Convert-MSOLDomaintoFederated コマンドを実行して既存のドメインを変換した後、ユーザーはサインインできなくなりました
この記事では、コマンドを実行Convert-MSOLDomaintoFederated
して既存のドメインを標準認証からフェデレーション認証に変換した後、ユーザーがOffice 365、Azure、またはMicrosoft Intuneにアクセスできなくなった問題のトラブルシューティングについて説明します。
元の製品バージョン: クラウド サービス (Web ロール/Worker ロール)、Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号: 2662960
注:
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
現象
Office 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスでのシングル サインオン (SSO) のセットアップ中に、 コマンドを実行して、既存のConvert-MSOLDomaintoFederated
ドメインを標準認証からフェデレーション認証に変換します。 ただし、これを行うと、そのドメインに関連付けられているユーザーはクラウド サービスにアクセスできなくなります。
原因
この問題は、SSO が正しく設定されていない場合、またはセットアップが完了していない場合に発生します。
警告
SSO が侵害された場合にorganizationへの管理アクセスが失われないように、既定のドメインに関連付けられている管理者ユーザー ID を常に 1 つ以上持つことが Microsoft のベスト プラクティスです。
解決方法
この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。
方法 1: SSO セットアップのトラブルシューティング
このメソッドは、次のすべての条件に該当する場合にのみ使用します。
- この問題は、サービスの停止が原因ではありません。
- ユーザー アクセスを直ちに復元する必要はありません。
SSO のセットアップを診断してトラブルシューティングするには、「Office 365、Intune、または Azure でのシングル サインオンのセットアップに関する問題のトラブルシューティング」を参照してください。
方法 2: AD FS サーバーが使用できない場合は、ドメインフェデレーションを標準認証に戻す
このメソッドは、次のすべての条件に該当する場合にのみ使用します。
- この問題は、ユーザー アクセスを直ちに復元する必要があるサービスの停止によって発生します。
- AD FS サーバーは使用できません。
これらの条件が true の場合は、標準認証を使用するように、ドメインと各ユーザー アカウントの認証設定をリセットします。 これを行うには、次の手順を実行します。
Windows PowerShellの Azure Active Directory モジュールを起動します。 これを行うには、[スタート] を選択し、[すべてのプログラム] を選択し、[Windows Azure Active Directory] を選択し、Windows PowerShellの [Windows Azure Active Directory モジュール] を右クリックして、[管理者として実行] を選択します。
ドメインを変換するには、表示される順序で次のコマンドを実行します。 各コマンドを入力した後、Enter キーを押します。
$cred = Get-Credential
メッセージが表示されたら、SSO が有効になっていないクラウド サービス管理者の資格情報を入力します。
Connect-MsolService -credential $cred
Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>
注:
このコマンドでは、プレースホルダー <フェデレーション ドメイン名> は、SSO が機能しないドメインの名前を表します。
ドメインに関連付けられているユーザー プリンシパル名 (UPN) サフィックスを持つユーザーごとに、次のコマンドを実行します。
Convert-MSOLFederatedUser -UserPrincipalName <string>
注:
このコマンドでは、プレースホルダー <文字列> は、変換されるユーザーの UPN の値を表します。
詳細
重要
最後の Microsoft クラウド サービスorganization管理者にフェデレーション ドメインのドメイン サフィックスが割り当てられ、その管理者が SSO が有効になるシナリオでは、その後の AD FS エラーによって connect-MSOLService コマンドの実行が制限され、SSO の問題の修復が妨げる可能性があります。 Microsoft クラウド サービスorganization管理者は、SSO 対応ではないグローバル管理者アカウントを常に 1 つ以上保持して、Windows PowerShellに Azure Active Directory モジュールを使用して SSO の問題のトラブルシューティングを行うことをお勧めします。
この問題が発生した場合は、ドメインフェデレーションを一時的に元に戻すようMicrosoft サポートに問い合わせて、管理者 (SSO が有効ではなくなったユーザー) が SSO 関連の問題のトラブルシューティングにアクセスできるようにしてください。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示