次の方法で共有

Microsoft 365、Azure、または Intune のフェデレーション ドメインの設定を更新または修復する

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

概要

Microsoft 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスでのシングル サインオン (SSO) は、正しく機能する Active Directory フェデレーション サービス (AD FS) のオンプレミス展開によって異なります。 いくつかのシナリオでは、技術的な問題を修正するために、AD FS のフェデレーション ドメインの構成を再構築する必要があります。 この記事には、フェデレーション ドメインの構成を更新または修復する方法に関する詳細なガイダンスが含まれています。

詳細

フェデレーション ドメインの構成を更新する方法

フェデレーション ドメインの構成は、次の Microsoft サポート技術情報の記事で説明されているシナリオで更新する必要があります。

  • 2713898 フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしたときに AD FS から "サイトへのアクセスに問題が発生しました" というエラーが表示される
  • 2535191 "申し訳ありませんが、フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしようとすると、サインインできません" と "80048163" エラーが発生する
  • 2647020 、フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしようとすると、"申し訳ありませんが、サインインできません" と "80041317" または "80043431" エラーが発生します

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 手記: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

Windows PowerShell 用の Azure Active Directory モジュールがインストールされているドメイン参加済みコンピューター上のフェデレーション ドメインの構成を更新するには、次の手順に従います。

  1. [ スタート] をクリックし、[ すべてのプログラム] をクリックし、[ Windows Azure Active Directory] をクリックし、[ Windows PowerShell 用の Windows Azure Active Directory モジュール] をクリックします。

  2. コマンド プロンプトで、次のコマンドを入力し、各コマンドの後で Enter キーを押します。

    $cred = get-credential

    注:

    メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    注:

    このコマンドでは、プレースホルダー <AD FS 2.0 サーバー名> は、プライマリ AD FS サーバーの Windows ホスト名を表します。

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    または

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    注:

    • -supportmultipledomain スイッチは、同じ AD FS フェデレーション サービスを使用して複数の最上位ドメインがフェデレーションされている場合に必要です。
    • これらのコマンドでは、プレースホルダー <のフェデレーション ドメイン名> は、既にフェデレーションされているドメインの名前を表します。

重要

AD FS トークン署名証明書の変更が正しくレプリケートされるように、フェデレーション メタデータの更新を定期的に自動化するスクリプトを使用できます。

このスクリプトは、プライマリ AD FS サーバーに Windows スケジュール されたタスクを作成して、信頼情報、署名証明書の更新など、AD FS 構成の変更が Microsoft Entra ID に定期的に反映されるようにします。

スクリプトが実装されている環境でトークン署名証明書が自動的に更新される場合、スクリプトはクラウドの信頼情報を更新して、古いクラウド証明書情報によって発生するダウンタイムを防ぎます。

フェデレーション ドメインの構成を修復する方法

フェデレーション ドメインの構成は、次の Microsoft サポート技術情報の記事で説明されているシナリオで修復する必要があります。

  • 2523494 Microsoft 365、Azure、または Intune にサインインしようとすると、AD FS から証明書の警告が表示されます
  • " AD FS 2.0 サーバーで指定されたフェデレーション サービス識別子が既に使用されています" という2618887、Microsoft 365、Azure、または Intune で別のフェデレーション ドメインを設定しようとするとエラーが発生する
  • 2713898 フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしたときに AD FS から "サイトへのアクセスに問題が発生しました" というエラーが表示される
  • 2647020 フェデレーション ユーザーが Microsoft 365 にサインインしようとすると、"組織がこのサービスにサインインできませんでした" エラーと "80041317" または "80043431" エラー コード
  • AD FS のフェデレーション サービス名が変更されます。

Windows PowerShell 用の Azure Active Directory モジュールがインストールされているドメインに参加しているコンピューターでフェデレーション ドメイン構成を修復するには、次の手順に従います。

警告

  • 次の手順では、 クライアントの場所を使用して Microsoft 365 サービスへのアクセスを制限することによって作成されたすべてのカスタマイズを削除します。 フェデレーション ドメインの構成を修復した後、制限された AD FS アクセスを再構成しなければならない場合があります。
  • 次の手順は慎重に計画する必要があります。 フェデレーション ドメインで SSO 機能が有効になっているユーザーは、手順 4 の完了から手順 5 の完了まで、この操作中に認証できません。 手順 1 の update-MSOLFederatedDomain コマンドレット テストが正常に実行されない場合、手順 5 は正しく完了しません。 フェデレーション ユーザーは、update-MSOLFederatedDomain コマンドレットが正常に実行されるまで認証できません。
  1. この記事の前の「フェデレーション ドメイン構成を更新する方法」セクションの手順を実行して、update-MSOLFederatedDomain コマンドレットが正常に完了したことを確認します。
    • コマンドレットが正常に完了しなかった場合は、この手順を続行しないでください。 代わりに、この記事の後半にある「フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題」セクションを参照して、問題のトラブルシューティングを行ってください。
    • コマンドレットが正常に完了した場合は、後で使用するためにコマンド プロンプト ウィンドウを開いたままにします。
  2. AD FS サーバーにログオンします。 これを行うには、[ スタート] をクリックし、[ すべてのプログラム] をポイントし、[ 管理ツール] をポイントし、[ AD FS (2.0) 管理] をクリックします。
  3. 左側のナビゲーション ウィンドウで、[ AD FS (2.0)] をクリックし、[ 信頼関係] をクリックし、[ 証明書利用者の信頼] をクリックします。
  4. 右端のウィンドウで、 Microsoft Office 365 Identity Platform エントリを 削除します。
  5. 手順 1 で開いた Windows PowerShell ウィンドウで、削除された信頼オブジェクトを再作成します。 これを行うには、次のコマンドを実行し、Enter キーを押します。
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    または
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    注:

    • -supportmultipledomain スイッチは、同じ AD FS フェデレーション サービスを使用して複数の最上位ドメインがフェデレーションされている場合に必要です。
    • これらのコマンドでは、プレースホルダー <のフェデレーション ドメイン名> は、既にフェデレーションされているドメインの名前を表します。

フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題

フェデレーション ドメインを更新または修復すると、次のシナリオで問題が発生します。

  • Windows PowerShell を使用して接続することはできません。 この問題の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2494043 Windows PowerShell 用の Azure Active Directory モジュールを使用して接続することはできません

  • 前提条件がないため、Windows PowerShell 用の Azure Active Directory モジュールを読み込めませんでした。 詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2461873 Windows PowerShell 用の Azure Active Directory モジュールを開くことができない

  • set-MSOLADFSContext コマンドレットを実行しようとすると、"アクセスが拒否されました" というエラー メッセージが表示されます。 詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2587730 Set-MsolADFSContext コマンドレットを使用すると、"ServerName> Active Directory フェデレーション サービス 2.0 サーバーへの<接続に失敗しました" というエラーが表示される

さらにヘルプが必要ですか? Microsoft Community または Microsoft Entra Forums Web サイトに移動します。