フェデレーション ユーザーが Office 365, Azure、Windows Intune にサインインすると発生するユーザー名に関する問題のトラブル シューティング

文書翻訳 文書翻訳
文書番号: 2392130 - 対象製品
すべて展開する | すべて折りたたむ

現象

新たなフェデレーション ユーザーは Microsoft Office 365, Microsoft Azure、Windows Intune といったマイクロソフト クラウド サービスにサインインできず、以下のいずれかの現象が発生します
  • ユーザーが Web ページ (login.microsoftonline.com) にユーザー ID を入力すると、ユーザー ID がホーム レルム ディスカバリによりフェデレーション ユーザーとして認識されず、シングル サインオン (SSO) を通じたサインイン ページに自動的に切り替わりません。?
  • Active Directory Federation Services (AD FS)?へ認証されず、ユーザーは以下のようなフォーム ベース認証のエラー メッセージを受信します。
    “ユーザー名またはパスワードが正しくありません"?
    元に戻す画像を拡大する
    エラー メッセージ
  • ユーザーは Web ページ (login.microsoftonline.com) で以下のエラー メッセージを受信します。
    “Sorry, but we're having trouble signing you out” (参考訳: 申し訳ございません。サインアウトできません。)

原因?

上記のようなエラーは、SSO が有効なユーザー ID が正しく設定されていない場合に生じることがあります。SSO が有効なユーザー ID を使用する一般的な要件は、以下のとおりです。
  • オンプレミス Active Directory ユーザー アカウントは、ユーザー プリンシパル名 (UPN) のサフィックスとしてフェデレーション ドメイン名を使用する必要があります。
  • ユーザー ID と、そのユーザー ID に紐付く Microsoft Exchange Online メールボックスのプライマリ電子メール アドレスは、同じドメイン サフィックスを使用できません。
  • Azure Active Directory Sync ツールで、オンプレミス Active Directory ユーザー アカウントをクラウド ベースのユーザー ID に同期する必要があります。?
  • オンプレミス Active Directory ユーザー アカウントの UPN とクラウドベース ユーザー ID は一致している必要があります。
SSO が有効なユーザー ID が正しく使用されていないことが、この問題の原因であると仮定する前に、以下の条件に該当することを確認します。
  • ユーザーに一般的なサインイン問題が発生していないこと。よくあるサインイン問題のトラブルシューティング方法については、以下の Microsoft Knowledge Base を参照してください。?
    2412085?「Office 365、Azure、Windows Intune といった組織アカウント にサインインできない」

  • SSO をサポートするために、フェデレーション ドメインが以下のように正しく設定されていること。
    • フェデレーション ドメインは DNS によりインターネットで解決可能である。(これには既定の "onmicrosoft.com" ドメインは含まれません)
    • 以下の Microsoft Web サイトに従い、SSO 用にフェデレーション ドメインを準備済みである。
      フェデレーションドメインが Microsoft Online Services 環境で使用できるようになるまで時間がかかる可能性があります。ドメイン構成に不備があると判断する前に、ドメインをフェデレーションしてから 2 時間ほど待機してください。

解決方法?

この問題を解決するには、以下の手順 (複数可) に従い、ユーザー アカウントが SSO 有効なユーザー ID として適切に設定されていることを確認します。

方法 1:?Knowledge Base 2615736 を確認する (ユーザーに “Sorry, but we're having trouble signing you in” エラーが表示される場合)

ユーザーに "Sorry, but we're having trouble signing you in" (申し訳ございません。サインインできません。) というエラー メッセージが表示される場合は、以下の Microsoft Knowledge Base 資料を参照し、問題をトラブルシューティングします。
2615736: Office 365、Azure、または Windows Intune にサインインを試みると “Sorry, but we're having trouble signing you in” というエラーメッセージが表示される


方法 2 : オンプレミス ユーザー アカウントのUPN を更新し、フェデレーション ドメインをそのサフィックスとして使用する

警告?Active Directory ユーザー アカウントの UPN を変更すると、このユーザーのオンプレミス Active Directory 機能に重大な影響を及ぼす可能性があります。UPN の変更には注意と慎重な判断を用いることをお勧めします。

UPN の変更による影響には、以下の項目が含まれます。
  • キャッシュ済みの資格情報を使用してオペレーティング システムにログオンするユーザーを読み込む、オンプレミス リソースへのリモート アクセス。
  • ユーザーの資格情報を使用する、リモート アクセス認証技術。
  • Secure MIME (SMIME)、Information Rights Management (IRM) 技術、および NTFS の暗号化ファイル システム (EFS) 機能などのユーザー証明書に基づいた暗号化技術
  • スマートカード機能

UPN の更新によるユーザー アクセスへの影響を十分に理解するため、1 つのユーザー アカウントを試験的に使用することをお勧めします。1 ユーザー アカウントを試験的に使用することで得られる情報は、事前の計画や、証明書再発行回数の削減、データの回復、これらの技術を使用したデータ アクセス維持に必要なその他の修復に役立ちます。

フェデレーション ドメインがオンプレミスの Active Directory 環境とクラウドの Azure AD の両方に反映されるように ユーザー アカウント UPN を更新する必要があります。これを行うには、以下の手順に従います。
  1. フェデレーション ドメインが UPN サフィックスとして追加されていることを確認します。
    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート][すべてのプログラム][管理ツール] の順にクリックし、[Active Directory ドメインと信頼関係] をクリックします。
    2. [Active Directory ドメインと信頼関係] のルート ノードを右クリックし、[プロパティ] をクリックして、SSO に使用されているドメイン名が表示されていることを確認します。
    domain.internal などのルーティング不可能なドメイン サフィックス、またはドメイン (domain.microsoftonline.com) は、SSO 機能やフェデレーション サービスを利用できません。この手順ではルーティング不可能なドメイン サフィックスは扱いません。
  2. 問題となっているユーザー アカウントの UPN サフィックスを手動で更新します。
    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート][すべてのプログラム][管理ツール] の順にクリックし、[Active Directory ユーザーとコンピュータ] をクリックします。
    2. 問題があるユーザー アカウントを特定し、アカウントを右クリックしてから?[プロパティ] をクリックします。
    3. [Account] タブで、左上にあるドロップダウンを使用して UPN サフィックスを独自ドメインに変更し、[OK] をクリックします。

方法 3 :?ユーザー ID と Exchange Online メールボックスのプライマリ Simple Mail Transfer Protocol (SMTP) アドレスを同じドメインにする

オンプレミスの Exchange 管理ツールを使用して、オンプレミス ユーザーのプライマリ SMTP アドレスが、「方法 2」の UPN 属性値と同じドメインになるように設定します。詳細は、以下の Microsoft TechNet Web サイトをご利用ください。

「電子メール アドレス ポリシーの編集」

「ユーザーおよびリソース メールボックスのプロパティの構成」
Exchange がオンプレミス環境にインストールされていない場合は、次の手順に従い、[Active Directory ユーザーとコンピューター] を使用して SMTP アドレス値を管理することができます。
  1. [Active Directory ユーザーとコンピューター] で、ユーザー オブジェクトを右クリックし、[プロパティ] をクリックします。
  2. [全般] タブで、[メール] フィールドを更新し、[OK] をクリックします。



方法 4 : ユーザー アカウント UPN の Active Directory 同期を設定する

SSO を正常に機能させるには、Active Directory 同期クライアントをセットアップする必要があります。Active Directory 同期のセットアップ方法については、以下の Microsoft Web サイトをご利用ください。

「Active Directory 同期: ロードマップ」

同期を強制実行および確認する方法については、以下の Microsoft Web サイトを参照してください。

方法 5 : 特定のユーザー アカウントの UPN 更新に関する問題をトラブルシューティングする

同期は確認できても、設定したユーザー ID の UPN が更新されていない場合、同期の問題が発生する可能性があります。

特定の Active Directory オブジェクトを同期する際に発生する可能性のある問題をトラブルシューティングする方法については、以下の Microsoft Knowledge Base の資料を参照してください。??
2643629? 「Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない」

追加情報

Video: Office 365: Managing User Accounts for Identity Federation (英語のみ)

元に戻す画像を拡大する
assets video1
uuid=b977ebd0-706c-4c4e-9cfd-419c0634575d VideoUrl=http://aka.ms/mid5od
元に戻す画像を拡大する
assets video2



その他トピックは、Office 365 コミュニティ?Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。

プロパティ

文書番号: 2392130 - 最終更新日: 2014年6月26日 - リビジョン: 25.0
この資料は以下の製品について記述したものです。
  • Office 365 Identity Management
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Azure
  • Microsoft Azure Recovery Services
  • Microsoft Office 365
  • CRM Online via Office 365 E Plans
キーワード:?
o365 kbgraphxlink o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbgraphic KB2392130
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com