Office 365、Azure、または Intune で別のフェデレーションドメインを設定しようとするとエラーが発生する AD FS 2.0 サーバーで指定されているフェデレーションサービス識別子は既に使用されています。

この記事では、 New-MSOLFederatedDomain Convert-MSOLDomainToFederated Windows PowerShell 用 Azure Active Directory モジュールを使用してコマンドまたはコマンドを実行したときにエラーメッセージが表示される問題の解決について説明します。

元の製品バージョン:  クラウドサービス (Web ロール/ワーカーロール)、Azure Active Directory、Microsoft Intune、Azure Backup、Office 365 Identity Management
元の KB 番号:  2618887

現象

Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウドサービスでは、Active Directory フェデレーションサービス (AD FS) サーバーに2番目のフェデレーションドメインをセットアップすることはできません。 Windows PowerShell の Azure Active Directory モジュールを使用してコマンドまたはコマンドを実行すると New-MSOLFederatedDomain Convert-MSOLDomainToFederated 、次のエラーメッセージが表示されます。

Active Directory フェデレーションサービス2.0 サーバーで指定されているフェデレーションサービス識別子が既に使用されています。 AD FS 2.0 管理コンソールでこの値を修正し、コマンドを再度実行してください。

原因

Azure Active Directory (Azure AD) 認証システムでは、フェデレーションドメインごとに一意のフェデレーションブランド URI (uniform resource identifier) が必要です。 既定では、AD FS はすべてのフェデレーション信頼に対してグローバル値を使用します。 フェデレーション信頼が既に存在するシナリオで、2番目のドメインをフェデレーションしようとすると、URI が既に使用されているため、要求は失敗します。

解決方法

この問題を解決するに -supportmultipledomain は、クラウドサービスによってフェデレーションされているすべてのドメインを追加または変換するには、スイッチを使用する必要があります。 これには、既に存在するフェデレーションドメインが含まれます。

手順 1: AD FS 2.0 の更新プログラムのロールアップ1をインストールする

AD FS 2.0 フェデレーションサービスファームの各ノードで、AD FS 2.0 の更新プログラムのロールアップ1をダウンロードしてインストールします。 AD FS 2.0 の更新プログラムのロールアップ1をダウンロードしてインストールする方法の詳細については、「 Active Directory フェデレーションサービス (AD fs) 2.0 の更新プログラムのロールアップ1の説明」を参照してください。

注意

この更新プログラムを実行するには、コンピューターを再起動する必要があります。 コンピューターを再起動しないと、問題が発生しますが、フェデレーションユーザーが Office 365、Azure、または Intune にサインインしようとすると、「申し訳ございませんが、サインインに失敗しました」と「8004789A」というエラーが表示されます。

手順 2: Update-MSOLFederatedDomain AD FS 環境に対してコマンドを正常に実行できることを確認する

  1. [ StartWindows > azure active directory のすべてのプログラムを起動] を選択して > Windows Azure Active Directory、[windows PowerShell 用 windows azure active directory モジュール] を右クリックし、[管理者として実行] を選択します。

  2. コマンドプロンプトで、表示されている順序で次のコマンドを実行します。 コマンドごとに Enter キーを押します。

    Connect-MSOLService
    

    注意

    メッセージが表示されたら、クラウドサービス全体管理者の資格情報を入力します。

    Set-MSOLADFSContext -Computer <AD FS 2.0 server name>
    

    注意

    このコマンドは、 <AD FS 2.0 server name> AD FS フェデレーションサービスファーム内のノードのコンピューター名です。

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    

    注意

    このコマンドの場合、 <Federated Domain Name> は、シングルサインオン (SSO) に対して AZURE AD と既にフェデレーションされているドメインの名前です。

  3. Update-MSOLFederatedDomainコマンドが正常に実行され、エラーメッセージが表示されない場合は、手順3に進み、AD FS サーバーからフェデレーション信頼を削除します。

手順 3: AD FS サーバー上のフェデレーション信頼を更新する

警告

次の手順は慎重に計画する必要があります。 フェデレーションドメインで SSO 機能が有効になっているユーザーは、手順 C と D の間で認証を行うことができなくなります。Update-MSOLFederatedDomain手順2でコマンドテストが正常に完了しなかった場合、この手順の手順 d. は正常に終了しません。 フェデレーションユーザーは、 Update-MSOLFederatedDomain コマンドが正常に実行されるまで認証できません。

  1. AD FS サーバーのコンソールにログオンし、[すべてのプログラムの管理ツールを開始する] を選択し > All Programs > Administrative Toolsて、D fs (2.0) 管理を選択します。

  2. 左側のナビゲーションウィンドウで、[ AD FS (2.0)] を選択し、[信頼関係] を選択してから、[証明書利用者信頼] を選択します。

  3. 右側のウィンドウで、[Microsoft Office 365 Identity Platform] エントリを削除します。

  4. スイッチを使用して、削除された信頼オブジェクトを再作成し -supportmultipledomain ます。 手順1C から開いた PowerShell ウィンドウで、次のコマンドを実行し、 enterキーを押します。

    Update-MSOLFederatedDomain -DomainName <Federated Domain Name> -supportmultipledomain
    

注意

このコマンドの <Federated Domain Name> は、は、既に SSO のクラウドサービスとフェデレーションされているドメインの名前です。

手順 4: スイッチを使用して -supportmultipledomain 追加のフェデレーションドメインを追加または変換する

手順2で既存の信頼を更新した後、-support複数のドメインスイッチを使用して追加のフェデレーションドメインを追加または変換します。 このスイッチは、クラウドサービスによってフェデレーションされた各ドメインに対して一意の URI 名前空間を使用することをコマンドに通知します。 これを行うには、次のいずれかのコマンド構文を使用します。

New-MSOLFederatedDomain -domainname <domain name> -supportmultipledomain
Convert-MSOLDomainToFederated -domainname <domain name> -supportmultipledomain

注意

このコマンドの場合は、 <domain name> フェデレーションを試行しているドメインの名前を表します。

回避策

AD FS フェデレーションサービスファームを実装して、SSO 機能が使用されるすべてのクラウドサービスドメインをフェデレーションします。 Office 365 の AD FS 実装のガイダンスについては、次の記事を参照してください。

ステップバイステップの実装ガイダンス:シングルサインオンを使用するための Active Directory フェデレーションサービス2.0 の計画と展開

詳細

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。