Microsoft Entra ギャラリー アプリケーションへのユーザー プロビジョニングの構成に関する問題
アプリケーション プロビジョニングの構成をトラブルシューティングします。 詳細については、自動ユーザー プロビジョニングに関するページを参照してください。
最初に、アプリケーションのセットアップ チュートリアルを見つけます。 次に、その手順に従ってアプリと Microsoft Entra ID の両方を構成し、プロビジョニングの接続を作成します。 チュートリアルの一覧については、SaaS アプリと Microsoft Entra ID を統合する方法に関するチュートリアルの一覧を参照してください。
プロビジョニングが機能しているかどうかを確認する
サービスが構成されると、サービスの操作に関するほとんどの分析情報を次の 2 つの場所から取得できます。
プロビジョニング ログ (プレビュー) - プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。 このログには、プロビジョニングの対象となる割り当て済みユーザーについて Microsoft Entra ID のクエリを実行する操作が含まれます。 システム間でユーザー オブジェクトを比較しながら、これらのユーザーが存在するかどうかを対象となるアプリで照会できます。 その後、比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にします。 Microsoft Entra 管理センターのプロビジョニング ログにアクセスするには、[アクティビティ] セクションで [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[プロビジョニング ログ] の順に選択します。
現在の状態 - 指定したアプリに対して最後に実行されたプロビジョニングの概要は、[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>
[Application Name]
>[プロビジョニング] セクションで確認できます。これは画面下部のサービス設定の下にあります。 [現在の状態] セクションには、プロビジョニング サイクルによってユーザー アカウントのプロビジョニングが開始されるかどうかが表示されます。 サイクルの進行状況を監視し、プロビジョニング済みのユーザーとグループの数や、作成されたロールの数を確認します。 エラーが発生した場合、詳細をプロビジョニング ログで確認できます (~/identity/monitoring-health/concept-provisioning-logs.md?context=azure/active-directory/manage-apps/context/manage-apps-context)。
プロビジョニング サービスが開始されていないように見える
Microsoft Entra 管理センターの [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[Application Name]
>[プロビジョニング] セクションで [プロビジョニングの状態] を [オン] に設定します。 しかし、その後再読み込みしても、他の状態の詳細がページに表示されません。 サービスは実行されていますが、初回サイクルがまだ完了していなかった可能性があります。 プロビジョニング ログを調べて、サービスで実行されている操作と、エラーの有無を確認します。
Note
初回サイクルには、20 分から数時間かかります。 この時間は、Microsoft Entra ディレクトリのサイズと、プロビジョニングの対象となるユーザーの数によって異なります。 初回サイクル後の両方のシステムの状態を表すウォーターマークがプロビジョニング サービスに保存されるため、後続の同期は速くなります。 ウォーターマークにより、後続の同期のパフォーマンスが向上します。
アプリの資格情報が機能していないため、構成を保存できない
Microsoft Entra ID には、プロビジョニングに有効な資格情報が必要です。 資格情報は、アプリによって提供されるユーザー管理 API に接続されます。 資格情報が機能しない場合、または資格情報がわからない場合は、このアプリの設定に関するチュートリアルを確認します。
ユーザーを割り当てたにもかかわらず、ユーザーがスキップされており、プロビジョニングされていないとプロビジョニング ログに表示される
ログ メッセージで詳細を読み、ユーザーがスキップされているとプロビジョニング ログに表示される原因を判断します。 一般的な原因と解決策は、次のとおりです。
属性値に基づいてユーザーをフィルター処理するスコープ フィルターが構成されています。 詳細については、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
ユーザーが "実質的に有効でない" 状態です。 Microsoft Entra ID に格納されているユーザー割り当てレコードに問題があります。 この問題を解決するには、アプリからユーザー (またはグループ) を割り当て解除し、再割り当てします。 詳細については、「エンタープライズ アプリケーションにユーザーまたはグループを割り当てる」を参照してください。
必須の属性が見つからないか、ユーザー用に設定されていません。 Microsoft Entra ID からアプリケーションに送られるユーザー (またはグループ) プロパティを定義する属性マッピングとワークフローを確認して構成します。 ユーザーまたはグループを一意に識別し、2 つのシステム間で照合するために使用される
matching property
の設定を確認します。 詳細については、ユーザー プロビジョニング属性マッピングのカスタマイズに関するページを参照してください。グループの属性マッピング: 一部のアプリケーションでサポートされている場合は、メンバーだけでなくグループの名前と詳細もプロビジョニングします。 [プロビジョニング] タブに表示されるグループ オブジェクトの [マッピング] を使用して、この機能を有効または無効にします。グループのプロビジョニングが有効になっている場合は、属性マッピングを確認して、適切なフィールドが
matching ID
に使用されていることを確認します。 フィールドは、表示名またはメールアドレスの別名です。 照合プロパティが空であるか、または Microsoft Entra ID 内のグループ用に設定されていない場合、グループとそのメンバーはプロビジョニングされません。