ユーザーがプロビジョニングされていない
Note
2020 年 4 月 16 日以降、既定のアクセス ロールが割り当てられているユーザーの動作が変更されました。 詳細については、この後のセクションをご覧ください。
アプリケーションで自動プロビジョニングが構成された後 (アプリに接続するために Microsoft Entra ID に提供されたアプリの資格情報が有効であることの確認を含む)、そのアプリに対してユーザーやグループがプロビジョニングされます。 プロビジョニングは、次のものによって決定されます。
- どのユーザーとグループがアプリケーションに割り当てられているか。 入れ子になったグループのプロビジョニングはサポートされていません。 割り当ての詳細については、Microsoft Entra ID でのエンタープライズ アプリケーションへのユーザーまたはグループの割り当てに関するページを参照してください。
- 属性マッピングが有効になっているかどうか、および有効な属性を Microsoft Entra ID からアプリに同期するように構成されているかどうか。 属性マッピングの詳細については、Microsoft Entra ID での SaaS アプリケーションに対するユーザー プロビジョニング属性マッピングのカスタマイズに関するページを参照してください。
- 特定の 属性値に基づいてユーザーをフィルター処理するスコープ フィルター が存在するかどうか。 スコープ フィルターの詳細については、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
ユーザーがプロビジョニングされていないことが確認された場合は、Microsoft Entra ID のプロビジョニング ログを参照してください。 特定のユーザーのログ エントリを検索します。
Microsoft Entra 管理センターのプロビジョニング ログにアクセスするには、[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[プロビジョニング ログ] に移動します。 また、特定のアプリケーションを選び、[アクティビティ] セクションで [プロビジョニング ログ] を選ぶこともできます。 プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。 詳細については、プロビジョニング ログに関する記事を参照してください。
プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。これには、プロビジョニングの対象となる割り当て済みユーザーに関する Microsoft Entra ID へのクエリの実行、これらのユーザーが存在するかどうかに関するターゲット アプリへのクエリの実行、システム間でのユーザー オブジェクトの比較が含まれます。 その後、比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にします。
プロビジョニングに関して考慮すべき一般的問題
次の一覧は、どこから始めるべきかわかっている場合に詳しく確認できる一般的問題を示しています。
プロビジョニング サービスが開始されない
Microsoft Entra 管理センターの [エンタープライズ アプリケーション] > [<アプリケーション名>] > [プロビジョニング] セクションで [プロビジョニングの状態] を [オン] に設定した場合。 ただし、以降の再読み込み後にそのページに他の状態の詳細は表示されません。サービスが実行されているが、初期サイクルがまだ完了していない可能性があります。 前述のプロビジョニング ログを確認し、サービスによって実行されている操作と、エラーの有無を判断します。
Note
初回サイクルには、 Microsoft Entra ディレクトリのサイズと、プロビジョニングの対象となるユーザーの数によって 20 分から数時間かかることがあります。 初回サイクル後の両方のシステムの状態を表すウォーターマークがプロビジョニング サービスに保存されるため、初回サイクルの後の後続の同期はより速くなります。 初回サイクルにより、以降の同期のパフォーマンスが向上します。
ユーザーを割り当てたにもかかわらず、ユーザーがスキップされておりプロビジョニングされていないとプロビジョニング ログに表示される
ユーザーがプロビジョニング ログに "スキップ済み" と表示された場合は、ログの [ステップ] タブを確認して理由を確認することが重要です。 一般的な原因と解決策を次に示します。
- 属性値に基づいてユーザーをフィルター処理するスコープ フィルターが構成されています。 スコープ フィルターの詳細については、「スコープ フィルター」を参照してください。
- ユーザーが "実質的に有効でない" 状態です。 この特定のエラー メッセージが表示される場合は、Microsoft Entra ID に格納されているユーザー割り当てレコードに問題があるためです。 この問題を解決するには、アプリからユーザー (またはグループ) を割り当て解除し、再割り当てします。 割り当ての詳細については、ユーザーまたはグループ アクセスの割り当てに関するページを参照してください。
- 必須の属性が見つからないか、ユーザー用に設定されていません。 プロビジョニングを設定するときに考慮すべき重要なことは、どのユーザー (またはグループ) プロパティが Microsoft Entra ID からアプリケーションに提供されるかを定義する属性マッピングとワークフローを確認して構成することです。 この構成には、2 つのシステム間でユーザーまたはグループを一意に識別して照合するために使用される "照合プロパティ" の設定が含まれます。 この重要なプロセスの詳細については、Microsoft Entra ID での SaaS アプリケーションに対するユーザー プロビジョニング属性マッピングのカスタマイズに関するページを参照してください。
- グループの属性マッピング: 一部のアプリケーションでサポートされている場合は、メンバーだけでなくグループの名前と詳細もプロビジョニングします。 [プロビジョニング] タブに表示されるグループ オブジェクトの [マッピング] を有効または無効にして、この機能を有効または無効にすることができます。グループのプロビジョニングが有効になっている場合は、適切なフィールドが "照合 ID" に使用されていることを確かめるために、属性マッピングを必ず確認してください。 この照合 ID は、表示名または電子メール エイリアスである場合があります。 照合プロパティが空であるか、または Microsoft Entra ID 内のグループ用に設定されていない場合、グループとそのメンバーはプロビジョニングされません。
既定のアクセス ロールに割り当てられたユーザーのプロビジョニング
ギャラリーからのアプリケーションの既定のロールは、"既定のアクセス" ロールと呼ばれます。 これまで、このロールに割り当てられたユーザーはプロビジョニングされず、"効果的に資格がありません" ため、プロビジョニング ログではスキップ済みとしてマークされます。
2020 年 4 月 16 日より後に作成されたプロビジョニング構成の動作: 既定のアクセス ロールに割り当てられているユーザーは、他のすべてのロールと同じように評価されます。 既定のアクセス権が割り当てられているユーザーは、"実質的に資格がありません" としてスキップされません。
2020 年 4 月 16 日より前に作成されたプロビジョニング構成の動作: 今後 3 か月間、動作は現在どおり継続されます。 既定のアクセス ロールを持つユーザーは、実質的に資格なしとしてスキップされます。 2020 年 7 月以降、すべてのアプリケーションで動作が統一されます。 既定のアクセス ロールを持つユーザーのプロビジョニングは、"効果的に権利が与えられません" ためスキップしません。この変更は Microsoft によって行われ、お客様の操作は必要ありません。 これらのユーザーが引き続きスキップされるようにする場合は、この変更後も、適切なスコープ フィルターを適用するか、アプリケーションからユーザーの割り当てを解除して、スコープ外であることを確認します。