現在オフラインです。再接続するためにインターネットの接続を待っています

フェデレーション ユーザーが Office 365, Azure、Intune にサインインすると発生するユーザー名に関する問題のトラブル シューティング

現象
新たなフェデレーション ユーザーは Microsoft Office 365, Microsoft Azure、Microsoft Intune といったマイクロソフト クラウド サービスにサインインできず、以下のいずれかの現象が発生します
  • ユーザーが Web ページ (login.microsoftonline.com) にユーザー ID を入力すると、ユーザー ID がホーム レルム ディスカバリによりフェデレーション ユーザーとして認識されず、シングル サインオン (SSO) を通じたサインイン ページに自動的に切り替わりません。
  • Active Directory Federation Services (AD FS) へ認証されず、ユーザーは以下のようなフォーム ベース認証のエラー メッセージを受信します。
    “ユーザー名またはパスワードが正しくありません"
    エラー メッセージ
  • ユーザーは Web ページ (login.microsoftonline.com) で以下のエラー メッセージを受信します。
    “Sorry, but we're having trouble signing you out” (参考訳: 申し訳ございません。サインアウトできません。)

原因
上記のようなエラーは、SSO が有効なユーザー ID が正しく設定されていない場合に生じることがあります。SSO が有効なユーザー ID を使用する一般的な要件は、以下のとおりです。
  • オンプレミス Active Directory ユーザー アカウントは、ユーザー プリンシパル名 (UPN) のサフィックスとしてフェデレーション ドメイン名を使用する必要があります。
  • ユーザー ID と、そのユーザー ID に紐付く Microsoft Exchange Online メールボックスのプライマリ電子メール アドレスは、同じドメイン サフィックスを使用できません。
  • Azure Active Directory Sync ツールで、オンプレミス Active Directory ユーザー アカウントをクラウド ベースのユーザー ID に同期する必要があります。
  • オンプレミス Active Directory ユーザー アカウントの UPN とクラウドベース ユーザー ID は一致している必要があります。
SSO が有効なユーザー ID が正しく使用されていないことが、この問題の原因であると仮定する前に、以下の条件に該当することを確認します。
  • ユーザーに一般的なサインイン問題が発生していないこと。よくあるサインイン問題のトラブルシューティング方法については、以下の Microsoft Knowledge Base を参照してください。
    2412085 「Office 365、Azure、Intune といった組織アカウント にサインインできない」

  • SSO をサポートするために、フェデレーション ドメインが以下のように正しく設定されていること。
解決方法
この問題を解決するには、以下の手順 (複数可) に従い、ユーザー アカウントが SSO 有効なユーザー ID として適切に設定されていることを確認します。

方法 1: Knowledge Base 2615736 を確認する (ユーザーに “Sorry, but we're having trouble signing you in” エラーが表示される場合)

ユーザーに "Sorry, but we're having trouble signing you in" (申し訳ございません。サインインできません。) というエラー メッセージが表示される場合は、以下の Microsoft Knowledge Base 資料を参照し、問題をトラブルシューティングします。
2615736: Office 365、Azure、または Intune にサインインを試みると “Sorry, but we're having trouble signing you in” というエラーメッセージが表示される


方法 2 : オンプレミス ユーザー アカウントのUPN を更新し、フェデレーション ドメインをそのサフィックスとして使用する

警告 Active Directory ユーザー アカウントの UPN を変更すると、このユーザーのオンプレミス Active Directory 機能に重大な影響を及ぼす可能性があります。UPN の変更には注意と慎重な判断を用いることをお勧めします。

UPN の変更による影響には、以下の項目が含まれます。
  • キャッシュ済みの資格情報を使用してオペレーティング システムにログオンするユーザーを読み込む、オンプレミス リソースへのリモート アクセス。
  • ユーザーの資格情報を使用する、リモート アクセス認証技術。
  • Secure MIME (SMIME)、Information Rights Management (IRM) 技術、および NTFS の暗号化ファイル システム (EFS) 機能などのユーザー証明書に基づいた暗号化技術
  • スマートカード機能

UPN の更新によるユーザー アクセスへの影響を十分に理解するため、1 つのユーザー アカウントを試験的に使用することをお勧めします。1 ユーザー アカウントを試験的に使用することで得られる情報は、事前の計画や、証明書再発行回数の削減、データの回復、これらの技術を使用したデータ アクセス維持に必要なその他の修復に役立ちます。

フェデレーション ドメインがオンプレミスの Active Directory 環境とクラウドの Azure AD の両方に反映されるように ユーザー アカウント UPN を更新する必要があります。これを行うには、以下の手順に従います。
  1. フェデレーション ドメインが UPN サフィックスとして追加されていることを確認します。
    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート][すべてのプログラム][管理ツール] の順にクリックし、[Active Directory ドメインと信頼関係] をクリックします。
    2. [Active Directory ドメインと信頼関係] のルート ノードを右クリックし、[プロパティ] をクリックして、SSO に使用されているドメイン名が表示されていることを確認します。
    domain.internal などのルーティング不可能なドメイン サフィックス、またはドメイン (domain.microsoftonline.com) は、SSO 機能やフェデレーション サービスを利用できません。この手順ではルーティング不可能なドメイン サフィックスは扱いません。
  2. 問題となっているユーザー アカウントの UPN サフィックスを手動で更新します。
    1. オンプレミスの Active Directory ドメイン コントローラーで、[スタート][すべてのプログラム][管理ツール] の順にクリックし、[Active Directory ユーザーとコンピュータ] をクリックします。
    2. 問題があるユーザー アカウントを特定し、アカウントを右クリックしてから [プロパティ] をクリックします。
    3. [Account] タブで、左上にあるドロップダウンを使用して UPN サフィックスを独自ドメインに変更し、[OK] をクリックします。

方法 3 : ユーザー ID と Exchange Online メールボックスのプライマリ Simple Mail Transfer Protocol (SMTP) アドレスを同じドメインにする

オンプレミスの Exchange 管理ツールを使用して、オンプレミス ユーザーのプライマリ SMTP アドレスが、「方法 2」の UPN 属性値と同じドメインになるように設定します。詳細は、以下の Microsoft TechNet Web サイトをご利用ください。

Exchange がオンプレミス環境にインストールされていない場合は、次の手順に従い、[Active Directory ユーザーとコンピューター] を使用して SMTP アドレス値を管理することができます。
  1. [Active Directory ユーザーとコンピューター] で、ユーザー オブジェクトを右クリックし、[プロパティ] をクリックします。
  2. [全般] タブで、[メール] フィールドを更新し、[OK] をクリックします。



方法 4 : ユーザー アカウント UPN の Active Directory 同期を設定する

SSO を正常に機能させるには、Active Directory 同期クライアントをセットアップする必要があります。Active Directory 同期のセットアップ方法については、以下の Microsoft Web サイトをご利用ください。


同期を強制実行および確認する方法については、以下の Microsoft Web サイトを参照してください。

方法 5 : 特定のユーザー アカウントの UPN 更新に関する問題をトラブルシューティングする

同期は確認できても、設定したユーザー ID の UPN が更新されていない場合、同期の問題が発生する可能性があります。

特定の Active Directory オブジェクトを同期する際に発生する可能性のある問題をトラブルシューティングする方法については、以下の Microsoft Knowledge Base の資料を参照してください。
2643629 「Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない」
追加情報

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2392130 - 最終更新日: 02/19/2015 18:23:00 - リビジョン: 29.0

Office 365 Identity Management, Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Microsoft Azure cloud services

  • o365 kbgraphxlink o365a o365e o365022013 o365m kbgraphic KB2392130
フィードバック
/html>