convert-MSOLDomaintoFederated コマンドレットを実行して既存のドメインを変換した後、Office 365 にアクセスができない

文書翻訳 文書翻訳
文書番号: 2662960 - 対象製品
すべて展開する | すべて折りたたむ

現象

Microsoft Office 365 で、ID フェデレーションとしても知られているシングル サインオン (SSO) を実装中に、convert-MSOLDomaintoFederated コマンドレットを使用してOffice365 に登録済みドメインを標準認証からフェデレーション認証に変換します。ただし、この変換を行うと、ドメインに関連付けられているユーザーは Office 365 に標準認証ではアクセスできなくなります。

原因

Office 365 SSO が正しく実装されていないか、実装が完了していない場合に、この問題が発生します。

?SSO は、Office 365 for Small Business および アップグレード前の Office 365 for small businesses ではサポートされていません。

警告 Office365 では SSO に障害が発生した場合に管理者によるテナントへのアクセスが失われないよう、既定のドメインに関連付けられた管理者ユーザー ID を少なくとも 1 つ持つことを、マイクロソフトは推奨しています。?

解決方法

この問題を解決するには、状況に応じて以下のいずれかの方法を使用します。

方法 1: エンタープライズ SSO 実装に関する問題をトラブルシューティング

以下の条件がすべて当てはまる場合に限り、この方法を使用します。
  • サービスの停止が原因ではない場合
  • 即座にユーザーのアクセスを復旧する必要がない場合 ?
  • アカウントが、Office 365 for Enterprise の場合
SSO 実装に関する問題を診断およびトラブルシューティングするには、以下の資料番号をクリックして Microsoft Knowledge Base 資料を参照してください。
2530569 「Office 365 における シングル サインオン セットアップのトラブルシューティング?」

方法 2: AD FS?サーバーを使用できる場合、Office 365 アカウント ドメインの フェデレーション認証設定を標準認証に変更

以下の条件がすべて当てはまる場合に限り、この方法を使用します。
  • サービス停止により問題が発生したために即座にユーザーのアクセスを復旧する必要がある場合、またはアカウントがアップグレード前の Office 365 small businesses アカウントの場合??
  • Active Directory フェデレーション サービス (AD FS)?サーバーが利用可能な場合
これらの条件が当てはまる場合、ドメイン認証の設定で標準認証を使用するように変更します。これを行うには、以下の手順に従います。
  1. Windows PowerShell 用Azure Active Directory モジュールを起動します。[スタート][すべてのプログラム][Windows Azure Active Directory] の順にクリックし、[Windows PowerShell 用Windows Azure Active Directory モジュール] を右クリックしてから [管理者として実行] をクリックします 。
  2. 表示されている順に以下のコマンドを実行し、各コマンドを入力ごとに Enter キーを押します。
    1. $cred = Get-Credential

      資格情報の入力画面で、SSO が有効化されていない Office 365 管理者資格情報を入力します 。
    2. Connect-MsolService ?credential $cred
    3. Set-MsolADFSContext ?Computer <AD FS 2.0 server name>

      このコマンドでは、<AD FS 2.0 server name> はプライマリ AD FS?サーバーの名前です 。
    4. Convert-MSOLDomainToStandard ?DomainName <federated domain name> -SkipUserConversion [$true|$false] -PasswordFile c:\userpasswords.txt

      このコマンドでは、<フェデレーションドメイン名> には SSO が動作していないドメインの名前が入ります。

      このコマンドは、Office 365 フェデレーション サービスとオンプレミスのAD FS フェデレーション サービスから Rely Party Trust (証明書利用者の信頼) の情報を削除します。-PasswordFile パラメータは、標準認証に変更した各ユーザー アカウントの一時パスワードを含むテキストファイルのパスを示します。
      ?SkipUserConversion:$true が使用されている場合、パスワード ファイルは生成されず、ドメインに関連付けられたユーザー アカウントを使用することはできず、Office 365 リソースにアクセスできません:
      • Convert-MSOLDomainToFederated コマンドレットを使用して、ドメインはフェデレーション認証を使用するよう変換されます 。
      • Convert-MSOLFederatedUser コマンドレットを使用して、各ユーザー アカウントは標準認証を使用するよう変換されます 。

方法 3: AD FS?サーバーを使用できない場合、Office 365 アカウント ドメインのフェデレーション認証設定を標準認証に変更

以下の条件がすべて当てはまる場合に限り、この方法を使用します:
  • サービス停止により問題が発生したために即座にユーザーのアクセスを復旧する必要がある場合またはアカウントがアップグレード前の Office 365 small businesses アカウントの場合
  • AD FS?サーバーを利用できない場合
これらの条件が当てはまる場合、ドメインと各ユーザー アカウントの認証設定で標準認証を使用するようにリセットします。これを行うには、以下の手順に従います:
  1. Windows PowerShell 用 Azure Active Directory モジュールを起動します。[スタート]、[すべてのプログラム][Windows Azure Active Directory] の順にクリックし、[Windows PowerShell 用Windows Azure Active Directory モジュール] を右クリックしてから [管理者として実行] をクリックします。
  2. ドメインを変換するには、表示されている順に以下のコマンドを実行し、各コマンドを入力ごとに Enter キーを押します。
    1. $cred = Get-Credential

      入力を促されたら、SSO が有効化されていない Office 365 管理者資格情報を入力します 。
    2. Connect-MsolService ?credential $cred
    3. Set-MSOLDomainAuthentication -Authentication Managed -DomainName <federated domain name>

      このコマンドでは、< federated domain name > には SSO が動作していないドメイン名が入ります 。
  3. ドメインに関連付けられたユーザー プリンシパル名 (UPN) のサフィックスを含む各ユーザーは、以下のコマンドを実行します:
    Convert-MSOLFederatedUser -UserPrincipalName <string>

    このコマンドでは、<string> の箇所には変換されるユーザーの UPN の値が入ります 。

詳細

重要 Microsoft Online Services テナント管理者にフェデレーション ドメインが割り当てられ、SSO が有効になると、その後に発生する AD FS の機能停止により connect-MSOLService コマンドレットの実行は制限され、SSO 問題の修正を妨げる場合があります。Windows PowerShell 用Azure Active Directory モジュールを使用して SSO 問題をトラブルシューティング及び修正できるように、Microsoft Online Services のテナント管理者には、SSO が有効ではない全体管理者アカウントを常に 1 つ以上保持することがベスト プラクティスとして推奨されます。

この問題が発生した場合は Microsoft サポートへ連絡し、ドメイン フェデレーションを一時的に無効にして管理者 (SSO は無効になります) が再びアクセスできるようにします。これにより、この管理者は SSO に関連する問題をトラブルシューティング及び修正することが可能となります。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。

プロパティ

文書番号: 2662960 - 最終更新日: 2014年6月26日 - リビジョン: 12.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Office 365
  • Microsoft Azure
  • Microsoft Azure Recovery Services
  • CRM Online via Office 365 E Plans
  • Office 365 Identity Management
キーワード:?
o365 o365a o365e o365p o365062011 pre-upgrade o365022013 after upgrade KB2662960
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com