ユーザー プロビジョニングの状態を確認する
Microsoft Entra プロビジョニング サービスは、ソース システムとターゲット システムに対して初回プロビジョニング サイクルを実行した後、増分サイクルを定期的に行います。 アプリのプロビジョニングを構成するときに、現在のプロビジョニング サービスの状態をチェックすることで、ユーザーがいつ頃アプリにアクセスできるようになるかを予想できます。
プロビジョニング進行状況バーを確認する
アプリの [プロビジョニング] ページで、Microsoft Entra プロビジョニング サービスの状態を確認できます。 プロビジョニング サイクルによってユーザー アカウントのプロビジョニングが開始されたかどうかは、ページ下部の [現在の状態] セクションに表示されます。 サイクルの進行状況を監視して、プロビジョニング済みのユーザーとグループの数を確認したり、作成されたロールの数を確認したりすることができます。
初めて自動プロビジョニングを構成するとき、ページ下部の [現在の状態] セクションに、初回プロビジョニング サイクルの状態が表示されます。 増分サイクルが実行されるたびに、このセクションが更新されます。 次の情報が表示されます。
- 現在実行されているプロビジョニング サイクルまたは最後に完了したプロビジョニング サイクルの種類 (初回または増分)。
- 完了したプロビジョニング サイクルのパーセンテージを示す進行状況バー。 このパーセンテージは、プロビジョニングされたページの数を表します。 各ページには複数のユーザーまたはグループが含まれている可能性もあるため、プロビジョニングされたユーザー、グループ、ロールの数とこのパーセンテージとの間に、直接的な相関関係はありません。
- [最新の情報に更新] ボタン。このボタンを使用して、常に最新の情報を表示することができます。
- コネクタ データ ストア内のユーザーとグループの数。 この数は、オブジェクトがプロビジョニングのスコープに追加されるたびに増加します。 ユーザーが論理的に削除されたり、物理的に削除されたりしても、この操作によってコネクタ データ ストアからオブジェクトが削除されないため、数は減りません。 この数は、CDS がリセットされた後の最初の同期で再計算されます。
- Microsoft Entra プロビジョニング ログを開く監査ログの表示リンク。 個々のユーザーのプロビジョニング状態を含め、ユーザー プロビジョニング サービスによって実行された全操作についての詳細を確認するには、本記事で後述するプロビジョニング ログの使用に関するセクションを参照してください。
プロビジョニング サイクルの完了後、現在までにプロビジョニングされた累積のユーザー数とグループ数が、完了日と最後のサイクルの期間と共に [現在までの統計情報] セクションに表示されます。 直近のプロビジョニング サイクルは、 [アクティビティ ID] によって一意に識別されます。 [ジョブ ID] は、プロビジョニング ジョブの一意識別子であり、テナント内のアプリに固有です。
プロビジョニングの進行状況は、[ID]>[アプリケーション]>[エンタープライズ アプリケーション]> [アプリケーション名] >[プロビジョニング] の Microsoft Entra 管理センターに表示されます。
Microsoft Graph を使用して、アプリケーションへのプロビジョニングの状態をプログラムで監視することもできます。 詳細については、「プロビジョニングを監視する」を参照してください。
プロビジョニング ログを使用してユーザーのプロビジョニング状態を確認する
選択したユーザーのプロビジョニングの状態を確認するには、Microsoft Entra ID のプロビジョニング ログを確認します。 ユーザー プロビジョニング サービスによって実行された操作はすべて、Microsoft Entra のプロビジョニング ログ に記録されます。 このログには、ソース システムとターゲット システムに対して実行された読み取りおよび書き込み操作が含まれます。 読み取りおよび書き込み操作に関連する関連ユーザー データもログに記録されます。
Microsoft Entra 管理センターのプロビジョニング ログには、[アクティビティ] セクションで [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[プロビジョニング ログ] の順に選択してアクセスできます。 プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。 詳細については、プロビジョニング ログに関する記事を参照してください。
プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。これには、次の操作が含まれます。
- プロビジョニングの対象となる割り当て済みユーザーを Microsoft Entra ID で照会する
- これらのユーザーが存在するかどうかを対象となるアプリで照会する
- システム間でユーザー オブジェクトを比較する
- 比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にする
Microsoft Entra 管理センターでプロビジョニング ログを確認する方法の詳細については、プロビジョニング レポートに関するガイドを参照してください。
ユーザーをプロビジョニングするにはどのくらいの時間がかかりますか。
アプリケーションで自動ユーザー プロビジョニングを使用する場合は、いくつかの点に留意する必要があります。 まず、Microsoft Entra ID はユーザーとグループの割り当てなどに基づいて、自動的にユーザー アカウントをアプリ内でプロビジョニングし、更新します。 同期は定期的にスケジュールされた間隔 (通常は 40 分ごと) に行われます。
特定のユーザーがプロビジョニングされるのにかかる時間は主に、プロビジョニング ジョブで実行されているのが初回サイクルか増分サイクルかによって異なります。
初回サイクルでは、ジョブ時間は、プロビジョニングのスコープ内のユーザーおよびグループの数、ソース システム内のユーザーおよびグループの合計数など多くの要因によって異なります。 Microsoft Entra ID とアプリの間の最初の同期は、早ければ 20 分、長ければ数時間かかります。 この時間は、Microsoft Entra ディレクトリのサイズと、プロビジョニングの対象となるユーザーの数によって異なります。 初回サイクルのパフォーマンスに影響する要因の包括的な一覧は、このセクションの後の方にまとめられています。
初回サイクル後の増分サイクルでは、初回サイクル後の両方のシステムの状態を表すウォーターマークがプロビジョニング サービスに保存されるため、ジョブの時間が短縮される傾向があり (10 分以内など)、後続の同期のパフォーマンスが改善されます。 ジョブ時間は、そのプロビジョニング サイクルで検出される変更の数によって異なります。 ユーザーまたはグループのメンバーシップの変更が 5,000 未満の場合、ジョブは 1 増分プロビジョニング サイクル内で終了できます。
次の表は、一般的なプロビジョニング シナリオの同期時間のまとめです。 これらのシナリオでは、ソース システムは Microsoft Entra ID、ターゲット システムは SaaS アプリです。 同期時間は、SaaS アプリである ServiceNow、Workplace、Salesforce、および G Suite の同期ジョブの統計分析から導かれています。
スコープ構成 | スコープ内のユーザー、グループ、およびメンバー | 初回サイクル時間 |
---|---|---|
割り当てられたユーザーとグループのみを同期する | < 1,000 | < 30 分 |
割り当てられたユーザーとグループのみを同期する | 1,000 ~ 10,000 | 142 ~ 708 分 |
割り当てられたユーザーとグループのみを同期する | 10,000 ~ 100,000 | 1,170 ~ 2,340 分 |
Microsoft Entra ID ですべてのユーザーとグループを同期する | < 1,000 | < 30 分 |
Microsoft Entra ID ですべてのユーザーとグループを同期する | 1,000 ~ 10,000 | <30 分 ~ 120 分 |
Microsoft Entra ID ですべてのユーザーとグループを同期する | 10,000 ~ 100,000 | 713 ~ 1,425 分 |
Microsoft Entra ID ですべてのユーザーを同期する | < 1,000 | < 30 分 |
Microsoft Entra ID ですべてのユーザーを同期する | 1,000 ~ 10,000 | 43 ~ 86 分 |
割り当てられたユーザーとグループのみを同期する構成では、次の式を使用して初回サイクルのおよその最小予測時間と最大予測時間を確認できます。
- 最小時間 (分) = 0.01 x [割り当てられたユーザー、グループ、およびグループ メンバーの数]
- 最大時間 (分) = 0.08 x [割り当てられたユーザー、グループ、およびグループ メンバーの数]
初回サイクルの完了に要する時間に影響する要因のまとめ:
プロビジョニングのスコープ内のユーザーとグループの合計数。
ソース システム (Microsoft Entra ID) に存在するユーザー、グループ、およびグループのメンバーの合計数。
プロビジョニングのスコープ内のユーザーがターゲット アプリケーション内の既存のユーザーと一致するかどうか、または新たに作成する必要があるかどうか。 すべてのユーザーを初めて作成する同期ジョブはすべてのユーザーが既存ユーザーと一致する同期ジョブの約 2 倍の時間がかかります。
プロビジョニング ログ内のエラーの数。 多くのエラーが発生し、プロビジョニング サービスが検疫状態に移行した場合、パフォーマンスは低下します。
ターゲット システムによって実装される要求レートの制限および調整。 ターゲット システムによって、要求レートの制限および調整が実装される場合があり、大規模な同期動作中にパフォーマンスに影響する可能性があります。 このような条件下では、高速で大量の要求を受信するアプリは応答レートが遅くなったり、接続が閉じたりする場合があります。 パフォーマンスを向上するために、アプリが処理できるよりも速くアプリ要求を送信しないようにコネクタによって調整する必要があります。 Microsoft がビルドしたプロビジョニング コネクタはこの調整を行います。
割り当てられたグループの数とサイズ。 割り当てられたグループの同期はユーザーの同期よりも時間がかかります。 割り当てられたグループの数とサイズの両方がパフォーマンスに影響します。 グループ オブジェクト同期用に有効にされたマッピングがアプリにある場合、グループ名やメンバーシップなどのグループ プロパティがユーザーの他に同期されます。 これらの同期はユーザー オブジェクトの同期のみの場合よりも時間がかかります。
パフォーマンスが問題になり、テナント内のユーザーとグループのほとんどをプロビジョニングしようとしている場合は、スコープ フィルターを使用します。 スコープ フィルターによって、特定の属性値に基づいてユーザーがフィルター処理され、プロビジョニング サービスが Microsoft Entra ID から抽出するデータを細かく調整できるようになります。 スコープ フィルターの詳細については、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
ほとんどの場合、増分サイクルは 30 分で完了します。 ただし、ユーザーの変更やグループメンバーシップの変更が数百または数千もある場合は、増分サイクルの時間は処理する変更の数に比例して増加し、数時間かかる場合があります。 同期によって割り当てられたユーザーとグループを使用し、プロビジョニングのスコープ内のユーザー/グループの数を最小限に抑えることで、同期時間を短縮できます。
ユーザーまたはグループをプロビジョニングする時間を短縮するための推奨事項:
sync all users and groups
ではなくassigned users and groups
を同期するようにプロビジョニング スコープを設定します。- プロビジョニングのスコープ内のユーザーとグループの数を最小化します。
- 同じシステムを対象とする複数のプロビジョニング ジョブを作成します。 これを行うと、各同期ジョブは個別に動作するため、変更を処理する時間が短縮されます。 1 つのジョブの変更が別のジョブに影響を与えることを回避するために、これらのプロビジョニング ジョブ間でユーザーのスコープが異なっていることを確認してください。
- スコープ フィルターを追加して、プロビジョニングのスコープ内のユーザーとグループの数をさらに制限します。
プロビジョニング構成に対する変更を監査する
プロビジョニング構成の変更は監査ログに記録されます。 必要なアクセス許可を持つユーザー (アプリケーション管理者やレポート閲覧者など) は、監査ログ UI、API、PowerShell を使用してログにアクセスできます。 監査ログのアクティビティ フィルターを使用すると、次のアクションを確認できます。
Note
プロビジョニング サービスで実行されるアクション (ユーザーの作成、ユーザーの更新、ユーザーの削除など) の場合は、プロビジョニング ログの使用をお勧めします。 プロビジョニング構成に対する変更を監視するには、監査ログの使用をお勧めします。
アクション | アクティビティ (このプロパティでログをフィルター処理します) |
---|---|
資格情報を更新する (例: 新しいベアラー トークンを追加する) | プロビジョニングの設定または資格情報を更新する |
プロビジョニング ジョブの設定 (例: 通知メール、すべて同期するか割り当てられたユーザーとグループを同期するか、誤削除の防止) を変更する | プロビジョニングの設定または資格情報を更新する |
プロビジョニングの開始 | プロビジョニング構成を有効化または開始する |
プロビジョニングの停止 | プロビジョニング構成を無効化または一時停止する |
プロビジョニングを再開する | プロビジョニング構成を有効化または再開する |
属性のマッピングまたはスコープの規則を更新する | 属性のマッピングまたはスコープを更新する |
次のステップ
Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化