現在オフラインです。再接続するためにインターネットの接続を待っています

Office 365 フェデレーションドメインの構成を更新または修正する方法

概要
Microsoft Office 365 のシングル サインオン (SSO) と ID フェデレーションには、オンプレミスで Active Directory Federation Services (AD FS) が展開され、正常に機能している必要があります。テクニカルな問題を修正するため、シナリオによっては、AD FS の Office 365フェデレーション ドメインの構成を再構築する必要があります。この資料では Office 365 フェデレーション ドメインを構成する方法、または修正する方法について、順を追ったガイダンスを提供しています。
詳細情報

Office 365 フェデレーション ドメインの構成を更新する方法

次の Microsoft Knowledge Base 資料で説明されるシナリオにおける Office 365 フェデレーション ドメイン構成は、更新が必要です。詳細は、下記 Microsoft Knowledge Base 資料番号をクリックし、資料を確認してください。
  • 2713898 「フェデレーション ユーザーが組織アカウントにサインインしようとすると、AD FS から「サイトへのアクセスで問題が発生しました。」というエラー メッセージが表示される」
  • 2535191 「フェデレーション ユーザーとして Office 365、Azure または Intune へサインインを試みると、"申し訳ございません。サインイン問題が発生しています。" および "80048163" のエラー コードが表示される」
  • 2647020 「フェデレーション ユーザーが Office 365、Azure、または Intune にサインインすると、"Sorry, but we're having trouble signing you in" というエラー メッセージと、"80041317” または "80043431” のいずれかのエラー コードが表示される」
  • 2748507 「Office 365 convert-MSOLDomainToStandard コマンドレットを実行後、その他のシングル サインオン (SSO) が有効なドメインの SSO 認証動作が停止する」

Windows PowerShell 用Azure Active Directory モジュールがインストールされている、ドメインに接続したコンピューターで Office 365 フェデレーション ドメインの構成を更新するには、以下の手順に従います。
  1. [スタート]、[すべてのプログラム]、[Windows Azure Active Directory]、[Windows PowerShell 用Windows Azure Active Directory モジュール] の順にクリックします。
  2. コマンドプロンプトで、各コマンドの後に Enter キーを押します。
    1. $cred = get-credential

      資格情報の入力を求められたら、Office 365管理者資格情報を入力します。
    2. Connect-MSOLService –credential:$cred
    3. Set-MSOLADFSContext –Computer:<AD FS 2.0 ServerName>

      このコマンド中にある、<AD FS 2.0 Server Name> はプライマリ AD FS サーバーの Windows ホスト名を表しています。
    4. Update-MSOLFederatedDomain –DomainName:<Federated Domain Name>

      または

      Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain



      複数のトップレベル ドメインが同じ AD FS フェデレーション サービスを使用してフェデレーションされた場合、 –supportmultipledomains スイッチは必須となります。

      このコマンド中にある、<Federated Domain Name> はSSO 用に Office 365 と フェデレーションされたドメインの名前を表しています。
重要Office 365 フェデレーション メタデータを定期的に自動更新し、AD FS トークン署名の証明書を正しくレプリケートするスクリプトがあります。

このスクリプトを Windows の予定タスクとしてプライマリ AD FS サーバーに展開し、AD FS 構成 (例: 信頼情報、署名証明書の更新など) へ加えられた変更が、Microsoft Online Services 認証サービスに定期的に反映されるようにすることもできます。

スクリプトが実行されている環境では、トークン署名の証明書が自動更新されると、このスクリプトによりクラウドの信頼情報が更新され、クラウド証明書情報失効時に発生するダウンタイムを防ぐことができます。

スクリプトは、下記 Microsoft Web サイトからご利用いただけます。


Office 365 フェデレーション ドメインの構成を修正する方法

Office 365フェデレーションドメインの構成は、下記 Microsoft Knowledge Base 資料で説明されるシナリオにおいて修正が必要です。詳細は、Microsoft Knowledge Base 資料番号をクリックして資料を確認してください。
  • 2713898 「フェデレーション ユーザーが組織アカウントにサインインしようとすると、AD FS から「サイトへのアクセスで問題が発生しました。」というエラー メッセージが表示される」
  • 2523494 「フェデレーションされたユーザー アカウントを使用して Office 365 Web リソースにアクセスすると、AD FS から証明書の警告を受ける」
  • 2618887 「Office 365で 2 つ目のフェデレーション ドメインを構成しようとすると表示されるエラー:"Federation service identifier specified in the AD FS server is already in use" (AD FS サーバーに指定されたフェデレーション サービス識別子は既に使用されています)」
  • 2383983 「フェデレーション ユーザーが Office 365 にサインインする際に表示される AD FS エラー: "There was a problem accessing the site" (サイトにアクセスする際に問題が発生しました)」
  • 2647020 「フェデレーション ユーザーが Office 365 にサインインを試みると、"Your organization could not sign you in to this service" (このサービスへのサインインは認められていません) というエラー、および "80041317" または "80043431" のエラー コードが表示される」
  • AD FS のフェデレーション サービス名の変更方法については、次の Microsoft Web サイトをご確認ください。

    AD FS 2.0: フェデレーションサービス名を変更する方法

Windows PowerShell 用Azure Active Directory モジュールがインストールされドメインが結合したコンピューターで、Office 365フェデレーションドメインを修正するには、以下の手順に従います。

以下の手順を行うと、クライアントの所属場所に応じて Office 365 サービスへのアクセスを制限することにより作成されたカスタマイズ設定が削除されます (TechNet 記事: 「limiting access to Office 365 services by using the location of the client」 (参考訳: クライアントの所属場所別に Office 365 サービスへのアクセスを制限する) 参照)。フェデレーション ドメインの構成が修正された後、AD FS のアクセス制限を再構成する必要がある場合があります。

以下の手順には、慎重な計画が必要です。フェデレーション ドメインでSSO 機能が有効になっているユーザーは、手順 5 を実行中、認証を行えません。手順 1 の update-MSOLFederatedDomain コマンドレットのテストが正しく実行されていないと、手順 5 は正常に終了しません。SSO が有効化された Office 365 ユーザーは、update-MSOLFederatedDomain コマンドレットが正常に実行されるまで、認証できません。
  1. 本資料の前半にある「Office 365フェデレーションドメインの構成を更新する方法」セクションに記載された手順を実行し、update-MSOLFederatedDomainコマンドレットが正しく終了していることを確認します。
    • コマンドレットが正しく終了していない場合は、手順を進めず、本資料に後述される「フェデレーション ドメインを更新または修正する際に発生する可能性のある Known Issues」のセクションを参照し、問題をトラブルシューティングします。
    • コマンドレットが正しく終了している場合は、コマンド プロンプト ウィンドウを後に使用できるよう、開いた状態にしておきます。
  2. AD FS サーバーにログオンします。[スタート] をクリックした後、[すべてのプログラム]、[管理ツール] の順にカーソルを合わせ、[AD FS 2.0 の管理] をクリックします。
  3. 画面左側で、[AD FS 2.0]、[信頼関係]、[証明書利用者信頼] の順にクリックします。
  4. 一番右側の画面で、[Microsoft Office 365 Identity Platform] を削除します。
  5. 手順 1 で開いた Windows PowerShell ウィンドウで、削除した信頼オブジェクトを再作成します。これを行うには、以下のコマンドを実行し、Enter キーを押します。
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>

    または

    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain



    複数のトップレベル ドメインが同じ AD FS フェデレーション サービスを使用してフェデレーションされた場合、 –supportmultipledomains スイッチは必須となります。

    このコマンドでは、<Federated Domain Name> は SSO 用に Office 365 でフェデレーションされているドメインの名前を表しています。

フェデレーション ドメインを更新または修正する際に発生する可能性のある Known Issue

フェデレーションドメインを更新または修正する際、以下のシナリオでは問題が発生します。
  • Windows PowerShell を使用して Office 365 に接続できません。この問題の詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2494043 「Windows PowerShell 用Azure Active Directory モジュールで接続できない」
  • Windows PowerShell 用Azure Active Directory モジュールは、前提条件を満たしていないためロードできません。詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2461873 「Windows PowerShell 用Azure Active Directory モジュールを開くことができない」
  • set-MSOLADFSContext コマンドレットを実行しようとすると、"Access Denied" (参考訳:アクセス拒否) のエラー メッセージが表示されます。詳細については、以下の資料番号をクリックし、Microsoft Knowledge Base の資料を参照してください。

    2587730 「Windows PowerShell 用Azure Active Directory モジュールで Set-MsolADFSContext コマンドレットを使用する場合の認証エラー」
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2647048 - 最終更新日: 08/19/2015 16:14:00 - リビジョン: 26.0

Microsoft Office 365, Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, CRM Online via Office 365 E Plans, Office 365 Identity Management, Microsoft Azure Cloud Services

  • o365 o365a o365e o365022013 o365m KB2647048
フィードバック