チュートリアル:自動ユーザー アカウント プロビジョニングについてのレポートTutorial: Reporting on automatic user account provisioning

Azure Active Directory (Azure AD) には、エンド ツー エンドの ID ライフ サイクル管理のために、SaaS アプリとその他のシステムのユーザー アカウントのプロビジョニングとプロビジョニング解除の自動化を支援する、ユーザー アカウント プロビジョニング サービスが含まれています。Azure Active Directory (Azure AD) includes a user account provisioning service that helps automate the provisioning de-provisioning of user accounts in SaaS apps and other systems, for the purpose of end-to-end identity lifecycle management. Azure AD では、Azure AD アプリケーション ギャラリーの「おすすめ」セクションのすべてのアプリケーションとシステム用に、事前統合されたユーザー プロビジョニング コネクタがサポートされています。Azure AD supports pre-integrated user provisioning connectors for all of the applications and systems in the "Featured" section of the Azure AD application gallery.

この記事では、プロビジョニング ジョブのセットアップ後にそれらの状態を確認する方法と、個々のユーザーとグループのプロビジョニングのトラブルシューティングを行う方法について説明します。This article describes how to check the status of provisioning jobs after they have been set up, and how to troubleshoot the provisioning of individual users and groups.

概要Overview

プロビジョニング コネクタは、Azure Portal を使用してセットアップおよび構成します。サポートされているアプリケーションに提供されているドキュメントに従ってください。Provisioning connectors are set up and configured using the Azure portal, by following the provided documentation for the supported application. 構成を完了し実行すると、以下の 2 つの方法のいずれかで、プロビジョニング ジョブをレポートできます。Once configured and running, provisioning jobs can be reported on using one of two methods:

  • Azure portal - この記事では、主に、Azure portal からレポート情報を取得する方法について説明します。このポータルでは、プロビジョニングの概要レポートと、特定のアプリケーションの詳細なプロビジョニング監査ログの両方が提供されます。Azure portal - This article primarily describes retrieving report information from the Azure portal, which provides both a provisioning summary report as well as detailed provisioning audit logs for a given application.
  • 監査 API - Azure Active Directory には、プログラムで詳細なプロビジョニング監査ログを取得することができる監査 API も用意されています。Audit API - Azure Active Directory also provides an Audit API that enables programmatic retrieval of the detailed provisioning audit logs. この API の使用を取り上げたドキュメントについては、Azure Active Directory 監査 API リファレンスを参照してください。See Azure Active Directory audit API reference for documentation specific to using this API. この記事では、API を使用する方法については具体的に説明していませんが、監査ログに記録されるプロビジョニング イベントの種類については詳細に説明しています。While this article does not specifically cover how to use the API, it does detail the types of provisioning events that are recorded in the audit log.

定義Definitions

この記事では、以下に定義されている用語を使用します。This article uses the following terms, defined below:

  • ソース システム - Azure AD プロビジョニング サービスの同期元である、ユーザーのリポジトリ。Source System - The repository of users that the Azure AD provisioning service synchronizes from. Azure Active Directory は、事前統合されたほとんどのプロビジョニング コネクタのソース システムです。ただし、いくつかの例外があります (例:Workday Inbound Synchronization)。Azure Active Directory is the source system for the majority of pre-integrated provisioning connectors, however there are some exceptions (example: Workday Inbound Synchronization).
  • ターゲット システム - Azure AD プロビジョニング サービスの同期先である、ユーザーのリポジトリ。Target System - The repository of users that the Azure AD provisioning service synchronizes to. これは、通常は SaaS アプリケーション (例:Salesforce、ServiceNow、G Suite、Dropbox for Business) です。ただし、場合によっては、Active Directory などのオンプレミス システムにすることもできます (例:Workday Inbound Synchronization から Active Directory へ)。This is typically a SaaS application (examples: Salesforce, ServiceNow, G Suite, Dropbox for Business), but in some cases can be an on-premises system such as Active Directory (example: Workday Inbound Synchronization to Active Directory).

Azure portal からプロビジョニング レポートを取得するGetting provisioning reports from the Azure portal

特定のアプリケーションに関するプロビジョニング レポート情報を取得するには、まず Azure portal を起動し、 [Azure Active Directory] > [エンタープライズ アプリ] > [プロビジョニング ログ(プレビュー)] ( [アクティビティ] セクション内) に移動します。To get provisioning report information for a given application, start by launching the Azure portal and Azure Active Directory > Enterprise Apps > Provisioning logs (preview) in the Activity section. プロビジョニングが構成されているエンタープライズ アプリケーションに移動することもできます。You can also browse to the Enterprise Application for which provisioning is configured. たとえば、LinkedIn Elevate にユーザーをプロビジョニングする場合、アプリケーションの詳細へのナビゲーション パスは、次のようになります。For example, if you are provisioning users to LinkedIn Elevate, the navigation path to the application details is:

[Azure Active Directory] > [エンタープライズ アプリケーション] > [すべてのアプリケーション] > [LinkedIn Elevate]Azure Active Directory > Enterprise Applications > All applications > LinkedIn Elevate

ここから、以下で説明するプロビジョニング進行状況バーとプロビジョニング ログの両方にアクセスできます。From here, you can access both the provisioning progress bar and the provisioning logs, described below.

プロビジョニング進行状況バーProvisioning progress bar

プロビジョニング進行状況バーは、指定したアプリケーションの [プロビジョニング] タブに表示されます。The provisioning progress bar is visible in the Provisioning tab for given application. これは、 [設定] の下にある [現在の状態] セクションにあり、現在の初回サイクルまたは増分サイクルの状態を示します。It is located in the Current Status section underneath Settings, and shows the status of the current initial or incremental cycle. このセクションには、以下も表示されます。This section also shows:

  • ソース システムとターゲット システムの間で同期され、現時点でプロビジョニングの対象となっているユーザーとグループの総数。The total number of users and/groups that have been synchronized and are currently in scope for provisioning between the source system and the target system.
  • 同期が最後に実行された時間。The last time the synchronization was run. 同期は通常、初回サイクルが完了した後、20 分から 40 分間隔で行われます。Synchronizations typically occur every 20-40 minutes, after an initial cycle has completed.
  • 初回サイクルが完了したかどうか。Whether or not an initial cycle has been completed.
  • プロビジョニング プロセスが検疫の対象となったかどうかと、検疫状態になった理由 (たとえば、無効な管理者資格情報のためにターゲット システムとの通信に失敗した)。Whether or not the provisioning process has been placed in quarantine, and what the reason for the quarantine status is (for example, failure to communicate with target system due to invalid admin credentials).

[現在の状態] は、プロビジョニング ジョブの操作の正常性をチェックするために、管理者が最初に確認するものです。The Current Status should be the first place admins look to check on the operational health of the provisioning job.

 概要レポート

プロビジョニング ログ (プレビュー)Provisioning logs (preview)

プロビジョニング サービスによって実行されたアクティビティはすべて、Azure AD のプロビジョニング ログに記録されます。All activities performed by the provisioning service are recorded in the Azure AD provisioning logs. Azure portal で、 [Azure Active Directory] > [エンタープライズ アプリ] > [プロビジョニング ログ (プレビュー)] ( [アクティビティ] セクション内) を順に選択して、プロビジョニング ログにアクセスできます。You can access the provisioning logs in the Azure portal by selecting Azure Active Directory > Enterprise Apps > Provisioning logs (preview) in the Activity section. プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。You can search the provisioning data based on the name of the user or the identifier in either the source system or the target system. 詳細については、プロビジョニング ログ(プレビュー) に関する記事を参照してください。For details, see Provisioning logs (preview). 記録されるアクティビティ イベントの種類には、次のようなものがあります。Logged activity event types include:

トラブルシューティングTroubleshooting

プロビジョニング概要レポートとプロビジョニング ログは、管理者がユーザー アカウントのプロビジョニングに関するさまざまな問題をトラブルシューティングするときに重要な役割を果たします。The provisioning summary report and provisioning logs play a key role helping admins troubleshoot various user account provisioning issues.

自動ユーザー プロビジョニングをトラブルシューティングする方法のシナリオ ベースのガイダンスについては、「アプリケーションに対するユーザーの構成およびプロビジョニングに関する問題」を参照してください。For scenario-based guidance on how to troubleshoot automatic user provisioning, see Problems configuring and provisioning users to an application.

その他のリソースAdditional Resources