Office 365 フェデレーションドメインの構成を更新または修正する方法

文書翻訳 文書翻訳
文書番号: 2647048 - 対象製品
すべて展開する | すべて折りたたむ

概要

Microsoft Office 365 のシングル サインオン (SSO) と ID フェデレーションには、オンプレミスで Active Directory Federation Services (AD FS)?が展開され、正常に機能している必要があります。テクニカルな問題を修正するため、シナリオによっては、AD FS の Office 365フェデレーション ドメインの構成を再構築する必要があります。この資料では Office 365 フェデレーション ドメインを構成する方法、または修正する方法について、順を追ったガイダンスを提供しています。

詳細

Office 365 フェデレーション ドメインの構成を更新する方法

次の Microsoft Knowledge Base 資料で説明されるシナリオにおける Office 365 フェデレーション ドメイン構成は、更新が必要です。詳細は、下記 Microsoft Knowledge Base 資料番号をクリックし、資料を確認してください。
  • 2713898 「フェデレーション ユーザーが組織アカウントにサインインしようとすると、AD FS から「サイトへのアクセスで問題が発生しました。」というエラー メッセージが表示される」?
  • 2535191 「フェデレーション ユーザーとして Office 365、Azure または Windows Intune へサインインを試みると、"申し訳ございません。サインイン問題が発生しています。" および "80048163" のエラー コードが表示される」?
  • 2647020 「フェデレーション ユーザーが Office 365、Azure、または Windows Intune にサインインすると、"Sorry, but we're having trouble signing you in" というエラー メッセージと、"80041317” または "80043431” のいずれかのエラー コードが表示される」?
  • 2707329 「MOSDAL サポート ツールキットを実行後、"The Metadata Exchange (MEX) address for AD FS could not be accessed." (AD FS でのメタデータ Exchange (MEX) アドレスにアクセスできませんでした) というエラーが表示される」
  • 2707335 「MOSDAL サポート ツールキットを実行後、"The federation metadata document could not be retrieved from AD FS" (フェデレーション メタデータ ドキュメントを AD FS から取得できませんでした) というエラー メッセージが表示される」
  • 2707336 「MOSDAL サポート ツールキットを実行後、"There was no response from the federation server when the tool attempted to retrieve a Metadata Exchange (MEX) document" (メタデータ Exchange (MEX) ドキュメントを取得する際にフェデレーション サーバーから応答がありませんでした) というエラー メッセージが表示される」
  • 2707338 「MOSDAL サポート ツールキットを実行後、"There was an exception error during a login attempt" (ログイン時に例外エラーが発生しました) というエラー メッセージが表示される」
  • 2707339 「MOSDAL サポート ツールキットを実行後、"No WS-Trust Windows endpoint is published in the Metadata Exchange (MEX) document" (WS-Trust Windows エンドポイントがメタデータ Exchange (MEX) ドキュメント内に公開されていません) というエラー メッセージが表示される」
  • 2707341 「MOSDAL サポートツールキットを実行した後、"No token was received from the Microsoft Office 365 authentication system" というエラー メッセージが表示される」
  • 2707347 「MOSDAL サポート ツールキットを実行後、"There were no endpoints in the AD FS Metadata Exchange (MEX) document" というエラー メッセージが表示される」
  • 2707355 「MOSDAL サポート ツールキットを実行後、"The Username/Password authentication endpoint is missing from the Metadata Exchange (MEX) document" のエラー メッセージが表示される」
  • 2707356 「MOSDAL サポート ツールキットを実行後、"The Windows Integrated Authentication endpoint is missing from the Metadata Exchange (MEX) document that is published by the federation server" のエラー メッセージが表示される」
  • 2707358 「MOSDAL サポート ツールキット実行後に表示されるエラー メッセージ: "There is no Web application login URL registered with the Microsoft Office 365 authentication system"」
  • 2707359 「MOSDAL サポート ツールキット実行後に表示されるエラー メッセージ: "There is no Username/Password authentication endpoint registered with the Microsoft Office 365 authentication system"」
  • 2707365 「MOSDAL サポート ツールキット実行後に表示されるエラー メッセージ: "There is no valid Metadata Exchange (MEX) URL registered with the Microsoft Office 365 authentication system"」
  • 2707368 「MOSDAL サポート ツールキット実行後に表示されるエラー メッセージ: "AD FS Token-Signing certificate is not valid"」
  • 2707369 「MOSDAL サポート ツールキット実行後に表示されるエラー メッセージ: "AD FS Token-Signing certificate found in a token does not match the certificate registered"」
  • 2707379 「MOSDAL サポート ツールキットの実行後、"The WS-Trust endpoint for Windows Integrated Authentication in the AD FS Metadata Exchange (MEX) document does not match the one registered" というエラー メッセージが表示される」
  • 2748507 「Office 365 convert-MSOLDomainToStandard コマンドレットを実行後、その他のシングル サインオン (SSO) が有効なドメインの SSO 認証動作が停止する」

Windows PowerShell 用Azure Active Directory モジュールがインストールされている、ドメインに接続したコンピューターで Office 365 フェデレーション ドメインの構成を更新するには、以下の手順に従います。
  1. [スタート]、[すべてのプログラム]、[Windows Azure Active Directory]、[Windows PowerShell 用Windows Azure Active Directory モジュール] の順にクリックします。
  2. コマンドプロンプトで、各コマンドの後に Enter キーを押します。
    1. $cred = get-credential

      資格情報の入力を求められたら、Office 365管理者資格情報を入力します。
    2. Connect-MSOLService ?credential:$cred
    3. Set-MSOLADFSContext ?Computer:<AD FS 2.0 ServerName>

      このコマンド中にある、<AD FS 2.0 Server Name> はプライマリ AD FS サーバーの Windows ホスト名を表しています。
    4. Update-MSOLFederatedDomain ?domainname:<Federated Domain Name>

      または

      Update-MSOLFederatedDomain ?domainname:<Federated Domain Name> ?supportmultipledomains




      複数のトップレベル ドメインが同じ AD FS フェデレーション サービスを使用してフェデレーションされた場合、??supportmultipledomains スイッチは必須となります。

      このコマンド中にある、<Federated Domain Name> はSSO 用に Office 365 と フェデレーションされたドメインの名前を表しています。
重要Office 365 フェデレーション メタデータを定期的に自動更新し、AD FS トークン署名の証明書を正しくレプリケートするスクリプトがあります。

このスクリプトを Windows の予定タスクとしてプライマリ AD FS サーバーに展開し、AD FS 構成 (例: 信頼情報、署名証明書の更新など) へ加えられた変更が、Microsoft Online Services 認証サービスに定期的に反映されるようにすることもできます。

スクリプトが実行されている環境では、トークン署名の証明書が自動更新されると、このスクリプトによりクラウドの信頼情報が更新され、クラウド証明書情報失効時に発生するダウンタイムを防ぐことができます。

スクリプトは、下記 Microsoft Web サイトからご利用いただけます。

Set up a scheduled task to automatically update Office 365 when a change is made to the token signing certificate

Office 365 フェデレーション ドメインの構成を修正する方法

Office 365フェデレーションドメインの構成は、下記 Microsoft Knowledge Base 資料で説明されるシナリオにおいて修正が必要です。詳細は、Microsoft Knowledge Base 資料番号をクリックして資料を確認してください。
  • 2713898 「フェデレーション ユーザーが組織アカウントにサインインしようとすると、AD FS から「サイトへのアクセスで問題が発生しました。」というエラー メッセージが表示される」
  • 2523494 「フェデレーションされたユーザー アカウントを使用して Office 365 Web リソースにアクセスすると、AD FS から証明書の警告を受ける」
  • 2618887 「Office 365で 2 つ目のフェデレーション ドメインを構成しようとすると表示されるエラー:"Federation service identifier specified in the AD FS server is already in use" (AD FS サーバーに指定されたフェデレーション サービス識別子は既に使用されています)」
  • 2383983 「フェデレーション ユーザーが Office 365 にサインインする際に表示される AD FS?エラー: "There was a problem accessing the site" (サイトにアクセスする際に問題が発生しました)」
  • 2647020 「フェデレーション ユーザーが Office 365 にサインインを試みると、"Your organization could not sign you in to this service" (このサービスへのサインインは認められていません) というエラー、および "80041317" または "80043431" のエラー コードが表示される」
  • 2707348 「MOSDAL サポート ツールキットを実行後、"The Metadata Exchange (MEX) document received from AD FS contains an unknown WS-Trust version" のエラー メッセージが表示される」
  • AD FS のフェデレーション サービス名の変更方法については、次の Microsoft Web サイトをご確認ください。

    AD FS 2.0: フェデレーションサービス名を変更する方法

Windows PowerShell 用Azure Active Directory モジュールがインストールされドメインが結合したコンピューターで、Office 365フェデレーションドメインを修正するには、以下の手順に従います。

以下の手順を行うと、クライアントの所属場所に応じて Office 365 サービスへのアクセスを制限することにより作成されたカスタマイズ設定が削除されます (TechNet 記事: 「limiting access to Office 365 services by using the location of the client」 (参考訳: クライアントの所属場所別に Office 365 サービスへのアクセスを制限する) 参照)。フェデレーション ドメインの構成が修正された後、AD FS?のアクセス制限を再構成する必要がある場合があります。

以下の手順には、慎重な計画が必要です。フェデレーション ドメインでSSO 機能が有効になっているユーザーは、手順 5 を実行中、認証を行えません。手順 1 の update-MSOLFederatedDomain コマンドレットのテストが正しく実行されていないと、手順 5 は正常に終了しません。SSO が有効化された Office 365 ユーザーは、update-MSOLFederatedDomain コマンドレットが正常に実行されるまで、認証できません。
  1. 本資料の前半にある「Office 365フェデレーションドメインの構成を更新する方法」セクションに記載された手順を実行し、update-MSOLFederatedDomainコマンドレットが正しく終了していることを確認します。
    • コマンドレットが正しく終了していない場合は、手順を進めず、本資料に後述される「フェデレーション ドメインを更新または修正する際に発生する可能性のある Known Issues」のセクションを参照し、問題をトラブルシューティングします。
    • コマンドレットが正しく終了している場合は、コマンド プロンプト ウィンドウを後に使用できるよう、開いた状態にしておきます。
  2. AD FS サーバーにログオンします。[スタート] をクリックした後、[すべてのプログラム]、[管理ツール] の順にカーソルを合わせ、[AD FS 2.0 の管理] をクリックします。
  3. 画面左側で、[AD FS 2.0]、[信頼関係]、[証明書利用者信頼] の順にクリックします。
  4. 一番右側の画面で、[Microsoft Office 365 Identity Platform] を削除します。
  5. 手順 1 で開いた Windows PowerShell ウィンドウで、削除した信頼オブジェクトを再作成します。これを行うには、以下のコマンドを実行し、Enter キーを押します。
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    このコマンドでは、<Federated Domain Name> は SSO 用に Office 365 でフェデレーションされているドメインの名前を表しています。

フェデレーション ドメインを更新または修正する際に発生する可能性のある Known Issue

フェデレーションドメインを更新または修正する際、以下のシナリオでは問題が発生します。
  • Windows PowerShell を使用して Office 365 に接続できません。この問題の詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2494043 「Windows PowerShell 用Azure Active Directory モジュールで接続できない」
  • Windows PowerShell 用Azure Active Directory モジュールは、前提条件を満たしていないためロードできません。詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2461873 「Windows PowerShell 用Azure Active Directory モジュールを開くことができない」
  • set-MSOLADFSContext コマンドレットを実行しようとすると、"Access Denied" (参考訳:アクセス拒否) のエラー メッセージが表示されます。詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2587730 「Windows PowerShell 用Azure Active Directory モジュールで Set-MsolADFSContext コマンドレットを使用する場合の認証エラー」
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。

プロパティ

文書番号: 2647048 - 最終更新日: 2014年6月26日 - リビジョン: 21.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Office 365
  • Microsoft Azure
  • Microsoft Azure Recovery Services
  • CRM Online via Office 365 E Plans
  • Office 365 Identity Management
キーワード:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m KB2647048
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com