今回はMicrosoft EntraIDの画面上で新規ユーザーを作成する際に
メインドメインを利用できなくなった事象が発生したので、当時の対象方法を記録します。
目次
1. 原因
原因は外部IdpとMicrosoftテナントの連携です。
Microsoftで利用しているメインドメインが外部Idpと連携した事により
フェデレーションドメインとなったため、EntraIDの画面上では
新規ユーザーを作成するドメインとして選択できなくなりました。
調べた結果、GUI上でユーザーが作成できなくなっても、
PowerShellを利用すれば、引き続きメインドメインで
ユーザーを作成できる事が判明しました。
2. 事前準備
管理者権限が付与されたユーザーで実行する事が必須です。
ユーザーを作成するにあたり、以下の項目について決めておきます。
| 項目 | 値 |
|---|---|
| ユーザープリンシパル名 | yamada-t@example.com |
| 表示名 | 山田 太郎 |
| ImmutableId(任意) | yamada-t |
| mailNickname(任意) | yamada-t |
確認
・ImmutableIdは外部IdpとMicrosoftのアカウントを識別する時に必要な値です。
・mailNicknameはoutlook受信トレイより上に表示されている名前の事を指します。
3. PowerShellにて実行
PowerShellを管理者で実行し、以下コマンドでMicrosoftと接続します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All"
注意
このコマンド実行後、初回はMicrosoft管理者でのログインを求められます。
接続後、以下コマンドでユーザーを作成します。
New-MgUser -UserPrincipalName yamada-t@example.com -DisplayName "山田 太郎" -OnPremisesImmutableId yamada-t -mailNickname "yamada-t" -AccountEnabled
Microsoft EnrtaIDの画面上で作成したユーザーが一覧に表示されているかを確認します。
これで、EntraIDの画面上でユーザーを作成できない場合でも、対処できるようになりました。