Microsoft Azure での認可に関する問題のトラブルシューティング
ユーザーが認証された場合、ユーザーはアクション実行の権限を持っている必要があります。 ID が正しく認証されているのにユーザーが必要なアクションを完了できない場合は、認可に関する問題のトラブルシューティングを行う必要があります。
条件付きアクセスのトラブルシューティングを行う
条件付きアクセス ポリシーでは、多数のシグナルを使用して、ユーザーのリソースへのアクセスが必要かどうかが判断されます。 たとえば、ユーザーの地理的な場所、デバイスの種類、使用されているアプリケーションはすべて、ユーザーの ID と共に考慮できます。
条件付きアクセス ポリシーの変更に関するトラブルシューティング
以前は正常に動作していた条件付きアクセスが期待どおりに機能していない場合は、ポリシーの変更を調査する必要があります。 監査ログ データは 30 日間保持され、これは Microsoft Entra の診断設定で増やすことができます。
Azure portal で監査ログを表示するには、[Microsoft Entra ID] を選んでから、[監査ログ] を選択します。 関連する期間を選択し、[アクティビティ] で [条件付きアクセス ポリシーの追加] または [条件付きアクセス ポリシーの更新] または [条件付きアクセス ポリシーの削除] を選択します。
条件付きアクセスでのサインインに関する問題のトラブルシューティング
条件付きアクセスでのサインインの問題を回避するには、ポリシーがすべてのユーザー、すべてのクラウド アプリ、またはすべてのデバイスに適用される場合は、十分に注意してください。 これらのポリシーでは、組織全体がブロックされる可能性があります。
サインインに関する問題のトラブルシューティングでは、まず、エラー メッセージを確認する必要があります。 これには通常、問題の原因となっているポリシーが一覧表示され、更新するポリシーを特定できるようになっています。 エラー メッセージの [詳細] をクリックすると、特定のサインイン イベントを見つけることができます。
サインイン イベントの詳細が表示されたら、Azure portal を開き、[Microsoft Entra ID] を選んでから、[サインイン] を選択します。条件付きアクセスの失敗など、適切な種類のイベントを検出するためのフィルターを追加し、特定のイベントを見つけます。
その後、イベントを選択して、そのイベントの詳細とポリシーの詳細を表示できます。
What If ツール
What If ツールもトラブルシューティングに役立ちます。
Azure portal を開き、[Microsoft Entra ID]、[条件付きアクセス] の順に選択し、[What If] を選択します。 条件を追加し、適用される条件付きアクセス ポリシーを確認できるようになりました。
詳細については、「Microsoft Entra の条件付きアクセスのドキュメント」を参照してください。
ロールベースのアクセス制御のトラブルシューティング
さまざまな問題がロールベースのアクセス制御 (RBAC) に影響する可能性があります。 次のような問題があります。
ロールの割り当ての数に対する制限。
ロールを操作するための適切なアクセス許可の所持。
サブスクリプションが別の Microsoft Entra ディレクトリに転送されたとき、またはリソースが移動されたときにロールの割り当てが失われる。
セキュリティ プリンシパルの削除またはごく最近の作成。
管理機能による書き込みアクセスの要求。
詳細については、「Azure RBAC のトラブルシューティング」を参照してください。
Azure Key Vault に暗号化されたパスワードを格納するときの問題のトラブルシューティング
Azure Key Vault では、アクセス ポリシーを使用してユーザー アクションが認可されます。 Azure Key Vault のアクセス ポリシーの問題をトラブルシューティングするには、多くのステップがあります。 詳細については、「Azure Key Vault のアクセス ポリシーの問題のトラブルシューティング」を参照してください。