フェデレーションを利用しているユーザーが Office アプリのアクティブ化を試みると、"No credentials" エラーが表示される

現象
Microsoft Office 365 組織がフェデレーションされており、モダン認証を有効化しています。さらに、ディレクトリ同期を使用して、オンプレミスの Active Directory を Azure Active Directory (Azure AD) と同期しています。

この環境において、フェデレーションを利用しているユーザーが Microsoft Office アプリのアクティブ化を試みると、ユーザーに以下のエラー メッセージが表示されます。
“No credentials
The system requires that you sign on to a valid account”

(資格情報がありません有効なアカウントでサインインしてください)
原因
この問題は、ユーザーの ImmutableID 属性が抜けている場合に発生します。フェデレーション ID のプラットフォームがユーザー プリンシパル名 (UPN) および ImmutableID 属性を送信すると、プロパティが空のため、ImmutableID 属性を Azure AD で確認できません。これは、サービスがアクセスを拒否する原因になります。この場合のサービスは Office です。
解決方法
当該ユーザーの ImmutableID 属性を更新します。ただし、フェデレーションを利用しているユーザーの ImmutableID 属性は直接更新できないことに注意してください。そのため、この問題を解決するには以下のいずれかの手順を使用してください。

手順 1: フェデレーション ドメインを管理ドメインに変換する

  1. Windows PowerShell 用 Microsoft Azure Active Directory モジュールをインストールし (インストール済みでない場合)、Azure AD に接続します。

    詳細については、「Windows PowerShell による Azure AD の管理」を参照してください。
  2. 以下のコマンドを実行し、当該ドメインを管理ドメインに変換します。
    Convert-MSOLDomainToStandard –DomainName contoso.com -SkipUserConversion $false -PasswordFile c:\userpasswords.txt
    詳細については、「Convert-MsolDomainToStandard」を参照してください。
  3. 以下のコマンドを実行し、当該ユーザーの ImmutableID 属性を更新します。
    Set-MsolUserPrincipalName -UserPrincipalName user@contoso.com -ImmutableID <ImmutableID>

手順 2: フェデレーションを利用しているユーザーを管理ユーザーに変更する

  1. Windows PowerShell 用 Microsoft Azure Active Directory モジュールをインストールし (インストール済みでない場合)、Azure AD に接続します。

    詳細については、「Windows PowerShell による Azure AD の管理」を参照してください。
  2. UPN をフェデレーションされていないドメインに変更し、当該ユーザーを管理ユーザーにします。例えば、以下のコマンドを実行します。
    Set-MsolUserPrincipalName -UserPrincipalName user@contoso.com -NewUserPrincipalName user@contoso.onmicrosoft.com
  3. 以下のコマンドを実行し、ユーザーの ImmutableID 属性を更新します。
    Set-MsolUserPrincipalName -UserPrincipalName user@contoso.com -ImmutableID <ImmutableID>
  4. 以下のコマンドを実行し、UPN をフェデレーション ドメインに設定します。
    Set-MsolUserPrincipalName -UserPrincipalName user_temp@contoso.onmicrosoft.com -NewUserPrincipalName user@contoso.com
追加情報
その他トピックは、Office 365 コミュニティ Web サイトまたは Azure Active Directory フォーラムを参照してください。
注意 : これは、マイクロソフトのサポート組織内で直接作成された "緊急公開" の資料です。 この資料には、確認中の問題に関する現状ベースの情報が記載されています。 情報提供のスピードを優先するため、資料には誤植が含まれる可能性があり、予告なしに随時改定される場合があります。 その他の考慮事項については、使用条件を参照してください。
プロパティ

文書番号:3097057 - 最終更新日: 09/25/2015 22:02:00 - リビジョン: 1.0

Microsoft Office 365, Microsoft Azure Active Directory, Office 365 Identity Management, Microsoft Office 365 ProPlus, Microsoft Office Professional Plus 2016, Microsoft Office Professional Plus 2013

  • o365022013 o365 o365e KB3097057
フィードバック