フェデレーション解除後にサインインできなくなる問題は、認証方式の設定が正しく引き継がれていないことが多くの原因です。Entra ID(旧Azure AD)でオンプレミスのActive Directory Federation Services(AD FS)とのフェデレーションを解除したものの、クラウド認証に切り替わらずユーザーがログインできなくなるケースは少なくありません。本記事では、その原因を切り分け、認証方式の確認手順と切り替え方法を具体的に解説します。管理者の方は、この記事を参考にスムーズな移行とトラブル解決を図ってください。
【要点】この記事で確認すること
- 最初に見る場所: Entra ID管理センターの「ドメイン名」設定、Azure AD Connectの認証方法オプション
- 切り分けの軸: ドメインレベルの認証方式が「クラウド認証」になっているか、ユーザーごとのUPNサフィックスが適切か、パスワードハッシュ同期が有効か
- 注意点: 会社PCで勝手に認証方式を変更せず、必ずEntra IDの管理者権限で操作してください。設定変更前には影響範囲を評価し、テストユーザーで検証することを推奨します。
ADVERTISEMENT
目次
1. フェデレーション解除後にサインインできない主な原因
フェデレーション解除後、サインインできない原因はいくつかあります。最も多いのは、ドメインの認証方式が「フェデレーション」のまま解除されていないケースです。Entra IDでは、ドメインごとに認証方式を設定しており、フェデレーション解除の操作だけでは自動的にクラウド認証に切り替わらない場合があります。また、Azure AD Connectで同期しているユーザーのUPNサフィックスが、解除したフェデレーションドメインと異なる場合も、認証に失敗することがあります。さらに、パスワードハッシュ同期やパススルー認証が有効になっていないと、クラウド認証そのものが機能しません。条件付きアクセスポリシーや多要素認証の設定が干渉している可能性も否定できません。
具体的なシナリオとして、会社がAD FSと連携していたドメイン「contoso.com」をフェデレーション解除したとします。解除後、ユーザーが「user@contoso.com」でサインインしようとすると、AD FSのリダイレクト先がなくなりエラーになります。この時、ドメインの認証方式を確認すると、まだ「フェデレーション」と表示されていることがあります。また、Azure AD Connectで同期されたユーザーのUPNが「user@contoso.local」など内部ドメインになっている場合、Entra IDでは「contoso.com」のユーザーとして認識されず、認証に失敗します。
2. 認証方式の確認手順
サインインできない問題を解決するには、まず現在の認証方式を正確に把握する必要があります。以下の手順で確認してください。すべて管理者権限が必要な操作です。
- Entra ID管理センター(https://entra.microsoft.com)にサインインし、[ID] > [外部ID] > [すべてのドメイン] を開きます。
- 対象のドメイン(例:contoso.com)を選択し、[認証の種類] の値を確認します。「フェデレーション」と表示されている場合は、まだ解除が完了していません。
- [Azure AD Connect] の設定を確認します。オンプレミスのサーバーで「Azure AD Connect」を開き、[ユーザーサインイン] のページで「パスワードハッシュ同期」または「パススルー認証」が有効になっているか確認します。フェデレーション解除後は、必ずいずれかのクラウド認証方式を有効にしてください。
- PowerShellを使用して詳細を確認します。管理者としてExchange Online PowerShellまたはAzure AD PowerShellモジュールをインストールし、以下のコマンドを実行します。
- コマンド例:
Get-MsolDomainでドメインの認証方式を一覧表示します。Get-MsolUser -UserPrincipalName user@contoso.com | Select-Object UserPrincipalName, StrongAuthenticationRequirements, SignInNamesで任意のユーザーの設定を確認します。 - さらに、[Entra ID] > [ユーザー] > [全ユーザー] から該当ユーザーを選択し、[認証方法] タブでサインインに使用できる方法(パスワード、多要素認証など)が設定されているか確認します。
3. 認証方式の切り替え方法
確認の結果、認証方式がまだフェデレーションのままの場合は、クラウド認証に切り替える必要があります。手順は以下の通りです。
3.1 ドメインの認証方式をクラウド認証に変更する
Entra ID管理センターで、[ID] > [外部ID] > [すべてのドメイン] から対象ドメインを選択し、[認証の種類] を「パスワードハッシュ同期」または「パススルー認証」に変更します。ただし、これだけでは即座に反映されず、Azure AD Connectの設定も整合させる必要があります。PowerShellを使用して変更する場合は、Set-MsolDomainAuthentication -DomainName contoso.com -Authentication Managed コマンドを実行します。
3.2 パスワードハッシュ同期を有効にする
Azure AD Connectでパスワードハッシュ同期が無効になっている場合、有効にします。Azure AD Connectのウィザードを再実行し、[ユーザーサインイン] の画面で「パスワードハッシュ同期」にチェックを入れ、インストールを完了します。これにより、オンプレミスのパスワードがEntra IDに同期され、クラウド認証が機能するようになります。
3.3 ユーザーのUPNサフィックスを統一する
オンプレミスADでユーザーのUPNサフィックスが内部ドメイン(例:contoso.local)になっている場合、Entra IDではそのままではサインインできません。Azure AD Connectの「UPNサフィックス」設定で、各ユーザーにEntra IDで検証済みのドメイン(contoso.com)を割り当てるか、またはオンプレミスAD側でUPNを変更してから同期してください。同期後、Entra ID上のユーザーUPNが正しく反映されていることを確認します。
ADVERTISEMENT
4. 失敗パターンと対処法
4.1 ドメインの認証方式変更だけではサインインできない
ドメインの認証方式をクラウド認証に変更しても、すぐに全ユーザーがサインインできるとは限りません。特に、ユーザーごとに個別の認証要件が設定されている場合があります。例えば、多要素認証(MFA)が必須になっているユーザーは、MFAの登録が完了していないとサインインできません。また、条件付きアクセスポリシーが新しい認証方式をブロックしていることもあります。ポリシーを見直し、テストユーザーで動作確認を行ってください。
4.2 パスワードハッシュ同期の初回同期に時間がかかる
パスワードハッシュ同期を有効にしても、最初の完全同期には数時間かかることがあります。その間、ユーザーは古いパスワードでサインインできない場合があります。同期の進行状況は、Azure AD Connectの「同期サービス」で確認できます。緊急時には、手動で完全同期を実行することも可能です。
4.3 フェデレーション解除後にAD FSがオフラインのまま
フェデレーションを解除した後も、AD FSサーバーが稼働していると、ユーザーがブラウザにAD FSのログイン画面をキャッシュしている場合があります。ブラウザのキャッシュをクリア、またはInPrivateモードでサインインを試すと改善することがあります。根本的には、AD FSサーバーを停止または削除し、DNSのエイリアスも削除してください。
| 認証方式 | パスワードハッシュ同期 | パススルー認証 |
|---|---|---|
| 認証の場所 | クラウド(Entra ID) | オンプレミスのコネクタ |
| オンプレミスサーバーの必要性 | 不要(Azure AD Connectと同期のみ) | 必要(パススルー認証エージェント) |
| パスワード変更の反映時間 | 同期間隔に依存(通常2分〜30分) | 即時(オンプレで検証) |
| オンプレ障害の影響 | 影響なし(クラウド認証が継続) | コネクタが停止すると認証不可 |
| 推奨シナリオ | フェデレーション解除後のクラウド移行 | オンプレのパスワードポリシーを維持したい場合 |
5. 管理者に確認すべき設定
フェデレーション解除後のトラブルシューティングでは、以下の設定を管理者に確認してください。
- Azure AD Connectの構成: 同期スコープ、パスワードハッシュ同期の有効/無効、パススルー認証の有効/無効を確認します。これらの設定が適切かどうかで認証方式が決まります。
- UPNサフィックスのルーティング: Entra IDで検証済みドメインと、オンプレADのUPNサフィックスが一致しているか確認します。不一致がある場合、サインイン時に「ユーザーが見つかりません」と表示されることがあります。
- 条件付きアクセスポリシー: サインインをブロックするポリシーが適用されていないか確認します。特に、フェデレーション解除後はデバイスコンプライアンスポリシーや場所ベースのポリシーが影響することがあります。
- 多要素認証(MFA)の登録状況: ユーザーがMFAを登録していない場合、サインインに失敗します。管理者は対象ユーザーのMFA登録状況を確認し、必要に応じて登録を促してください。
- ライセンスとサービスプラン: Entra ID Premiumライセンスが必要な機能を使っている場合、ライセンスの割り当てが不足していないか確認します。
6. よくある質問(FAQ)
Q: フェデレーション解除後、どのくらいで設定が反映されますか?
ドメインの認証方式変更は、Entra ID管理センターで変更後、通常数分で反映されます。ただし、Azure AD Connectの同期サイクル(通常30分ごと)に依存する設定もあるため、変更が完全に反映されるまで最大2時間程度かかることがあります。
Q: 一部のユーザーのみサインインできないのはなぜですか?
特定のユーザーのみ問題が発生する場合、そのユーザーのUPNサフィックスがフェデレーションドメインと異なる可能性があります。また、ユーザーに管理者権限がない、またはMFAの登録が未完了であることも原因です。ユーザーごとの認証方法を確認し、必要に応じて個別に設定を見直してください。
Q: パスワードをリセットしてもサインインできません。どうすればよいですか?
パスワードリセット後もしばらくサインインできない場合、パスワードハッシュ同期のタイミングを確認してください。Azure AD Connectの強制同期を実行することで、パスワードが即座に同期されます。また、セルフサービスのパスワードリセット(SSPR)が有効になっている場合、ユーザー自身でリセットしたパスワードがクラウドに反映されるまでに時間がかかることがあります。
Q: フェデレーション解除後、AD FSを停止しても問題ありませんか?
認証方式が完全にクラウド認証に切り替わったことを確認した後であれば、AD FSサーバーを停止しても問題ありません。ただし、停止前に必ずテストユーザーでサインインできることを確認してください。また、DNSのフェデレーションサービスエンドポイント(例:fs.contoso.com)のレコードも削除または変更することを忘れないでください。
まとめ
フェデレーション解除後にサインインできない問題は、認証方式の設定が正しくクラウド認証に切り替わっていないことが主な原因です。ドメインの認証方式変更、パスワードハッシュ同期の有効化、UPNサフィックスの統一という3つのポイントを確認することで、多くのケースで解決できます。また、Azure AD Connectの構成や条件付きアクセスポリシーなど、関連する設定も併せて見直すことが重要です。本記事の手順に従って切り分けを行い、組織全体のスムーズな移行を目指してください。万が一、解決しない場合は、Microsoftサポートに問い合わせ、Entra IDの監査ログを活用して詳細な調査を依頼することをお勧めします。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】宛先が「オートコンプリート」に出ない・間違っている時の修正手順|履歴の削除と再構築