エラー コード: Microsoft Entra Permissions Management
オンボード中に、Microsoft Entra Permissions Management は管理者がトリアージできるエラー メッセージを返す場合があります。 この記事では、データ収集のエラー メッセージとその説明を、提案されたソリューションと共に Permissions Management UI に表示します。
AWS_ACCESSADVISOR_COLLECTION_ERROR
アカウントに Service Last Accessed を表示するためのアクセス許可がありません。
提案されるソリューション
- 管理アカウントの資格情報を使用してサインインしていることを確認します。 AWS アカウントには、
ServiceLastAccessDetailsを生成、取得、または一覧表示する、または同等のアクセス許可を持つポリシーが必要です。 - AWS マネジメントコンソールで、組織 ルートでサービスコントロールポリシー (SCP) が有効になっていることを確認します。
AWS_CLOUDTRAIL_DISABLED
AWS 環境に CloudTrail が構成されていないか、CloudTrail にアクセスするためのアクセス許可がありません。
提案されるソリューション
CloudTrail は、AWS アカウントの作成時に自動的に作成されます。
アクセスするには:
- 管理アカウントの資格情報を使用してサインインしていることを確認します。
- AWS 組織で信頼できるサービスとして CloudTrail を有効にします。
- AWS アカウントに CloudTrail マネージド ポリシー
AWSCloudTrail_FullAccess、AWSCloudTrail_ReadOnlyAccess、または 同等のアクセス許可が付与されていることを確認します。
AWS_CLOUDTRAIL_S3_ACCESS_DENIED
このアカウントには、S3 Bucket CloudTrail ログにアクセスするためのアクセス許可がありません。
提案されるソリューション
試す手順:
- 管理アカウントの資格情報を使用してサインインしていることを確認します。
- AWS 組織で信頼できるサービスとして CloudTrail を有効にします。
- AWS アカウントには、CloudTrail マネージド ポリシー
AWSCloudTrail_FullAccessまたは、同等のアクセス許可が付与されている必要があります。 - クロスアカウント アクセスの場合、各アカウントには、アクセスを許可するアクセス ポリシーを持つ IAM ロールが必要です。
- CloudTrail には S3 バケットにログ ファイルを配信するために必要なアクセス許可が必要であり、S3 バケット ポリシーはログ ファイルを受信して格納するように更新されます。
AWS_LDAP_CREDENTIALS_INVALID
LDAP 資格情報が無効です。
提案されるソリューション
ドメイン コントローラーのハード ドライブがいっぱいではないことを確認します。
AWS_LDAP_UNREACHABLE
LDAP サービスへのアクセス中に接続エラーが発生しました。
提案されるソリューション
この問題は、LDAPS を有効にするために使用される AWS Managed Microsoft AD Connector で一般的です。 AD コネクタが 88 (Kerberos) ポートと 389 (LDAP) ポート経由で TCP と UDP 経由で通信できるかどうかを確認します。
AWS_SYSTEM_ROLE_POLICIES_COLLECTION_ERROR
システム ロール ポリシーの収集中にエラーが発生しました。
提案されるソリューション
システム ロール ポリシーにサービス制御ポリシー (SCP) が含まれている場合は、管理アカウントの資格情報を使用してサインインしていることを確認します。 AWS アカウントには、ポリシーの詳細とアタッチされたエンティティを表示するために必要なアクセス許可が必要です。
ERROR_GCP_PROJECT_MIN_PERMISSION
プロジェクトのアクセス許可が不十分です。
提案されるソリューション
正しい IAM ロールまたはプロジェクトへのアクセスを許可する同等のアクセス許可を持つロール: Organization 管理、Security 管理、または Project IAM 管理 が付与されていることを確認します。
ERROR_NO_IDENTIFIER_URIS_IN_APP
アプリに対して識別子 URI が構成されていません。
提案されるソリューション
- ポータルで構成された識別子 URI のアプリケーション構成を確認します。
- Microsoft Entra アプリケーションのマニフェスト ファイルを確認します。
次のステップ
- アマゾン ウェブ サービス (AWS) アカウントをオンボードする方法については、「アマゾン ウェブ サービス (AWS) アカウントをオンボードする」を参照してください。
- 初回のオンボーディング後にアカウントをオンボーディングする方法については、 「オンボーディング後にアカウント/サブスクリプション/プロジェクトを追加する」 を参照してください