複数の Microsoft Entra ID インスタンスと単一の AD FS インスタンスとのフェデレーション

1 つの高可用性 AD FS ファーム間に双方向の信頼がある場合、複数のフォレストをフェデレーションできます。 これらの複数のフォレストは、同じ Microsoft Entra ID に対応していても、していなくてもかまいません。 この記事では、AD FS の単一のデプロイと Microsoft Entra ID の複数のインスタンスの間でフェデレーションを構成する方法について説明します。

AD FS と複数の Microsoft Entra ID をフェデレーションする手順

Microsoft Entra の contoso.onmicrosoft.com 内のドメイン contoso.com は、オンプレミスの Active Directory 環境の contoso.com にインストールされたオンプレミスの AD FS と、既にフェデレーションを行っているとします。 fabrikam.com は、fabrikam.onmicrosoft.com という Microsoft Entra ID 内のドメインです。

手順 1: 双方向の信頼を確立する

contoso.com の AD FS が fabrikam.com 内のユーザーを認証するためには、contoso.com と fabrikam.com との間に双方向の信頼が必要です。 こちらの記事のガイドラインに従って双方向の信頼を作成してください。

手順 2: contoso.com のフェデレーション設定を編集する

AD FS との間で認証連携された単一ドメインに使用される既定の発行者設定は "http://ADFSServiceFQDN/adfs/services/trust", です (例: http://fs.contoso.com/adfs/services/trust)。 Microsoft Entra ID では、フェデレーションされるドメインごとに一意の発行者が必要です。 AD FS は 2 つのドメインをフェデレーションするため、発行者の値を一意になるように変更する必要があります。

AD FS サーバーで Azure AD PowerShell (MSOnline モジュールがインストールされていることを確認) を開いて、次の手順を実行します。

ドメイン contoso.com を含む Microsoft Entra ID に接続します。

Connect-MsolService

contoso.com のフェデレーション設定を更新する:

Update-MsolFederatedDomain -DomainName contoso.com –SupportMultipleDomain

ドメイン フェデレーション設定の発行者が http://contoso.com/adfs/services/trust に変更され、UPN サフィックスに基づいて正しい issuerId 値を発行するために、Microsoft Entra ID 証明書利用者信頼の発行要求規則が追加されます。

手順 3: fabrikam.com と AD FS とを認証連携させる

Azure AD PowerShell セッションで、次の手順を実行します。ドメイン fabrikam.com を含む Microsoft Entra ID に接続します

Connect-MsolService

fabrikam.com のマネージド ドメインをフェデレーション ドメインに変換します。

Convert-MsolDomainToFederated -DomainName fabrikam.com -Verbose -SupportMultipleDomain

前の操作では、ドメイン fabrikam.com を同じ AD FS とフェデレーションします。 両方のドメインに Get-MsolDomainFederationSettings を使用してその設定を検証できます。

次のステップ

Active Directory と Microsoft Entra ID を接続する