Microsoft 365、Azure、またはIntuneのフェデレーション ユーザーに関するアカウントの問題のトラブルシューティング
問題
フェデレーション アカウントを使用して Microsoft 365、Microsoft Azure、Microsoft Intuneなどのクラウド サービスに対して認証しようとすると、認証が失敗し、次の 1 つ以上の問題が発生します。
サインイン プロンプトで、フェデレーション ユーザー名を使用して Username フィールドを更新しようとすると、ブラウザー アドレス バーには、"AD FS エンドポイント名>での<サインイン" リンクhttps://login.microsoftonline.com/login.srf?..を含む Web ページではなく、次の例のような URL が含まれます。
フェデレーション アカウントを使用してサインインし、Microsoft 365、Outlook Web App、SharePoint Online、Skype for Business Online (以前の Lync Online) などのクラウド サービス リソースにアクセスしようとすると、次のエラー メッセージが表示されます。
アクセスが拒否されました。
原因
これらの問題が一部のユーザー アカウントでのみ発生する場合は、オンプレミスの Active Directory環境でそれらのユーザー アカウントが正しく設定されていない可能性があることを示します。 このシナリオでは、次の 1 つ以上の項目が正しく設定されていない可能性があります。
間違ったユーザー プリンシパル名 (UPN) とパスワードが使用されています。
ユーザー アカウントの UPN は更新されません。
この場合、各 ID フェデレーション アカウントの UPN サフィックスは、フェデレーション ドメイン名を反映するように更新する必要があります。 ユーザー アカウント UPN を確認するには、次の手順に従います。
- ローカル Active Directory ドメイン コントローラーで、[スタート] をクリックし、[すべてのプログラム] をポイントし、[管理ツール] をクリックし、[Active Directory ユーザーとコンピューター] をクリックします。
- 変更するユーザー アカウントを右クリックし、[プロパティ] をクリックします。
- [アカウント] タブで、フェデレーション名前空間の UPN サフィックスが左上隅の一覧に一覧表示されていることを確認し、[OK] をクリックします。
Microsoft 365 ユーザー アカウントに Microsoft 365 リソースのライセンスがありません
ユーザー アカウントにライセンスがない Microsoft 365 リソースへのアクセスが制限されています。 ユーザー アカウントのライセンスの状態をチェックするには、次の手順に従います。
Microsoft 365 管理者ユーザー アカウントを使用して、Microsoft 365 ポータル (https://portal.office.com) にサインインします。 必要に応じて、マネージド アカウントを使用できます。
[管理] を選択し、左側のナビゲーション ウィンドウで [ユーザー] を選択します。
ユーザーの一覧で、テストするユーザー アカウントを見つけて、[ 表示名] を選択します。 各ユーザー アカウントに、Microsoft 365 リソースに必要なライセンスがあることを確認します。
[すべての項目を選択チェック] ボックスを選択します。
テストするユーザー アカウントが一覧にない場合、Active Directory 同期によってアカウントがMicrosoft Entra IDに同期されている可能性があります。
注 ユーザー アカウントにオンプレミスのメールボックスがある場合、Microsoft 365 メールボックスは作成されません。 この特定のリソースは、ユーザー アカウントにExchange Onlineのライセンスが付与されている場合でも使用できません。
サブドメインが親ドメインのフェデレーション設定を継承しない
subdomain.contoso.com などのサブドメインが親ドメインの前に追加された場合 (たとえば、contoso.com)、サブドメインは親ドメインのフェデレーション状態を自動的に継承します。 継承の状態を確認するには、次の手順に従います。
- Microsoft 365 管理者ユーザー アカウントを使用して Microsoft 365 (https://portal.office.com) にサインインします。 これが必要な場合は、マネージド アカウントを使用できます。
- [管理] をクリックし、左側のナビゲーション ウィンドウで [ドメイン] をクリックします。
- ドメインの一覧でフェデレーション サブドメイン名を見つけて、[ ドメインの種類 ] 設定が [シングル サインオン] に設定されているかどうかを確認します。
- 親ドメインに対して手順 1 ~ 手順 3 を繰り返します。 [ドメインの種類] 設定がサブドメイン設定と異なる場合、サブドメインは親から孤立しています。
ディレクトリ同期の問題により、オンプレミスの適切なユーザー アカウント構成がMicrosoft Entra IDに同期できなくなります。
シングル サインオン (SSO) は、オンプレミスの Active DirectoryとMicrosoft Entra IDの両方で表される同一のユーザー アカウントに依存します。 ディレクトリ同期は、オンプレミスのユーザー アカウントごとに同じ Microsoft 365 ユーザー アカウントが作成されていることを確認する役割を担います。 ディレクトリ同期がオンプレミスの Active DirectoryからMicrosoft Entra IDに正しいアカウント設定を同期しない場合、サインインが失敗する可能性があります。
ソリューション
この問題を解決するには、次の 1 つ以上の方法を使用します。
サインインに正しい UPN とパスワードが使用されていることを確認します。
フェデレーション アカウントの UPN は更新されません。
この問題を解決する方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。
2392130 Microsoft 365、Azure、またはIntuneにサインインするときにフェデレーション ユーザーに発生するユーザー名の問題のトラブルシューティング
Microsoft 365 ユーザー アカウントは、Microsoft 365 リソースのライセンスを取得していません。
この問題を解決するには、Microsoft 365 ポータルを使用して、ライセンスを必要とするユーザー アカウントに適切なライセンスを割り当てます。
Microsoft 365 サブドメインは、親ドメインのフェデレーション設定を継承しません。
この問題を解決するには、Microsoft 365 ポータルからサブドメインを削除します。 ドメインを削除する方法の詳細については、次の Microsoft Web サイトを参照してください。
ドメインが削除されたら、ドメインを再作成する必要があります。
ドメインが再作成されると、サブドメインは親ドメインの [ドメインの種類] 設定を継承します。
メモ DNS TXT レコードまたは MX レコードを使用したドメイン検証は、サブドメインが既に検証済みの親ドメインの一部として認識されるため、サブドメインの再作成には必要ありません。
ディレクトリ同期の問題により、オンプレミスのユーザー アカウント構成が Windows Azure AD に正しく同期されません。
アカウントの不一致が発生したかどうかを判断するには、次の手順に従います。
オンプレミスの Active Directory ユーザー アカウントにマイナー (任意) の変更を加える。
ディレクトリ同期を強制します。 同期を強制する方法の詳細については、次の Microsoft Web サイトを参照してください。
同期が成功したかどうかを判断する方法については、次の Microsoft Web サイトを参照してください。
Microsoft 365 ユーザー アカウントに軽微な変更が同期されない場合、ディレクトリ同期の問題がこの問題の原因となる可能性があります。
メモ ディレクトリ同期は、ユーザー アカウントが既にライセンスされている場合、ユーザーの UPN を適切な値に更新せずに正常に同期される可能性があります。
詳細情報
さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示