外部ユーザー) より優先度の高いカテゴリにポリシーが属している場合、それよりも優先度が低いカテゴリは無視されます。 同じ優先度の複数のポリシーが要求元にどのように表示されるかの例については、「ポリシーの選択」を参照してください。