こんにちは!たつみんです。
先日お客様からタイトルにあるようなエラーについて相談をいただきました。
このエラーによりプロビジョニングは実行されませんし、External IdとImmutable IDがOkta側に反映されないためSSO自体もできません。
このブログ記事ではエラー内容の原因調査と今回の場合はこのような方法で解消したという内容のご紹介となります。同じエラー内容であっても原因が異なる場合は解消に向けたアプローチも異なる点にはご留意ください。
Okta側の情報
エラーメッセージで検索すると以下のOkta Knowledge Baseが見つかりました。
これによれば主な原因としてはユーザーにセルフサービスのライセンスが割り当てられているためOktaがMicrosoft Graph API経由でライセンスを管理できないため発生すると記載されています。
解決策については以下のようにOkta側に問題がないのでMicrosoftのサポートに確認してほしいと記載されています。
This is not an issue that can be solved from Okta as there is nothing wrong with the assignment configuration. The problematic MS license must be removed from AAD username assigned license.
We recommend that the Okta Admin to work with their Azure AD Admin user and contact Microsoft Support Team as necessary for further issue investigation on Microsoft product side
原因調査
事象の概要は分かりましたがどこに原因があるのか調査してみます。
今回のお客様の場合、エラーが発生しているユーザーをMicorosoft Entra管理センターで見てみるとMicrosoft Teams Exploratoryがライセンスとして割り当てられおりました。このライセンスをクリックしてみると「この製品をユーザーまたはグループに割り当てたり、削除したりすることはできません。」との表示がありグローバル管理者であっても削除することができませんでした。
Oktaのプロビジョニングではグローバル管理者権限で連携しているので、上記のようにグローバル管理者でも操作できない場合はOktaをマスターとしたライセンス付与を行う場合に不整合が起きるためにエラーが起きていると考えられます。
エラー解消に向けて
このライセンスを削除できればエラーも解消しそうです。Microsoft Teams Exploratoryは有効期限が設定されているのでそこまで待てば自然に解消できそうですが今回の場合は数ヶ月先のため選択肢からは外れました。
よくよく調べてみると以下のドキュメント記載の内容でセルフサービスで付与されたライセンスを組織が管理するライセンスに切り替えるか、削除することが可能のようです。
今回の場合はお客様にてMicrosoft 365 管理センターからMicrosoft Teams Exploratoryのサブスクリプションの取り消しを行ったいただくことで最終的にOktaで表示されていたエラーも解消することができました。
今後同じことが起きないようにするために
ユーザーによるセルフサービスにてライセンスを付与できてしまう状態を変更しなければ今後も同様のことが起きる可能性があります。そのため以下の処置も行います。
- Microsoft 365 管理センターの設定>組織設定をクリックします。
- ユーザーが所有するアプリとサービスをクリックします。
- ユーザーが組織の代理として試用版を開始できるようにするのチェックを外し、保存をクリックします。
最後に
Oktaのエラーを起点に調査を進めるとユーザー主導での試用版ライセンスの利用が原因であることがわかり、OktaだけでなくMicrosoft 365側のライセンスの状態などを確認する必要がある複合技の要素が強いトラブルシューティングでした。
冒頭でも記載しましたがこのエラーの場合は必ずこの原因でこの解決策が通用するとは限りませんが考え方を応用することである程度の原因切り分けや調査が行えるのではないかと思います。
この記事の内容が誰かの役に立つことを願っています。
