Convert-MSOLDomaintoFederated コマンドを実行して既存のドメインを変換した後、ユーザーはサインインできなくなりました

  • [アーティクル]

この記事では、コマンドを実行Convert-MSOLDomaintoFederatedして既存のドメインを標準認証からフェデレーション認証に変換した後、ユーザーがOffice 365、Azure、またはMicrosoft Intuneにアクセスできなくなった問題のトラブルシューティングについて説明します。

              元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2662960

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

現象

Office 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスでのシングル サインオン (SSO) のセットアップ中に、 コマンドを実行して、既存のConvert-MSOLDomaintoFederatedドメインを標準認証からフェデレーション認証に変換します。 ただし、これを行うと、そのドメインに関連付けられているユーザーはクラウド サービスにアクセスできなくなります。

原因

この問題は、SSO が正しく設定されていない場合、またはセットアップが完了していない場合に発生します。

警告

SSO が侵害された場合にorganizationへの管理アクセスが失われないように、既定のドメインに関連付けられている管理者ユーザー ID を常に 1 つ以上持つことが Microsoft のベスト プラクティスです。

解決方法

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

方法 1: SSO セットアップのトラブルシューティング

このメソッドは、次のすべての条件に該当する場合にのみ使用します。

  • この問題は、サービスの停止が原因ではありません。
  • ユーザー アクセスを直ちに復元する必要はありません。

SSO のセットアップを診断してトラブルシューティングするには、「Office 365、Intune、または Azure でのシングル サインオンのセットアップに関する問題のトラブルシューティング」を参照してください。

方法 2: AD FS サーバーが使用できない場合は、ドメインフェデレーションを標準認証に戻す

このメソッドは、次のすべての条件に該当する場合にのみ使用します。

  • この問題は、ユーザー アクセスを直ちに復元する必要があるサービスの停止によって発生します。
  • AD FS サーバーは使用できません。

これらの条件が true の場合は、標準認証を使用するように、ドメインと各ユーザー アカウントの認証設定をリセットします。 これを行うには、次の手順を実行します。

  1. Windows PowerShellの Azure Active Directory モジュールを起動します。 これを行うには、[スタート] を選択し、[すべてのプログラム] を選択し、[Windows Azure Active Directory] を選択し、Windows PowerShellの [Windows Azure Active Directory モジュール] を右クリックして、[管理者として実行] を選択します。

  2. ドメインを変換するには、表示される順序で次のコマンドを実行します。 各コマンドを入力した後、Enter キーを押します。

    $cred = Get-Credential

    メッセージが表示されたら、SSO が有効になっていないクラウド サービス管理者の資格情報を入力します。

    Connect-MsolService -credential $cred

    Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>

    注:

    このコマンドでは、プレースホルダー <フェデレーション ドメイン名> は、SSO が機能しないドメインの名前を表します。

  3. ドメインに関連付けられているユーザー プリンシパル名 (UPN) サフィックスを持つユーザーごとに、次のコマンドを実行します。

    Convert-MSOLFederatedUser -UserPrincipalName <string>

    注:

    このコマンドでは、プレースホルダー <文字列> は、変換されるユーザーの UPN の値を表します。

詳細

重要

最後の Microsoft クラウド サービスorganization管理者にフェデレーション ドメインのドメイン サフィックスが割り当てられ、その管理者が SSO が有効になるシナリオでは、その後の AD FS エラーによって connect-MSOLService コマンドの実行が制限され、SSO の問題の修復が妨げる可能性があります。 Microsoft クラウド サービスorganization管理者は、SSO 対応ではないグローバル管理者アカウントを常に 1 つ以上保持して、Windows PowerShellに Azure Active Directory モジュールを使用して SSO の問題のトラブルシューティングを行うことをお勧めします。

この問題が発生した場合は、ドメインフェデレーションを一時的に元に戻すようMicrosoft サポートに問い合わせて、管理者 (SSO が有効ではなくなったユーザー) が SSO 関連の問題のトラブルシューティングにアクセスできるようにしてください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。