Microsoft Entra プロビジョニング サービスは、ソース システムとターゲット システムに対して初回プロビジョニング サイクルを実行した後、増分サイクルを定期的に行います。 アプリのプロビジョニングを構成するときに、現在のプロビジョニング サービスの状態をチェックすることで、ユーザーがいつ頃アプリにアクセスできるようになるかを予想できます。
プロビジョニング進行状況バーを確認する
アプリの [ プロビジョニング ] ページで、Microsoft Entra プロビジョニング サービスの状態を表示できます。 ページの下部にある [ 現在の状態] セクションには、プロビジョニング サイクルがユーザー アカウントのプロビジョニングを開始したかどうかを示します。 サイクルの進行状況を監視して、プロビジョニング済みのユーザーとグループの数を確認したり、作成されたロールの数を確認したりすることができます。
自動プロビジョニングを最初に構成すると、ページの下部にある [ 現在の状態] セクションに、初期プロビジョニング サイクルの状態が表示されます。 増分サイクルが実行されるたびに、このセクションが更新されます。 次の情報が表示されます。
- 現在実行されているプロビジョニング サイクルまたは最後に完了したプロビジョニング サイクルの種類 (初回または増分)。
- 完了したプロビジョニング サイクルの割合を示す 進行状況バー 。 このパーセンテージは、プロビジョニングされたページの数を表します。 各ページには複数のユーザーまたはグループが含まれている可能性もあるため、プロビジョニングされたユーザー、グループ、ロールの数とこのパーセンテージとの間に、直接的な相関関係はありません。
- ビューの更新を維持するために使用できる [更新 ] ボタン。
- コネクタ データ ストア内の ユーザー と グループ の数。 この数は、オブジェクトがプロビジョニングのスコープに追加されるたびに増加します。 ユーザーが論理的に削除されたり、物理的に削除されたりしても、この操作によってコネクタ データ ストアからオブジェクトが削除されないため、数は減りません。 CDS がリセットされた後、最初の同期で数が再計算されます。
- Microsoft Entra プロビジョニング ログを開くためのプロビジョニングログの表示リンク。 個々のユーザーのプロビジョニング状態など、ユーザー プロビジョニング サービスによって実行される操作の詳細については、この記事の後半の 「プロビジョニング ログを使用する 」を参照してください。
プロビジョニング サイクルが完了すると、[ 統計終了日 ] セクションには、現在までにプロビジョニングされたユーザーとグループの累積数と、最後のサイクルの完了日と期間が表示されます。 アクティビティ ID は、最新のプロビジョニング サイクルを一意に識別します。 ジョブ ID はプロビジョニング ジョブの一意の識別子であり、テナント内のアプリに固有です。
プロビジョニングの進行状況は、Microsoft Entra 管理センターの Entra ID>Enterprise アプリ> [アプリケーション名] >プロビジョニングで表示されます。
Microsoft Graph を使用して、アプリケーションへのプロビジョニングの状態をプログラムで監視することもできます。 詳細については、プロビジョニングの監視を参照してください。
プロビジョニング ログを使用してユーザーのプロビジョニング状態を確認する
選択したユーザーのプロビジョニング状態を確認するには、Microsoft Entra ID の プロビジョニング ログを 参照してください。 ユーザー プロビジョニング サービスによって実行された操作はすべて、Microsoft Entra のプロビジョニング ログ に記録されます。 このログには、ソース システムとターゲット システムに対して実行された読み取りおよび書き込み操作が含まれます。 読み取りおよび書き込み操作に関連する関連ユーザー データもログに記録されます。
Microsoft Entra 管理センターでプロビジョニング ログにアクセスするには、[アクティビティ] セクションで >>Provisioning logs を選択します。 プロビジョニング データは、ユーザー名か、ソース システムまたはターゲット システムの識別子に基づいて検索できます。 詳細については、 プロビジョニング ログを参照してください。
プロビジョニング ログには、プロビジョニング サービスによって実行されたすべての操作が記録されます。これには、次の操作が含まれます。
- プロビジョニングの対象となる割り当て済みユーザーを Microsoft Entra ID で照会する
- これらのユーザーが存在するかどうかを対象となるアプリで照会する
- システム間でユーザー オブジェクトを比較する
- 比較に基づいて、対象のシステムのユーザー アカウントを追加または更新するか、無効にする
Microsoft Entra 管理センターでプロビジョニング ログを読み取る方法の詳細については、 プロビジョニング レポート ガイドを参照してください。
ユーザーをプロビジョニングするにはどのくらいの時間がかかりますか。
ユーザー、グループ、またはグループメンバーシップをプロビジョニングする時間は、いくつかの要因によって異なります。
- プロビジョニングのスコープ内のユーザー、グループ、およびグループ メンバーシップが多いほど、同期ジョブの完了にかかる時間は長くなります。 たとえば、10 グループの同期ジョブ (それぞれが 20,000 人のメンバーを持つ) は、20K メンバーのグループが 1 つの同期ジョブよりもプロビジョニングに時間がかかります。
- 同期スコープが "すべてのユーザーとグループを同期する" に設定されている場合、同期エンジンは初期サイクル中にテナント内のすべてのユーザーとグループを評価します。 これにより、同期エンジンはスコープ内のオブジェクトを特定できます。 その結果、ソース システム (Microsoft Entra ID など) に存在するユーザー、グループ、およびグループ メンバーの合計数がパフォーマンスに影響します。
- ソース システムの変更の数は、増分サイクル中に更新プログラムをプロビジョニングする時間に影響します。 プロビジョニングの対象ではないユーザーまたはグループに対する変更 (テナントまたはグループ メンバーシップで新しく作成されたユーザーなど) は、サービスが変更を評価してスキップする必要があるため、パフォーマンスに影響を与える可能性があります。 これは、スコープが "すべてのユーザーとグループを同期する" 場合に特に重要です
- ターゲット システムによって、要求レートの制限および調整が実装される場合があり、大規模な同期動作中にパフォーマンスに影響する可能性があります。 このような条件下では、高速で大量の要求を受信するアプリは応答レートが遅くなったり、接続が閉じたりする場合があります。 ギャラリー アプリケーションは、アプリケーション開発者が設定したレート制限に従うように構成され、管理者がプロビジョニングを構成する必要はありません。
- すべてのユーザーが初めて作成される同期ジョブは、すべてのユーザーが既存のユーザーと一致する同期ジョブの約 2 倍の時間がかかります。
- 特定の同期サイクルでプロビジョニング サービスが再試行する必要があるエラーの数は、パフォーマンスに影響します。 進行状況バーと プロビジョニング ログで エラーがないか確認し、修復します。
- 検疫中のプロビジョニングジョブは、頻度を低くして実行されます。 検疫の理由を確認し、修復して一般的な実行頻度を復元します。
構成 の同期割り当てユーザーとグループの場合のみ、次の数式を使用して、予想される おおよそ の最小サイクル時間と最大 初期サイクル 時間を決定できます。
- 最小時間 (分) = 0.01 x [割り当てられたユーザー、グループ、およびグループ メンバーの数]
- 最大時間 (分) = 0.08 x [割り当てられたユーザー、グループ、およびグループ メンバーの数]
ユーザーまたはグループをプロビジョニングする時間を短縮するための推奨事項:
-
assigned users and groups
ではなく、sync all users and groups
を同期するようにプロビジョニング スコープを設定します。 - プロビジョニングのスコープ内のユーザーとグループの数を最小化します。
- 同じシステムを対象とする複数のプロビジョニング ジョブを作成します。 これを行うと、各同期ジョブは個別に動作するため、変更を処理する時間が短縮されます。 1 つのジョブの変更が別のジョブに影響を与えることを回避するために、これらのプロビジョニング ジョブ間でユーザーのスコープが異なっていることを確認してください。
- スコープ フィルターを追加して、プロビジョニングのスコープ内のユーザーとグループの数をさらに制限します。 パフォーマンスが問題になり、テナント内のユーザーとグループのほとんどをプロビジョニングしようとしている場合は、スコープ フィルターを使用します。 スコープ フィルターによって、特定の属性値に基づいてユーザーがフィルター処理され、プロビジョニング サービスが Microsoft Entra ID から抽出するデータを細かく調整できるようになります。 スコープ フィルターの詳細については、「スコープ フィルターを 使用した属性ベースのアプリケーション プロビジョニング」を参照してください。
プロビジョニング構成に対する変更を監査する
プロビジョニング構成の変更は監査ログに記録されます。 アプリケーション管理者やレポート閲覧者など、必要なアクセス許可を持つユーザーは、監査ログ UI、API、PowerShell を使用してログにアクセスできます。 監査ログのアクティビティ フィルターを使用すると、次のアクションを確認できます。
注
ユーザーの作成、ユーザーの更新、ユーザーの削除など、プロビジョニング サービスが実行するアクションについては、 プロビジョニング ログを使用することをお勧めします。 プロビジョニング構成の変更を監視するには、 監査ログを使用することをお勧めします。
アクション | アクティビティ (このプロパティでログをフィルター処理します) |
---|---|
資格情報を更新する (例: 新しいベアラー トークンを追加する) | プロビジョニングの設定または資格情報を更新する |
プロビジョニング ジョブの設定 (例: 通知メール、すべて同期するか割り当てられたユーザーとグループを同期するか、誤削除の防止) を変更する | プロビジョニングの設定または資格情報を更新する |
プロビジョニングの開始 | プロビジョニング構成を有効化または開始する |
プロビジョニングの停止 | プロビジョニング構成を無効化または一時停止する |
プロビジョニングを再開する | プロビジョニング構成を有効化または再開する |
属性のマッピングまたはスコープの規則を更新する | 属性のマッピングまたはスコープを更新する |
次のステップ
Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する