Microsoft Entra プロビジョニングログをダウンロードして分析する方法

Microsoft Entra プロビジョニングログには、テナントで発生するプロビジョニングイベントに関する詳細が示されます。プロビジョニングログにキャプチャされた情報を使用して、プロビジョニングされているユーザーに関する問題のトラブルシューティングに役立てることができます。

この記事では、Microsoft Entra 管理センターからプロビジョニングログをダウンロードするためのオプションと、ログを分析する方法について説明します。エラーコードと特別な考慮事項も含まれています。

Prerequisites

Microsoft Entra ID P1 または P2 ライセンスが関連付けられている動作中の Microsoft Entra テナント。
レポート閲覧者は、プロビジョニングログにアクセスするために必要な最小限の特権ロールです。
アプリケーション所有者は、自分が所有するログアプリケーションを表示することもできます。
- タスクごとの最小特権ロールについては、ロールの完全な一覧を参照してください。

プロビジョニングログの表示方法

プロビジョニングログを表示または分析するには、いくつかの方法があります。

Microsoft Entra 管理センターで表示します。
診断設定を使用して Azure Monitor にログをストリーミングします。
ワークブックテンプレートを使用してログを分析します。
Microsoft Graph API を使用してプログラムでログにアクセスします。
ログを CSV または JSON ファイルとしてダウンロードします。

Microsoft Entra 管理センターでログにアクセスするには:

Microsoft Entra 管理センターに、少なくともレポート閲覧者としてサインインします。
Entra ID>監視& 正常性>プロビジョニングログを参照します。

プロビジョニングログをダウンロードする方法

プロビジョニングログをダウンロードするには、[プロビジョニングログ] ページから [ダウンロード] を選択します。ダウンロードのサイズと時間を削減するために、フィルターはできるだけ具体的に設定してください。

プロビジョニングログのダウンロードボタンのスクリーンショット。

CSV format

CSV のダウンロードには、次の 3 つのファイルが含まれます。

ProvisioningLogs: プロビジョニング手順と変更されたプロパティを除くすべてのログをダウンロードします。
ProvisioningLogs_ProvisioningSteps: プロビジョニング手順と変更 ID が含まれています。変更 ID を使用すると、イベントを他の 2 つのファイルと結合できます。
ProvisioningLogs_ModifiedProperties: 変更された属性と変更 ID が含まれます。変更 ID を使用すると、イベントを他の 2 つのファイルと結合できます。

JSON format

JSON ファイルを開くには、 Microsoft Visual Studio Code などのテキストエディターを使用します。 Visual Studio Code では構文の強調表示があるため、ファイルが読み取りやすくなります。また、Microsoft Edge などの編集できない形式のブラウザーを使用して JSON ファイルを開くこともできます。

JSON ファイルを読みやすくする

JSON ファイルは、ダウンロードのサイズを削減するための形式でダウンロードされます。この形式では、ペイロードが読みにくくなる場合があります。ファイルを準備するには、次の 2 つのオプションがあります:

Visual Studio Code を使用して JSON を書式設定します。
PowerShell を使用して JSON を書式設定する。このスクリプトによって、JSON はタブとスペースを含む形式で出力されます。

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

$JSONContent | ConvertTo-Json > <PATH TO OUTPUT THE JSON FILE>

JSON ファイルを解析する

使い慣れた任意のプログラミング言語を使用できます。 PowerShell の例を以下に示します。

JSON ファイルを読み取る:

$JSONContent = Get-Content -Path "<PATH TO THE PROVISIONING LOGS FILE>" | ConvertFrom-JSON

これで、自分のシナリオに従ってデータを解析できます。いくつかの例を次に示します。

JSON ファイル内のすべてのジョブ ID を出力します。

foreach ($provitem in $JSONContent) { $provitem.jobId }

アクションが "create" であったイベントのすべての変更 ID を出力します。

foreach ($provitem in $JSONContent) {
   if ($provItem.action -eq 'Create') {
       $provitem.changeId
   }
}

知っておくべきこと

プロビジョニングログを分析するためのいくつかのヒントと考慮事項を以下に示します:

報告されたプロビジョニングデータは、Premium Edition の場合は 30 日間、Free Edition の場合は 7 日間、Microsoft Entra 管理センターに保存されます。プロビジョニングログは、30 日を超えて保持するために Azure Monitor ログにルーティングできます。
変更 ID 属性を一意の識別子として使用できるので、製品サポートとやり取りするときに役立ちます。
スコープに含まれていないユーザーの場合、スキップされたイベントが表示されることがあります。
- 例 1: スコープを all users and groups に設定し、スコープフィルタをセットアップしている場合、スコープ抽出条件を満たしていないユーザーのスキップされたログが表示されることがあります。
- 例 2: スコープを assigned users and groups に設定している場合、ユーザーがアプリケーションに割り当てられていなくても、ログ内のユーザーがスキップ済みとして表示され続ける可能性があります。プロビジョニングサービスがディレクトリから変更を受け取る方法により、これらのユーザーが表示されます。
プロビジョニングログには、ロールのインポートは表示されません (アマゾンウェブサービス、Salesforce、Zendesk に適用されます)。ロールのインポートのログは、監査ログで確認できます。
一部のエラーコードには、名前に AzureActiveDirectory が含まれています。これらのエラーコードは Microsoft Entra ID を参照していますが、Azure Active Directory からブランドを変更できませんでした。

Error codes

次の表を利用して、プロビジョニングログに記録されているエラーの解決方法をより深く理解してください。

Error code	Description
Conflict, EntryConflict	Microsoft Entra ID またはアプリケーションで、競合している属性値を修正してください。または、競合しているユーザーアカウントが一致し、取って代わられたと思われるかどうか、一致する属性の構成を確認します。一致する属性の構成の詳細については、「 Microsoft Entra ID で SaaS アプリケーションのユーザープロビジョニング属性マッピングをカスタマイズする」を参照してください。
TooManyRequests	ターゲットアプリは多すぎる要求を受け取っているため、ユーザーを更新するこの試行を拒否しました。行うことは何もありません。この試行は自動的に再試行され、この問題が Microsoft に通知されました。
InternalServerError	ターゲットアプリから予期しないエラーが返されました。ターゲットアプリケーションに関するサービスの問題によって、その動作が妨げられている可能性があります。この試行は 40 分で自動的に再試行されます。
InsufficientRights, MethodNotAllowed, NotPermitted, Unauthorized	Microsoft Entra ID はターゲットアプリケーションによって認証されましたが、更新を実行する権限がありませんでした。ターゲットアプリケーションによって提供された手順と、それぞれのアプリケーションを確認してください。詳細については、アプリケーションと Microsoft Entra ID の統合に関するチュートリアルを参照してください。
UnprocessableEntity	ターゲットアプリケーションが予期しない応答を返しました。ターゲットアプリケーションの構成が正しくないか、ターゲットアプリケーションに関するサービスの問題によって、その動作が妨げられている可能性があります。
WebExceptionProtocolError	ターゲットアプリケーションへの接続中に HTTP プロトコルエラーが発生しました。行うことは何もありません。この試行は 40 分で自動的に再試行されます。
InvalidAnchor	プロビジョニングサービスによって以前作成または照合されたユーザーは存在しなくなりました。そのユーザーが存在することを確認してください。すべてのユーザーの新しい照合を強制するには、Microsoft Graph API を使用してジョブを再起動します。プロビジョニングを再開すると初期サイクルがトリガーされ、完了するまで時間がかかる場合があります。また、プロビジョニングを再開することで、プロビジョニングサービスによって操作に使用されるキャッシュも削除されます。これは、テナント内のすべてのユーザーとグループを再評価する必要があること、および特定のプロビジョニングイベントが削除される可能性があることを意味します。
NotImplemented	ターゲットアプリから予期しない応答が返されました。アプリの構成が正しくないか、ターゲットアプリに関するサービスの問題によって、その動作が妨げられている可能性があります。ターゲットアプリケーションによって提供された手順と、それぞれのアプリケーションを確認してください。詳細については、アプリケーションと Microsoft Entra ID の統合に関するチュートリアルを参照してください。
MandatoryFieldsMissing, MissingValues	必須の値がないため、ユーザーを作成できませんでした。ソースレコード内の不足している属性値を修正するか、一致する属性の構成を調べて、必須フィールドが省略されていないことを確認してください。詳細については、「 Microsoft Entra ID で SaaS アプリケーションのユーザープロビジョニング属性マッピングをカスタマイズする」を参照してください。
SchemaAttributeNotFound	ターゲットアプリケーションに存在しない属性が指定されたため、操作を実行できませんでした。「Microsoft Entra ID で SaaS アプリケーションのユーザープロビジョニング属性マッピングをカスタマイズする」を参照して、構成が正しいことを確認します。
InternalError	Microsoft Entra プロビジョニングサービス内で内部サービスエラーが発生しました。行うことは何もありません。この試行は 40 分で自動的に再試行されます。
InvalidDomain	属性値に無効なドメイン名が含まれているため、操作を実行できませんでした。ユーザーのドメイン名を更新するか、ターゲットアプリケーションの許可リストにそのドメイン名を追加します。
Timeout	ターゲットアプリケーションが応答するのに時間がかかりすぎたため、操作を完了できませんでした。行うことは何もありません。この試行は 40 分で自動的に再試行されます。
LicenseLimitExceeded	このユーザーが使用できるライセンスがないため、ターゲットアプリケーションでユーザーを作成できませんでした。ターゲットアプリケーションの追加ライセンスを購入してください。または、ユーザーの割り当てと属性マッピングの構成を調べて、正しい属性で正しいユーザーが割り当てられていることを確認してください。
DuplicateTargetEntries	ターゲットアプリケーションの複数のユーザーに、構成済みの一致する属性があると検出されたため、操作を完了できませんでした。重複しているユーザーをターゲットアプリケーションから削除するか、属性マッピングを再構成してください。詳細については、「 Microsoft Entra ID で SaaS アプリケーションのユーザープロビジョニング属性マッピングをカスタマイズする」を参照してください。
DuplicateSourceEntries	複数のユーザーに、構成済みの一致する属性があると検出されたため、操作を完了できませんでした。重複しているユーザーを削除するか、属性マッピングを再構成してください。詳細については、「 Microsoft Entra ID で SaaS アプリケーションのユーザープロビジョニング属性マッピングをカスタマイズする」を参照してください。
ImportSkipped	システムでは、各ユーザーが評価されるときに、ソースシステムからのそのユーザーのインポートが試みられます。このエラーが発生するのは一般的に、インポートされるユーザーが、属性マッピングで定義されている一致するプロパティを持っていない場合です。一致する属性のユーザーオブジェクトに値が指定されていない場合、システムではスコープ、一致、またはエクスポートの変更を評価することはできません。このエラーが発生したとしても、ユーザーのスコープをまだ評価していないため、このユーザーがスコープ内にあることを示すものではありません。
EntrySynchronizationSkipped	プロビジョニングサービスによってソースシステムに対するクエリが正常に実行され、ユーザーが識別されました。ユーザーに対してこれ以上の操作は行われず、スキップされました。ユーザーがスコープ外にあるか、ユーザーがターゲットシステムに既に存在していて、それ以上の変更は必要でない可能性があります。
SystemForCrossDomainIdentity ManagementMultipleEntriesInResponse	ユーザーまたはグループを取得する GET 要求に対し、複数のユーザーまたはグループが応答で受信されました。システムでは、1 つのユーザーまたはグループだけを応答で受信することが想定されています。たとえば、 GET グループ要求を実行してグループを取得し、メンバーを除外するフィルターを指定し、System for Cross-Domain Identity Management (SCIM) エンドポイントがメンバーを返すと、このエラーが表示されます。
SystemForCrossDomainIdentity ManagementServiceIncompatible	Microsoft Entra プロビジョニングサービスでは、Microsoft 以外のアプリケーションからの応答を解析できません。アプリケーション開発者と協力して、SCIM サーバーが Microsoft Entra SCIM クライアントと互換性があることを確認してください。
SchemaPropertyCanOnlyAcceptValue	ターゲットシステムのプロパティは、1 つの値のみを受け入れることができますが、ソースシステムのプロパティには複数の値があります。エラーをスローしているプロパティに 1 つの値の属性をマップするか、ソースの値を単一の値になるように更新するか、マッピングから属性を削除してください。

テナント間同期のエラーコード

次の表を使用して、テナント間同期のプロビジョニングログで見つけたエラーを解決する方法を理解します。一部のエラーコードは複数の原因にマップされるため、同じエラーコードに対して複数の行があります。

Error code	Cause	Solution
AzureActiveDirectoryForbidden	dirSync enabled プロパティは true に設定されています。その結果、プロビジョニングサービスは immutableId や extensionProperty1-15 などのユーザープロパティを更新できません。	エラーを防ぐために、属性マッピングから属性を削除します。
AzureActiveDirectoryForbidden	外部コラボレーションの設定により招待がブロックされました。	ユーザー設定に移動し、外部コラボレーション設定が許可されていることを確認します。
AzureActiveDirectoryCannot UpdateObjectsOriginated InExternalService	ユーザーの権限のソースは Exchange Online です。プロビジョニングサービスは、ユーザーの 1 つ以上の交換属性を更新できません (例: extensionAttribute 1 - 15)。これは、dirSyncEnabled プロパティが "True" から "False" に変更されたときに、ターゲットテナントに存在していたユーザーに影響します。	ターゲットテナントの Exchange Online で属性を直接更新します。例: `Set-MailUser -Identity CloudMailUser5 -CustomAttribute2 "Updated with EXO PowerShell"`
AzureActiveDirectory CannotUpdateObjectsOriginated InExternalService	同期エンジンは、ターゲットテナント内の 1 つ以上のユーザープロパティを更新できませんでした。権限ソース (SOA) が適用されるため、Microsoft Graph API で操作が失敗しました。現在、次のプロパティが一覧に表示されます。 `Mail` `showInAddressList`	場合によっては (たとえば、`showInAddressList` プロパティがユーザー更新の一部である場合)、同期エンジンは問題のあるプロパティなしで (ユーザー) 更新を自動的に再試行することがあります。それ以外の場合は、ターゲットテナントでプロパティを直接更新する必要があります。
AzureDirectory B2BManagementPolicy CheckFailure	自動引き換えを許可するテナント間同期ポリシーが失敗しました。同期エンジンは、ターゲットテナントの管理者が、自動引き換えを許可する受信テナント間同期ポリシーを作成していることを確認します。また、同期エンジンは、ソーステナントの管理者が自動引き換えのために送信ポリシーを有効にしたかどうかも確認します。	ソーステナントとターゲットテナントの両方で、自動引き換え設定が有効になっていたことを確認します。詳細については、「自動引き換え設定」を参照してください。
AzureActiveDirectory QuotaLimitExceeded	テナント内のオブジェクトの数がディレクトリの制限を超えています。 Microsoft Entra ID には、テナントで作成できるオブジェクトの数に制限があります。	クォータを増やすことができるかどうかを確認します。ディレクトリの制限とクォータを増やす手順については、 Microsoft Entra サービスの制限と制限を参照してください。
InvitationCreationFailure	Microsoft Entra プロビジョニングサービスが、ターゲットテナント内のユーザーを招待しようとしました。その招待は失敗しました。	詳細な調査には、サポートへの問い合わせが必要になる可能性があります。
InvitationCreationFailureUserAccountDisabled	Microsoft Entra プロビジョニングサービスが、ターゲットテナント内のユーザーを招待しようとしました。その招待は失敗しました。	ユーザーはターゲットテナントに存在しますが、そのアカウントは無効になっており、招待は保留中です。ターゲットテナントでユーザーアカウントを有効にし、もう一度ユーザーのプロビジョニングを試みます。
InvitationCreation FailureInvalidPropertyValue	Potential causes: * プライマリ SMTP アドレスが無効な値です。 * UserType はゲストまたはメンバーではありません * グループメールアドレスはサポートされていません	Potential solutions: * プライマリ SMTP アドレスが無効な値です。この問題を解決するには、ソースユーザーのメールプロパティを更新する必要がある可能性が高いです。詳細については、「Microsoft 365 へのディレクトリ同期の準備」を参照してください。 * userType プロパティがタイプ guest または member としてプロビジョニングされていることを確認してください。 userType 属性のマップ方法を把握するには、属性マッピングを確認してください。 * ユーザーのメールアドレスが、テナント内のグループのメールアドレスと一致しています。 2 つのオブジェクトのうちの 1 つのメールアドレスを更新してください。
InvitationCreation FailureAmbiguousUser	招待されたユーザーには、ターゲットテナント内の内部ユーザーと一致するプロキシアドレスがあります。プロキシアドレスは一意である必要があります。	このエラーを解決するには、ターゲットテナント内の既存の内部ユーザーを削除するか、同期スコープからこのユーザーを削除します。
AzureActiveDirectory CannotUpdateObjects MasteredOnPremises	ターゲットテナント内のユーザーが最初に AD から Microsoft Entra ID に同期され、外部ユーザーに変換された場合、権限ソースは引き続きオンプレミスにあり、ユーザーを更新することはできません。	テナント間同期ではユーザーを更新できません。
EntityTypeNotSupported	グループを使って、プロビジョニングの対象ユーザーを決定できます。グループオブジェクトは同期できません。	お客様による対応は必要ありません。これはスキップされるイベントです。オンデマンドでプロビジョニングを使っている場合は、必ずプロビジョニングするグループではなくユーザーを選んでください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-07-29

次の方法で共有

Microsoft Entra プロビジョニング ログをダウンロードして分析する方法