Microsoft Entra B2B コラボレーションのトラブルシューティング

Microsoft Entra B2B コラボレーションの一般的な問題の対処方法をいくつか示します。

エラーコード AADSTS50020 でゲストのサインインが失敗する

ID プロバイダー (IdP) のゲスト ユーザーが Microsoft Entra ID のリソース テナントにサインインできず、エラー コード AADSTS50020 が表示される場合、いくつかの原因が考えられます。 エラー AADSTS50020 のトラブルシューティングに関する記事を参照してください。

B2B 直接接続ユーザーが共有チャネルにアクセスできない (エラー AADSTS90071)

別の組織の Teams 共有チャネルにアクセスしようとしたときに B2B 直接接続で次のエラー メッセージが表示された場合は、外部組織によって多要素認証の信頼設定が構成されていません。

アクセスしようとしている組織は、サインインできるように組織の設定を更新する必要があります。

AADSTS90071:<組織>の管理者は、アクセス設定を更新して、受信の多要素認証を受け入れる必要があります。

Teams 共有チャネルをホストしている組織は、多要素認証の信頼設定を有効にして、B2B 直接接続ユーザーへのアクセスを可能にする必要があります。 信頼設定は、組織のクロステナント アクセスの設定で構成できます。

テナント間のアクセス設定を構成しているときに、"オブジェクトの制限によるポリシーの更新に失敗しました" というようなエラーが表示される

クロステナント アクセス設定を構成しているときに、"オブジェクトの制限によるポリシーの更新に失敗しました" というエラーが表示された場合は、ポリシー オブジェクトの上限である 25 KB に達しています。 Microsoft では、この制限の引き上げに取り組んでいます。 現在のポリシーがこの制限にどれだけ近いかを計算できるようにする必要がある場合は、次の手順を実行します。

1. Microsoft Graph Explorer を開き、以下を実行します。

   GET https://graph.microsoft.com/beta/policies/crosstenantaccesspolicy

2. JSON 応答全体をコピーし、txt ファイルとして保存します。たとえば、policyobject.txt のようにします。

3. PowerShell を開き、次のスクリプトを実行します。最初の行のファイルの場所は自分のテキスト ファイルに置き換えます。

$policy = Get-Content “C:\policyobject.txt”
$maxSize = 1024*25 
$size = [System.Text.Encoding]::UTF8.GetByteCount($policy) 
write-host "Remaining Bytes available in policy object" 
$maxSize - $size 
write-host "Is current policy within limits?" 
if ($size -le $maxSize) { return “valid” }; else { return “invalid” } 

ユーザーが Microsoft Rights Management Service (OME) で暗号化されたメールを読み取ることができなくなった

クロステナント アクセス設定を構成しているときに、すべてのアプリへのアクセスを既定でブロックすると、ユーザーは Microsoft Rights Management Service (OME とも呼ばれる) で暗号化されたメールを読み取れなくなります。 この問題を回避するには、送信設定を構成してユーザーがアプリ ID: 00000012-0000-0000-c000-000000000000 にアクセスできるようにすることをお勧めします。 これが許可する唯一のアプリケーションである場合、他のすべてのアプリへのアクセスは既定でブロックされます。

外部ユーザーを追加しましたが、グローバル アドレス帳またはユーザー選択ウィンドウに表示されません

外部ユーザーが一覧に表示されない場合は、オブジェクトのレプリケートに数分かかっていることがあります。

B2B のゲスト ユーザーが SharePoint Online/OneDrive ユーザー選択ウィンドウに表示されません

SharePoint Online (SPO) のユーザー選択ウィンドウで既存のゲスト ユーザーを検索する機能は、従来の動作と一致させるために、既定ではオフになっています。

この機能は、テナントとサイト コレクション レベルで 'ShowPeoplePickerSuggestionsForGuestUsers' 設定を使用することで有効にできます。 この機能は、Set-SPOTenant コマンドレットと Set-SPOSite コマンドレットを使用して設定できます。これにより、メンバーは、ディレクトリ内のすべての既存のゲスト ユーザーを検索することができます。 テナントのスコープの変更は、既にプロビジョニングされている SPO サイトには影響しません。

ゲスト招待の設定とドメインの制限が SharePoint Online/OneDrive に反映されていない

既定では、SharePoint Online と OneDrive には独自の外部ユーザー オプションのセットがあり、Microsoft Entra ID の設定は使用されません。 これらのアプリケーション間で Microsoft Entra B2B との SharePoint および OneDrive の統合を有効にして、オプションが一貫していることを確認する必要があります。

ディレクトリに対して招待が無効になっています

ユーザーを招待するアクセス許可がないことを通知された場合は、[ID]、[ユーザー]、[ユーザー設定]、[外部ユーザー]、[外部コラボレーションの設定の管理] の順に選択し、自分のユーザー アカウントが外部ユーザーの招待を認可されていることを確認します。

これらの設定を変更したり、ユーザーにゲストの招待元ロールを割り当てたりしたばかりの場合は、変更が有効になるまでに 15 ～ 60 分かかることがあります。

受諾プロセス中、招待したユーザーがエラーを受け取ります

一般的なエラーの理由は、次のとおりです。

招待されたユーザーの管理者が、メールで確認済みのユーザーをテナント内に作成することを許可していません

Microsoft Entra ID を使用している組織のユーザーを招待していて、その特定のユーザーのアカウントが存在しない場合 (たとえばユーザーが Microsoft Entra contoso.com に存在しない場合)、 contoso.com の管理者が、ユーザーが作成されないようにするポリシーを設定している可能性があります。 ユーザーは、外部ユーザーが許可されるかどうかを管理者に確認する必要があります。 外部ユーザーの管理者は、メールで確認済みのユーザーをドメインで許可しなければならない場合があります (メールで確認済みのユーザーの許可については、こちらの記事を参照してください)。

外部ユーザーがフェデレーション ドメインに既に存在しません

フェデレーション認証を使用しているときに、ユーザーが Microsoft Entra ID に既に存在しない場合は、そのユーザーを招待することはできません。

この問題を解決するには、外部ユーザーの管理者がユーザーのアカウントを Microsoft Entra ID に同期する必要があります。

外部ユーザーに、既存のローカル ユーザーの proxyAddress と競合する proxyAddress がある

ユーザーがテナントに招待できるかどうかを確認する際に確認する必要があるのは、proxyAddress での競合です。 これには、ホーム テナント内のユーザーの proxyAddresses と、テナント内のローカル ユーザー用の proxyAddress が含まれます。 外部ユーザーの場合、既存の B2B ユーザーの proxyAddress に電子メールを追加します。 ローカル ユーザーの場合、既に持っているアカウントを使用してサインインを求めることができます。

proxyAddresses の競合のため、電子メール アドレスを招待できない

これは、ディレクトリ内の別のオブジェクトが proxyAddresses の 1 つと同じ招待された電子メール アドレスを持つ場合に発生します。 この競合を解決するには、ユーザー オブジェクトから電子メールを削除し、関連する連絡先オブジェクトも削除してから、この電子メールを再度招待します。

ゲスト ユーザー オブジェクトに proxyAddress が存在しない

招待しようとしている外部のゲスト ユーザーが、既存の連絡先オブジェクトと競合する場合があります。 この場合、ゲスト ユーザーは proxyAddress なしで作成されます。 つまり、ユーザーは Just-In-Time 引き換えまたは電子メール ワンタイム パスコード認証を使用して、このアカウントを引き換えに使用することはできません。 また、オンプレミスの AD から同期している連絡先オブジェクトが既存のゲスト ユーザーと競合する場合、競合する proxyAddress は既存のゲスト ユーザーから削除されます。

通常は無効な文字である "#" は、どのように Microsoft Entra ID と同期しますか。

"#" は、Microsoft Entra B2B コラボレーションまたは外部ユーザー向けの UPN 内の予約文字です。理由は、招待されたアカウント user@contoso.com が user_contoso.com#EXT#@fabrikam.onmicrosoft.com になるためです。 したがって、オンプレミスから送信されるUPN 内の # は、Microsoft Entra 管理センターにサインインするために使用することはできません。

同期済みグループに外部ユーザーを追加すると、エラー メッセージが表示されます

外部ユーザーは、"割り当て済み" または "セキュリティ" グループのみに追加できます。オンプレミスで管理されているグループには追加できません。

外部ユーザーが招待の電子メールを受信しませんでした

招待されるユーザーは、 次のアドレスが許可されていることを ISP またはスパム フィルターで確認する必要があります: Invites@microsoft.com。

注意

• 中国の 21Vianet が運営する Azure サービスでは、送信者のアドレスは Invites@oe.21vianet.com になります。
• Microsoft Entra Government クラウドの場合、送信者のアドレスは invites@azuread.us です。

カスタム メッセージが招待メッセージに含まれないことがあります

プライバシーに関する法律を順守するため、以下に該当する場合、API は、電子メール招待状にカスタム メッセージを含めません。

• 招待元が招待元のテナントで電子メール アドレスを持っていない場合
• appservice プリンシパルが招待を送信する場合

これがお客様にとって重要なシナリオである場合は、API による招待メール送信を抑制し、選択した電子メール メカニズムを使用して送信できます。 お客様の組織の弁護士に相談して、この方法による電子メールの送信がプライバシーに関する法律を順守していることを確認してください。

Azure リソースにサインインしようとすると "AADSTS65005" エラーを受け取ります

ゲスト アカウントを持つユーザーがサインインできず、次のエラー メッセージを受け取ります。

    AADSTS65005: Using application 'AppName' is currently not supported for your organization contoso.com because it is in an unmanaged state. An administrator needs to claim ownership of the company by DNS validation of contoso.com before the application AppName can be provisioned.

このユーザーは Azure ユーザー アカウントを持っており、破棄されているか非管理対象のバイラル テナントです。 さらに、このテナントには全体管理者も会社の管理者もいません。

この問題を解決するには、破棄されたテナントを引き継ぐ必要があります。 「Microsoft Entra ID の非管理対象ディレクトリを管理者として引き継ぐ」を参照してください。 また、自分が名前空間を管理しているという直接の証拠を提供するために、問題のドメイン サフィックスに対するインターネット接続の DNS にアクセスする必要があります。 テナントが管理対象状態に戻ったら、ユーザーおよび検証済みドメイン名を残すことが組織にとって最良の選択肢かどうかをお客様と話し合います。

Just-In-Time または "バイラル” テナントを持つゲスト ユーザーは、自分のパスワードをリセットすることはできません

ID テナントが Just-In-Time (JIT) テナントまたはバイラル テナント (つまり、独立したアンマネージド Azure テナント) である場合は、ゲスト ユーザーだけが自分のパスワードをリセットできます。 場合によっては、組織が、従業員が仕事用メール アドレスを使用してサービスにサインアップするときに作成されるバイラル テナントの管理を引き継ぎます。 組織がバイラル テナントを引き継いだ後は、その組織の管理者しか、ユーザーのパスワードをリセットしたり SSPR を有効にしたりできなくなります。 必要に応じて、招待側の組織としては、ディレクトリからゲスト ユーザー アカウントを削除し、招待を再送信することができます。

ゲスト ユーザーが Azure AD PowerShell V1 モジュールを使用できない

Note

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨の最新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正プログラムに限定されます。 非推奨になるモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

2019 年 11 月 18 日時点で、ディレクトリ内のゲスト ユーザー (userType プロパティが Guest であるユーザー アカウントとして定義) は、Azure AD PowerShell V1 モジュールの使用をブロックされています。 今後、ユーザーはメンバー ユーザー (userType が Member) になるか、Azure AD PowerShell V2 モジュールを使用する必要があります。

Azure US Government テナントでは、B2B コラボレーションのゲストユーザーを招待できません。

Azure US Government クラウド内では、B2B コラボレーションは、両方が Azure US Government クラウド内にあるテナント間と、両方が B2B コラボレーションをサポートしているテナント間で有効になっています。 B2B コラボレーションをまだサポートしていないテナントにユーザーを招待すると、エラーが発生します。 詳細と制限事項については、Microsoft Entra ID P1 および P2 のバリエーションに関する記事を参照してください。

Azure US Government クラウドの外部にある Microsoft Entra 組織と共同作業する必要がある場合は、Microsoft クラウド設定を使用して B2B コラボレーションを有効にできます。

テナント間アクセス ポリシーが原因で招待がブロックされる

B2B コラボレーション ユーザーを招待しようとすると、次のエラー メッセージが表示される場合があります。"この招待は、テナント間アクセス設定によってブロックされています。 自分の組織と招待するユーザーの組織両方の管理者が、テナント間のアクセス設定で招待を許可するように構成する必要があります。" このエラー メッセージは、B2B コラボレーションがサポートされているが、テナント間アクセス設定によってブロックされている場合に表示されます。 テナント間アクセス設定を確認し、設定でユーザーとの B2B コラボレーションが許可されていることを確認します。 別の Microsoft Azure クラウド内の別の Microsoft Entra 組織と共同作業を行う場合、Microsoft クラウド設定を使用して Azure AD B2B コラボレーションを有効にすることができます。

Microsoft B2B Cross Cloud Worker アプリケーションが無効になっているために招待がブロックされる

まれに次のメッセージが表示される場合があります。"Microsoft B2B Cross Cloud Worker アプリケーションが招待されたユーザーのテナントで無効になっているため、このアクションを完了できません。 招待されたユーザーの管理者に再有効化するように依頼してから、もう一度やり直します。" このエラーは、B2B コラボレーション ユーザーのホーム テナントで Microsoft B2B Cross Cloud Worker アプリケーションが無効にされたことを意味します。 このアプリは通常有効になっていますが、PowerShell または Microsoft Entra 管理センターを使用して、ユーザーのホーム テナントの管理者によって無効にされている可能性があります (「ユーザーがサインインする方法を無効にする」を参照してください)。 ユーザーのホーム テナントの管理者は、PowerShell または Microsoft Entra 管理センターを使用してアプリを再有効化することができます。 管理センターで "Microsoft B2B Cross Cloud Worker" を検索してアプリを見つけて選び、再有効化することを選びます。

Microsoft Entra ID はテナント内で aad-extensions-app を見つけられないというエラーが表示される

カスタム ユーザー属性やユーザー フローのようなセルフサービス サインアップ機能を使用する場合は、aad-extensions-app. Do not modify. Used by AAD for storing user data. という名前のアプリが自動的に作成されます。 これは、サインアップしたユーザーと収集されたカスタム属性に関する情報を格納するために、Microsoft Entra 外部 ID によって使用されます。

aad-extensions-app を誤って削除した場合、30 日以内なら復旧できます。 Microsoft Graph PowerShell モジュールを使用してアプリを復元できます。

1. Microsoft Graph PowerShell モジュールを起動し、Connect-MgGraph を実行します。
2. 削除されたアプリを復旧する Microsoft Entra テナントのグローバル管理者としてサインインします。
3. PowerShell コマンド Get-MgDirectoryDeletedItem -DirectoryObjectId {id} を実行します。 例

Get-MgDirectoryDeletedItem -DirectoryObjectId 'd4142c52-179b-4d31-b5b9-08940873507b'
Id                                   DeletedDateTime
--                                   ---------------
d4142c52-179b-4d31-b5b9-08940873507b 8/30/2021 7:37:37 AM

1. PowerShell コマンド Restore-MgDirectoryDeletedItem -DirectoryObjectId {id} を実行します。 コマンドの {id} の部分は、前の手順の DirectoryObjectId に置き換えます。

これで、復元されたアプリが Microsoft Entra 管理センターに表示されます。

ゲスト ユーザーが正常に招待されたが、電子メール属性に値が設定されていない

ディレクトリに既に存在するユーザー オブジェクトと一致するメール アドレスを持つゲスト ユーザーを誤って招待したとします。 ゲスト ユーザー オブジェクトが作成されますが、メールアドレスは、mail プロパティまたは proxyAddresses プロパティに追加されるのではなく、otherMail プロパティに追加されます。 この問題を回避するために、次の PowerShell の手順を使用して、Microsoft Entra ディレクトリ内の競合するユーザー オブジェクトを検索できます。

1. Microsoft Graph PowerShell モジュールを開き、Connect-MgGraph を実行します。
2. 重複した連絡先オブジェクトを調べる Microsoft Entra テナントのグローバル管理者としてサインインします。
3. PowerShell コマンド Get-MgContact -All | ? {$_.Mail -match 'user@domain.com'} を実行します。

ログイン画面でポリシー エラーによってブロックされた外部アクセス

テナントにログインしようとしたときに、次のエラー メッセージが表示されることがあります。"アクセスできる組織がネットワーク管理者によって制限されています。 アクセスのブロックを解除するには、IT 部門にお問い合わせください" このエラーは、テナント制限の設定に関連しています。 この問題を解決するには、この記事の指示に従うように IT チームに依頼してください。

テナント間アクセスの設定がないため、招待がブロックされています

次のメッセージが表示される場合があります: 「この招待は、組織内のテナント間アクセス設定によってブロックされます。 管理者は、この招待を許可するようにテナント間アクセス設定を構成する必要があります。」 この場合は、テナント間アクセス設定をチェックするように管理者に依頼してください。

次のステップ

• B2B コラボレーションのサポートの利用