コンテンツへスキップ
超解決
  • トップページ
  • 詐欺メールチェッカー
  • テキスト整形ツール
  • 高機能・文字数カウント(自動保存付き)
  • パスワード生成ツール
  • 全記事一覧(サイトマップ)
  1. ホーム
  2. デジタル・IT
  3. Office・仕事術
  4. 【Entra ID】会社ドメインを追加した後に認証できない時のDNS検証とUPN変更

【Entra ID】会社ドメインを追加した後に認証できない時のDNS検証とUPN変更

2026年5月27日2026年6月22日
Office・仕事術 会社アカウント・認証
【Entra ID】会社ドメインを追加した後に認証できない時のDNS検証とUPN変更
🛡️ 超解決

会社のEntra IDテナントにカスタムドメインを追加した後、ユーザーがサインインできなくなることがあります。DNS検証が完了していない、またはユーザープリンシパル名(UPN)が新しいドメインに更新されていないことが主な原因です。この記事では、認証できない原因をDNS検証とUPN変更の2つの軸で切り分け、具体的な確認手順と対処方法を説明します。管理者の方だけでなく、影響を受ける一般ユーザーも参考にできる内容です。

【要点】この記事で確認すること

  • 最初に見る場所: Entra ID管理センターのカスタムドメイン状態が「確認済み」かどうか、ユーザーのUPNが新しいドメインになっているか。
  • 切り分けの軸: 全体がサインインできない場合はDNS検証の問題、一部ユーザーだけの問題はUPN未変更の可能性が高い。
  • 注意点: 会社PCでローカルのDNS設定を変更すると他のサービスに影響するため、管理者に依頼してパブリックDNSレコードを確認しましょう。

ADVERTISEMENT

目次

  • 1 1. 会社ドメイン追加後に認証できない原因
    • 1.1 DNS検証に失敗している
    • 1.2 UPNが変更されていない
    • 1.3 フェデレーション設定の不整合
  • 2 2. DNS検証の確認手順
  • 3 3. UPN変更の手順
    • 3.1 クラウドのみ(Azure AD)の場合
    • 3.2 ハイブリッド(オンプレAD同期)の場合
  • 4 4. 状況別の比較表
  • 5 5. よくある失敗パターンと注意点
    • 5.1 失敗例
    • 5.2 管理者へ確認する情報
  • 6 6. よくある質問
  • 7 7. まとめ
    • 7.1 解決 関連記事でさらに詳しく
    • 7.2 Office・仕事術の人気記事ランキング

1. 会社ドメイン追加後に認証できない原因

Entra ID(旧Azure AD)に会社ドメイン(例: contoso.com)を追加する手順は、大まかに以下の流れです。まずテナントにドメインを追加し、次にDNSレコードを追加して所有権を検証します。その後、ユーザーのUPNを新しいドメインに変更し、必要に応じてフェデレーションを設定します。このうち、認証できない原因として最も多いのがDNS検証の未完了とUPN変更の漏れです。

DNS検証に失敗している

Entra IDではドメインの所有権を確認するために、パブリックDNSに特定のTXTレコードまたはMXレコードを追加する必要があります。このレコードが正しく伝搬していない、あるいは誤った値が設定されていると、ドメインは「確認済み」になりません。未確認のドメインでは認証機能が働かず、サインインが拒否されます。

UPNが変更されていない

DNS検証が完了しても、ユーザーのUPNサフィックスが新しいドメインに変更されていない場合、ユーザーは引き続き初期ドメイン(例: contoso.onmicrosoft.com)でサインインすることになります。また、UPNの変更をオンプレミスのADと同期している環境では、Azure AD Connectの設定やフィルタリングが原因でUPNが反映されないことがあります。

フェデレーション設定の不整合

ドメインをフェデレーション(AD FSなど)と連携している場合、証明書やエンドポイントの設定ミスにより認証が失敗することがあります。ただし、この記事ではフェデレーションに起因する問題は扱いません。まずはDNS検証とUPN変更を切り分けてください。

※ お探しの解決策が見つからない場合は、こちらの「Teams/Outlookトラブル完全解決データベース」で他のエラー原因や解決策をチェックしてみてください。

2. DNS検証の確認手順

ドメイン追加後にEntra ID管理センターで「確認済み」と表示されているかどうかが最初のチェックポイントです。以下の手順でDNSレコードの状態を確認します。

  1. Entra ID管理センター(https://entra.microsoft.com)に管理者アカウントでサインインします。
  2. 「ID」→「外部ID」→「カスタムドメイン名」を開きます。
  3. 追加したドメインの状態を確認します。「確認済み」と表示されていない場合は、レコードが不足しているか間違っています。
  4. そのドメインをクリックし、「DNSレコードの追加」または「確認」ボタンから、必要なレコードの種類(TXTまたはMX)を確認します。
  5. パブリックDNS管理画面(ドメインレジストラのコンソールやDNSホスティングサービス)で、指定されたレコードが正しく設定されているか確認します。
  6. nslookupやdigコマンドを使って外部からレコードが引けるかテストします。例: nslookup -type=TXT contoso.com(実際のドメインに置き換え)
  7. TTLの関係で伝搬に最大72時間かかることがあります。設定直後は「保留中」となるため、時間を置いて再度確認します。

社内ネットワークからDNSを確認する場合、内部DNSサーバーがパブリックレコードを上書きしていないか注意してください。例えば、社内DNSで同じドメインの別レコードが優先されていると、Entra IDの検証に失敗します。その場合は、外部DNS確認ツール(https://dnschecker.org など)を利用することをおすすめします。

3. UPN変更の手順

DNS検証が完了しても、ユーザーのUPNサフィックスが新しいドメインに設定されていなければ、サインイン時に「ユーザーが見つかりません」などのエラーが表示されます。クラウドのみの環境とハイブリッド環境で手順が異なります。

クラウドのみ(Azure AD)の場合

  1. Entra ID管理センターで「ユーザー」→「すべてのユーザー」を開きます。
  2. 対象ユーザーを選択し、「プロパティ」の「ユーザープリンシパル名」を新しいドメイン(例: user@contoso.com)に変更します。
  3. 「保存」をクリックします。変更はすぐに反映されますが、既存のトークンが期限切れになるまで最大1時間ほど古いUPNで認証が通る場合があります。
  4. 複数ユーザーを一括変更するには、PowerShellのSet-MgUserコマンドレットを使用します。

ハイブリッド(オンプレAD同期)の場合

オンプレミスのActive DirectoryからAzure AD Connectで同期している場合、UPNはオンプレミスの属性で管理されます。以下の手順で変更します。

  1. オンプレミスのADでユーザーの「userPrincipalName」属性を新しいドメインに変更します。
  2. Azure AD Connectを実行して強制同期します(またはデフォルトの30分間隔で同期)。
  3. 同期後にEntra IDでUPNが正しく反映されているか確認します。
  4. Azure AD Connectの「UPNサフィックス」が新しいドメインと一致しているか確認します。オンプレのUDPサフィックスが追加されていないと同期されません。
  5. フェデレーションドメインの場合、UPN変更後も認証に影響しないよう、証明書やエンドポイントの整合性を確認します。

注意点として、UPNを変更するとユーザーのサインインメールアドレスが変わります。OutlookやTeamsなどでプロファイルが一時的に不整合を起こす可能性があるため、事前にユーザーへ周知してください。

4. 状況別の比較表

状態 現象 対処
ドメインが「未確認」 すべてのユーザーがサインインできない DNSレコードを正しく設定し、伝搬を待つ
ドメインは「確認済み」だが一部ユーザーがサインインできない エラーメッセージに「ユーザーが見つかりません」 該当ユーザーのUPNを新しいドメインに変更
UPN変更後も認証できない 古いUPNでサインインしようとしている ユーザーに新しいUPNを通知し、キャッシュをクリアさせる
社内ネットワークのみ認証できない 外部ネットワークではサインイン可能 内部DNSの設定(特に条件付きフォワーダー)を確認

5. よくある失敗パターンと注意点

失敗例

よくある失敗パターンをいくつか紹介します。まず、DNSレコードのタイプを間違えるケースです。Entra IDではTXTレコードまたはMXレコードのどちらか一方を指定されますが、TXTとMXを両方設定してしまう、または値の末尾にドットが不足しているといったミスがよくあります。また、ドメインレジストラのDNS設定で、ホスト名を「@」ではなく「contoso.com」と記入してしまうとレコードが正しく認識されません。

次に、UPN変更をオンプレミスで行ったのにAzure AD Connectが同期していないパターンです。同期スケジュールを待たずに手動で強制同期する方法として、PowerShellのStart-ADSyncSyncCycle -PolicyType Deltaコマンドがあります。

さらに、ユーザーが古いUPNをブラウザのパスワードマネージャーに記憶しているため、新しいUPNでログインしようとしないケースも多いです。ユーザーに対して、サインイン時に正しいUPNを入力するよう明示的に伝える必要があります。

管理者へ確認する情報

トラブルシューティングの際、一般ユーザーが管理者に伝えるべき情報は以下の通りです。

  • 正確なエラーメッセージ(例: 「このユーザーアカウントは見つかりませんでした」)
  • サインインを試みたUPN(ユーザー名)
  • 社内ネットワークか外部ネットワークか
  • 事象がいつから発生しているか(ドメイン追加直後か?)

6. よくある質問

Q1: DNSレコードを追加したのにドメインが確認済みになりません。
A: レコードの値が正しいか再確認してください。Entra IDが求めるのはTXTレコードまたはMXレコードのいずれかです。TTLの伝搬には最大72時間かかるため、設定後すぐに反映されない場合は時間をおいてください。また、社内DNSがパブリックDNSを上書きしている可能性も考慮し、外部ツールで確認してみてください。

Q2: UPNを変更したのに、以前のUPNでサインインできてしまいます。
A: トークンのキャッシュが残っているためです。サインアウト後、ブラウザのキャッシュを削除するか、シークレットウィンドウで試してみてください。また、Azure AD Connectを使用している場合、同期が完了するまで古いUPNが有効な場合があります。

Q3: すべてのユーザーのUPNを一括変更する方法は?
A: クラウドのみの環境では、PowerShellのSet-MgUserコマンドレットをループ処理で使用します。ハイブリッド環境では、オンプレミスADの属性をActive Directoryユーザーとコンピューターで一括編集するか、PowerスクリプトでSet-ADUserを使用します。変更後はAzure AD Connectの同期が必要です。

Q4: ドメインを追加した後、TeamsやOutlookに影響はありますか?
A: UPNを変更すると、ユーザーのプライマリSMTPアドレスも連動して変わることがあります。Exchange Onlineなどのメールシステムと整合性を取るため、事前にメールアドレス属性も更新しておく必要があります。また、Teamsの会議リンクなどに古いUPNが含まれている場合は、再作成を促す必要があります。

7. まとめ

会社ドメイン追加後の認証問題は、DNS検証の失敗とUPN変更の未実施に集中しています。まずはEntra ID管理センターでドメインの状態を確認し、必要に応じてパブリックDNSレコードを修正しましょう。次に、ユーザーのUPNが新しいドメインに設定されているかを確認し、ハイブリッド環境ではオンプレミス側の変更と同期を忘れずに行います。これらの基本的な切り分けを行うことで、多くの問題は解決できます。どうしても解決しない場合は、フェデレーション設定や内部DNSの構成をさらに調査する必要があります。


👥
Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。
🔐
会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。
この記事の監修者
🌐

超解決 リモートワーク研究班

Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。

解決 関連記事でさらに詳しく

  • ⚡【Dropbox】Dropboxで個人用と会社用が混ざる時のチーム領域整理
  • 🔎【Windows】会社PCの社内アプリが条件付きアクセスで弾かれる時の端末・場所・認証条件
  • 💡【Outlook】Outlookで送信取り消しが表示されない時の条件確認
  • ✅【Windows】管理者権限を持つ別の利用者からシステム登録情報のSid値を正しく書き換える手順
  • ⚡【Outlook】連絡先の写真を一括更新するPowerShell手順
  • 💡【Box】MFA再登録で権限が足りないと出る時の監査ログで原因を確認する方法

Office・仕事術の人気記事ランキング

  • 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
  • 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
  • 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
  • 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
  • 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
  • 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
  • 【Excel】文字が入っているセルの「個数」を数える!COUNTA関数の簡単な使い方
  • 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
  • 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
  • 【Excel】矢印キーで「セルが動かず画面がスクロールする」!ScrollLockの解除方法(ノートPC対応)
Office・仕事術 会社アカウント・認証
SSO・組織アカウント Teams/Outlook ログイン・サインイン 会社アカウント・認証
  • 【Entra ID】多要素認証の登録キャンペーンが出ない時の対象範囲と除外確認
  • 【Entra ID】管理者ロールを付けたのに権限が反映されない時のPIMと再サインイン
⚠️
【最新】通信・アプリ障害まとめ 更新中 リアルタイムで発生中の障害を即チェック
🔍 落とし物トラブル解決
🔍
落とし物発見ナビ 3ステップ診断で発見ルートを提示・PNG保存可
📚
落とし物解決DB 電車・バス・空港・海外・ペット網羅
📚 ITトラブル解決DB
💻
Windows解決DB 不具合・設定・エラーを完全解決
🧭
Edge解決DB 表示・パスワード・拡張機能を完全解決
📊
Excel解決DB エラー・不具合の対処法を網羅
📝
Word解決DB 不具合・書式・設定のトラブル解消
✨
Copilot解決DB 使い方・エラー・設定を完全解決
👥
Teams/Outlook解決DB 接続・サインイン・送受信の不具合解消
📽️
PowerPoint解決DB マスター固定・図形結合・動画再生の解消
📑
PDFトラブル解決DB 閲覧・編集・結合・印刷のエラー解消
🏛️
確定申告解決DB e-Tax・マイナンバーカードの不具合解消
📱
Facebook解決DB 乗っ取り・権限譲渡・ログイン障害に対応
📗
Sheets解決DB 関数エラー・Apps Script・共有の解消
📝
Docs解決DB 書式・共有・Apps Script・参考文献の解消
🎥
Zoom解決DB 参加・画面共有・録画・Webinarの解消
✨
生成AI解決DB 基礎・料金・著作権・社内ルールの解消
🍎
iPhone解決DB 起動・Wi-Fi・アプリ・設定の解消
🤖
Android解決DB 設定・アプリ・通信・カスタマイズの解消
🔐
会社アカウント認証DB MFA・サインイン・VPN・権限の不具合解消
☁
OneDrive・SharePoint DB同期・共有・権限・復元の不具合解消
🧩
Notion解決DB 共有・権限・DB・AIの不具合解消

ADVERTISEMENT

   🔧 ツール
🛡️
詐欺メール判定 届いたメールを即座に診断
📦
送料最安シミュレーター            郵便・宅急便の最安料金を比較
✂️
テキスト自動整形 全角半角・改行削除を一発で
📝
文字数カウント 自動保存付き・レポート作成
🔒
パスワード生成 強力なパスワードを安全作成
📅
西暦・和暦変換 履歴書の年号・年齢を計算
🧩 診断・チェック
🏆
超解決 Excel検定 実務能力を1級〜3級で判定
📘
超解決 Word検定 文書作成のスキルを格付け
🦆
騙されやすさ診断 あなたは「歩くATM」かも?
Global Edition
WiseChecker
🔐🧠📦

超解決の「海外版」姉妹サイト。
世界標準のパスワード生成や
性格診断・送料計算はこちら。

海外版サイトへ移動 ✈️
  • トップページ
  • 本サイトについて・運営企業情報
  • 著書の紹介
  • プライバシーポリシー

© 超解決.