Microsoft365管理センターでユーザーや共有メールボックスのUPNを変更する場合、プルダウンでドメインの選択ができますが、指定したいドメインが表示されない場合があります。
その場合、該当のドメインがフェデレーションドメインであることが考えられます。
フェデレーション環境では、以下の設定を Microsoft 365 管理センターにて実行することが制限されております。
- フェデレーション ドメインのユーザーを Microsoft 365 管理センターにて作成すること
- Microsoft 365 管理センターで作成されたクラウド ユーザーのユーザー名 (UPN) をフェデレーション ドメインに変更すること
フェデレーションドメインの認証についても触れておきたいと思います。
フェデレーションドメインの認証について
Office 365 にサインインする際の認証方式については、ドメイン単位での設定となり、ユーザーは Office 365 側の UPN に設定されたドメインの認証方式でサインインを行う動作となります。
標準認証ドメインの UPN を持つユーザーにつきましては、Office 365 にて保持されたパスワードを利用して認証を行いますが、フェデレーション ドメインの UPN を持つユーザーにつきましては、認証時にリダイレクトされ、外部 IdP にて認証が行われます。
なお、対象ドメインが標準認証ドメインかフェデレーション ドメインかについて確認する場合、PowerShell にて、以下のコマンドにてご確認いただくことは可能です。
1. Windows PowerShell の起動
Windows PowerShell を管理者として起動し、接続のため以下のコマンドレットを実行し、管理者 ID とパスワードを入力
【コマンドレット】
Connect-MsolService
2. フェデレーションドメインであるか確認するコマンド
<構文>
Get-MsolDomain -DomainName "対象のドメイン" | select Name, Authentication
<実行例>
Get-MsolDomain -DomainName "contoso.com" | select Name, Authentication
<実行結果例>
Name Authentication
---- --------------
contoso.com Federated
[Authentication] の値が [Federated] の場合はフェデレーション ドメイン、[Managed] の場合は標準認証ドメインとなります。
なお、ディレクトリ同期を利用しないサードパーティ製 IdP にてシングル サインオン (SSO) を実行している環境の場合は、[ImmutableId] 属性の値を指定することで、Windows PowerShell にてユーザーを作成、および UPN の変更を行う際に、フェデレーション ドメインを UPN に使用することが可能となります。
また、ユーザーを作成した後、当該ユーザーに Exchange Online を含むライセンスを割り当てることで、メール アドレスを設定することが可能です。
以下に Windows PowerShell にて [ImmutableId] 属性に値を設定する手順をご紹介いたします。
1. Windows PowerShell の起動
Windows PowerShell を管理者として起動し、接続のため以下のコマンドレットを実行し、管理者 ID とパスワードを入力
【コマンドレット】
Connect-MsolService
2. ユーザーを作成する際に、[ImmutableId] 属性を設定するコマンド
【コマンドレット】
New-MsolUser -UserPrincipalName "作成するユーザーのユーザー ID" -ImmutableId "[ImmutableID] の値" -DisplayName "対象ユーザーに設定する表示名"
【説明】
・ [ImmutableId] は、認証先 IdP のオブジェクト情報との紐づけに利用される属性であり、ユーザーごとに一意の値を持ちます。