Microsoft 365、Azure、またはIntuneのフェデレーション ドメインの設定を更新または修復する

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

概要

Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスでのシングル サインオン (SSO) は、正しく機能するActive Directory フェデレーション サービス (AD FS) (AD FS) のオンプレミスデプロイによって異なります。 いくつかのシナリオでは、技術的な問題を修正するために、AD FS のフェデレーション ドメインの構成を再構築する必要があります。 この記事には、フェデレーション ドメインの構成を更新または修復する方法に関する詳細なガイダンスが含まれています。

詳細

フェデレーション ドメインの構成を更新する方法

フェデレーション ドメインの構成は、次の Microsoft サポート技術情報の記事で説明されているシナリオで更新する必要があります。

  • 2713898 フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしたときに AD FS から "サイトへのアクセスに問題が発生しました" というエラーが発生しました
  • 2535191"申し訳ありませんが、フェデレーション ユーザーが Microsoft 365、Azure、またはIntuneにサインインしようとすると、サインインに問題があります"と "80048163" エラーが発生します。
  • 2647020 、フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしようとすると、"申し訳ありませんが、サインインできません" と "80041317" または "80043431" エラーが発生しますIntune

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

Azure Active Directory モジュールがインストールされているドメインに参加しているコンピューター上のフェデレーション ドメインの構成Windows PowerShell更新するには、次の手順に従います。

  1. [スタート] をクリックし、[すべてのプログラム] をクリックし、[Windows Azure Active Directory] をクリックし、[Windows Azure Active Directory モジュール] をクリックしてWindows PowerShellします。

  2. コマンド プロンプトで、次のコマンドを入力し、各コマンドの後で Enter キーを押します。

    $cred = get-credential

    注:

    メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

    Connect-MSOLService –credential:$cred

    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>

    注:

    このコマンドでは、プレースホルダー <AD FS 2.0 サーバー名> は、プライマリ AD FS サーバーの Windows ホスト名を表します。

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>

    または

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain

    注:

    • -supportmultipledomain スイッチは、同じ AD FS フェデレーション サービスを使用して複数の最上位ドメインがフェデレーションされている場合に必要です。
    • これらのコマンドでは、プレースホルダー <のフェデレーション ドメイン名> は、既にフェデレーションされているドメインの名前を表します。

重要

AD FS トークン署名証明書の変更が正しくレプリケートされるように、フェデレーション メタデータの更新を定期的に自動化するスクリプトを使用できます。

このスクリプトは、プライマリ AD FS サーバーに Windows スケジュール されたタスクを作成して、信頼情報、証明書の更新の署名など、AD FS 構成の変更が定期的にMicrosoft Entra IDに反映されるようにします。

スクリプトが実装されている環境でトークン署名証明書が自動的に更新される場合、スクリプトはクラウドの信頼情報を更新して、古いクラウド証明書情報によって発生するダウンタイムを防ぎます。

フェデレーション ドメインの構成を修復する方法

フェデレーション ドメインの構成は、次の Microsoft サポート技術情報の記事で説明されているシナリオで修復する必要があります。

  • 2523494 Microsoft 365、Azure、または Intune にサインインしようとすると、AD FS から証明書の警告が表示されます。
  • " AD FS 2.0 サーバーで指定されたフェデレーション サービス識別子が既に使用されています" という2618887、Microsoft 365、Azure、またはIntuneで別のフェデレーション ドメインを設定しようとするとエラーが発生します。
  • 2713898 フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしたときに AD FS から "サイトへのアクセスに問題が発生しました" というエラーが発生しました
  • 2647020 フェデレーション ユーザーが Microsoft 365 にサインインしようとすると、"organizationがこのサービスにサインインできませんでした" エラーと "80041317" または "80043431" エラー コード
  • AD FS のフェデレーション サービス名が変更されます。

Windows PowerShell用の Azure Active Directory モジュールがインストールされているドメインに参加しているコンピューターでフェデレーション ドメイン構成を修復するには、次の手順に従います。

警告

  • 次の手順では、 クライアントの場所を使用して Microsoft 365 サービスへのアクセスを制限することによって作成されたすべてのカスタマイズを削除します。 フェデレーション ドメインの構成を修復した後、制限された AD FS アクセスを再構成しなければならない場合があります。
  • 次の手順は慎重に計画する必要があります。 フェデレーション ドメインで SSO 機能が有効になっているユーザーは、手順 4 の完了から手順 5 の完了まで、この操作中に認証できません。 手順 1 の update-MSOLFederatedDomain コマンドレット テストが正常に実行されない場合、手順 5 は正しく完了しません。 フェデレーション ユーザーは、update-MSOLFederatedDomain コマンドレットが正常に実行されるまで認証できません。
  1. この記事の前の「フェデレーション ドメイン構成を更新する方法」セクションの手順を実行して、update-MSOLFederatedDomain コマンドレットが正常に完了したことを確認します。
    • コマンドレットが正常に完了しなかった場合は、この手順を続行しないでください。 代わりに、この記事の後半にある「フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題」セクションを参照して、問題のトラブルシューティングを行ってください。
    • コマンドレットが正常に完了した場合は、後で使用するためにコマンド プロンプト ウィンドウを開いたままにします。
  2. AD FS サーバーにログオンします。 これを行うには、[ スタート] をクリックし、[ すべてのプログラム] をポイントし、[ 管理ツール] をポイントし、[ AD FS (2.0) 管理] をクリックします。
  3. 左側のナビゲーション ウィンドウで、[ AD FS (2.0)] をクリックし、[ 信頼関係] をクリックし、[ 証明書利用者の信頼] をクリックします。
  4. 右端のウィンドウで、Microsoft Office 365 Identity Platform エントリを削除します。
  5. 手順 1 で開いたWindows PowerShell ウィンドウで、削除された信頼オブジェクトを再作成します。 これを行うには、次のコマンドを実行し、Enter キーを押します。
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    または
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain

    注:

    • -supportmultipledomain スイッチは、同じ AD FS フェデレーション サービスを使用して複数の最上位ドメインがフェデレーションされている場合に必要です。
    • これらのコマンドでは、プレースホルダー <のフェデレーション ドメイン名> は、既にフェデレーションされているドメインの名前を表します。

フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題

フェデレーション ドメインを更新または修復すると、次のシナリオで問題が発生します。

  • Windows PowerShellを使用して接続することはできません。 この問題の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2494043 Windows PowerShellに Azure Active Directory モジュールを使用して接続することはできません

  • 前提条件がないため、Windows PowerShell用の Azure Active Directory モジュールを読み込めませんでした。 詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2461873 Azure Active Directory モジュールを開いてWindows PowerShellすることはできません

  • set-MSOLADFSContext コマンドレットを実行しようとすると、"アクセスが拒否されました" というエラー メッセージが表示されます。 詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    Set-MsolADFSContext コマンドレットを使用するときに"ServerName> Active Directory フェデレーション サービス (AD FS) 2.0 サーバーへの<接続に失敗しました" エラーを2587730

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。