AAD 上の UPN が正しい場合でも、Azure AD (AAD) から CIE (Cloud Identity Engine) で取得された UPN (ユーザー プリンシパル名) が正しくありません。
5310
Created On 10/17/24 03:48 AM - Last Modified 12/27/24 10:35 AM
Symptom
- Palo Alto Cloud Identity Engine (CIE) は、ユーザーとグループ マッピングのために Azure AD (AAD) と統合されています。
- CIE が同期され、予想されるユーザーとグループが表示されます。
- この統合では、Azure AD Identity Protection からユーザーのリスク情報を収集するオプションが有効になっています。
- 1 人以上のユーザーについて、UPN (ユーザー プリンシパル名) 属性が AAD 側では正しく構成されているのに、CIE では正しくありません。
- これにより、特定のユーザーに対するセキュリティポリシーの一致に問題が発生します。
- たとえば、メールuser1.lastname@company.comを持つユーザーのUPN は AAD 上で同じ値として構成されていますが、CIE では、その値はlastnamemiddlenameuser1@company.comという古い値として表示されます。
Environment
- ユーザーとグループ マッピングのための Palo Alto Cloud Identify Engine (CIE)
Cause
- これは、Azure 側からの UPN フィールドの応答が一貫していないために発生する問題です。
- ユーザーリスク情報の収集がチェックされると、CIE は 2 つの異なる方法で Azure ADを照会し、そのうちの 1 つ (ユーザーリスク情報) で UPN の誤った値が返されるため、CIE はこの属性に誤った値を表示します。
Resolution
- 必要に応じて、Azure AD側で UPN 値が正しいことを確認します。
- メール ニックネーム (理想的には UPN に影響を与えるとは予想されません) も AAD応答に影響を与えることが確認されており、メール ニックネームを UPN と同じに変更すると、AAD が正しい値を返す可能性があります。
- クラウド動的ユーザーグループを使用していない場合は、CIE の AAD 統合から Azure AD Identity Protection からユーザーリスク情報を収集するのチェックを外し、CIE で完全同期を実行して正しい値を反映させます。
- Azure AD Identity Protection からユーザーリスク情報を収集するのチェックを外しても問題が解決しない場合は、CIE 情報のスクリーンショットと AAD 側で構成された属性の詳細を添えて Palo Alto サポートにお問い合わせください。