アプリケーションの自動プロビジョニングが構成された後 (アプリに接続するために Microsoft Entra ID に指定されたアプリ資格情報が有効であることを確認するなど)、ユーザーやグループがアプリにプロビジョニングされます。 プロビジョニングは、次のものによって決定されます。
- アプリケーションに 割り当てられている ユーザーとグループ。 入れ子になったグループのプロビジョニングはサポートされていません。 割り当ての詳細については、「 Microsoft Entra ID でエンタープライズ アプリにユーザーまたはグループを割り当てる」を参照してください。
- 属性マッピングが有効になっているかどうか、および Microsoft Entra ID からアプリに有効な属性を同期するように構成されているかどうか。 属性マッピングの詳細については、「 Microsoft Entra ID での SaaS アプリケーションのユーザー プロビジョニング属性マッピングのカスタマイズ」を参照してください。
- 特定の属性値に基づいてユーザーをフィルター処理する スコープ フィルター が存在するかどうか。 スコープ フィルターの詳細については、「スコープ フィルターを 使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
ユーザーがプロビジョニングされていないことが確認された場合は、Microsoft Entra ID の プロビジョニング ログを 参照してください。 特定のユーザーのログ エントリを検索します。
Microsoft Entra 管理センターでプロビジョニング ログにアクセスするには、 Entra ID>Enterprise アプリ>プロビジョニング ログを参照します。 特定のアプリケーションを選択し、[アクティビティ] セクションで [プロビジョニング ログ] を選択することもできます。 プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。 詳細については、 プロビジョニング ログを参照してください。
プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。これには、プロビジョニングの対象となる割り当て済みユーザーに関する Microsoft Entra ID へのクエリの実行、これらのユーザーが存在するかどうかに関するターゲット アプリへのクエリの実行、システム間でのユーザー オブジェクトの比較が含まれます。 その後、比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にします。
プロビジョニング サービスが開始されていないように見える
[アプリケーション名]> Microsoft Entra 管理センターの [プロビジョニング] セクション>エンタープライズ アプリケーションでプロビジョニングの状態をオンに設定した場合。 しかし、その後再読み込みしても、他の状態の詳細がページに表示されません。サービスは実行されているものの、初回サイクルがまだ完了していない可能性があります。 プロビジョニング ログを調べて、サービスが実行している操作とエラーがあるかどうかを判断します。
注
初回サイクルには、 Microsoft Entra ディレクトリのサイズと、プロビジョニングの対象となるユーザーの数によって 20 分から数時間かかることがあります。 初回サイクル後の両方のシステムの状態を表すウォーターマークがプロビジョニング サービスに保存されるため、初回サイクルの後の後続の同期はより速くなります。 初回サイクルにより、以降の同期のパフォーマンスが向上します。
プロビジョニング ログには、ユーザーが割り当てられているにもかかわらずスキップされており、プロビジョニングされていないと記録されています。
ユーザーがプロビジョニング ログに "スキップ済み" と表示された場合は、ログの [ ステップ ] タブを確認して理由を確認することが重要です。 一般的な理由と解決策:
- 属性値に基づいてユーザーをフィルターで除外するスコープ フィルターが構成されています。 スコープ フィルターの詳細については、「スコープ フィルター」 を参照してください。
- ユーザーが "実質的に有効でない" 状態です。 この特定のエラー メッセージが表示される場合、その原因は、Microsoft Entra ID に格納されているユーザー割り当てレコードの問題です。 この問題を解決するには、アプリからユーザー (またはグループ) を割り当て解除し、再割り当てします。 割り当ての詳細については、「 ユーザーまたはグループのアクセス権を割り当てる」を参照してください。
- 必須の属性が見つからないか、ユーザー用に設定されていません。 プロビジョニングを設定するときに考慮すべき重要なことは、どのユーザー (またはグループ) プロパティが Microsoft Entra ID からアプリケーションに提供されるかを定義する属性マッピングとワークフローを確認して構成することです。 この構成には、2 つのシステム間でユーザーまたはグループを一意に識別して照合するために使用される "照合プロパティ" の設定が含まれます。 この重要なプロセスの詳細については、「 Microsoft Entra ID での SaaS アプリケーションのユーザー プロビジョニング属性マッピングのカスタマイズ」を参照してください。
- グループの属性マッピング: 一部のアプリケーションでサポートされている場合は、メンバーに加えて、グループ名とグループの詳細のプロビジョニング。 この機能を有効または無効にするには、[プロビジョニング] タブに表示されるグループ オブジェクトのマッピングを有効または無効にします。プロビジョニング グループが有効になっている場合は、属性マッピングを確認して、適切なフィールドが "一致する ID" に使用されていることを確認してください。 この照合 ID は、表示名または電子メール エイリアスである場合があります。 照合プロパティが空であるか、または Microsoft Entra ID 内のグループ用に設定されていない場合、グループとそのメンバーはプロビジョニングされません。
既定のアクセス ロールに割り当てられたユーザーのプロビジョニング
ギャラリーからのアプリケーションの既定のロールは、"既定のアクセス" ロールと呼ばれます。 これまで、このロールに割り当てられたユーザーはプロビジョニングされず、"効果的に資格がありません" ため 、プロビジョニング ログ ではスキップ済みとしてマークされます。