Azure Active Directory でのアプリケーション プロビジョニングの既知の問題

この記事では、アプリのプロビジョニングを操作する場合に注意する必要がある既知の問題について説明します。 UserVoice のアプリケーション プロビジョニング サービスに関するフィードバックを提供するには、Azure Active Directory (Azure AD) のアプリケーションのプロビジョニングの UserVoice ページを参照してください。 Microsoft では、サービスを改善するために UserVoice を注意深く確認しています。

注意

この記事は既知の問題の包括的な一覧ではありません。 一覧にない問題をご存じの場合は、ページの下部でフィードバックを提供してください。

承認

保存できない

保存するには、テナントの URL、シークレット トークン、通知メールを入力する必要があります。 1 つだけを指定することはできません。

プロビジョニング モードを手動に変更することができない

プロビジョニングを初めて構成すると、プロビジョニング モードが手動から自動に切り替わることがわかります。 手動に戻すことはできません。 ただし、UI を使用してプロビジョニングをオフにすることはできます。 UI でプロビジョニングをオフにすると、ドロップダウンを手動に設定する場合と同様に動作します。

属性マッピング

属性 SamAccountName または userType をソース属性として使用できない

属性 SamAccountName および userType は、既定ではソース属性として使用できません。 スキーマを拡張して属性を追加してください。 スキーマを拡張すると、使用できるソース属性の一覧に属性を追加することができます。 詳細については、ソース属性の欠落いに関するページを参照してください。

スキーマ拡張のソース属性ドロップダウンがない

UI のソース属性ドロップダウンにスキーマの拡張機能が表示されない場合があります。 属性マッピングの詳細設定に移動し、手動で属性を追加します。 詳細については、属性マッピングのカスタマイズに関するページを参照してください。

null 属性をプロビジョニングできない

現在、Azure AD によって null 属性をプロビジョニングすることはできません。 ユーザー オブジェクトの属性が null の場合は、スキップされます。

属性マッピング式の最大文字数

属性マッピング式には、最大 10,000 文字を使用できます。

サポートされていないスコープ フィルター

ディレクトリ拡張機能と、appRoleAssignmentsuserType、および accountExpires 属性は、スコープ フィルターとしてはサポートされていません。

複数値ディレクトリ拡張機能

複数値ディレクトリ拡張機能は、属性マッピングまたはスコープ フィルターでは使用できません。

サービスに関する問題

サポートされていないシナリオ

  • パスワードのプロビジョニングはサポートされていません。
  • 入れ子になったグループのプロビジョニングはサポートされていません。
  • テナントのサイズにより、B2C テナントへのプロビジョニングはサポートされていません。
  • すべてのクラウドですべてのプロビジョニング アプリが使用できるわけではありません。 たとえば、Atlassian は、政府機関向けクラウドではまだ利用できません。 アプリ開発者と連携して、アプリをすべてのクラウドにオンボードしています。

OIDC ベースのアプリケーションで自動プロビジョニングを使用できない

アプリの登録を作成した場合、エンタープライズ アプリ内の対応するサービス プリンシパルが、自動ユーザー プロビジョニングで有効になりません。 ギャラリーにアプリを追加するように要求するか (複数の組織での使用を想定している場合)、プロビジョニング用にギャラリー以外の 2 つ目のアプリを作成する必要があります。

プロビジョニングの間隔が固定されている

プロビジョニング サイクル間の時間は現在構成できません。

変更がターゲット アプリから Azure AD に反映されない

アプリのプロビジョニング サービスでは、外部アプリで行われた変更が認識されません。 そのため、ロールバックするアクションは行われません。 アプリのプロビジョニング サービスは、Azure AD で行われた変更に依存しています。

[すべて同期] から [割り当てられた同期] への切り替えが機能しない

[すべて同期] から [割り当てられた同期] にスコープを変更したら、変更を有効にするために必ず再起動も実行します。 再起動は UI から実行できます。

プロビジョニング サイクルが完了するまで続行される

enabled = off のプロビジョニングを設定するか、 [停止] を選択すると、現在のプロビジョニング サイクルが完了するまで実行は続行されます。 プロビジョニングを再び有効にするまで、サービスによって今後のサイクルの実行が停止されます。

グループのメンバーがプロビジョニングされない

グループがスコープ内にあり、メンバーがスコープ外にある場合、グループはプロビジョニングされます。 スコープ外のユーザーはプロビジョニングされません。 メンバーがスコープ内に戻っても、サービスではすぐに変更が検出されません。 プロビジョニングを再開すると、問題が解決されます。 すべてのユーザーが適切にプロビジョニングされるようにするため、サービスを定期的に再起動してください。

マネージャーがプロビジョニングされない

ユーザーとそのマネージャーが両方ともプロビジョニング対象となっている場合は、ユーザーがプロビジョニングされた後でマネージャーが更新されます。 初日に、ユーザーがプロビジョニング対象でマネージャーが対象外となっている場合、マネージャーを参照せずにユーザーがプロビジョニングされます。 その後マネージャーがプロビジョニング対象となっても、プロビジョニングを再開し、サービスによってすべてのユーザーがもう一度評価されるまで、マネージャーの参照は更新されません。

オンプレミス アプリケーションのプロビジョニング

次の情報は、Azure AD ECMA コネクタ ホストとオンプレミス アプリケーションのプロビジョニングに関する既知の制限事項の最新の一覧です。

アプリケーションとディレクトリ

次のアプリケーションとディレクトリは、まだサポートされていません。

Active Directory Domain Services (オンプレミスのプロビジョニング プレビューを使用した Azure AD からのユーザーまたはグループの書き戻し)

  • ユーザーが Azure AD Connect によって管理されている場合、権限のあるソースはオンプレミスの Azure AD です。 そのため、Azure AD 内でユーザー属性を変更することはできません。 このプレビューでは、Azure AD Connect によって管理されるユーザーの権限のソースは変更されません。
  • Azure AD Connect とオンプレミスのプロビジョニングを使用して Active Directory Domain Services にグループまたはユーザーをプロビジョニングしようとすると、ループが作成される可能性があります。この場合、Azure AD Connect はクラウドのプロビジョニング サービスによって行われた変更を上書きできます。 Microsoft では、グループまたはユーザーの書き戻し専用の機能に取り組んでいます。 この Web サイトで UserVoice のフィードバックに賛成投票して、プレビューの状態を追跡します。 または、Azure AD から Active Directory へのユーザーまたはグループの書き戻しに Microsoft Identity Manager を使用することもできます。

SQL 以外のコネクタ

Azure AD ECMA コネクタ ホストは、汎用 SQL コネクタで正式にサポートされています。 Web サービス コネクタやカスタム ECMA コネクタなどの他のコネクタを使用することはできますが、"まだサポートされていません"。

Azure AD

オンプレミスのプロビジョニングを使用することにより、既に Azure AD にあるユーザーを利用して、サードパーティのアプリケーションにプロビジョニングすることができます。 サードパーティ製アプリケーションのディレクトリにユーザーを持ち込むことはできません。 お客様は、ネイティブの HR 統合、Azure AD Connect、Microsoft Identity Manager、または Microsoft Graph を利用して、ユーザーをディレクトリに取り込む必要があります。

属性とオブジェクト

次の属性とオブジェクトはサポートされていません。

  • 複数値の属性。
  • 参照属性 (manager など)。
  • グループ。
  • 複雑なアンカー (ObjectTypeName+UserName など)。
  • オンプレミスのアプリケーションは Azure AD とフェデレーションされないことがあり、ローカル パスワードが必要になることがあります。 オンプレミスのプロビジョニング プレビューでは、Azure AD とサードパーティのアプリケーション間での "ワンタイム パスワードのプロビジョニングまたはパスワードの同期はサポートされていません"。
  • export_password 仮想属性、SetPassword、および ChangePassword 操作はサポートされていません。

SSL 証明書の数

現在、Azure AD ECMA コネクタ ホストでは、Azure によって信頼されている SSL 証明書、またはプロビジョニング エージェントを使用する必要があります。 証明書のサブジェクトは Azure AD ECMA コネクタ ホストがインストールされているホスト名と一致する必要があります。

アンカー属性

現在、Azure AD ECMA コネクタ ホストでは、アンカー属性の変更 (名前の変更) またはアンカーを形成するには複数の属性が必要となるターゲット システムはサポートされていません。

属性の検出とマッピング

ターゲット アプリケーションによってサポートされる属性が検出され、Azure portal の [属性マッピング] に表示されます。 新しく追加された属性は引き続き検出されます。 属性の型が変更されており (たとえば、文字列からブール値)、属性がマッピングの一部である場合、型は Azure portal 内で自動的に変更されません。 ユーザーは [マッピング] の [詳細設定] にアクセスし、属性の種類を手動で更新する必要があります。

次のステップ

プロビジョニングのしくみ