Office 365、Azure、またはIntuneで別のフェデレーション ドメインを設定しようとするとエラーが発生しました:AD FS 2.0 サーバーで指定されたフェデレーション サービス識別子が既に使用されています

この記事では、Windows PowerShellに Azure Active Directory モジュールを使用してコマンドまたはコマンドをNew-MSOLFederatedDomain実行するときにエラー メッセージがConvert-MSOLDomainToFederated表示される問題を解決する方法について説明します。

              元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2618887

現象

Office 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスでは、Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーに 2 つ目のフェデレーション ドメインを設定することはできません。 Windows PowerShellに Azure Active Directory モジュールを使用してコマンドまたはコマンドをNew-MSOLFederatedDomainConvert-MSOLDomainToFederated実行すると、次のエラー メッセージが表示されます。

Active Directory フェデレーション サービス (AD FS) 2.0 サーバーで指定されたフェデレーション サービス識別子は既に使用されています。 AD FS 2.0 管理コンソールでこの値を修正し、コマンドをもう一度実行してください。

原因

Microsoft Entra認証システムには、フェデレーション ドメインごとに一意のフェデレーション ブランドの一様リソース識別子 (URI) が必要です。 既定では、AD FS はすべてのフェデレーション信頼にグローバル値を使用します。 フェデレーション信頼が既に存在するシナリオで 2 つ目のドメインをフェデレーションしようとすると、URI が既に使用されているため、要求は失敗します。

解決方法

この問題を解決するには、スイッチを -supportmultipledomain 使用して、クラウド サービスによってフェデレーションされているすべてのドメインを追加または変換する必要があります。 これには、既に存在するフェデレーション ドメインが含まれます。

手順 1: AD FS 2.0 用の更新プログラムロールアップ 1 をインストールする

AD FS 2.0 フェデレーション サービス ファームの各ノードで、AD FS 2.0 の更新プログラムロールアップ 1 をダウンロードしてインストールします。 AD FS 2.0 用の更新プログラムロールアップ 1 をダウンロードしてインストールする方法の詳細については、「更新プログラムロールアップ 1 for Active Directory フェデレーション サービス (AD FS) (AD FS) 2.0 の説明」を参照してください。

手順 2: AD FS 環境に Update-MSOLFederatedDomain 対してコマンドを正常に実行できることを確認する

1. [すべてのプログラム>の開始>] [Windows Azure Active Directory] の順に選択し、Windows PowerShellの [Windows Azure Active Directory モジュール] を右クリックし、[管理者として実行] を選択します。

2. コマンド プロンプトで、表示される順序で次のコマンドを実行します。 コマンドごとに Enter キーを押します。

   Connect-MSOLService
   

   注:

   メッセージが表示されたら、クラウド サービスのグローバル管理者の資格情報を 入力 します。

   Set-MSOLADFSContext -Computer <AD FS 2.0 server name>
   

   注:

   このコマンドでは、 <AD FS 2.0 サーバー名> は、AD FS フェデレーション サービス ファーム内のノードのコンピューター名です。

   Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
   

   注:

   このコマンドでは、フェデレーション ドメイン名>は、<シングル サインオン (SSO) のMicrosoft Entra IDと既にフェデレーションされているドメインの名前です。

3. コマンドが Update-MSOLFederatedDomain 成功し、エラー メッセージが表示されない場合は、手順 3 に進み、AD FS サーバーからフェデレーション信頼を削除します。

手順 3: AD FS サーバーのフェデレーション信頼を更新する

1. AD FS サーバーのコンソールにログオンし、[すべてのプログラム>管理ツールの開始>] を選択し、[A D FS (2.0) 管理] を選択します。

2. 左側のナビゲーション ウィンドウで、[ AD FS (2.0)] を選択し、[ 信頼関係] を選択し、[ 証明書利用者の信頼] を選択します。

3. 右側のウィンドウで、Microsoft Office 365 IDENTITY Platform エントリを削除します。

4. スイッチを使用して、削除された信頼オブジェクトを再作成します -supportmultipledomain 。 手順 1C から開いている PowerShell ウィンドウで、次のコマンドを実行し、 Enter キーを押します。

   Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
   

手順 4: スイッチを -supportmultipledomain 使用してフェデレーション ドメインを追加または変換する

手順 2 で既存の信頼を更新した後、-supportmultipledomain スイッチを使用して、追加のフェデレーション ドメインを追加または変換します。 このスイッチは、クラウド サービスによってフェデレーションされるドメインごとに一意の URI 名前空間を使用するようにコマンドに通知します。 これを行うには、次のいずれかのコマンド構文を使用します。

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain

Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

回避策

AD FS フェデレーション サービス ファームを実装して、SSO 機能が使用されるすべてのクラウド サービス ドメインをフェデレーションします。 Office 365の AD FS 実装ガイダンスについては、次の記事を参照してください。

ステップ バイ ステップの実装ガイダンス: シングル サインオンで使用するために、Active Directory フェデレーション サービス (AD FS) 2.0 を計画してデプロイする

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。