Office 365 環境の ID フェデレーション ユーザー アカウント問題をトラブルシュートする方法

文書翻訳 文書翻訳
文書番号: 2530590 - 対象製品
すべて展開する | すべて折りたたむ

現象

IDフェデレーション ユーザーアカウントを使用してMicrosoft Office 365 リソースへの認証を試みて認証が失敗した場合、次のいずれかの問題が発生します。
  • サインインプロンプトの[ユーザー名]の欄を、フェデレーション ユーザー名で更新しようとすると、"<ADFS endpoint name>でサインイン" というリンクを含む Webページが表示されず、ブラウザーのアドレス バーには下記例のようなURLが表示されます。

    https://login.microsoftonline.com/login.srf?....
  • フェデレーション アカウントを使用してログオンし、OWA (Outlook Web App)、Microsoft SharePoint、Microsoft LyncなどののOffice 365リソースにアクセスすると、次のエラーメッセージが表示されます。
    Access Denied <アクセスが拒否されました>

原因

これらの問題が一部のユーザーアカウントにのみ発生する場合は、オンプレミスActive Directory環境での誤構成が考えられます。このシナリオでは、下記いずれかのアイテムが誤って構成されています。
  • 誤ったユーザープリンシパル名(UPN)とパスワードが使用されている
  • ユーザーアカウントのUPNが更新されていない

    この場合、IDフェデレーション ユーザー アカウントごとにUPN を更新してフェデレーションドメイン名を反映させる必要があります。ユーザーアカウンUPNの確認には、次の手順を実行します。
    1. ローカルのActive Directory ドメイン コントローラで、[スタート]をクリックし、[すべてのプログラム] にポイントし、 [管理ツール] をクリックします。次に、[Active Directoryユーザーとコンピュータ] をクリックします。
    2. 変更したいユーザー アカウントを右クリックし、 [プロパティ]をクリックします。
    3. [アカウント]タブで、フェデレーション ネームスペースのUPN が左上のリストに一覧表示されていることを確認し、[OK] をクリックします 。
  • Office 365ユーザーアカウントにOffice 365リソースへのライセンスが割当てられていない。

    ライセンスが割当てられていないユーザーアカウントは、Office 365リソースへのアクセスが制限されます。ユーザーアカウントのライセンス状態を確認するには、次の手順を実行します。
    1. Office 365 の管理者ユーザー アカウントを使用してhttps://portal.microsoftonline.com にログオンします。必要な場合は、管理アカウントを使用します。
    2. 以下のいずれかを実行します。
      • Office 365 の場合、[管理者]タブをクリックし、左側のナビゲーションペーンにある[ユーザーおよびグループ]をクリックします。
      • アップグレード前の?Office 365 の場合、[管理者] をクリックし、ナビゲーションペーンにある [ユーザー] をクリックします。

    3. 一覧からテストを行うユーザーアカウントを特定し、 [表示名] のリンクをクリックします。各ユーザーアカウントに、Office 365リソースへのアクセスに必要なライセンスが割当てられていることを確認します
    4. 以下のいずれかを実行します。
      • Office 365 の場合、[すべてのユーザー]を選択します。
      • アップグレード前の Office 365 の場合、[表示] リストから[すべてのユーザー]を選択します。

      テストしたいユーザーアカウントが表示されない場合は、Active Directory 同期がそのアカウントを Windows Azure Active Directory (Windows Azure AD)に同期中である可能性があります。

      注 ユーザーアカウントにオンプレミスのメールボックスがある場合、Office 365メールボックスは作成されず、ユーザーアカウントにExchange Onlineのライセンスが割当てられたとしても、このリソースは利用できないままとなります。
  • Office 365 サブドメインに、親ドメインのフェデレーション設定が受け継がれていない。

    親ドメイン(例:contoso.com)よりも先にサブドメイン(例:subdomain.contoso.com)がOffice 365ポータルに追加されると、サブドメインは親ドメインのフェデレーション状態を自動的には継承しません。継承の有無を確認するには、次の手順を実行します。
    1. Office 365の管理者ユーザーアカウントを使用してhttps://portal.microsoftonline.comにログオンします。必要な場合は、管理アカウントを使用します。
    2. 右上の [管理者] タブをクリックし、ナビゲーションペーンから [ドメイン] をクリックします。一覧からフェデレーションされたサブドメイン名を探し、[ドメイン名]のリンクをクリックします。[ドメインの種類] の設定が [シングル サインオン]に設定されているか確認します。
    3. 親ドメインにも上記の手順A〜Bを行います。[ドメインの種類]の設定がサブドメインの設定と異なる場合は、サブドメインは親ドメインからから孤立しています。
  • ディレクトリ同期の問題 (不具合) により、オンプレミスでの正しいユーザー アカウント構成が、Windows Azure AD に同期されない

    シングル サインオン (SSO) では、オンプレミス AD とWindows Azure AD の両方で同じユーザーアカウントが使用されている必要があります。ディレクトリ同期では、オンプレミスのユーザーアカウントと同じユーザーアカウントが Office 365 に作成されているかを確認します。オンプレミス Active Directory からWindows Azure AD へ正しいアカウント設定が同期されていないと、ログインに失敗します。

解決方法

この問題を解決するには、次の方法のいずれかを使用します。
  • 正しいUPNとパスワードをログイン時に使用する
  • ユーザー アカウント用にUPNが更新されていない

    この問題を解決する方法については、Microsoft Knowledge Baseにある次の資料番号を参照。
    2392130?「フェデレーション ユーザーが Office 365、Windows Azure、Windows Intune にサインインすると発生するユーザー名に関する問題のトラブル シューティング」
  • Office 365ユーザーアカウントにOffice 365リソースへアクセスするライセンスが割当てられていない

    この問題を解決するには、Office 365ポータルを使用して、ユーザーアカウントに適当なライセンスを割り当てます。
  • Office 365サブドメインに親ドメインのフェデレーション設定が継承されていない

    この問題を解決するには、次の方法のいずれかを使います。
    • Office 365 ポータルからサブドメインを削除します。ドメインを削除する方法については、マイクロソフトのウェブサイトを参照してください。

      ドメインの削除
      ドメインを削除した後は、ドメインを再作成する必要があります。詳細については、次のMicrosoft ウェブサイトを参照してください。

      ドメインを追加して確認する
      ドメインを再作成すると、サブドメインには親ドメインの[ドメインの種類]の設定が継承されます。

      注 サブドメインは既に認証されている親ドメインの一部として認識されるため、DNSのTXT レコードまたはMXレコードを使用したドメインの認証は必要ありません。
  • ディレクトリ同期の問題(不具合)により、オンプレミスでの正しいユーザーアカウント構成が Windows Azure AD?に同期できない

    アカウントの不一致を確認するには、次の手順を実行します。
    1. 問題となっているオンプレミスADのユーザーアカウントの設定値を変更します。
    2. ディレクトリ同期を強制します。同期を強制する方法については、次のMicrosoft ウェブサイトを参照してください。

      ディレクトリ同期を強制実行する
      ディレクトリ同期を強制します。同期を強制する方法については、Microsoftウェブサイトを参照してください。
      ディレクトリ同期を確認する
      変更した値がOffice 365のユーザーアカウントに同期されない場合は、この問題を引き起こす原因はディレクトリ同期にある可能性が考えられます。
    注 ユーザーアカウントに既にライセンスが割当てられている場合は、UPNを正しい値に更新しなくても同期は正常に行われます。

    UPNを更新する方法の詳細は、Microsoft Knowledge Base にある次の資料番号を参照してください。

    2523192 Office 365、Windows Azure、Windows Intune などの組織アカウントのユーザー名が、オンプレミスの UPN と一致していない

詳細

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Windows Azure Active Directory フォーラム Web サイトを参照してください。

プロパティ

文書番号: 2530590 - 最終更新日: 2013年11月11日 - リビジョン: 16.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Windows Azure
  • Windows Azure Recovery Services
  • Microsoft Office 365
  • CRM Online via Office 365 E Plans
キーワード:?
o365 o365e o365a o365062011 pre-upgrade o365022013 after upgrade o365m KB2530590
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com