複数のフェデレーション ドメインから Microsoft 365 にサインインすることはできません

問題

複数のフェデレーション ドメイン (最上位または子ドメイン) のユーザーは、Microsoft 365 にサインインできません。 さらに、次のエラー メッセージが表示されます。

申し訳ございませんが、サインインに問題があります。AADSTS50107: 要求されたフェデレーション領域オブジェクト 'http:// <ADFShostname>/adfs/services/trust' が存在しません。

原因

この問題は、次のいずれかの理由で発生します。

• 発行者を既定の Active Directory フェデレーション サービス (AD FS) インスタンス ホスト名から、フェデレーションされているドメインが見つからない場合に発行者セットに変更するには、発行変換規則が必要です。
• 発行変換規則は、子ドメインを追加した後は更新されません。

この問題は、複数の最上位ドメインがテナントの同じ AD FS インスタンスにフェデレーションされている場合に発生します。

ソリューション

1. [RPT 要求規則のMicrosoft Entra] に移動し、[次へ] をクリックします。

2. [不変 ID (sourceAnchor)] ->[ユーザー サインイン] (UPN やメールなど) の値を指定します。 複数の最上位ドメインがフェデレーションされている場合は、"AD FS とのMicrosoft Entra ID信頼は複数のドメインをサポートしていますか?" に応答するように求められたら、[はい] を選択します。

3. Microsoft 365 PowerShell に接続し、ドメインの一覧を .csv ファイル (output.csv など) にエクスポートします。 これを行うには、次のコマンドレットを実行します。

   Import-Module MSOnline
   

   Connect-MsolService
   

   Get-MsolDomain | Select-Object Name, RootDomain, Authentication | ConvertTo-Csv -NoTypeInformation | % {$_.Replace('"','')} | Out-File output.csv
   

4. [ 要求の生成] をクリックし、[ 要求規則 ] セクションから PowerShell コマンドレットをコピーします。

5. コマンドレットを PowerShell スクリプト (たとえば、updatelclaimrules.ps1) として保存し、次のコマンドを実行してプライマリ AD FS サーバーでスクリプトを実行します。

   .\Updateclaims.ps1
   

6. スクリプトは、既存の発行変換規則のバックアップを現在の作業ディレクトリの .txt ファイルとして作成します。

スクリプトを使用してバックアップした発行規則を復元する場合は、次のコマンドレットを実行し、手順 5 で作成したバックアップ ファイルを指定します。 次の例では、バックアップ ファイルは Backup 2018.12.26_09.21.03.txt です。

Set-AdfsRelyingPartyTrust -TargetIdentifier "urn:federation:MicrosoftOnline" -IssuanceTransformRulesFile "Backup 2018.12.26_09.21.03.txt"