現在オフラインです。再接続するためにインターネットの接続を待っています

Office 365、Azure、Intune のフェデレーション ユーザー アカウント問題をトラブルシュートする方法

現象
IDフェデレーション ユーザーアカウントを使用してMicrosoft Office 365 リソースへの認証を試みて認証が失敗した場合、次のいずれかの問題が発生します。
  • サインインプロンプトの[ユーザー名]の欄を、フェデレーション ユーザー名で更新しようとすると、"<ADFS endpoint name>でサインイン" というリンクを含む Webページが表示されず、ブラウザーのアドレス バーには下記例のようなURLが表示されます。

    https://login.microsoftonline.com/login.srf?....
  • フェデレーション アカウントを使用してログオンし、OWA (Outlook Web App)、Microsoft SharePoint、Microsoft LyncなどののOffice 365リソースにアクセスすると、次のエラーメッセージが表示されます。
    Access Denied <アクセスが拒否されました>
原因
これらの問題が一部のユーザーアカウントにのみ発生する場合は、オンプレミスActive Directory環境での誤構成が考えられます。このシナリオでは、下記いずれかのアイテムが誤って構成されています。
  • 誤ったユーザープリンシパル名(UPN)とパスワードが使用されている
  • ユーザーアカウントのUPNが更新されていない

    この場合、IDフェデレーション ユーザー アカウントごとにUPN を更新してフェデレーションドメイン名を反映させる必要があります。ユーザーアカウンUPNの確認には、次の手順を実行します。
    1. ローカルのActive Directory ドメイン コントローラで、[スタート]をクリックし、[すべてのプログラム] にポイントし、 [管理ツール] をクリックします。次に、[Active Directoryユーザーとコンピュータ] をクリックします。
    2. 変更したいユーザー アカウントを右クリックし、 [プロパティ]をクリックします。
    3. [アカウント]タブで、フェデレーション ネームスペースのUPN が左上のリストに一覧表示されていることを確認し、[OK] をクリックします 。
  • Office 365ユーザーアカウントにOffice 365リソースへのライセンスが割当てられていない。

    ライセンスが割当てられていないユーザーアカウントは、Office 365リソースへのアクセスが制限されます。ユーザーアカウントのライセンス状態を確認するには、次の手順を実行します。
    1. Office 365 の管理者ユーザー アカウントを使用してhttps://portal.microsoftonline.com にログオンします。必要な場合は、管理アカウントを使用します。
    2. [管理者]タブをクリックし、左側のナビゲーションペーンにある[ユーザーおよびグループ]をクリックします。
    3. 一覧からテストを行うユーザーアカウントを特定し、 [表示名] のリンクをクリックします。各ユーザーアカウントに、Office 365リソースへのアクセスに必要なライセンスが割当てられていることを確認します
    4. [すべてのユーザー]を選択します。

      テストしたいユーザーアカウントが表示されない場合は、Active Directory 同期がそのアカウントを Azure Active Directory (Azure AD)に同期中である可能性があります。

      注 ユーザーアカウントにオンプレミスのメールボックスがある場合、Office 365メールボックスは作成されず、ユーザーアカウントにExchange Onlineのライセンスが割当てられたとしても、このリソースは利用できないままとなります。
  • Office 365 サブドメインに、親ドメインのフェデレーション設定が受け継がれていない。

    親ドメイン(例:contoso.com)よりも先にサブドメイン(例:subdomain.contoso.com)がOffice 365ポータルに追加されると、サブドメインは親ドメインのフェデレーション状態を自動的には継承しません。継承の有無を確認するには、次の手順を実行します。
    1. Office 365 の管理者ユーザーアカウントを使用して https://portal.microsoftonline.comにログオンします。必要な場合は、管理アカウントを使用します。
    2. [管理者] タブをクリックし、ナビゲーションペーンから [ドメイン] をクリックします。
    3. 一覧からフェデレーションされたサブドメイン名を探し、[ドメインの種類] の設定が [シングル サインオン] に設定されているか確認します。
    4. 親ドメインにも上記の手順 1 ~ 3 を行います。[ドメインの種類]の設定がサブドメインの設定と異なる場合は、サブドメインは親ドメインからから孤立しています。
  • ディレクトリ同期の問題 (不具合) により、オンプレミスでの正しいユーザー アカウント構成が、Azure AD に同期されない

    シングル サインオン (SSO) では、オンプレミス AD とAzure AD の両方で同じユーザーアカウントが使用されている必要があります。ディレクトリ同期では、オンプレミスのユーザーアカウントと同じユーザーアカウントが Office 365 に作成されているかを確認します。オンプレミス Active Directory からAzure AD へ正しいアカウント設定が同期されていないと、ログインに失敗します。
解決方法
この問題を解決するには、次の方法のいずれかを使用します。
  • 正しいUPNとパスワードをログイン時に使用する
  • ユーザー アカウント用にUPNが更新されていない

    この問題を解決する方法については、Microsoft Knowledge Baseにある次の資料番号を参照。
    2392130 「フェデレーション ユーザーが Office 365、Azure、Intune にサインインすると発生するユーザー名に関する問題のトラブル シューティング」
  • Office 365ユーザーアカウントにOffice 365リソースへアクセスするライセンスが割当てられていない

    この問題を解決するには、Office 365ポータルを使用して、ユーザーアカウントに適当なライセンスを割り当てます。
  • Office 365サブドメインに親ドメインのフェデレーション設定が継承されていない

    この問題を解決するには、次の方法のいずれかを使います。
    • Office 365 ポータルからサブドメインを削除します。ドメインを削除する方法については、マイクロソフトのウェブサイトを参照してください。

      ドメインを削除した後は、ドメインを再作成する必要があります。詳細については、次のMicrosoft ウェブサイトを参照してください。

      ドメインを再作成すると、サブドメインには親ドメインの[ドメインの種類]の設定が継承されます。

      注 サブドメインは既に認証されている親ドメインの一部として認識されるため、DNSのTXT レコードまたはMXレコードを使用したドメインの認証は必要ありません。
  • ディレクトリ同期の問題(不具合)により、オンプレミスでの正しいユーザーアカウント構成が Azure AD に同期できない

    アカウントの不一致を確認するには、次の手順を実行します。
    1. 問題となっているオンプレミスADのユーザーアカウントの設定値を変更します。
    2. ディレクトリ同期を強制します。同期を強制する方法については、次のMicrosoft ウェブサイトを参照してください。

      ディレクトリ同期を強制します。同期を強制する方法については、Microsoftウェブサイトを参照してください。
      変更した値がOffice 365のユーザーアカウントに同期されない場合は、この問題を引き起こす原因はディレクトリ同期にある可能性が考えられます。
    注 ユーザーアカウントに既にライセンスが割当てられている場合は、UPNを正しい値に更新しなくても同期は正常に行われます。

    UPNを更新する方法の詳細は、Microsoft Knowledge Base にある次の資料番号を参照してください。

    2523192 : Office 365、Azure、Intune などの組織アカウントのユーザー名が、オンプレミスの UPN または代替ログイン ID と一致しない
追加情報
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2530590 - 最終更新日: 12/18/2014 09:24:00 - リビジョン: 20.0

Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management

  • o365 o365e o365a o365022013 o365m KB2530590
フィードバック
/html>>