次の方法で共有


既知の問題: Microsoft Entra Domain Services のサービス プリンシパル アラート

サービス プリンシパルは、Azure プラットフォームが Microsoft Entra Domain Services マネージド ドメインの管理、更新、維持を行うために使用するアプリケーションです。 サービス プリンシパルが削除されると、マネージド ドメインの機能に影響します。

この記事は、サービス プリンシパルに関連した構成アラートのトラブルシューティングと解決に役立ちます。

アラート AADDS102: Service principal not found (サービス プリンシパルが見つかりません)

アラート メッセージ

Microsoft Entra Domain Services が正常に機能するために必要なサービス プリンシパルが Microsoft Entra ディレクトリから削除されました。 この構成は、マネージド ドメインに対する監視、管理、修正のプログラム適用、および同期を行うための Microsoft の能力に影響します。"

必要なサービス プリンシパルが削除された場合、Azure プラットフォームは自動化された管理タスクを実行できません。 マネージド ドメインで、更新プログラムの適用およびバックアップの実行が正しく行われない可能性があります。

不足しているサービス プリンシパルを確認する

不足していて再作成が必要なサービス プリンシパルを確認するには、次の手順を行います。

  1. Microsoft Entra 管理センターで、[エンタープライズ アプリケーション] を検索して選択します。 [アプリケーションの種類] ドロップダウン メニューの [すべてのアプリケーション] を選択し、 [適用] を選択します。

  2. 次のアプリケーション ID をそれぞれ検索します。 Azure Global の場合は、AppId 値 2565bd9d-da50-47d4-8b85-4c97f669dc36 を検索します。 他の Azure クラウドの場合は、AppId 値 6ba9a5d4-8456-4118-b521-9c5ca10cdf84 を検索します。 既存のアプリケーションが見つからない場合は、解決策の手順に従ってサービス プリンシパルを作成するか、名前空間を再登録します。

    アプリケーション ID 解決方法
    2565bd9d-da50-47d4-8b85-4c97f669dc36 不足しているサービス プリンシパルを再作成する
    443155a6-77f3-45e3-882b-22b3a8d431fb Microsoft.AAD 名前空間を再登録する
    abba844e-bc0e-44b0-947a-dc74e5d09022 Microsoft.AAD 名前空間を再登録する
    d87dcbc6-a371-462e-88e3-28ad15ec4e64 Microsoft.AAD 名前空間を再登録する

不足しているサービス プリンシパルを再作成する

アプリケーション ID 2565bd9d-da50-47d4-8b85-4c97f669dc36 が Azure Global の Microsoft Entra ディレクトリにない場合は、Microsoft Graph PowerShell を使って以下の手順を実行します。 他の Azure クラウドの場合は、AppId 値 6ba9a5d4-8456-4118-b521-9c5ca10cdf84 を使用します。 詳細については、Microsoft Graph PowerShell SDK のインストールに関する記事を参照してください。

  1. 必要に応じて、次のように Microsoft Graph PowerShell モジュールをインストールし、インポートします。

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. 次に、[New-MgServicePrincipal][/powershell/module/microsoft.graph.applications/new-mgserviceprincipal] コマンドレットを使ってサービス プリンシパルを再作成します。

    New-MgServicePrincipal -AppId "2565bd9d-da50-47d4-8b85-4c97f669dc36"
    

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

Microsoft Entra 名前空間を再登録する

アプリケーション ID 443155a6-77f3-45e3-882b-22b3a8d431fbabba844e-bc0e-44b0-947a-dc74e5d09022d87dcbc6-a371-462e-88e3-28ad15ec4e64 のいずれかが Microsoft Entra ディレクトリにない場合は、以下の手順を実行して Microsoft.AAD リソース プロバイダーを Azure サブスクリプションに対して再登録します。

  1. Azure portal で、[サブスクリプション] を検索して選択します。
  2. マネージド ドメインに関連付けられているサブスクリプションを選択します。
  3. 左側のナビゲーションから [設定] を展開してから、[リソース プロバイダー] を選択します。
  4. Microsoft.AAD を検索し、[再登録] を選択します。

マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

アラート AADDS105: Password synchronization application is out of date (パスワード同期アプリケーションの期限が切れています)

アラート メッセージ

アプリケーション ID "d87dcbc6-a371-462e-88e3-28ad15ec4e64" のサービス プリンシパルは削除されましたが、その後再作成されました。 再作成により、マネージド ドメインの提供に必要な Microsoft Entra Domain Services リソースに整合性のないアクセス許可が残ります。 Synchronization of passwords on your managed domain could be affected. (マネージド ドメインでのパスワードの同期が影響を受ける可能性があります。)

Domain Services は、Microsoft Entra ID からユーザー アカウントと資格情報を自動的に同期します。 このプロセスに使用される Microsoft Entra アプリケーションに問題がある場合、Domain Services と Microsoft Entra ID の間の資格情報の同期は失敗します。

解決方法

資格情報の同期に使われる Microsoft Entra アプリケーションを再作成するには、Microsoft Graph PowerShell を使って以下の手順を実行します。 詳細については、Microsoft Graph PowerShell SDK のインストールに関する記事を参照してください。

  1. 必要に応じて、次のように Microsoft Graph PowerShell モジュールをインストールし、インポートします。

    Install-Module Microsoft.Graph -Scope CurrentUser
    
  2. それから、次の PowerShell コマンドレットを使用して古いアプリケーションとオブジェクトを削除します。

    $app = Get-MgApplication | Where-Object { $_.IdentifierUris -eq 'https://sync.aaddc.activedirectory.windowsazure.com' }
    Remove-MgApplication -ApplicationId $app.Id
    $sp = Get-MgServicePrincipal -Filter "DisplayName eq 'Azure AD Domain Services Sync'"
    Remove-MgServicePrincipal -ServicePrincipalId $sp.Id
    

両方のアプリケーションを削除した後、Azure プラットフォームによってそれらが自動的に再作成され、パスワード同期の再開が試行されます。 マネージド ドメインの正常性が 2 時間以内に自動的に更新され、アラートが削除されます。

次のステップ

まだ問題が解決しない場合は、さらなるトラブルシューティングの支援を求めて、Azure サポート リクエストを開いてください。