チュートリアル: 自動ユーザー アカウント プロビジョニングについてのレポート
Microsoft Entra ID には、ユーザー アカウントのプロビジョニング サービスが含まれています。 このサービスは、SaaS アプリやその他のシステムでのユーザー アカウントのプロビジョニングとプロビジョニング解除を自動化するのに役立ちます。 自動化は、エンド ツー エンドの ID ライフサイクル管理に役立ちます。 Microsoft Entra ID では、多くのアプリケーションとシステム用に、事前に統合されたユーザー プロビジョニング コネクタがサポートされています。 ユーザー プロビジョニングのチュートリアルの詳細については、プロビジョニングのチュートリアルに関するページを参照してください。
この記事では、プロビジョニング ジョブのセットアップ後にそれらの状態を確認する方法と、個々のユーザーとグループのプロビジョニングのトラブルシューティングを行う方法について説明します。
概要
プロビジョニング コネクタは、Microsoft Entra 管理センター を使用して設定および構成します。サポートされているアプリケーションで提供されているドキュメントに従ってください。 コネクタを構成し、実行している場合、次の方法を使ってプロビジョニング ジョブをレポートできます。
プロビジョニング ログを Azure Monitor にストリーミングします。 この方法を使用すると、データ保持期間を延長でき、カスタムのダッシュボード、アラート、クエリを作成できます。
Microsoft Graph API のクエリを実行して、プロビジョニング ログを見つけます。
プロビジョニング ログを CSV または JSON ファイルとしてダウンロードします。
定義
この記事では、次の用語を使用しています。
- ソース システム - Microsoft Entra プロビジョニング サービスの同期元である、ユーザーのリポジトリ。 Microsoft Entra ID は、事前統合された大部分のプロビジョニング コネクタのソース システムです。ただし、いくつかの例外があります (例: Workday Inbound Synchronization)。
- ターゲット システム - Microsoft Entra プロビジョニング サービスの同期が行われる、ユーザーのリポジトリ。 リポジトリは通常、Salesforce、ServiceNow、G Suite、Dropbox for Business などの SaaS アプリケーションです。 場合によっては、リポジトリは、Active Directory や、Workday Inbound Synchronization to Active Directory などのオンプレミス システムである場合があります。
Microsoft Entra 管理センターからプロビジョニング レポートを取得する
特定のアプリケーションのプロビジョニング レポート情報を取得するには:
- アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
- [アクティビティ] セクションで [プロビジョニング ログ] を選択します。 プロビジョニングが構成されているエンタープライズ アプリケーションに移動することもできます。 たとえば、LinkedIn Elevate にユーザーをプロビジョニングしている場合、アプリケーションの詳細へのナビゲーション パスは、次のようになります。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション]>[LinkedIn Elevate]
すべてのアプリケーション領域から、プロビジョニング進行状況バーとプロビジョニング ログの両方にアクセスします。
プロビジョニング進行状況バー
プロビジョニング進行状況バーは、指定したアプリケーションの [プロビジョニング] タブに表示されます。 それは、[現在の状態] セクションにあり、現在の初回サイクルまたは増分サイクルの状態を示します。 このセクションには、以下も表示されます。
- ソース システムとターゲット システムの間で同期され、現時点でプロビジョニングの対象となっているユーザーとグループの合計数。
- 同期が最後に実行された時間。 同期は通常、初回サイクルが完了した後、20 分から 40 分間隔で行われます。
- 初回サイクルの状態と、そのサイクルが完了したかどうか。
- プロビジョニング プロセスの状態と、検疫中かどうか。 状態には、検疫の理由も示されます。 たとえば、状態は、管理者の資格情報が無効なためにターゲット システムとの通信に失敗したことを示している可能性があります。
[現在の状態] は、プロビジョニング ジョブの操作の正常性をチェックするために、管理者が最初に確認するものです。
Microsoft Graph を使用して、アプリケーションへのプロビジョニングの状態をプログラムで監視することもできます。 詳細については、「プロビジョニングを監視する」を参照してください。
プロビジョニング ログ
プロビジョニング サービスによって実行されたアクティビティはすべて、Microsoft Entra のプロビジョニング ログに記録されます。 プロビジョニング ログには、Microsoft Entra 管理センターでアクセスできます。 プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。 詳細については、プロビジョニング ログに関する記事を参照してください。
トラブルシューティング
プロビジョニング概要レポートとプロビジョニング ログは、管理者がユーザー アカウントのプロビジョニングに関するさまざまな問題をトラブルシューティングするときに重要な役割を果たします。
自動ユーザー プロビジョニングをトラブルシューティングする方法のシナリオ ベースのガイダンスについては、「アプリケーションに対するユーザーの構成およびプロビジョニングに関する問題」を参照してください。