この記事では、外部向けアプリに Microsoft Entra 外部 ID を使用するときに発生する可能性がある既知の問題について説明し、これらの問題を解決するためのヘルプを提供します。
テナントの作成と管理
管理者の電子メールを使用してローカルの顧客アカウントを作成すると、テナントを管理できなくなります
外部テナントを作成した管理者で、管理者アカウントと同じメール アドレスを使用して同じテナントにローカル 顧客アカウントを作成する場合、管理者特権でテナントに直接サインインすることはできません。
原因: テナント管理者の電子メールを使用して、セルフサービス サインアップを使用して顧客アカウントを作成すると、同じ電子メール アドレスを持つが、顧客レベルの特権を持つ 2 番目のユーザーが作成されます。
https://entra.microsoft.com/<tenantID> または <tenantName>.onmicrosoft.comを使用してテナントにサインインすると、最小特権アカウントが優先され、管理者ではなく顧客としてサインインされます。テナントを管理するための特権が不十分です。
回避策の: 次のいずれかのアクションを実行します。
- ローカルの顧客アカウントを作成するときは、テナントを作成した管理者が使用するメール アドレスとは異なるメール アドレスを使用します。
- 管理者と同じメール アドレスを持つ顧客アカウントを既に作成している場合は、管理センターからサインアウトしてから、
https://entra.microsoft.comまたはhttps://entra.microsoft.com/<tenantID>の代わりに<tenantName>.onmicrosoft.comを使用して正しい管理者アカウントでサインインします。
Web API のトークン のバージョン
Web API の実行時にエラーが発生する
(Web API サンプルのアプリ作成スクリプトを使用せずに) 外部テナントに独自の Web API を作成し、それを実行してアクセス トークンを送信すると、ログ記録が有効になり、次のエラーが表示されます。
IDX20804: Unable to retrieve document from: https://<tenant>.ciamlogin.com/common/discovery/keys
原因: このエラーは、受け入れられたアクセス トークンのバージョンを 2 に設定していない場合に発生します。
回避策の: 次の操作を行ってください。
- アプリケーションのアプリ登録に移動します。
- マニフェストの編集を選択します。
- accessTokenAcceptedVersion プロパティを null から 2に変更します。
関連コンテンツ
Microsoft Entra 外部 ID でサポートされている機能のも参照してください。