この記事では、 Convert-MSOLDomaintoFederated コマンドを実行して既存のドメインを標準認証からフェデレーション認証に変換した後、ユーザーが Office 365、Azure、または Microsoft Intune にアクセスできなくなる問題のトラブルシューティングについて説明します。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2662960
Note
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 ノート: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に使用障害が発生する可能性があります。
現象
Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスでシングル サインオン (SSO) を設定するときに、 Convert-MSOLDomaintoFederated コマンドを実行して、既存のドメインを標準認証からフェデレーション認証に変換します。 ただし、この操作を行うと、そのドメインに関連付けられているユーザーはクラウド サービスにアクセスできなくなります。
原因
この問題は、SSO が正しく設定されていない場合、またはセットアップが完了していない場合に発生します。
警告
SSO が侵害された場合に組織への管理アクセスが失われないように、既定のドメインに関連付けられている管理者ユーザー ID を常に少なくとも 1 つ保持することをお勧めします。
解決方法
この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。
方法 1: SSO セットアップのトラブルシューティング
このメソッドは、次のすべての条件に該当する場合にのみ使用します。
- この問題は、サービスの停止が原因ではありません。
- ユーザー アクセスをすぐに復元する必要はありません。
SSO のセットアップを診断してトラブルシューティングするには、「 Office 365、Intune、または Azure でのシングル サインオンのセットアップに関する問題を解決するを参照してください。
方法 2: AD FS サーバーが使用できない場合は、ドメイン フェデレーションを標準認証に戻す
このメソッドは、次のすべての条件に該当する場合にのみ使用します。
- この問題は、ユーザー アクセスを直ちに復元する必要があるサービスの停止によって発生します。
- AD FS サーバーは使用できません。
これらの条件が満たされている場合は、ドメインと各ユーザー アカウントの認証設定をリセットして、標準認証を使用します。 これを行うには、次の手順を実行します。
Windows PowerShell 用の Azure Active Directory モジュールを起動します。 これを行うには、 Start を選択し、 All Programs を選択 Windows Azure Active Directory を選択し、Windows PowerShell 用の Windows Azure Active Directory モジュール 右クリックして管理者として実行 を選択します。
ドメインを変換するには、表示される順序で次のコマンドを実行します。 各コマンドを入力した後、Enter キーを押します。
$cred = Get-Credentialメッセージが表示されたら、SSO が有効になっていないクラウド サービス管理者の資格情報を入力します。
Connect-MsolService -credential $credSet-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>Note
このコマンドでは、プレースホルダー <federated domain name> は、SSO が機能していないドメインの名前を表します。
ドメインに関連付けられているユーザー プリンシパル名 (UPN) サフィックスを持つユーザーごとに、次のコマンドを実行します。
Convert-MSOLFederatedUser -UserPrincipalName <string>Note
このコマンドでは、プレースホルダー <string> は、変換するユーザーの UPN の値を表します。
詳細
重要
最後の Microsoft クラウド サービス組織管理者にフェデレーション ドメインのドメイン サフィックスが割り当てられ、その管理者が SSO 対応になるシナリオでは、以降の AD FS エラーによって connect-MSOLService コマンドの実行が制限され、SSO の問題の修復が妨げる可能性があります。 Microsoft クラウド サービス組織の管理者は、Sso 対応ではないグローバル管理者アカウントを常に少なくとも 1 つ保持し、Windows PowerShell 用 Azure Active Directory モジュールを使用して SSO の問題をトラブルシューティングできるようにすることをお勧めします。
この問題が発生した場合は、ドメイン フェデレーションを一時的に取り消して、管理者 (SSO が有効ではなくなったユーザー) が SSO 関連の問題のトラブルシューティングに再度アクセスできるように、Microsoft サポートにお問い合わせください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。