【Entra ID】プロビジョニングが止まる時の属性マッピングと対象スコープ確認

Entra IDのプロビジョニングは、ユーザーアカウントの作成や更新を自動化する重要な機能ですが、突然停止してしまうことがあります。停止の原因として、属性マッピングの不整合や対象スコープの設定ミスが多く見られます。本記事では、プロビジョニングが止まった際に確認すべき属性マッピングと対象スコープのチェックポイントを、具体的な手順とともに解説します。切り分けの軸を理解し、適切な対処を行えるようにしましょう。

プロビジョニングが止まる代表的な原因

プロビジョニング停止の原因は多岐にわたりますが、特に多いのが属性マッピングの設定ミスとスコープフィルターの適用範囲の誤りです。以下の表に代表的な原因とその症状、確認ポイントをまとめました。

原因	症状	確認ポイント
属性マッピングの不整合	プロビジョニングエラー、ユーザー作成失敗	マッピングルールの確認、特に必須属性と形式
スコープフィルターの設定ミス	一部ユーザーだけが同期されない	スコープフィルターの条件とグループ割り当て
ソース属性の欠落	必須属性が空で同期エラー	ソース側の属性値の存在確認
ターゲットアプリの更新	API変更によりマッピングが対応しない	サポート対象バージョンの確認

属性マッピングの確認手順

属性マッピングの設定を確認する

1. Entra ID管理センター(https://entra.microsoft.com)にサインインします。
2. 左メニューから「Identity」→「外部ID」→「クロステナント同期」を選択し、該当のプロビジョニング対象アプリケーションを開きます。
3. 「プロビジョニング」セクションで「属性マッピング」をクリックします。
4. 表示されたマッピング一覧で、各属性のソースとターゲット、適用条件を確認します。特に「userPrincipalName」や「mail」などの主要属性が正しくマッピングされているかチェックします。
5. エラーが発生している属性がある場合、編集アイコンをクリックして既定値の設定やデータ変換関数を追加します。たとえば、電話番号が未設定の場合に「未登録」という文字列を挿入する既定値を設定します。
6. 変更を保存し、プロビジョニングの再実行を手動で行います(「オンデマンドプロビジョニング」機能を使用すると即座に確認できます)。

属性値の不一致を確認する方法

属性マッピングでエラーが出る場合、ソースの属性値がターゲットで要求される形式と一致していないことが原因です。たとえば、電話番号の国コード(+81)の有無や、日付形式の違いなどが典型的です。プロビジョニングログでエラー内容を確認し、該当ユーザーの属性値をソース側で修正してください。修正後は再同期が自動的に行われますが、すぐに確認したい場合はオンデマンドプロビジョニングを利用します。

対象スコープの確認手順

スコープフィルターの設定を確認する

1. 同じ「プロビジョニング」セクションで「スコープフィルター」をクリックします。
2. 現在設定されているフィルター条件を確認します。たとえば「部門 等しい 営業部」のような条件が指定されている場合、営業部以外のユーザーは同期対象外となります。
3. 同期から漏れているユーザーが存在する場合、そのユーザーがフィルター条件に該当するかどうかを確認します。
4. 必要に応じて条件を追加または削除し、保存します。たとえば、特定のグループのみを同期する場合は「グループ 含む」条件を追加します。
5. スコープが「すべてのユーザーとグループ」ではなく「割り当てられたユーザーのみ」に設定されている場合、プロビジョニング対象のユーザーがアプリケーションに割り当てられているか確認します。

スコープの適用範囲を確認する

スコープ設定には「すべてのユーザーとグループ」「割り当てられたユーザーとグループのみ」「特定のグループのみ」などがあります。想定と異なる範囲になっていないか確認してください。特に「割り当てられたユーザーのみ」の場合、プロビジョニング対象のユーザーがアプリケーションに割り当てられていないと同期されません。割り当ての確認は、アプリケーションの「ユーザーとグループ」メニューから行えます。

プロビジョニングログの見方とエラー判断

ログの確認手順

1. Entra ID管理センターで「Identity」→「外部ID」→「プロビジョニングログ」を開きます。
2. 日付範囲やステータス(「失敗」など)でフィルタリングし、該当するジョブのログエントリを選択します。
3. エラーの詳細を展開し、「属性マッピングエラー」や「スコープ除外」などのメッセージを確認します。
4. 表示されたエラーコードと推奨アクションに従い、必要に応じて属性マッピングやスコープフィルターを修正します。

代表的なエラーメッセージと対処

エラーメッセージ	原因	対処法
AttributeMappingError	ソースとターゲットの属性値が一致しない(形式やドメインの違い)	属性マッピングで変換関数を使用するか、ソースの属性値を修正
ScopeFilterExcludedUser	ユーザーがスコープフィルターで除外された	フィルター条件を見直し、該当ユーザーを含めるよう修正
MissingRequiredAttribute	必須属性(例:userPrincipalName)が欠落している	該当ユーザーに属性を追加するか、既定値を設定

失敗パターンとその対処法

よくある失敗例

実際の現場でよく見られる失敗パターンをいくつか紹介します。

• パターン1: 属性マッピングで既定値が設定されていないため、null値がエラーとなる。対策は、各属性に適切な既定値を設定することです。たとえば、電話番号が空の場合に「000-000-0000」を入れるなどの対応をします。
• パターン2: スコープフィルターで「userPrincipalName」にドメイン条件を入れたが、テナント間でUPNが異なる。対策として、代替の識別属性(employeeIdなど)をマッピングに使用します。
• パターン3: プロビジョニングが一時停止状態になったが、手動再開を忘れて気づかない。対策は、ダッシュボードで状態確認を習慣化し、アラート通知を設定することです。

管理者に確認すべき設定(再発防止)

設計段階での確認事項

プロビジョニング設定を変更する前に、以下の項目を管理者と確認しておくと再発防止につながります。

• 使用する属性マッピングの適切性(特にメールや電話番号の形式)
• スコープフィルターのビジネス要件との整合性(どのユーザーを同期するのか)
• プロビジョニングの間隔と頻度の設定(通常40分ごと)
• エラー通知の設定(メールアラートやTeamsへの通知)

変更時の注意点

属性マッピングやスコープを変更すると、次回の同期サイクルから即座に影響します。誤った変更はユーザーアカウントの削除や属性上書きを引き起こす可能性があるため、必ず小規模なテストグループで検証してから本番に展開してください。運用中に変更が必要な場合は、事前に関係者に周知し、影響範囲を把握した上で実施します。

まとめ

プロビジョニングが止まった場合、まずはプロビジョニングログを確認し、属性マッピングとスコープフィルターを重点的にチェックします。多くのトラブルは設定の見落としや想定と異なる値が原因です。定期的なログの監視と、変更前の検証を徹底することで、安定したプロビジョニング運用が可能になります。本記事の手順を参考に、原因を特定し、適切な対処を行ってください。また、管理者権限が必要な操作は適切に依頼し、安全にトラブルシューティングを進めてください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。