Azure AD の認証を外部のIdP (例えば Google Cloud Identity) で行っている状態で、対象のユーザーに割り当てられている外部IdP のメールアドレスが変更された場合、Azure AD で保持している Immutable ID を新しいメールアドレスに手動で変更するがあります。
なお UserPrincipalName (UPN) は自動的に変更が同期され、新しいメールアドレスになります。以下の操作は UserPrincipalName が同期されてから行ってください。
概要
- Windows PowerShell を用います
- ユーザーを Federated ドメインからデフォルトドメイン (onmicrosoft.com) に移動します
- 新しい ImmutableId をセットします
- ユーザーを Federated ドメインに移動します
手順
以下のシナリオを例に説明します。
- 組織のデフォルトドメイン: consoto.onmicrosoft.com
- Federated ドメイン: consoto.com
- ユーザー名 (旧): john@consoto.com
- ユーザー名 (新): a.john@consoto.com
操作手順
- Windows PowerShell で認証をします。このコマンドを実行すると Microsoft アカウントの認証画面が表示されますので、特権管理者権限でログインしてください。
Connect-MsolService
- 対象となるユーザーをデフォルトドメインに退避します
Set-MsolUserPrincipalName -UserPrincipalName "a.john@consoto.com" -NewUserPrincipalName "a.john@consoto.onmicrosoft.com"
- ユーザーに ImmutableId をセットします
Set-MsolUser -UserPrincipalName "a.john@consoto.onmicrosoft.com" -ImmutableId "a.john@consoto.com"
- 対象となるユーザーを元のドメインに戻します
Set-MsolUserPrincipalName -UserPrincipalName "a.john@consoto.onmicrosoft.com" -NewUserPrincipalName "a.john@consoto.com"
ヒント
ユーザーの情報は以下のコマンドで表示できます。随時確認しながら進めてください。
Get-MsolUser -UserPrincipalName "a.john@consoto.com" | Select *