convert-MSOLDomaintoFederated コマンドレットを実行して既存のドメインを変換した後、Office 365 にアクセスができない

現象 

Microsoft Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスで、シングル サインオン (SSO) をセットアップ中に convert-MSOLDomaintoFederated コマンドレットを使用して、Office365 に登録済みのドメインを標準認証からフェデレーション認証に変換すると、ドメインに関連付けられているユーザーはクラウド サービスにアクセスできなくなります。 

原因 

Office 365 SSO が正しく実装されていないか、セットアップが完了していない場合に、この問題が発生します。

警告: Office365 では、SSO に障害が発生した場合にも管理者がテナントへアクセスできるよう、既定ドメインに関連付く管理者ユーザー ID を少なくとも 1 つは、作成しておくことを推奨します。 

解決方法 

この問題を解決するには、状況に応じて以下のいずれかの方法を使用します。

方法 1: SSO のセットアップ状況をトラブルシューティングする

以下の条件がすべて当てはまる場合に限り、この方法を使用します。
  • サービス障害が原因ではない場合
  • 即座にユーザーのアクセスを復旧する必要がない場合  
SSO のセットアップ状況を診断およびトラブルシューティングするには、以下の Microsoft Knowledge Base 資料を参照してください。
2530569  「Office 365 における シングル サインオン セットアップのトラブルシューティング」

方法 2: (AD FS サーバーが使用不可である場合) ドメインの認証設定をフェデレーション認証から標準認証に戻す

以下の条件がすべて当てはまる場合に限り、この方法を使用します。
  • 即座にユーザーのアクセスを復旧する必要があるサービス障害がこの問題の原因である場合  
  • Active Directory フェデレーション サービス (AD FS) サーバーが利用不可能な場合
これらの条件が当てはまる場合は、以下の手順に従い、ドメインおよび各ユーザー アカウントの認証設定を標準認証にリセットします。
  1. Windows PowerShell 用 Azure Active Directory モジュールを起動します。[スタート][すべてのプログラム][Windows Azure Active Directory] の順にクリックし、[Windows PowerShell 用Windows Azure Active Directory モジュール] を右クリックしてから [管理者として実行] をクリックします 。
  2. ドメインを変換します。表示されている順に以下のコマンドを実行し、各コマンドを入力ごとに Enter キーを押します。
    1. $cred = Get-Credential 
      資格情報の入力画面で、SSO が設定されていない Office 365 管理者の資格情報を入力します。
    2. Connect-MsolService –credential $cred 
    3. Set-MSOLDomainAuthentication -Authentication Managed -DomainName <フェデレーション ドメイン名> 

      上記コマンド中、<フェデレーション ドメイン名> には、SSO が機能しないドメイン名を入力します。
  3. このドメインに関連付くユーザー プリンシパル ネーム (UPN) を使用するユーザーごとに、以下のコマンドを実行します。
    Convert-MSOLFederatedUser -UserPrincipalName <string> 
    注: 上記コマンド中、<string> には認証設定を変更するユーザーの UPN が入ります。

追加情報 

重要: Microsoft クラウド サービスを利用するテナントの管理者全員にフェデレーション ドメインを割り当て、SSO を有効にすると、その後に AD FS の機能停止が発生した場合に connect-MSOLService コマンドレットを実行できる管理者が不在になるため、SSO 問題を修正できなくなります。Windows PowerShell 用Azure Active Directory モジュールを使用して SSO 問題をトラブルシューティング及び修正できるように、Microsoft クラウド サービスのテナント管理者には、SSO が有効ではない全体管理者アカウントを常に 1 つ以上保持することがベスト プラクティスとして推奨されます。

この問題が発生した場合は Microsoft サポートへ連絡し、ドメイン フェデレーションを一時的に無効にして管理者 (SSO は無効になります) が再びテナントにアクセスできるようにします。これにより、この管理者は SSO に関連する問題をトラブルシューティング及び修正することが可能となります。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2662960 - 最終更新日: 2014/12/18 - リビジョン: 1

フィードバック