アプリケーション プロビジョニングの構成のトラブルシューティングを行います。 詳細については、「 自動ユーザー プロビジョニング」を参照してください。
まず、アプリケーションのセットアップ チュートリアルを見つけることから始めます。 次に、手順に従って、プロビジョニング接続を作成するようにアプリと Microsoft Entra ID の両方を構成します。 チュートリアルの一覧については、「 SaaS アプリと Microsoft Entra ID を統合する方法に関するチュートリアルの一覧」を参照してください。
プロビジョニングが機能しているかどうかを確認する
サービスが構成されると、サービスの操作に関するほとんどの分析情報を 2 つの場所から取得できます。
プロビジョニング ログ (プレビュー) – プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。 ログには、プロビジョニングのスコープ内にある割り当てられたユーザーに対する Microsoft Entra ID のクエリが含まれます。 システム間でユーザー オブジェクトを比較しながら、これらのユーザーが存在するかどうかを対象となるアプリで照会できます。 その後、比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にします。 Microsoft Entra 管理センターでプロビジョニング ログにアクセスするには、[アクティビティ] セクションで >>Provisioning logs を選択します。
現在の状態 – 特定のアプリの最後のプロビジョニング実行の概要は、サービス設定の画面下部にある Entra ID>Enterprise apps>
[Application Name]>Provisioning セクションで確認できます。 [現在の状態] セクションには、プロビジョニング サイクルによってユーザー アカウントのプロビジョニングが開始されるかどうかが表示されます。 サイクルの進行状況を確認し、プロビジョニングされているユーザーとグループの数、作成されたロールの数を確認します。 エラーがある場合は、[プロビジョニング ログ] (~/identity/monitoring-health/concept-provisioning-logs.md?context=azure/active-directory/manage-apps/context/manage-apps-context) で詳細を確認できます。
プロビジョニング サービスが開始されていないように見える
Microsoft Entra 管理センターの [Entra IDEnterprise apps>>[Application Name]] セクションで、[> を [オン] に設定します。 ただし、以降の再読み込み後、ページに他の状態の詳細は表示されません。 サービスが実行されているが、初期サイクルが完了していない可能性があります。
プロビジョニング ログを調べて、サービスが実行している操作とエラーがあるかどうかを判断します。
注
初期サイクルには 20 分から数時間かかります。 この時間は、Microsoft Entra ディレクトリのサイズと、プロビジョニングの対象となるユーザーの数によって異なります。 プロビジョニング サービスでは、初期サイクル後の両方のシステムの状態を表す透かしが格納されるため、後続の同期は高速になります。 ウォーターマークにより、後続の同期のパフォーマンスが向上します。
アプリの資格情報が機能していないため、構成を保存できない
Microsoft Entra ID には、プロビジョニングに有効な資格情報が必要です。 資格情報は、アプリによって提供されるユーザー管理 API に接続します。 資格情報が機能しない場合、または資格情報が何であるかがわからない場合は、アプリの設定に関するチュートリアルを確認してください。
プロビジョニング ログには、ユーザーが割り当てられているにもかかわらずスキップされており、プロビジョニングされていないと記録されています。
ログ メッセージの拡張された詳細を読み、ユーザーがプロビジョニング ログでスキップされたと表示される理由を判断します。 一般的な理由と解決策は次のとおりです。
属性値に基づいてユーザーをフィルターで除外するスコープ フィルターが構成されています。 詳細については、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
ユーザーが "実質的に有効でない" 状態です。 Microsoft Entra ID に格納されているユーザー割り当てレコードに問題があります。 この問題を解決するには、アプリからユーザー (またはグループ) を割り当て解除し、再割り当てします。 詳細については、「 エンタープライズ アプリにユーザーまたはグループを割り当てる」を参照してください。
必須の属性が見つからないか、ユーザー用に設定されていません。 Microsoft Entra ID からアプリケーションにフローするユーザー (またはグループ) プロパティを定義する属性マッピングとワークフローを確認して構成します。 2 つのシステム間でユーザー/グループを一意に識別して照合するために使用する設定
matching propertyを確認します。 詳細については、 ユーザー プロビジョニング属性マッピングのカスタマイズを参照してください。グループの属性マッピング: 一部のアプリケーションでサポートされている場合は、メンバーに加えて、グループ名とグループの詳細のプロビジョニング。 [プロビジョニング] タブに表示されるグループ オブジェクトの マッピング を使用して、この機能 を 有効または無効にします。プロビジョニング グループが有効になっている場合は、属性マッピングを確認して、適切なフィールドが
matching IDに使用されていることを確認します。 フィールドは、表示名または電子メール エイリアスです。 照合プロパティが空であるか、または Microsoft Entra ID 内のグループ用に設定されていない場合、グループとそのメンバーはプロビジョニングされません。