既存のドメインを変換するために Convert-MSOLDomaintoFederatedコマンドを実行した後、ユーザーはサインインできなくなりました

この記事では、コマンドを実行して既存のドメインを標準認証からフェデレーション認証に変換した後、ユーザーが Office 365、Azure、または Microsoft Intune にアクセスできなくなった問題のトラブルシューティングに関する情報を提供します。 Convert-MSOLDomaintoFederated

元の製品バージョン:  Cloud Services (Web ロール/ワーカー ロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 ID 管理
元の KB 番号:   2662960

現象

Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスでのシングル サインオン (SSO) のセットアップ中に、コマンドを実行して既存のドメインを標準認証からフェデレーション認証に変換します。 Convert-MSOLDomaintoFederated ただし、この操作を行った後、そのドメインに関連付けられているユーザーはクラウド サービスにアクセスできなくなりました。

原因

この問題は、SSO が正しく設定されていない場合、またはセットアップが完了しない場合に発生します。

警告

既定のドメインに関連付けられている管理者ユーザー ID を常に 1 つ以上持ち、SSO が侵害された場合に組織への管理アクセスが失われずに行うのは、Microsoft のベスト プラクティスです。

解決方法

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

方法 1: SSO セットアップのトラブルシューティング

このメソッドは、次のすべての条件が true の場合にのみ使用します。

  • この問題は、サービスの停止によって引き起こされません。
  • ユーザー アクセスをすぐに復元する必要はありません。

SSO セットアップを診断してトラブルシューティングするには、「シングル サインオンセットアップの問題をトラブルシューティングする」を参照Office 365 Intune、または Azure で行います

方法 2: FS サーバーが使用できない場合は、ドメイン フェデレーションをAD標準認証に戻す

このメソッドは、次のすべての条件が true の場合にのみ使用します。

  • この問題は、ユーザー アクセスを直ちに復元する必要があるサービスの停止によって発生します。
  • FS ADが使用できません。

これらの条件が true の場合は、ドメインの認証設定と、標準認証を使用する各ユーザー アカウントの認証設定をリセットします。 これを行うには、次の手順を実行します。

  1. モジュールのAzure Active Directoryを開始Windows PowerShell。 これを行うには、[スタート] を選択し、[すべてのプログラム] を選択し、[Windows Azure Active Directory] を選択し、[Windows Azure Active Directory モジュール] を右Windows PowerShellし、[ファイル名を指定して実行] 選択 します。administrator.

  2. ドメインを変換するには、次のコマンドを表示順に実行します。 各コマンドを入力した後、Enter キーを押します。

    $cred = Get-Credential
    

    プロンプトが表示されたら、SSO が有効になっていないクラウド サービス管理者資格情報を入力します。

    Connect-MsolService -credential $cred
    
    Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>
    

    注意

    このコマンドでは、プレースホルダーは SSO が動作しない <federated domain name> ドメインの名前を表します。

  3. ドメインに関連付けられているユーザー プリンシパル名 (UPN) サフィックスを持つユーザーごとに、次のコマンドを実行します。

    Convert-MSOLFederatedUser -UserPrincipalName <string>
    

    注意

    このコマンドでは、プレースホルダーは、変換されるユーザーの <string> UPN の値を表します。

詳細

重要

最後の Microsoft クラウド サービス組織管理者がフェデレーション ドメインのドメイン サフィックスを割り当て、その管理者が SSO が有効になるシナリオでは、それ以降の AD FS エラーによって connect-MSOLService コマンドの実行が制限され、SSO の問題の修復が妨げる可能性があります。 microsoft クラウド サービス組織の管理者は、Azure Active Directory Module for Windows PowerShell を使用して SSO の問題のトラブルシューティングを可能にするため、SSO が有効になっていない少なくとも 1 つのグローバル管理者アカウントを常に保持することをお勧めします。

この問題が発生した場合は、Microsoft サポートに問い合わせてドメイン フェデレーションを一時的に取り消し、管理者 (SSO が有効でなくなったユーザー) が SSO 関連の問題をトラブルシューティングするためのアクセス権を回復できます。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。