Applies ToIdentity Management Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup

問題

新しくフェデレーション されたユーザーは、Office 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインできません。 ユーザーには、次のいずれかの現象が発生します。

  • ユーザーが login.microsoftonline.com Web ページでユーザー ID を入力した後は、ホーム領域検出によってユーザー ID をフェデレーション ユーザーとして識別することはできません。また、ユーザーがシングル サインオン (SSO) を使用してサインインするように自動的にリダイレクトされることはありません。

  • Active Directory フェデレーション サービス (AD FS) (AD FS) への認証が失敗し、ユーザーは次のフォーム ベースの認証エラー メッセージを受け取ります。

    ユーザー名またはパスワードが正しくありません

    代替テキスト
  • ユーザーは、login.microsoftonline.com Web ページで次のエラー メッセージを受け取ります。

    申し訳ございませんが、サインアウトに問題が発生しています

原因

これらの現象は、SSO が有効なユーザー ID が不適切にパイロットされているために発生する可能性があります。 SSO 対応ユーザー ID をパイロットするための一般的な要件は次のとおりです。

  • オンプレミスの Active Directory ユーザー アカウントでは、フェデレーション ドメイン名をユーザー プリンシパル名 (UPN) サフィックスとして使用する必要があります。

  • 関連付けられているMicrosoft Exchange Onlineメールボックスのユーザー ID とプライマリ 電子メール アドレスは、同じドメイン サフィックスを共有しません。

  • Azure Active Directory 同期ツールは、オンプレミスの Active Directory ユーザー アカウントをクラウドベースのユーザー ID に同期する必要があります。

  • オンプレミスの Active Directory ユーザー アカウントの UPN とクラウドベースのユーザー ID が一致している必要があります。

この問題の原因として、パイロットが不適切な SSO が有効なユーザー ID があると想定する前に、次の条件が満たされていることを確認してください。

  • ユーザーに一般的なサインインの問題が発生していません。 サインインに関する一般的な問題のトラブルシューティング方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2412085 Office 365、Azure、または Intune にサインインできない

  • フェデレーション ドメインは、次のように SSO をサポートするために正しく準備されています。

    • フェデレーション ドメインは DNS によってパブリックに解決できます。 (これには、既定の "onmicrosoft.com" ドメインは含まれません)。

    • フェデレーション ドメインは、次の Microsoft Web サイトに従って SSO 用に準備されました。

      注 ドメインフェデレーションの変換が反映されるまでに時間がかかる場合があります。 ドメインの構成に問題があると想定する前に、ドメインをフェデレーションしてから 2 時間後に待機する必要があります。

解決方法

この問題を解決するには、ユーザー アカウントが SSO 対応ユーザー ID として正しくパイロットされていることを確認します。 これを行うには、次の 1 つ以上の方法を使用します。

方法 1: ユーザーが "申し訳ありませんが、サインインに問題がある" エラーを受け取っている場合は、サポート技術情報の記事2615736を参照してください

ユーザーが "申し訳ありませんが、サインインに問題があります" というエラー メッセージが表示される場合は、次の Microsoft サポート技術情報の記事を使用して問題のトラブルシューティングを行います。

2615736ユーザーが Office 365、Azure、または Intune にサインインしようとすると、"申し訳ありませんが、サインインできません" というエラーが表示されますIntune

方法 2: フェデレーション ドメインをサフィックスとして使用するように、オンプレミス ユーザー アカウントの UPN を更新する

警告 Active Directory ユーザー アカウントの UPN を変更すると、ユーザーのオンプレミスの Active Directory機能に大きな影響を与える可能性があります。 UPN の変更に関する注意と検討を使用することをお勧めします。効果には、次のものが含まれる可能性があります。

  • キャッシュされた資格情報を使用してオペレーティング システムにログオンするユーザーをローミングすることで、オンプレミス リソースへのリモート アクセス

  • ユーザー証明書を使用したリモート アクセス認証テクノロジ

  • Secure MIME (SMIME)、情報権利管理 (IRM) テクノロジ、NTFS の暗号化ファイル システム (EFS) 機能などのユーザー証明書に基づく暗号化テクノロジ

  • スマート カード機能

UPN の更新がユーザー アクセスにどのように影響するかについて理解を深めるために、1 つのユーザー アカウントをパイロットすることを強くお勧めします。 この情報は、証明書の再発行、データ復旧、およびこれらのテクノロジを使用してデータへのアクセシビリティを維持するために必要なその他の修復を計画する場合に役立ちます。ユーザー アカウント UPN を更新して、オンプレミスの Active Directory環境と Azure AD の両方でフェデレーション ドメイン サフィックスを反映する必要があります。 この場合、次の手順を実行します。

  1. フェデレーション ドメインが UPN サフィックスとして追加されていることを確認します。

    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート] をクリックし、[すべてのプログラム] をポイントし、[管理ツール] をクリックし、[Active Directory ドメインと信頼] をクリックします。

    2. Active Directory の [ドメインと信頼] のルート ノードを右クリックし、[プロパティ] を選択し、SSO に使用されるドメイン名が存在することを確認します。

    注 ドメイン.internal、domain.microsoftonline.com ドメインなどのルーティング不可能なドメイン サフィックスは、SSO 機能やフェデレーション サービスを利用できません。 この手順では、ルーティング不可能なドメイン サフィックスを使用しないでください。

  2. 問題のあるユーザー アカウントの UPN サフィックスを手動で更新します。

    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート] をクリックし、[すべてのプログラム] をポイントし、[管理ツール] をクリックし、[Active Directory ユーザーとコンピューター] をクリックします。

    2. 問題のあるユーザー アカウントを見つけて、アカウントを右クリックし、[ プロパティ] をクリックします。

    3. [ アカウント ] タブで、左上隅のドロップダウン リストを使用して UPN サフィックスをカスタム ドメインに変更し、[OK] をクリック します

方法 3: Exchange Online メールボックスのユーザー ID とプライマリ簡易メール転送プロトコル (SMTP) アドレスが同じドメインであることを確認する

オンプレミスの Exchange 管理ツールを使用して、オンプレミス ユーザーのプライマリ SMTP アドレスを、方法 2 で説明されている UPN 属性と同じドメインに設定します。 詳細については、次の Microsoft TechNet Web サイトを参照してください。

電子メール アドレス ポリシーを編集する ユーザーメールボックスとリソースメールボックスのプロパティを構成するExchange がオンプレミス環境にインストールされていない場合は、Active Directory ユーザーとコンピューターを使用して SMTP アドレス値を管理できます。 この場合、次の手順を実行します。

  1. Active Directory ユーザーとコンピューターで、ユーザー オブジェクトを右クリックし、[プロパティ] をクリックします。

  2. [ 全般 ] タブで、[ 電子メール ] フィールドを更新し、[OK] をクリック します

方法 4: ユーザー アカウント UPN の Active Directory 同期を設定する

SSO を正しく動作させるには、Active Directory 同期クライアントを設定する必要があります。 Active Directory 同期を設定する方法の詳細については、次の Microsoft Web サイトを参照してください。

Active Directory 同期: ロードマップ同期を強制および検証する方法の詳細については、次の Microsoft Web サイトを参照してください。

方法 5: 特定のユーザー アカウントの UPN 更新に関する問題のトラブルシューティング

同期を検証できるが、パイロットされたユーザー ID の UPN がまだ更新されていない場合は、特定のユーザーに対して同期の問題が発生する可能性があります。特定の Active Directory オブジェクトの同期に関する潜在的な問題のトラブルシューティング方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

2643629 Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。