Applies ToOffice Products Cloud Services (Web roles/Worker roles) Azure Active Directory Microsoft Intune Azure Backup Identity Management

はじめに

この記事では、Office 365、Microsoft Intune、Microsoft Azure などの Microsoft クラウド サービスでのシングル サインオンのセットアップに関する問題のトラブルシューティング方法について説明します。シングル サインオン (SSO) の詳細な実装ガイダンスについては、Azure Active Directory (Azure AD) のヘルプ ドキュメントを参照してください。 そのガイダンスを使用して SSO を設定するときに問題が発生した場合は、この記事を参照してください。 各セットアップ 手順に関する一般的な問題のトラブルシューティングに役立つロードマップを提供します。

手順

SSO セットアップのトラブルシューティング方法

手順 1: Active Directory を準備する

セットアップ ガイダンス

次の Microsoft Web サイトに移動します。

シングル サインオンの準備

手順 1 の検証

ディレクトリ同期のセットアップ診断の評価ウィザードを使用して、ディレクトリ同期の問題の原因となる可能性のある問題について Active Directory をスキャンします。

手順 1 の検証に関する問題のトラブルシューティング

  1. 注 Active Directory の準備が正しくないか、ツールで識別される問題を解決できないと、ディレクトリ同期の問題が発生する可能性があります。 ディレクトリ同期セットアップ診断の評価ウィザードによって提供されるトラブルシューティング ガイダンスに従って問題を修正し、診断ウィザードがエラーなしで実行されていることを確認します。 これにより、実装の後半で次の問題が発生するのを防ぐことができます。

    • 2392130 フェデレーション ユーザーが Office 365、Azure、または Intune にサインインするときに発生するユーザー名の問題のトラブルシューティング

    • 2001616 ディレクトリ同期後にユーザーのOffice 365メール アドレスに予期せずアンダースコア文字が含まれる

    • 2643629 Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない

  2. 診断ウィザードを再実行して、問題が解決されているかどうかを確認します。

手順 2: Active Directory フェデレーション サービス (AD FS) (AD FS) アーキテクチャ

セットアップ ガイダンス 次の Microsoft Web サイトに移動します。 Microsoft サポートは、これらのリンクのセットアップ ガイダンスの実行に役立つものではありません。

手順 3: SSO のWindows PowerShell用 Azure Active Directory モジュール

セットアップ ガイダンス

次の Microsoft Web サイトに移動します。

AD FS でのシングル サインオン用のWindows PowerShellをインストールする

手順 3 の検証

SSO のWindows PowerShellの Azure Active Directory モジュールを検証するには、次の手順に従います。

  1. 管理者としてWindows PowerShellするための Azure Active Directory モジュールを実行します。

  2. 次のコマンドを入力し、各コマンドを入力した後に Enter キーを押していることを確認します。

    1. $cred=Get-Credential メモ メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

    2. Connect-MsolService -Credential $cred

      注 このコマンドは、Azure AD に接続します。 Azure Active Directory Module for Windows PowerShellによってインストールされている追加のコマンドレットのいずれかを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server >

      ノート

      • プライマリ Active Directory フェデレーション サービス (AD FS) (AD FS) サーバーにWindows PowerShell用の Azure Active Directory モジュールをインストールした場合、このコマンドレットを実行する必要はありません。

      • このコマンドでは、 AD FS 2.0 プライマリ サーバー><プレースホルダーは、プライマリ AD FS サーバーの内部完全修飾ドメイン名 (FQDN) を表します。 このコマンドは、AD FS に接続するコンテキストを作成します。

    4. Get-MSOLFederationProperty -DomainName < federated domain name >

      注 このコマンドでは、 フェデレーション ドメイン名 <プレースホルダー>は、セットアップ手順でフェデレーションされたドメイン名を表します。

  3. 手順 2D で実行したGet-MSOLFederationProperty コマンドの出力の前半 (ソース: AD FS サーバー) と最後の半分 (ソース: Microsoft Office 365) を比較します。 Source と FederationServiceDisplayName を除くすべてのエントリが一致する必要があります。 一致しない場合は、次の Microsoft サポート技術情報の記事の「解決」セクションを使用して、証明書利用者の信頼データを更新します。2647020 "申し訳ありませんが、サインインできません" と "80041317" または "80043431" エラーがフェデレーション ユーザーがOffice 365、Azure、またはIntuneにサインインしようとすると発生します。

手順 3 の検証に関する問題のトラブルシューティング トラブルシューティングを行うには、次の手順に従います。

  1. 状況に応じて、次の Microsoft サポート技術情報の記事を使用して、一般的な検証の問題のトラブルシューティングを行います。

    • 2461873 Azure Active Directory モジュールを開いてWindows PowerShellすることはできません

    • 2494043Azure Active Directory モジュールを使用して接続することはできませんWindows PowerShell

    • Set-MsolADFSContext コマンドレット<使用すると、"<ServerName> Active Directory フェデレーション サービス (AD FS) 2.0 サーバーへの接続に失敗しました" というエラーが2587730

    • 2279117 管理者がドメインをOffice 365 アカウントに追加できない

    • ドメインの検証が失敗したため、New-MsolFederatedDomain コマンドレットを 2 回目に実行するとエラーが発生します。 このシナリオの詳細については、次のサポート技術情報の記事を参照してください。

      2515404 Office 365でのドメイン検証に関する問題のトラブルシューティング

    • Office 365、Azure、またはIntuneで別のフェデレーション ドメインを設定しようとすると、「AD FS 2.0 サーバーで指定されたフェデレーション サービス識別子が既に使用されています」という2618887エラーが表示されます。

    • 時間の問題により、New-MSOLFederatedDomain コマンドレットまたは Convert-MSOLDomainToFederated コマンドレットに関する問題が発生します。

  2. 検証手順を再実行して、問題が解決されたかどうかを確認します。

手順 4: Active Directory 同期を実装する

セットアップ ガイダンス

次の Microsoft Web サイトに移動します。

手順 4 の検証

検証するには、次の手順に従います。

  1. 管理者としてWindows PowerShellするための Azure Active Directory モジュールを実行します。

  2. 次のコマンドを入力します。 1 つのコマンドを入力するたびに必ず Enter キーを押してください。

    1. $cred=Get-Credential メモ メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

    2. Connect-MsolService -Credential $cred 注 このコマンドは、Azure AD に接続します。 Azure Active Directory Module for Windows PowerShellによってインストールされている追加のコマンドレットのいずれかを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。

    3. Get-MSOLCompanyInformation

  3. 前のコマンドの出力の LastDirSyncTime 値を確認し、Azure Active Directory 同期ツールがインストールされた後に同期が表示されていることを確認します。注 この値の日付とタイム スタンプは、協定世界時 (グリニッジ標準時) に表示されます。

  4. LastDirSyncTime が更新されない場合は、次のイベントについて、Azure Active Directory 同期ツールがインストールされているサーバーのアプリケーション ログを監視します。

    • ソース: ディレクトリ同期

    • イベント ID: 4

    • レベル: 情報

    このイベントは、ディレクトリ同期がサーバーで完了したことを示します。 この場合は、これらの手順を再実行して、LastDirSyncTime 値が適切に更新されたことを確認します。

手順 4 の検証に関する問題のトラブルシューティング 状況に応じて、次の Microsoft サポート技術情報の記事を使用して、一般的な検証の問題のトラブルシューティングを行います。

  • Azure Active Directory 同期ツール構成ウィザードでエンタープライズ管理者の資格情報を入力した後、"LogonUser() Failed with error code: 1789" を2508225

  • 2502710 Azure Active Directory 同期ツール構成ウィザードの実行時に "Microsoft Online Services サインイン アシスタントで不明なエラーが発生しました" というエラーが発生しました

  • Azure Active Directory 同期ツールをインストールしようとすると、「コンピューターをドメインに参加させる必要があります」エラーが2419250

  • 2643629 Azure Active Directory 同期ツールの使用時に 1 つ以上のオブジェクトが同期されない

  • 2641663 SMTP 照合を使用してオンプレミスのユーザー アカウントをディレクトリ同期のユーザー アカウントにOffice 365する方法

  • 2492140 Office 365 ポータルでフェデレーション ドメインをユーザーに割り当てることはできません

手順 5: クライアントの準備をOffice 365する

セットアップ ガイダンス

  1. Office 365のクライアントの前提条件を確認します。 Office 365のシステム要件の詳細については、「システム要件のOffice 365」を参照してください。

  2. リッチ クライアント アプリケーションOffice 365使用するすべてのクライアント コンピューターでデスクトップ セットアップを実行します。 リッチ クライアント アプリケーションには、Microsoft Outlook、Microsoft Lync 2010、Microsoft Office Professional Plus 2010、Windows PowerShell用 Azure Active Directory モジュールなどがあります。 Office デスクトップ アプリケーションと Microsoft SharePoint 統合アプリケーション。

  3. ドメインに参加しているクライアント コンピューターとドメインに接続されたクライアント コンピューターに対して、シームレスでプロンプトなしのエクスペリエンスが必要な場合は、Windows Internet Explorer のローカル イントラネット ゾーンに AD FS フェデレーション サービス URL を追加します。 たとえば、次の操作を行います。

    1. Internet Explorer の [ツール ] メニューの [ インターネット オプション] をクリックします。

    2. [ セキュリティ ] タブをクリックし、[ ローカル イントラネット] をクリックし、[ サイト] をクリックして、[ 詳細設定] をクリックします。

    3. [ この Web サイトをゾーンに追加 する] ボックスに「https://sts.contoso.com」と入力し、[ 追加] をクリックします。注 "sts.contoso.com" は、AD FS フェデレーション サービスの FQDN を表します。

    この構成の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2535227 フェデレーション ユーザーが予期せず職場または学校アカウントの資格情報を入力するように求められます

  4. ドメイン参加済みクライアント コンピューターとドメイン接続クライアント コンピューターが、パブリック DNS クエリ (内部のスプリットブレイン DNS ではなく) を使用してインターネット アドレスを解決するプロキシ サーバーを使用してインターネット リソースにアクセスする場合は、Internet Explorer がプロキシ フィルター処理をバイパスする一覧に AD FS フェデレーション サービス URL を追加します。 Internet Explorer の例外リストに URL を追加する方法の例を次に示します。

    1. Internet Explorer の [ツール ] メニューの [ インターネット オプション] をクリックします。

    2. [ 接続 ] タブで、[ LAN 設定] をクリックし、[ 詳細設定] をクリックします。

    3. [ 例外 ] ボックスに、AD FS サービス エンドポイント名の完全修飾 DNS 名を使用して値を入力します。 たとえば、「sts.contoso.com」と入力します。

手順 5 の検証 検証するには、次の手順に従います。

  1. Microsoft Online Services サインイン アシスタント サービスがインストールされ、実行されていることを確認します。 この場合、次の手順を実行します。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「Services.msc」と入力して、[OK] をクリック します

    2. Microsoft Online Services サインイン アシスタント エントリを見つけて、サービスが実行されていることを確認します。

    3. サービスが実行されていない場合は、エントリを右クリックし、[開始] を選択 します

  2. AD FS MEX Web サイトに移動して、エンドポイントが Internet Explorer イントラネット セキュリティ ゾーンの一部であることを確認します。 この場合、次の手順を実行します。

    1. Internet Explorer を起動し、AD FS サービス エンドポイント Web サイトに移動します。 サービス エンドポイント Web サイトの例を次に示します。

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. ウィンドウの下部にあるステータス バーを確認して、この URL に示されているセキュリティ ゾーンが [ローカル イントラネット] であることを確認します。

手順 6: 最終的な検証

構成されたクライアント コンピューターで、予想される SSO 認証エクスペリエンスをテストします。 これを行うには、フェデレーション ユーザー アカウントを使用して認証します。 次のシナリオでは、フェデレーション ユーザーの認証をテストできます。

  • オンプレミス ネットワークで、オンプレミスの Active Directoryに対して認証されます

  • インターネットに依存しない IP の場所から、オンプレミスの Active Directoryに対して認証されない

検証するには、次の手順に従います。

  1. Web 認証をテストします。 これを行うには、以下のいずれかの方法を使用します。

    • ローカル Active Directory 資格情報を使用して、フェデレーション ユーザーとしてクラウド サービス ポータルにサインインします。

    • Exchange Online メールボックスを持つフェデレーション ユーザー (ローカル Active Directory 資格情報を使用) としてOutlook Web Appにサインインします。 たとえば、次の URL でOutlook Web Appにサインインします。

      https://outlook.com/owa/contoso.comNote この URL では、"contoso.com" はフェデレーション ドメイン名を表します。

    • チーム サイト コレクションにアクセスできるフェデレーション ユーザー (ローカル Active Directory 資格情報を使用) としてMicrosoft Office SharePoint Onlineにサインインします。 たとえば、次の URL で SharePoint Online にサインインします。

      http://contoso.sharepoint.comNote この URL では、"contoso" は組織の名前を表します。

  2. リッチ クライアントまたはアクティブなリクエスタ認証をテストします。 この場合、次の手順を実行します。

    1. フェデレーション ユーザー アカウントの Skype for Business Online (旧称 Lync Online) クライアント プロファイルを構成し、ローカルの Active Directory 資格情報を使用してアカウントにサインインします。

    2. connect-MSOLService コマンドレットを使用して、グローバル管理者資格情報を持つフェデレーション ユーザー アカウントを使用して、Windows PowerShell用の Azure Active Directory モジュールにサインインします。

  3. Microsoft Remote Connectivity Analyzer を使用して基本認証Exchange Onlineテストします。 リモート接続アナライザーの使用方法の詳細については、Microsoft サポート技術情報の次の記事を参照してください。

    2650717  Remote 接続アナライザーを使用して、Office 365 のシングル サインオン (SSO) 問題を診断する方法

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

ディスカバー コミュニティ

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。

Microsoft コミュニティに問い合わせる

Microsoft 技術コミュニティ

Windows Insiders

Microsoft 365 Insiders