Microsoft 365 管理 センターのユーザーにフェデレーション ドメインを割り当てることはできません

  • [アーティクル]
  • 適用対象:
    Microsoft 365

問題

Microsoft 365 管理 センターで新しいユーザーを作成します。 ただし、フェデレーション ドメインを新しいユーザーに割り当てようとすると、フェデレーション ドメインはユーザーのドメインの一覧に一覧表示されません。

この問題が発生した場合のシナリオの例を次に示します。

  • Microsoft 365 ポータルで、シングル サインオン (SSO) と Active Directory 同期が有効になっています。
  • ドメインのプロパティ ページでドメインのプロパティを表示すると、ドメインの種類が [フェデレーション] または [ シングル サインオン] として表示されます。 たとえば、adatum.com はフェデレーション ドメインです。
  • 新しいユーザーを作成すると、Microsoft 365 によって提供される既定のドメインがドロップダウン ボックスの最初のオプションとして一覧表示されます。 たとえば、既定のドメインは contoso.onmicrosoft.com です。
  • ドロップダウン ボックスをクリックしてドメインの一覧を表示すると、フェデレーション ドメインは一覧に表示されません。 たとえば、adatum.com は表示されません。

原因

この動作は、Microsoft 365 で設計されています。 ポータルを使用してフェデレーション ユーザーを作成することはできません。 すべてのフェデレーション ユーザーはオンプレミスで作成する必要があり、Microsoft Azure Active Directory 同期ツールを使用して同期する必要があります。

注:

また、フェデレーション ドメインを Microsoft 365 の既定のドメインとして設定することもできません。

ソリューション

この動作を回避するには、オンプレミスの Active Directory Domain Services (AD DS) 環境で一致するユーザー アカウントを作成し、ユーザー プリンシパル名 (UPN) を適切に設定し、ディレクトリ同期を使用してアカウントとMicrosoft Entra IDを同期します。 そのために、以下の手順に従ってください。

  1. 次の手順に従って、Microsoft 365 ユーザー アカウントのプライマリ SMTP アドレスを取得します。

    1. グローバル管理者として Microsoft 365 ポータル にサインインします。
    2. [管理>Exchange] を選択して Exchange 管理 Center を開きます。
    3. ユーザー アカウントを見つけてダブルクリックします。
    4. 左側のナビゲーション ウィンドウで、[Emailアドレス] を選択し、ユーザー アカウントのプライマリ SMTP アドレスをメモします。

  2. Active Directory ユーザーとコンピューターを開始し、Microsoft 365 ユーザー アカウントと一致するユーザー アカウントをオンプレミス ドメインに作成します。 詳細については、「Active Directory ユーザーとコンピューターでのユーザー アカウントの作成」を参照してください。

  3. ユーザー アカウントの UPN がフェデレーション ドメイン名に更新されていることを確認します。 詳細については、「 Microsoft 365 SSO 対応ユーザー ID としてパイロットされる Active Directory ユーザー アカウントのトラブルシューティング」を参照してください。

  4. Active Directory サービス インターフェイス (ADSI) 編集を使用して、手順 1D でメモしたプライマリ SMTP アドレスと一致するように、ユーザー オブジェクトの proxyAddresses 属性を編集します。 そのために、以下の手順に従ってください。

    注:

    ADSI Edit をインストールする方法の詳細については、「 ADSI Edit のインストール」を参照してください。

    1. [Start Run]\(実行の開始>\) を選択し、「ADSIEdit.msc」と入力し、[OK] を選択します

    2. [ADSI 編集] を右クリックし、[接続] を選択し、[OK] を選択してドメイン パーティションを読み込みます。

    3. ナビゲーション ウィンドウで、変更するユーザー オブジェクトを見つけて右クリックし、[プロパティ] を選択 します

    4. [属性] の一覧 proxyAddresses 属性を選択し、[編集] を選択 します

    5. [ 追加する値 ] フィールドに適切な SMTP アドレスを入力し、[ 追加] を選択します。

      注:

      ユーザー オブジェクトのプライマリ SMTP アドレス値は、proxyAddressesattribute のアドレス値を正しく書式設定するための大文字 の SMTP: 指定子で先頭に付加する必要があります。 たとえば、"SMTP:username@contoso.com" は許容される値であり、"username@contoso.com" は許容される値ではありません。

    6. [ OK] を 2 回選択し、ADSI 編集を終了します。

    ADSI Edit を使用して Active Directory 属性を編集する方法の詳細については、「ADSI Edit の使用」を参照してください。

  5. ディレクトリ同期を強制します。

詳細

詳細については、「フェデレーション ユーザーが Microsoft 365、Azure、またはIntuneにサインインしたときに発生するユーザー名の問題のトラブルシューティング」を参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。