Office 365 における シングル サインオン セットアップのトラブルシューティング

はじめに 
ID フェデレーションとも呼ばれるシングル サインオン (SSO) に関する詳細な実装ガイダンスについては、Microsoft Online ヘルプで提供しています。実装ガイダンスに従って ID フェデレーションを実装する際に問題が生じた場合は、本資料を各実装手順で共通する問題の確認やトラブルシューティングをする際に使用してください。
詳細情報 

Office 365 ID フェデレーション サービスの実装をトラブルシューティングする方法

手順 1: Active Directory の準備

実装ガイダンス
以下の Microsoft Web サイトを参照してください。
手順 1 の検証
Office 365 Deployment Readiness Tool を使用して、ディレクトリ同期で不具合が生じる可能性のある問題があるか Active Directory をスキャンします。

注: Office 365 シングル サインオン (SSO) または ID フェデレーションが設定されているドメインと一致するユーザー プリンシパル名 (UPN) を持つユーザー アカウントのみ SSO 機能を利用することが出来ます。

Office 365 Deployment Readiness Tool に関する詳細については、以下の Microsoft Web サイトを参照してください 。
手順 1 の検証におけるトラブルシューティング
DRT レポートでは、検出される特定の問題における Microsoft Online 展開ガイド (MODG) のトラブルシューティング ガイダンスへのリンクが記載されています。トラブルシューティング方法については、以下の手順に従います。
  1. DRT に記載の MODG ガイダンスへのリンクを参照してツールによって検出された問題を解決してください。

    : Active Directory の設定に誤りがある場合や DRT によって認識された問題が解決されていない場合は、手順 4 に記載のディレクトリ 同期の問題の原因となる場合があります。DRT によるトラブルシューティング ガイダンスに従って問題を修復し、DRT にエラーが生じることなく正常に動作し、実装後に以下のような問題が生じることがないよう確認をします 。
    • 2392130: フェデレーション ユーザーが Office 365、Azure、Intune にサインインすると発生するユーザー名に関する問題のトラブル シューティング  
    • 2001616: Business Productivity Online Standard Suite でのディレクトリ同期の後、ユーザーの Microsoft Online Services 電子メール アドレスに予期せずアンダースコア文字が含まれる
    • 2643629: Active Directory ドメイン サービスの個々のオブジェクトが Azure AD に同期しない
  2. 検証手順を再実行し、問題が解決されたことを確認します 。

手順 2: AD FS 構築

実装ガイダンス

以下の Microsoft Web サイトを参照してください。

注: Office 365 サポートは、下記のリンクにおける実装ガイダンスの実行について、お客様のサポートをしません 。

手順 3: Windows PowerShell 用 Microsoft Online Services モジュールにおける SSO

実装ガイダンス
以下の Microsoft Web サイトを参照してください。
手順 3 の検証
Windows PowerShell 用 Microsoft Online Services モジュールで SSO を検証するには、以下の手順に従ってください。
  1. Windows PowerShell 用 Microsoft Online Services モジュール を管理者として実行します。
  2. 以下のコマンドを入力し、コマンドごとに Enter キー を押します。
    1. $cred=Get-Credential

      注: 資格情報を要求される場合は、Office 365 管理者の資格情報を入力します。
    2. Connect-MsolService -Credential $cred

      注: このコマンドレットを使用すると Office 365 に接続します。Windows PowerShell 用 Microsoft Online Services モジュールで追加のコマンドレットを実行する前に、Office 365 へ接続する必要があります。
    3. Set-MsolAdfscontext-Computer <AD FS 2.0 プライマリ サーバー>

      注:
      • プライマリ AD FS サーバーに Windows PowerShell 用 Microsoft Online Services モジュールをインストール済みの場合は、このコマンドレットを実行する必要はありません。
      • コマンドにおける <AD FS 2.0 primary server> には、プライマリ AD FS サーバーの 内部 FQND 名を入力します。このコマンドレットは、AD FS に接続するコンテキストを作成します。
    4. Get-MSOLFederationProperty -DomainName <フェデレーション済みドメイン名>

      注: このコマンドにおける <フェデレーション済みドメイン名> には、実装手順においてフェデレーションされたドメイン名が入ります。
  3. 手順 2D で実行した Get-MSOLFederationProperty で出力された、前半 (ソース: AD FS サーバー) と後半 (ソース: Microsoft Office 365) を比較し、ソース および FederationServiceDisplayName を除くすべてのエントリが一致することを確認します。一致しない場合は、以下の資料の「解決方法」セクションを参照の上、利用者証明書を更新します。

    2647020: フェデレーション ユーザーが Office 365、Azure、または Intune にサインインすると、"Sorry, but we're having trouble signing you in" というエラー メッセージと、"80041317” または "80043431” のいずれかのエラー コードが表示される
手順 3 の検証時における問題のトラブルシューティング

トラブルシューティングについては、以下の手順に従ってください。
  1. 状況に応じ、Microsoft Knowledge Base 資料を参照して一般的な検証エラーをトラブルシューティングします。
    • 2461873: Windows PowerShell の Microsoft Online Services モジュールを開くことができない
    • 2494043: Windows PowerShell 用 Microsoft Online Services モジュールで接続できない
    • 2587730: Windows PowerShell 用 Microsoft Online Services モジュールで「Set-MsolADFSContext」コマンドレットを使用すると認証エラーが表示される 
    • 2279117: 管理者が Office 365 アカウントにドメインを追加することができない
    • New-MsolFederatedDomain を 2 回目に実行する際にドメイン検証の失敗によりエラーが表示される場合は、以下の資料を参照してください。
      2515404: Office 365 ドメイン照合に関する問題のトラブルシュート
    • 2618887: Office 365で 2 つ目のフェデレーション ドメインを構成しようとすると表示されるエラー:"AD FS 2.0 サーバーに指定するフェデレーション サービスの識別子は既に使用されています”
    • 時間に問題がある場合は、New-MSOLFederatedDomain コマンドレットや Convert-MSOLDomainToFederated コマンドレットに問題を発生させる原因となります。このシナリオに関する詳細は、次の資料を参照してください。
      2578667: フェデレーション ユーザーが Office 365、Azure または Intune にサインインを試みると、"申し訳ございません。サインイン問題が発生しています。" というエラー メッセージとエラー コード "80045C06” が表示される
  2. 検証手順を再実行し、問題が解決されたことを確認します。

手順 4: Active Directory 同期の実装

実装ガイダンス
以下の Microsoft Web サイトを参照します。
手順 4 の検証
検証するには、以下の手順に従ってください。
  1. Windows PowerShell 用 Microsoft Online Services モジュール を管理者として実行します。
  2. 以下のコマンドを入力し、コマンドごとに Enter キー を押します。
    1. $cred=Get-Credential

      注: 資格情報を要求される場合は、Office 365 管理者の資格情報を入力します。
    2. Connect-MsolService -Credential $cred

      注: このコマンドレットを使用すると Office 365 に接続します。Windows PowerShell 用 Microsoft Online Services モジュールで追加のコマンドレットを実行する前に、Office 365 へ接続する必要があります。
    3. Get-MSOLCompanyInformation
  3. 前述のコマンドレットの出力による LastDirSyncTime 値を確認し、Microsoft Online Services ディレクトリ同期ツールのインストールにより同期がされていることを確認します。

    注: この値の日時は世界協定時刻 (グリニッジ標準時) で表示されます。
  4. LastDirSyncTime が更新されていない場合、Microsoft Online Services ディレクトリ同期ツールがインストールされているサーバーのアプリケーション イベント ログを確認し、以下のイベントを確認します。
    • Source: ディレクトリ同期
    • Event ID: 4
    • Level: 情報
    このイベントはディレクトリ同期がサーバーで実行されたことを示しています。この場合ディレクトリ同期を再度実行し、LastDirSyncTime 値が適切に更新されたことを確認します。
手順 4 検証時における問題のトラブルシューティング

状況に応じ、以下の Microsoft Knowledge Base 資料を参照して、一般的な検証エラーをトラブルシューティングします。
  • 2386445: Azure Active Directory 同期ツールで表示されるエラーメッセージ: "Your version of the Windows Azure Active Directory Sync Configuration Wizard is outdated" (お使いの Azure Active Directory 同期ツールの構成ウィザードのバージョンは現在使用されていません。)
  • 2310320: Microsoft Online Services ディレクトリ同期の構成ウィザードを実行しようとすると表示されるエラーメッセージ:"Your credentials could not be authenticated. Retype your credentials and try again" (資格情報を認証できませんでした。資格情報を再度入力して、もう一度やり直してください)
  • 2508225: ディレクトリ同期の構成ウィザードで Enterprise 管理者の資格情報を入力後に表示されるエラー: "LogonUser() Failed with error code: 1789"
  • 2502710: Microsoft Online Services にサインインを試みると、「Microsoft Online Services Sign-in Assistantで予期せぬエラーが生じました」というエラーが、Microsoft Online Services ディレクトリ同期構成ウィザードで生じる
  • 2419250: Microsoft Online Services ディレクトリ同期ツールをインストールしようとすると、エラー メッセージ "コンピューターをドメインに参加させる必要があります" が表示される
  • 2643629: Active Directory の個々のオブジェクトがOffice 365に同期されない
  • 2641663: SMTP がディレクトリ同期でオンプレミスのユーザー アカウントを Office 365 ユーザー アカウントと一致させる方法
  • 2492140: Office 365 ポータルでフェデレーション ドメインをユーザーに割り当てることができない

手順 5: Office 365 におけるクライアントの準備

実装ガイド
  1. Office 365 におけるクライアントの前提条件を検証するには、以下の Microsoft Web サイトを参照してください。
  2. リッチ クライアント アプリケーションを使用するすべてのクライアント コンピューターで Office 365 デスクトップ アプリケーションを実行します。リッチ クライアント アプリケーションには、Microsoft Outlook、Lync 2010、Office Professional Plus、Office 365 PowerShell 管理スナップイン、Office デスクトップ アプリケーション、SharePoint 統合アプリケーションが含まれます。

    注: Office 365 デスクトップ アプリケーションは以下のリンクより利用可能です。 http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.application
  3. ドメイン参加およびドメイン接続のクライアント コンピューターにおいて、資格情報の入力を求められることのないシームレスな操作を要望する場合、AD FS フェデレーション サービスの URL をInternet Explorer のローカル イントラネット ゾーンに追加します。たとえば、以下の手順に従います。
    1. Internet Explorer を開き、[ツール] より [インターネット オプション] をクリックします。
    2. [セキュリティ] タブで [ローカル イントラネット] をクリックし、[サイト] をクリックしてから [詳細設定] をクリックします。
    3. [この Web サイトをゾーンに追加する] に「https://sts.contoso.com」 を入力してから [追加] をクリックします。

      注: 「sts.contoso.com」 は、AD FS フェデレーション サービスの完全修飾ドメイン名 (FQDN) を表します。
    この構成に関する詳細については、以下の Microsoft Knowledge Base 資料を参照してください。
    2535227: フェデレーション ユーザーが Office 365 のリソースにアクセスすると、予期せず資格情報の入力を求められる
  4. ドメイン参加およびドメイン接続のクライアント コンピューターが、パブリック DNS クエリ (および内部、スプリット ブレイン DNS以外) によりインターネットのアドレスを解決するプロキシ サーバーを使用して、インターネット リソースへアクセスする場合、Internet Explorer がプロキシ フィルタリングをバイパスするリストへ AD FS フェデレーション サービスの URL を追加します。以下は、URL を Internet Explorer の例外リストへ追加する場合の例となります。
    1. Internet Explorer の [ツール] で、[インターネット オプション] をクリックします。
    2. [接続] タブで、[LAN の設定] をクリックしてから [詳細設定] をクリックします。
    3. [例外] ボックス で、AD FS サービス エンドポイント名の完全に修飾された DNS 名を使用して値を入力します (例: sts.contoso.com) 
手順 5 の検証

検証をするには、以下の手順に従ってください。
  1. Microsoft Online Services Sign-in Assistant サービスがインストール済みであることを確認し、実行します。手順については以下に従ってください。
    1. [スタート] を選択し、[ファイル名を指定して実行]Services.msc」と入力してから、[OK] をクリックします。
    2. Microsoft Online Services Sign-in Assistant エントリを特定してからサービスが実行していることを確認します。
    3. サービスが実行していない場合は、エントリで右クリックをしてから [スタート] をクリックします。
  2. AD FS MEX Web サイトを開き、エンドポイントが Internet Explorer セキュリティ ゾーン にあることを確認します。手順については以下に従ってください。
    1. Internet Explorer を開き、AD FS サービス エンドポイントの Web サイトを開きます。以下が、サービス エンドポイントの Web サイトです。

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml
    2. 画面下部のステータス バーを参照し、この URL を示すセキュリティ ゾーンが [ローカル イントラネット] であることを確認します。

手順 6: 最終検証

構成されたクライアント コンピューターで、SSO 認証が期待通り動作するかを検証します。これには、フェデレーション ユーザー アカウントを使用して認証します。また、以下における両方の項目について、フェデレーション ユーザーを検証することもできます 。
  • オンプレミスのネットワークが機能しており、オンプレミス Active Directory への認証が機能することの検証
  • インターネット IP 場所からオンプレミス Active Directory へ直接認証がされないことの検証
検証をするには、以下の手順に従ってください。
  1. Web アプリケーションの認証を検証します。これを実行するには、以下のいずれかの方法を使用します。
    • Office 365 ポータル (https://portal.microsoftonline.com) に ローカルの Active Directory 資格情報を使用し、フェデレーション ユーザーとしてサインインします。
    • Outlook Web App に、Exchange Online メールボックスを有するフェデレーション ユーザー (ローカルの Active Directory 資格情報を使用) としてサインインします。たとえば、Outlook Web App へは以下の URL を使用します。

      https://outlook.com/owa/contoso.com

      注: 「contoso.com」 は、フェデレーション ドメイン名を表します。
    • SharePoint Online にチーム サイト コレクションへのアクセス権限を持つフェデレーション ユーザー (ローカルの Active Directory 資格情報を使用) としてサインインします。たとえば、SharePoint Online にサインインするには、以下の URL を使用します。

      http://contoso.sharepoint.com

      注: 「contoso」は、Office 365 のテナント アカウント名を表します。
  2. 以下の手順に従って、リッチ クライアントまたはアクティブなユーザー (リクエスト者) の認証をテストします 。
    1. フェデレーション ユーザー アカウント用に Skype for Business Online (旧名称 Lync Online) クライアント プロファイルを構成してから、ローカルの Active Directory 資格情報を使用してサインインをします 。
    2. 全体管理者の資格情報を持つフェデレーション ユーザー アカウントを使用して Windows PowerShell 用 Microsoft Online Services に connect-MSOLService コマンドレットを使用してサインインします 。
  3. Microsoft Remote Connectivity Analyzer を使用して Exchange Online ベーシック認証をテストします。Microsoft Remote Connectivity Analyzer に関する詳細については、以下の資料を参照してください。
    2650717: Remote 接続アナライザーを使用して、Office 365 のシングル サインオン (SSO) 問題を診断する方法
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2530569 - 最終更新日: 09/20/2016 08:56:00 - リビジョン: 40.0

Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management, Microsoft Azure Cloud Services

  • o365 o365a o365e o365022013 KB2530569
フィードバック