コミュニティ センター | 監視されない
タグは Microsoft によって監視されません。
かなり専門的な内容なので、このフォーラムでは回答できる参加者は居ないと思います。
以下で質問されると良いでしょう。
FederatedIdpMfaBehavior cannot be emptyについて
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Anonymous
はじめまして。
以下のような形でNew-MgDomainFederationConfigurationコマンドを使用して、Microsoft 365のカスタムドメインをIDPにフェデレーションしようとしました。
New-MgDomainFederationConfiguration -DomainId "カスタムドメイン名" `
-ActiveSignInUri "IDPのサインインURL" `
-DisplayName "IDPのサービス名" `
-IssuerUri "IDPのホスト名" `
-MetadataExchangeUri "IDPの該当箇所のURL" `
-PassiveSignInUri "IDPの該当箇所のURL" `
-SignOutUri "https://login.microsoftonline.com/logout.srf" `
-SigningCertificate "IDPの署名用証明書" | Format-List
結果、以下のようなエラーが表示されました。
New-MgDomainFederationConfiguration : FederatedIdpMfaBehavior cannot be empty
Status: 400 (BadRequest)
ErrorCode: Request_BadRequest
FederatedIdpMfaBehaviorオプションが足りなかったのかと思ってまずこのオプションが何かドキュメントを調べてみたところ、以下ページにIDP側に多要素認証を強制するか、EntraIDで多要素認証を行うかを決めるためのオプションであると記載がありました。
また、近々廃止が予定されている、Set-MsolDomainAuthenticationコマンドにおけるSupportsMfaにあたるオプションであると記載がありました。
Set-MsolDomainAuthenticationコマンドではSupportsMfaを使用したことがなかったため、New-MgDomainFederationConfigurationでは必須になったのかと思っていたのですが、以下ページを見ると、FederatedIdpMfaBehaviorオプションについてはRequiredがFalseになっています(Set-MsolDomainAuthenticationコマンドにおけるSupportsMfaオプションと同様のように見受けられます)。
念のため、ほかにも同じメッセージで困っている人がいないかインターネット検索したのですが、以下のフォーラム記事がヒットしたくらいでした。
※ただし、以下の記事で困っている方はその後さまざまな操作をして、私と全く同じ問題について知りたいわけではないように見えました。
FederatedIdpMfaBehaviorオプションについてはRequiredがFalseですが、New-MgDomainFederationConfigurationを使用する際に、同様のメッセージに遭遇したことのある方はいらっしゃいますでしょうか。 もし「こうやったら解決したよ」といった経験がおありの方や、「実行しているコマンドのここが間違っているかもしれない」などお気づきの方がいらっしゃったら、コメントいただけますと幸いです。
<追記>
素直にFederatedIdpMfaBehaviorをオプションとして設定すると、コマンド自体は成功します。が、FederatedIdpMfaBehaviorを指定してNew-MgDomainFederationConfigurationコマンドで設定すると、SupportsMfaなしでSet-MsolDomainAuthenticationを使った場合と挙動が異なり、IDP側でうまく認証されず、SP Initiated SSOが失敗する状況です。
結果としては以下のような形です
New-MgDomainFederationConfiguration(with FederatedIdpMfaBehavior)では、IDP initiatedのSSOは成功。SP InitiatedのSSOは失敗。
Set-MsolDomainAuthentication(without SupportsMfa)では、IDP initiatedのSSOもSP InitiatedのSSOも成功。
「SSOしたいだけならSet-MsolDomainAuthentication(without SupportsMfa)で設定すればいいじゃない」と思われる方もいらっしゃるかと思います。
もちろんその通りなのですが、以下のブログで「上記にて案内しております Set-MsolDomainAuthentication や Convert-MSOLDomainToStandard コマンドは、 MSOL コマンドのため廃止される予定です。」という文言を見つけてしまい「New-MgDomainFederationConfigurationコマンドも一通り使い方を知っておかないと将来困ることになりそうだ」と思ったため、本質問を起票した次第となります。
Staged Rollout について | Japan Azure Identity Support Blog (jpazureid.github.io)
コミュニティ センター | 監視されない
ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。
質問作成者が受け入れた回答
-
Anonymous
2024-05-16T12:36:04+00:00 コメントいただきありがとうございます。
ご丁寧に正しい質問先までご教示いただき、非常に助かりました!