次の方法で共有


Microsoft Entra ID のユーザーと一致しないアプリケーションのマッピングとユーザーを管理する

プロビジョニングまたはシングル サインオン (SSO) のために、既存のアプリケーションを Microsoft Entra ID と統合する場合、アプリケーションのデータ ストアに、Microsoft Entra ID のユーザーに対応していないユーザー、または Microsoft Entra ID のどのユーザーとも一致しないユーザーがいると判断される場合があります。

Microsoft Entra プロビジョニング サービスは、構成可能な一致ルールに依存して、Microsoft Entra ID のユーザーがアプリケーション内のユーザーに対応しているかどうかを判断し、Microsoft Entra ID ユーザーから一致するプロパティを持つユーザーをアプリケーションで検索します。 たとえば、一致するルールが、Microsoft Entra ID ユーザーの userPrincipalName 属性とアプリケーションの userName プロパティを比較するとします。 alice.smith@contoso.comuserPrincipalName 値を持つ Microsoft Entra ID のユーザーがアプリケーションのロールに割り当てられると、Microsoft Entra プロビジョニング サービスは、userName eq "alice.smith@contoso.com" などのクエリを使用してアプリケーションの検索を実行します。 アプリケーション検索でユーザーが一致しない場合は、Microsoft Entra プロビジョニング サービスはアプリケーションで新しいユーザーを作成します。

アプリケーションにユーザーがまだいない場合、このプロセスでは、Microsoft Entra ID で割り当てられているユーザーをアプリケーションのデータ ストアに設定します。 ただし、アプリケーションに既にユーザーが存在する場合は、2 つの状況が発生する可能性があります。 1 つ目は、アプリケーションにユーザー アカウントを持つユーザーが存在する可能性がありますが、一致が見つかりません。おそらく、ユーザーは alice.smith@contoso.com ではなく asmith@contoso.com としてアプリケーションで表されるため、Microsoft Entra プロビジョニング サービスが実行する検索では見つかりません。 このような状況では、アプリケーションでユーザーが重複する可能性があります。 2 つ目は、アプリケーションにユーザー アカウントを持つユーザーが存在し、Microsoft Entra ID にユーザーがいない場合があります。 このような状況では、Microsoft Entra プロビジョニング サービスはアプリケーション内のユーザーと対話しませんが、アプリケーションが Microsoft Entra ID をその唯一の ID プロバイダーとして使用するように構成されている場合、それらのユーザーはもうサインインできなくなります。アプリケーションは、Microsoft Entra ID でサインインするようにユーザーをリダイレクトします。 ただし、そのユーザーには Microsoft Entra ID のユーザーがありません。

Microsoft Entra ID と既存のアプリケーションのデータ ストアの間のこれらの不整合は、次のような多くの理由で発生する可能性があります:

  • アプリケーション管理者は、レコード人事ソースのシステムでは表されていないが、アプリケーションへのアクセスが必要な請負業者やベンダーなど、アプリケーションに直接ユーザーを作成しています。
  • ID と属性の変更 (名前を変更するユーザーなど) が Microsoft Entra ID またはアプリケーションに送信されなかったため、表現が一方または他のシステムで古くなっているか、または
  • 組織は、Windows Server AD と異なるコミュニティを持つアプリケーションを個別にプロビジョニングする ID 管理製品を使用していました。 たとえば、ストアの従業員はアプリケーション アクセスを必要としていましたが、Exchange メールボックスは必要ないため、ストアの従業員は Windows Server AD または Microsoft Entra ID で表されませんでした。

既存のユーザーとのアプリケーションへのプロビジョニングまたは SSO を有効にする前に、ユーザーが一致していることを確認し、一致しなかったアプリケーション ユーザーを調査して解決する必要があります。 この記事では、ユーザーが一致できなかったさまざまな状況を解決する方法のオプションについて説明します。

アプリケーションに存在する一致しなかったユーザーがいるかどうかを判断する

Microsoft Entra ID のユーザーと一致しないアプリケーション内のユーザーの一覧を既に特定している場合は、次のセクションに進んでください。

アプリケーション内のどのユーザーが Microsoft Entra ID のユーザーと一致しないかを判断する手順は、アプリケーションが Microsoft Entra ID とどのように統合されるかによって異なります。

  • SAP Cloud Identity Services を使用している場合は、既存の SAP Cloud Identity Services ユーザーが必要な一致する属性を持っていることを確認する手順は、「SAP Cloud Identity Services プロビジョニング チュートリアル」に従ってください。 このチュートリアルでは、SAP Cloud Identity Services から CSV ファイルにユーザーの一覧をエクスポートし、PowerShell を使用してそれらのユーザーを Microsoft Entra ID のユーザーと照合します。

  • アプリケーションで LDAP ディレクトリを使用している場合は、「LDAP ディレクトリ プロビジョニングのチュートリアル」の手順に従って、LDAP ディレクトリから既存のユーザーを収集します。 このチュートリアルでは、PowerShell を使用して、それらのユーザーを Microsoft Entra ID のユーザーと照合します。

  • SQL データベースを使用するアプリケーションや、アプリケーション ギャラリーでプロビジョニング サポートを持つアプリケーションなど、他のアプリケーションの場合は、チュートリアルに従って、アプリケーションの既存のユーザーを管理 手順を実行して、アプリケーションのユーザーと一致するユーザーが Microsoft Entra ID にあることを確認します。

  • プロビジョニング インターフェイスがない他のアプリケーションの場合は、チュートリアルに従って、プロビジョニング をサポートしていないアプリケーションのユーザーを管理し、Microsoft Entra ID にアプリケーションのユーザーと一致するユーザーが存在することを確認します。

これらのチュートリアルで提供されている PowerShell スクリプトが完了すると、アプリケーションのレコードが Microsoft Entra ID に含まれていない場合にエラーが表示されます。 アプリケーションのデータ ストアのユーザーのレコードのうち Microsoft Entra ID 内のユーザーとして見つからなかったものがある場合は、どのレコードが一致しなかったのかとその理由を調査し、次のセクションのいずれかのオプションを使用して一致の問題を解決する必要があります。

アプリケーションと Microsoft Entra ID の間でユーザーが一致することを確認するためのオプション

このセクションでは、アプリケーション内の一致しないユーザーに対処するためのいくつかのオプションを提供します。 組織の目標と、Microsoft Entra ID とアプリケーションの間のデータの問題に基づいて、各ユーザーに適したオプションを選択します。 特定のアプリケーションのすべてのユーザーをカバーできる 1 つのオプションがない場合があります。

オプション プロビジョニング前に必要な更新プログラム
アプリケーションからテスト ユーザーを削除する アプリケーション内のユーザー
アプリケーションから組織の一部でなくなった人のユーザーを削除する アプリケーション内のユーザー
アプリケーションからユーザーを削除し、Microsoft Entra ID から再作成する アプリケーション内のユーザー
アプリケーション内のユーザーの一致するプロパティを更新する アプリケーション内のユーザー
新しいプロパティを使用してアプリケーション内のユーザーを更新する アプリケーション内のユーザー
メール アドレスがユーザー プリンシパル名と一致しない場合に一致するルールまたはプロパティを変更する アプリケーションまたは Microsoft Entra アプリケーション一致規則のユーザー
Microsoft Entra ID のユーザーの一致する属性を更新する Microsoft Entra ID のユーザー
必要なユーザーと属性を同期するように Microsoft Entra Connect 同期またはクラウド同期のプロビジョニング規則を更新する Microsoft Entra ID のユーザーを更新する Microsoft Entra Connect Sync または Microsoft Entra クラウド同期
新しい属性を使用して Microsoft Entra ID のユーザーを更新する Microsoft Entra ID のユーザー
Microsoft Entra ID に既に設定されている別の属性に一致規則を変更する Microsoft Entra アプリケーションの一致規則
継続的なアプリケーション アクセスを必要とするアプリケーション内のユーザーに対して Windows Server AD でユーザーを作成する Windows Server AD のユーザー。ユーザーの Microsoft Entra ID を更新します
継続的なアプリケーション アクセスを必要とするアプリケーション内のユーザーに対して Microsoft Entra ID でユーザーを作成する Microsoft Entra ID のユーザー
アプリケーションと Microsoft Entra ID で個別で一致しないユーザーを維持する なし

アプリケーションからテスト ユーザーを削除する

初期デプロイから残されたテスト ユーザーがアプリケーションに存在する可能性があります。 不要になったユーザーがいる場合は、アプリケーションから削除できます。

アプリケーションから組織の一部でなくなった人のユーザーを削除する

ユーザーが組織に関連付けられなくなり、アプリケーションへのアクセスは不要になったが、アプリケーションのデータ ソースにユーザーが残ったままの可能性があります。 これは、アプリケーション管理者がユーザーの削除を省略した、または変更が必要であることを通知されなかった場合に発生する可能性があります。 ユーザーが不要になった場合は、アプリケーションから削除できます。

アプリケーションからユーザーを削除し、Microsoft Entra ID から再作成する

アプリケーションが現在広く使用されていない、またはユーザーごとの状態を維持していない場合は、一致しないユーザーがいないようにアプリケーションからユーザーを削除する方法もあります。 その後、ユーザーが Microsoft Entra ID でアプリケーションを要求または割り当てられると、アクセスがプロビジョニングされます。

アプリケーション内のユーザーの一致するプロパティを更新する

ユーザーがアプリケーションと Microsoft Entra ID に存在する可能性がありますが、アプリケーション内のユーザーに一致に必要なプロパティがないか、プロパティの値が正しくありません。

たとえば、SAP 管理者が管理コンソールを使用して SAP Cloud Identity Services にユーザーを作成した場合、ユーザーに userName プロパティがない可能性があります。 ただし、そのプロパティは、Microsoft Entra ID のユーザーとの照合に使用されるプロパティである可能性があります。 userName プロパティが照合を目的としている場合は、SAP 管理者が既存の SAP Cloud Identity Services ユーザーを更新して、userName プロパティの値を持つようにする必要があります。

別の例として、アプリケーション管理者は、ユーザーがアプリケーションに初めて追加されたときに、アプリケーション内のユーザーのプロパティ mail としてユーザーのメール アドレスを設定しています。 ただし、後でユーザーのメール アドレスと userPrincipalName は Microsoft Entra ID で変更されます。 ただし、アプリケーションがメール アドレスを必要としない場合、またはメール プロバイダーに古いメール アドレスの転送を許可するリダイレクトがあった場合、アプリケーション管理者は、アプリケーションのデータ ソースでプロパティ mail 更新する必要があることを見逃している可能性があります。 この不整合は、アプリケーション管理者がアプリケーションのユーザーの mail プロパティを現在の値に変更するか、次のセクションで説明するように一致規則を変更することで解決できます。

新しいプロパティを使用してアプリケーション内のユーザーを更新する

組織の以前の ID 管理システムによって、アプリケーション内のユーザーがローカル ユーザーとして作成されている可能性があります。 その時点で組織に 1 つの ID プロバイダーがなかった場合、アプリケーション内のユーザーは、他のシステムと関連付けるプロパティを必要としませんでした。 たとえば、以前の ID 管理製品では、権限のある HR ソースに基づいてアプリケーションにユーザーが作成されました。 その ID 管理システムは、アプリケーションで作成したユーザーと HR ソースとの間の相関関係を維持し、HR ソース識別子をアプリケーションに提供しませんでした。 後で、同じ HR ソースから設定された Microsoft Entra ID テナントにアプリケーションを接続しようとすると、Microsoft Entra ID には、アプリケーションと同じユーザー全員のユーザーが存在する可能性がありますが、共通のプロパティがないため、すべてのユーザーに対して一致が失敗します。

この一致の問題を解決するには、次の手順を実行します。

  1. アプリケーション内のユーザーの既存の未使用のプロパティを選択するか、アプリケーションのユーザー スキーマに新しいプロパティを追加します。
  2. Microsoft Entra ID のユーザーに既に存在する、従業員 ID 番号やメール アドレスなど、権限のあるソースからのデータをアプリケーション内のすべてのユーザーのそのプロパティに設定します。
  3. このプロパティが一致規則に含まれるように、アプリケーションの Microsoft Entra アプリケーション プロビジョニング属性マッピング構成 を更新します。

メール アドレスがユーザー プリンシパル名と一致しない場合に一致するルールまたはプロパティを変更する

既定では、アプリケーションの Microsoft Entra プロビジョニング サービス マッピングの一部は、アプリケーションの電子メール アドレス プロパティと一致するように userPrincipalName 属性を送信します。 一部の組織には、ユーザー プリンシパル名とは異なるユーザーのプライマリ メール アドレスがあります。 アプリケーションがメール アドレスを userPrincipalName ではなく、ユーザーのプロパティとして格納している場合は、アプリケーション内のユーザーを変更するか、一致規則を変更する必要があります。

  • Microsoft Entra ID からアプリケーションへのシングル サインオンを使用する場合は、userPrincipalName を保持するプロパティをユーザーに追加するようにアプリケーションを変更できます。 次に、アプリケーション内の各ユーザーのそのプロパティに Microsoft Entra ID のユーザーの userPrincipalName を設定し、このプロパティが一致規則に含まれるように Microsoft Entra アプリケーション プロビジョニング構成を更新します。
  • Microsoft Entra ID からのシングル サインオンを使用する予定がない場合は、Microsoft Entra アプリケーション プロビジョニング属性マッピング構成を更新して、一致規則の Microsoft Entra ユーザーのメール アドレス属性と一致させる方法があります。

Microsoft Entra ID のユーザーの一致する属性を更新する

場合によっては、照合に使用される属性の Microsoft Entra ID ユーザーの値が古くなっている場合があります。 たとえば、ユーザーは自分の名前を変更しましたが、名前の変更は Microsoft Entra ID ユーザーでは行われませんでした。

ユーザーが Microsoft Entra ID のみで作成および保守されている場合は、正しい属性を持つようユーザーを更新する必要があります。 ユーザー属性が Windows Server AD や HR ソースなどのアップストリーム システムで発生する場合は、アップストリーム ソースの値を変更し、変更が Microsoft Entra ID に表示されるまで待つ必要があります。

必要なユーザーと属性を同期するように Microsoft Entra Connect 同期またはクラウド同期のプロビジョニング規則を更新する

状況によっては、以前の ID 管理システムによって、Windows Server AD ユーザーに、別のアプリケーションとの照合属性として機能できる適切な属性が設定されている場合があります。 たとえば、以前の ID 管理システムが HR ソースに接続されている場合、AD ユーザーには、その以前の ID 管理システムによってユーザーの従業員 ID が設定された employeeId 属性があります。 別の例として、以前の ID 管理システムでは、アプリケーションの一意のユーザー ID が Windows Server AD スキーマの拡張属性として書き込まれています。 ただし、これらの属性のどちらも Microsoft Entra ID への同期のために選択されていない場合、またはユーザーが Microsoft Entra ID への同期の範囲外であった場合、ユーザー コミュニティの Microsoft Entra ID 表現が不完全である可能性があります。

この問題を解決するには、Microsoft Entra Connect 同期または Microsoft Entra クラウド同期の構成を変更して、アプリケーション内に存在する Windows Server AD のすべての適切なユーザーが Microsoft Entra ID にプロビジョニングされるスコープ内にあり、それらのユーザーの同期属性に一致する目的で使用される属性が含まれていることを確認する必要があります。 Microsoft Entra Connect 同期を使用している場合は、「Microsoft Entra Connect 同期: フィルターの構成」および「Microsoft Entra Connect 同期: フィルターの拡張機能」を参照してください。 Microsoft Entra クラウド同期を使用している場合は、「Microsoft Entra クラウド同期とクラウドの属性マッピング」および「クラウド同期ディレクトリ拡張機能のカスタム属性マッピング」を参照してください。

新しい属性を使用して Microsoft Entra ID のユーザーを更新する

場合によっては、アプリケーションは、ユーザーの Microsoft Entra ID スキーマに現在格納されていないユーザーの一意の識別子を保持することがあります。 たとえば、SAP Cloud Identity Services を使用している場合は、SAP ユーザー ID を一致する属性にしたい場合や、Linux システムを使用している場合は、Linux ユーザー ID を一致する属性にすることができます。 ただし、これらのプロパティは Microsoft Entra ID ユーザー スキーマの一部ではないため、Microsoft Entra ID のどのユーザーにも存在しない可能性があります。

照合に新しい属性を使用するには、次の手順を実行します。

  1. Microsoft Entra ID で既存の未使用の拡張属性を選択するか、新しい属性で Microsoft Entra ユーザー スキーマを拡張します。
  2. Microsoft Entra ID のすべてのユーザーに、アプリケーションや HR システムなどの権限のあるソースからのデータをその属性に設定します。 ユーザーが Windows Server AD から同期されている場合、または HR システムからプロビジョニングされている場合は、そのアップストリーム ソースでその変更を行う必要がある場合があります。
  3. Microsoft Entra アプリケーション プロビジョニング属性マッピング構成を更新し、一致規則にこの属性を含めます。

Microsoft Entra ID に既に設定されている別の属性に一致規則を変更する

アプリケーション ギャラリー内のアプリケーションの既定の一致規則は、userPrincipalName など、すべての Microsoft 顧客のすべての Microsoft Entra ID ユーザーに共通する属性に依存します。 これらの規則は、汎用テストや、現在ユーザーがいない新しいアプリケーションへのプロビジョニングに適しています。 ただし、多くの組織では、従業員 ID など、組織に関連する他の属性を Microsoft Entra ID ユーザーに既に設定している可能性があります。 一致に適した別の属性がある場合は、Microsoft Entra アプリケーション プロビジョニング属性マッピング構成を更新し、一致規則にこの属性を含めます。

HR ソースから Microsoft Entra ID への受信プロビジョニングを構成する

理想的には、複数のアプリケーションにユーザーを個別にプロビジョニングしている組織は、HR システムなどの権限のあるソースから派生したユーザーの共通識別子に依存する必要があります。 多くの HR システムには、2 人の従業員が同じ従業員 ID を持たないように一意として扱うことができる employeeId など、識別子と同様に機能するプロパティがあります。 Workday や SuccessFactors などの HR ソースがある場合、そのソースから employeeId などの属性を取り込むことは、多くの場合、適切な一致規則を作成できます。

権限のあるソースから取得した値を持つ属性を照合に使用するには、次の手順を実行します。

  1. 適切な Microsoft Entra ID ユーザー スキーマ属性を選択するか、新しい属性を使用して Microsoft Entra ユーザー スキーマを拡張します。その値は、アプリケーション内のユーザーの同等のプロパティに対応します。
  2. Microsoft Entra ID とアプリケーションにユーザーがいるすべてのユーザーの HR ソースにもプロパティが存在することを確認します。
  3. HR ソースから Microsoft Entra ID への受信プロビジョニングを構成します。
  4. Microsoft Entra ID のユーザーが新しい属性で更新されるまで待ちます。
  5. Microsoft Entra アプリケーション プロビジョニング属性マッピング構成を更新し、一致規則にこの属性を含めます。

継続的なアプリケーション アクセスを必要とするアプリケーション内のユーザーに対して Windows Server AD でユーザーを作成する

権限のある HR ソースのユーザーに対応していないが、今後 Windows Server AD ベースのアプリケーションと Microsoft Entra ID 統合アプリケーションの両方にアクセスする必要があるアプリケーションのユーザーが存在し、組織が Microsoft Entra Connect 同期または Microsoft Entra クラウド同期を使用して Windows Server AD から Microsoft Entra ID にユーザーをプロビジョニングしている場合、その後、Windows Server AD で、まだ存在していないユーザーごとにユーザーを作成できます。

ユーザーが Windows Server AD ベースのアプリケーションにアクセスする必要がない場合は、次のセクションで説明するように、Microsoft Entra ID でユーザーを作成します。

継続的なアプリケーション アクセスを必要とするアプリケーション内のユーザーに対して Microsoft Entra ID でユーザーを作成する

権限のある HR ソースのユーザーに対応していないが、継続的なアクセスが必要であり、Microsoft Entra から管理されるアプリケーションのユーザーがいる場合は、Microsoft Entra ユーザーを作成できます。 次のいずれかを使用して、ユーザーを一括で作成できます。

これらの新しいユーザーに、Microsoft Entra ID が後でアプリケーション内の既存のユーザーと一致するために必要な属性と、Microsoft Entra ID で必要な属性 (userPrincipalNamemailNicknamedisplayName を含む) が設定されていることを確認します。 userPrincipalName は、ディレクトリ内のすべてのユーザー間で一意である必要があります。

PowerShell を使用したユーザーの一括作成

このセクションでは、Microsoft Graph PowerShell コマンドレットを使用して Microsoft Entra ID を操作する方法を示します。

このシナリオのために組織でこれらのコマンドレットを初めて使用する場合は、テナントで Microsoft Graph PowerShell を使用できるように、グローバル管理者ロールである必要があります。 後続の対話では、ユーザー管理者などの低い特権ロールを使用できます。

  1. Microsoft Entra ID に含まれていないアプリケーションのユーザーを特定した PowerShell セッションが既にある場合は、次の手順 6 に進みます。 それ以外の場合は、PowerShell を開きます。

  2. Microsoft Graph PowerShell モジュールがまだインストールされていない場合は、次のコマンドを使用して Microsoft.Graph.Users モジュールなどをインストールします。

    Install-Module Microsoft.Graph
    

    これらのモジュールが既にインストールされている場合は、最新バージョンを使用していることを確認します。

    Update-Module microsoft.graph.users,microsoft.graph.identity.governance,microsoft.graph.applications
    
  3. Microsoft Entra ID に接続します。

    $msg = Connect-MgGraph -ContextScope Process -Scopes "User.ReadWrite.All"
    
  4. このコマンドを初めて使用する場合は、Microsoft Graph コマンド ライン ツールにこれらのアクセス許可を付与することを許可する必要があります。

  5. PowerShell 環境に、アプリケーションのユーザーの配列を取り込みます。この配列には、Microsoft Entra ID の必須属性であるフィールド (ユーザー プリンシパル名、メール ニックネーム、ユーザーのフル ネーム) も含まれます。 このスクリプトでは、配列 $dbu_not_matched_list に、一致しなかったアプリケーションのユーザーが含まれていることを前提としています。

    $filename = ".\Users-to-create.csv"
    $bu_not_matched_list = Import-Csv -Path $filename -Encoding UTF8
    
  6. 作成するユーザーの配列のどの列が Microsoft Entra ID 必須プロパティに対応するかを PowerShell セッションで指定します。 たとえば、EMail という名前の列の値が Microsoft Entra のユーザー プリンシパル名として使用したい値であり、列 Alias の値に Microsoft Entra ID のメール ニックネームが含まれ、列 Full name の値にユーザーの表示名が含まれているようなユーザーが、データベースに存在する場合があります。

    $db_display_name_column_name = "Full name"
    $db_user_principal_name_column_name = "Email"
    $db_mail_nickname_column_name = "Alias"
    
  7. テキスト エディターで次のスクリプトを開きます。 このスクリプトを変更して、アプリケーションで必要な Microsoft Entra 属性を追加し、または $azuread_match_attr_namemailNickname でも userPrincipalName でもない場合は、その Microsoft Entra 属性を指定する必要があります。

    $dbu_missing_columns_list = @()
    $dbu_creation_failed_list = @()
    foreach ($dbu in $dbu_not_matched_list) {
       if (($null -ne $dbu.$db_display_name_column_name -and $dbu.$db_display_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_user_principal_name_column_name -and $dbu.$db_user_principal_name_column_name.Length -gt 0) -and
           ($null -ne $dbu.$db_mail_nickname_column_name -and $dbu.$db_mail_nickname_column_name.Length -gt 0)) {
          $params = @{
             accountEnabled = $false
             displayName = $dbu.$db_display_name_column_name
             mailNickname = $dbu.$db_mail_nickname_column_name
             userPrincipalName = $dbu.$db_user_principal_name_column_name
             passwordProfile = @{
               Password = -join (((48..90) + (96..122)) * 16 | Get-Random -Count 16 | % {[char]$_})
             }
          }
          try {
            New-MgUser -BodyParameter $params
          } catch { $dbu_creation_failed_list += $dbu; throw }
       } else {
          $dbu_missing_columns_list += $dbu
       }
    }
    
  8. テキスト エディターから生成されたスクリプトを PowerShell セッションに貼り付けます。 エラーが発生した場合は、続行する前に修正する必要があります。

アプリケーションと Microsoft Entra ID で個別で一致しないユーザーを維持する

アプリケーションのデータ ソースに、Microsoft Entra ID の特定のユーザーに対応していないスーパー管理者ユーザーが存在する可能性があります。 ユーザーに対して Microsoft Entra ユーザーを作成しない場合、それらのユーザーは Microsoft Entra ID または Microsoft Entra ID ガバナンスから管理できなくなります。 これらのユーザーは Microsoft Entra ID でサインインできないため、Microsoft Entra ID を ID プロバイダーとして使用するようにアプリケーションを構成する場合は、それらのユーザーが認証に Microsoft Entra ID を使用する範囲外であることを確認してください。

ユーザーの再エクスポート

Microsoft Entra ユーザー、アプリケーション内のユーザー、または Microsoft Entra アプリケーション一致規則を更新した後、すべてのユーザーが関連付けられるように、アプリケーションの照合手順を再度エクスポートして実行する必要があります。

  • SAP Cloud Identity Services を使用している場合は、既存の SAP Cloud Identity Services ユーザーが必要な一致する属性を持っていることを確認するには、「SAP Cloud Identity Services プロビジョニング チュートリアル」の手順から始めてください。 このチュートリアルでは、SAP Cloud Identity Services から CSV ファイルにユーザーの一覧をエクスポートし、PowerShell を使用してそれらのユーザーを Microsoft Entra ID のユーザーと照合します。

  • アプリケーションで LDAP ディレクトリを使用している場合は、「LDAP ディレクトリ プロビジョニングのチュートリアル」の手順から開始して、LDAP ディレクトリから既存のユーザーを収集します。

  • SQL データベースを使用するアプリケーションや、アプリケーション ギャラリーでプロビジョニング サポートを持つアプリケーションなど、他のアプリケーションの場合は、チュートリアルに従って、アプリケーションから既存のユーザーを収集する手順から開始して、アプリケーションの既存のユーザーを管理します

アプリケーション ロールにユーザーを割り当ててプロビジョニングを有効にする

必要な更新を完了し、アプリケーションのすべてのユーザーが Microsoft Entra ID のユーザーと一致することを確認したら、アプリケーションへのアクセスが必要な Microsoft Entra ID のユーザーを Microsoft Entra アプリケーション アプリ ロールに割り当ててから、アプリケーションへのプロビジョニングを有効にする必要があります。

次のステップ