Microsoft Entra プロビジョニング サービスで誤った削除の防止機能を有効にする

Microsoft Entra プロビジョニング サービスには、誤って削除しないようにする機能が含まれています。 この機能により、アプリケーションで予期せずユーザーが無効にされたり削除されたりしないようにできます。

Microsoft Entra プロビジョニング サービスには、誤って削除しないようにする機能が含まれています。 この機能により、ターゲット テナントで予期せずユーザーが無効にされたり削除されたりしないようにできます。

ユーザーは誤削除を使用して、削除のしきい値を指定します。 設定したしきい値を超えるものは、管理者が削除の処理を明示的に許可する必要があります。

誤った削除の防止機能を構成する

誤った削除の防止機能を有効にするには:

1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。
2. ID>アプリケーション>エンタープライズ アプリケーション を参照します。
3. アプリケーションを選択します。
4. [プロビジョニング] を選択し、プロビジョニング ページで [Edit provisioning (プロビジョニングの編集)] を選択します。

1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。
2. [ID]>[外部 ID]>[テナント間同期]>[構成] に移動し、構成を選択します。
3. [プロビジョニング] を選択します。

1. [設定] で、[Prevent accidental deletions] (誤削除を防く) チェック ボックスをオンにし、削除のしきい値を指定します。
2. [通知用メール] のアドレスが指定されていることを確認してください。 削除のしきい値に達した場合、電子メールが送信されます。
3. [保存] を選択して変更を保存します。

削除のしきい値に達した場合、ジョブは検疫に移動され、通知の電子メールが送信されます。 その後、検疫されたジョブを許可または拒否できます。 検疫状態の詳細については、「検疫状態のアプリケーションのプロビジョニング」をご覧ください。

誤って削除されたものからの復旧

誤削除が発生した場合、その項目がプロビジョニングの状態ページに表示されます。 その場合、Provisioning has been quarantined. See quarantine details for more information と表示されます。

[Allow deletes (削除を許可する)] または [プロビジョニング ログの表示] のいずれかを選択できます。

削除を許可する

[Allow deletes](削除を許可する) アクションを使用すると、誤削除のしきい値をトリガーしたオブジェクトが削除されます。 削除を受け入れるには、次の手順に従います。

1. [Allow deletes (削除を許可する)] を選択します。
2. 確認の [はい] をクリックして削除を許可します。
3. 削除が受け入れられたことを示すメッセージが表示されます。 状態は、次のサイクルで正常に戻ります。

削除の拒否

削除を調査し、必要に応じて拒否します。

• 削除のソースを調査します。 詳細については、プロビジョニング ログで確認できます。
• ユーザーまたはグループを再びアプリケーション (構成) に割り当てるか、ユーザーまたはグループを復元するか、プロビジョニングの構成を更新して、削除を防止します。
• ユーザー/グループが削除されないように、必要な変更を加えたら、プロビジョニングを再開します。 ユーザーやグループが削除されないようにするために必要な変更を行うまで、プロビジョニングを再開しないでください。

削除防止機能をテストする

この機能をテストするには、disable/delete イベントをトリガーします。たとえば、しきい値を 3 のような小さい値に設定し、スコープ フィルターを変更してユーザーを割り当て解除し、ディレクトリからユーザーを削除します (次のセクションの一般的なシナリオを参照してください)。

プロビジョニング ジョブを実行して (20～40 分)、[プロビジョニング] ページに戻ります。 検疫中のプロビジョニング ジョブを確認し、削除を許可するか、プロビジョニング ログを確認して、削除が発生した理由を把握します。

テストに使用する一般的なプロビジョニング解除シナリオ

• ユーザーを削除するか、ごみ箱に入れます。
• ユーザーのサインインをブロックします。
• アプリケーション (構成) からユーザーまたはグループの割り当てを解除します。
• アプリケーションへのアクセス (または構成) を提供しているグループからユーザーを削除します。

プロビジョニング解除のシナリオの詳細については、「アプリケーションのプロビジョニングのしくみ」を参照してください。

よく寄せられる質問

削除のしきい値に対してどのようなシナリオがカウントされますか。

ユーザーがターゲット アプリケーション (またはターゲット テナント) から削除されるように設定されると、削除のしきい値に対してカウントされます。 ユーザーがターゲット アプリケーション (またはターゲット テナント) から削除される可能性があるシナリオには、アプリケーション (構成) からのユーザー割り当ての解除、ディレクトリ内のユーザーの論理的または物理的な削除などがあります。 削除対象として評価されたグループは、削除のしきい値にカウントされます。 削除に加えて、無効化についても同じように機能します。

削除のしきい値が評価される間隔はどのくらいですか。

サイクルごとに評価されます。 1 回のサイクルで削除の回数がしきい値を超えない場合、「サーキット ブレーカー」はトリガーされません。 定常状態にするために複数のサイクルが必要な場合、削除のしきい値はサイクルごとに評価されます。

これらの削除イベントはどのようにログに記録されますか。

無効化または削除する必要があるが、削除のしきい値が原因で、それが行われていないユーザーが見つかることがあります。 [プロビジョニング ログ] に移動し、[StagedAction] または [StagedDelete] を指定して [アクション] をフィルターに掛けます。

次のステップ

• アプリケーションのプロビジョニングのしくみ
• アプリケーションのプロビジョニングのデプロイ計画