Azure AD Connect アンインストールのハマりどころ

Last updated at 2023-10-12Posted at 2023-09-18

はじめに

Azure AD Connect (以降、AADC) をアンインストールしようとしたところ、色々なところでハマりました。

AADC のアンインストールには、PowerShellモジュールである、MsOnline(MsolService) が必要なのですが、これがうまく動作しませんでした。

簡単なアクションかと思いきや、色々と発想を変えて調べてトライ＆エラーをする羽目になったので、こちらにまとめました。

ハマりどころ

MsOnline(MsolService) が Azure Portal の CloudShell で機能しない
MsOnline(MsolService) が PowerShell v7 でも機能しない

結論：Windows 10 マシン上の PowerShell v5.1～v6 で実行する必要があった

1. MsOnline(MsolService) が CloudShell で機能しない

MsOnline(MsolService) のモジュールは問題無くインストールできるのですが、"Connect-MsolService" が動作せず、以下のエラーが発生しました。

"`Connect-MsolService: Could not load file or assembly 'System.IdentityModel, Version=4.0.0.0, Culture=neutral, PublicKeyToken=*****'. The system cannot find the file specified."

最終的には、以下の記事で同じエラーが出ている人の質問に、CloudShell では動作しないので、Windows マシン上の PowerShell を使うように・・・とのコメントが付いているのを見つけたことで、解決に近づくことができました。
https://learn.microsoft.com/en-us/answers/questions/501302/need-to-set-msolcompanysettings-but-unable-to-load

2. MsOnline(MsolService) が PowerShell v7 でも機能しない

MsOnline(MsolService) のモジュールは問題無くインストールできるのですが、"Connect-MsolService" が動作せず、以下のエラーが発生しました。

Could not load type 'System.Security.Cryptography.SHA256Cng' from assembly

実は、CloudShell では動作しないかもとは思っていて、手持ちの Windows 11 端末でも並行して試していました。しかし、こちらでも動作せず、完全に暗礁に乗り上げてしまいました。

この時点で MsOnline(MsolService) って古いモジュールだから使えなくなってしまったのではないか？だから、ネット上の AADCアンインストール記事は古くて使えないのではないか？・・・などと色々と無駄な推測をたててしまい、ハマりました。
手元に Windows 10 マシンが無く Windows 11 だったことも落とし穴でした。

以下の記事をみつけて、なんとか原因に気が付くことができました。
https://answers.microsoft.com/en-us/msoffice/forum/all/o365-powershell-error-trying-to-connect-to/27d3ee2b-fc20-47c9-bbec-9b2363a9d5bc

結論

結論としては、なんと CloudShell、PowerShell v7 のどちらも動作要件は満たしておらず、Windows PC 上の PowerShell v5.1～v6 が必要という事でした（手順を後述します）
※Windows 11 は、初めから PowerShellが v7 なのでそもそもダメですね💦

そのため、Windows 10 の VM をデプロイしてそのマシン上で試すことで、ようやく目的を達成する事ができました。

私の場合は、Windows 11 を使っていたのですが、PowerShell が元々 v7 なので何の疑いもせずに使ってしまいましたし、"Import-Module MsOnline" のコマンドでインストールは問題なく成功するのに Connect-MsolService が動作しないという謎事象だったので、原因の絞り込みに時間が掛かってしまいました。

（公開情報：はじめに把握しておくべき情報）
https://learn.microsoft.com/ja-jp/microsoft-365/enterprise/connect-to-microsoft-365-powershell?view=o365-worldwide#what-do-you-need-to-know-before-you-begin
→　この記事をよく読むと、"Msolを含む" と書かれているのでよく読むと対応していないことが確認できます（・・・・がこれ読んだだけでそんなのわかるかー！って思いました）

Microsoft Azure Active Directory Module for Windows PowerShell (コマンドレットの名前に Msol を含む)

Microsoft Azure Active Directory Module for Windows PowerShell モジュールの場合は、PowerShell バージョン 5.1 以降 (PowerShell バージョン 6 まで) を使用する必要があります。PowerShell バージョン 7 を使用することはできません。

AADC アンインストール手順

アンインストール前の状態（Before）

「同期状態」が「有効」

AADCサーバー側の作業

（参考：Microsoft Entra Connect のアンインストール）
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/connect/how-to-connect-uninstall

AADCのアプリをアンインストールしたあと、Azure Portal で同期状態を確認します。
「有効」から「未インストール」に変わっていれば AADC 削除完了です。

アンインストールが完了しても同期状態が「有効」なままになってしまう事が結構多いようです。その場合は、次章のテナント側の作業を行います。

テナント側の作業

テナントの同期状態が「有効」なままになっている場合は、本手順を実施します。

（参考：Azure Active Directory 同期ツールを使用して同期されたオブジェクトを管理または削除できません）
https://learn.microsoft.com/ja-jp/troubleshoot/azure/active-directory/cannot-manage-objects

この手順を行う際に冒頭でも説明したとおり Windowsマシン上で PowerShell v5.1～v6 で実施する必要があります。v7 では動きません。

以下のコマンドを順に実行し MsOnline モジュールのインストールから導入確認まで実施します。
Install-Module MsOnline
Get-Module
Import-Module MsOnline
Get-Module

最終的に、Get-Module で、MSOnline を確認できれば OK です。
Connect-MsolService でクラウドに接続するコマンドを実行します。
下図の通り、認証ウィンドウが開くため、管理者アカウントでサインインします。
認証が終わったら、以下の２つのコマンドを実行します。
Set-MsolDirSyncEnabled -EnableDirSync $false
(Get-MSOLCompanyInformation) DirectorySynchronizationEnabled

実行結果として、"false" が表示されれば OK です。
タイムラグがあるため、"false" にならない場合は、"(Get-MSOLCompanyInformation) DirectorySynchronizationEnabled" を繰り返し実行して、"false" が表示されるまで待ちます。