エラー内容
Message: AADSTS51004: The user account rZTGZcVTlk2NMwJ10mMqtA== does not exist in the fffffc9a7-58da-484e-93c0-483c039898920 directory. To sign into this application, the account must be added to the directory.
[AADSTS51004] というエラーメッセージは、該当のディレクトリにユーザー アカウントが存在しない場合に発生することを確認してます。
AADSTS51004
UserAccountNotInDirectory - ディレクトリにユーザー アカウントが存在しません。
まずは、対象の UserPrincipalName (以下、UPN) を持つユーザーが Microsoft 365 管理センター上の [アクティブなユーザー] 内に問題なく存在しているか確認してください。
また、サードパーティ製 IdP 側と、Office 365 側のユーザー情報の紐付けに起因して、[AADSTS51004] のエラーが発生している可能性もあります。
そのため、ご利用の認証サービスと Office 365 側のユーザー オブジェクトの紐付けが正常に行われているか、ご確認ください。
なお、サードパーティ製 IdP 側と、Microsoft 365 側のユーザー情報の紐付けについては、Microsoft 365 (Azure AD) 側の [ImmutableId] 属性 を利用して行っています。
以下に Microsoft 365 上のユーザーにて [ImmutableId] 属性を確認、および設定する手順をご案内いたします。
Microsoft 365 ユーザーの [ImmutableId] 属性 の値を確認、設定するコマンドレット
PowerShellモジュールのインストール
[Microsoft Azure Active Directory Module for Windows PowerShell] をインストールするための前提条件をご確認いただき、環境が整った状態で以下のコマンドを実行します。
※ 該当のモジュールを導入済みの環境であれば、項番 2. へお進みください。
<コマンド>
Install-Module -Name MSOnline
※ 特にエラーなどが発生しなければ、インストールは完了しております。
Microsoft 365への接続
Microsoft 365 (Azure AD) への PowerShell 接続のために以下のコマンドレットを実行し、Microsoft 365 全体管理者アカウントの ID とパスワードを入力します。
<コマンドレット>
Connect-MsolService
対象ユーザーの[ImmutableId] を確認
Microsoft 365 ユーザーの [ImmutableId] 属性の値は、以下のコマンドにてご確認いただくことが可能です。
<コマンドレット>
Get-MsolUser -UserPrincipalName "対象ユーザーのサインイン ID" | fl ImmutableId
対象ユーザーの[ImmutableId] を設定
Microsoft 365 ユーザーの [ImmutableId] の設定、または修正が必要な場合は、以下のコマンドレットを実行します。
※ フェデレーション ユーザーに対して [ImmutableId] の設定変更を行うことは制限されております。
対象ドメインを標準認証に変換いただくか、対象ユーザーの UPN を [***.onmicrosoft.com] ドメインなどの標準認証ドメインのアドレスに変更したうえで実施してください。
<コマンドレット>
Set-MsolUser -UserPrincipalName "対象ユーザーのサインイン ID" -ImmutableId "ImmutableId に設定する値"