この記事では、新しいアプリの割り当て時や、その後の既存アプリの割り当てに対するプロファイル更新のプッシュプロビジョニングタスク時に、このO365プロビジョニングエラーが発生する原因と、問題を解決するための手順について説明します。
Automatic profile push of user <user> to app Microsoft Office 365 failed: Could not push profile for Office 365 user <user>, received error: Received response with HTTP status code 403. httpStatusCode=403 errorCode=Authorization_RequestDenied errorMessage="Insufficient privileges to complete the operation." client-request-id=YYYYYY request-id=ZZZZZZZ timestamp='Wed, 23 Aug 2023 16:13:42 GMT' method=POST url=https://graph.microsoft.com/v1.0/users/<UserId>/microsoft.graph.assignLicense(ユーザー<user>のアプリMicrosoft Office 365に対するプロファイルの自動プッシュが失敗しました:Office 365ユーザー<user>のプロファイルをプッシュできませんでした。エラーの内容は次のとおりです:HTTPステータスコード403の応答を受信しました。httpStatusCode=403 errorCode=Authorization_RequestDenied errorMessage="操作を完了するのに権限が不足しています。"client-request-id=YYYYYY request-id=ZZZZZZZ timestamp='Wed, 23 Aug 2023 16:13:42 GMT' method=POST url=https://graph.microsoft.com/v1.0/users/<UserId>/microsoft.graph.assignLicense)
- Office 365
- Okta Integration Network(OIN)
プロビジョニングエラーメッセージにあるように、[403 insufficient privilege(403権限不足)]エラー自体は、Oktaが以下のMS Graph API POST https://graph.microsoft.com/v1.0/users/[azure user id}/microsoft.graph.assignLicenseを送信する際に、Microsoftから直接スローされます。
- アプリケーション割り当て時の初期のアプリユーザープロビジョニング。
- その後の既存アプリケーション割り当てに対するプッシュプロファイル更新イベント中。
経験上、この問題は通常、ターゲットのプロビジョニングされるAzure Active Directory(AAD)ユーザーオブジェクトに1つ以上のセルフサービスで購入したMSライセンスまたはAzure AD Directoryを介してMicrosoftテナントで直接サードパーティのMSベンダーから購入したMSライセンスが割り当てられている場合に、特定のO365アプリケーションの割り当てでのみ発生します。
Microsoft 365管理センターでのセルフサービスライセンスの例:
たとえば、Office 365アプリケーションの割り当てで、ライセンスA、B、Cが選択されていたとします。AADでは、ターゲットのプロビジョニングされたAADユーザーオブジェクトにライセンスA、B、C、Dが適用されています。Okta O365プロファイルのプッシュプロビジョニングタスク時、Oktaは古いライセンス割り当て値(A、B、C、D)を新しいライセンス割り当て値(A、B、C)に置き換えるリクエストを送信します。
AADユーザーから割り当て解除しようとしているライセンスDが、(a)セルフサービスで購入したMSライセンスまたは(b)サードパーティ管理のライセンスサブスクリプションプランのいずれかによって、O365サービス統合グローバル管理者ユーザーアカウントがアクセスできないMicrosoftライセンスサブスクリプションプランに含まれていた場合、O365のプロビジョニングタスクが403権限不足エラーで失敗する可能性があります。
その結果、新しいO365ライセンス割り当てセットを含むアプリケーションの割り当てで、セルフサービスで購入した、またはサードパーティのパートナーが管理するMicrosoftライセンスを、Okta O365アプリ割り当ての[O365 License Assignment(O365ライセンスの割り当て)]で選択して割り当てた新しいライセンスのセットに置き換えたり削除したりしようとすると、MS Graph API POST https://graph.microsoft.com/v1.0/users/<UserId>/microsoft.graph.assignLicense呼び出しが、403権限不足エラーで失敗します。これは、Okta O365サービス統合グローバル管理者ユーザーに、セルフサービスで購入したMSライセンスまたはサードパーティが管理するMSライセンスにアクセスし、管理するための適切な権限がないためです。
割り当て構成に問題はないため、これはOktaで解決できる問題ではありません。問題のMSライセンスを、ライセンスを割り当てられているAADユーザーから削除する必要があります。
Okta管理者はAzure AD管理者と連携し、必要に応じてMicrosoftサポートに連絡して、Microsoft製品側でさらに問題を調査することをお勧めします。
- OktaでOffice 365/Azure ADユーザーディレクトリにまだ存在しない新しいテストユーザーを作成します。
- 新しく作成したユーザーにO365アプリを割り当て、前述の403権限不足エラーが発生する問題のアプリが割り当てられているユーザーと同じO365ライセンスを割り当てます。
- Okta管理者は、この新しいアプリの割り当てがプロビジョニングエラーなしで正常に完了することを確認します。次に、Azure AD管理者ユーザーは、Okta Office 365アプリの割り当て時に選択されたMSライセンスのセットを使用して新しいユーザーがAzure ADディレクトリに作成されていることを確認します。
この作業ユーザーの例を使用して、AADユーザーとAzure ADの問題がある1人以上のユーザーを比較し、各ユーザーに割り当てられたMicrosoftライセンスのリストでライセンス割り当てに違いがないか確認します。これは、Office 365アプリの割り当て時に検出されなかった追加のライセンスは、新しいライセンス割り当てによって上書きされ、削除されるためです。
Azure管理者が問題の原因となっている割り当て済みライセンスを完全に特定できない場合、またはそれらのライセンスをAAD Admin Consoleから削除できない場合は、Microsoftサポートに問い合わせ、問題のMSライセンスを特定し、MSテナント/AADユーザーアカウントから削除/変更する支援を受けることを強くお勧めします。
AAD管理者ユーザー/Microsoftサポートエンジニアが、既存のAADユーザーオブジェクトから問題のあるMSライセンス割り当てがすべて削除されたことを確認した後、Okta管理者が以前に失敗したプロビジョニングタスク/アプリの割り当てタスクを
- Okta Admin Console>[ダッシュボード]>[タスク]ページから再試行すると、以前のプロビジョニングエラーは表示されなくなります。
