はじめに

この記事では、Office 365、Microsoft Intune、Microsoft Azure などの Microsoft クラウドサービスでのシングルサインオンセットアップに関する問題のトラブルシューティングを行う方法について説明します。シングルサインオン (SSO) に関する詳細な実装ガイダンスは、Azure Active Directory (Azure AD) のヘルプドキュメントで参照できます。 このガイダンスを使用して SSO をセットアップするときに問題が発生した場合は、この記事を参照してください。 各セットアップ手順の一般的な問題のトラブルシューティングに役立つロードマップを提供します。

手順

SSO のセットアップのトラブルシューティング

手順 1: Active Directory を準備する

セットアップガイダンス

次の Microsoft web サイトに移動します。

シングルサインオンの準備をする

手順1の検証

ディレクトリ同期のセットアップ診断ウィザードを使用して、ディレクトリ同期の問題の原因となる可能性のある問題について Active Directory をスキャンします。

手順1の検証に関する問題のトラブルシューティング

  1. 注: Active Directory の準備が間違っているか、ツールで特定された問題を解決するのに失敗したため、ディレクトリ同期の問題が発生する可能性があります。 「ディレクトリ同期のセットアップ診断ウィザード」で提供されているトラブルシューティングのガイダンスに従って問題を修正し、診断ウィザードが実行され、エラーがないことを確認します。 これにより、実装の後で次の問題が発生するのを防ぐことができます。

    • 2392130 フェデレーションされたユーザーが Office 365、Azure、または Intune にサインインしたときに発生するユーザー名の問題のトラブルシューティング

    • 2001616 ディレクトリ同期の後にユーザーの Office 365 メールアドレスにアンダースコア文字が含まれていない

    • 2643629 Azure Active Directory 同期ツールを使用すると、1つまたは複数のオブジェクトが同期しない

  2. 診断ウィザードを再実行して、問題が解決されたかどうかを確認します。

手順 2: Active Directory フェデレーションサービス (AD FS) のアーキテクチャ

セットアップ ガイダンス 次の Microsoft web サイトに移動します。 注 Microsoft サポートは、これらのリンクでのセットアップガイダンスの実行をお客様が支援するものではありません。

手順 3: Windows PowerShell 用 Azure Active Directory モジュール (SSO)

セットアップガイダンス

次の Microsoft web サイトに移動します。

AD FS を使ってシングルサインオン用に Windows PowerShell をインストールする

手順3の検証

Windows PowerShell 用 Azure Active Directory モジュールを SSO 用に検証するには、次の手順を実行します。

  1. 管理者として Windows PowerShell 用 Azure Active Directory モジュールを実行します。

  2. 次のコマンドを入力して、各コマンドを入力した後で Enter キーを押します。

    1. $cred=Get-Credential 注 メッセージが表示されたら、クラウドサービスの管理者資格情報を入力します。

    2. Connect-MsolService -Credential $cred 

      注:このコマンドを実行すると、Azure AD に接続されます。 Windows PowerShell 用 Azure Active Directory モジュールによってインストールされた追加のコマンドレットを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。

    3. Set-MsolAdfscontext -Computer < AD FS 2.0 primary server > 

      注:

      • プライマリ Active Directory フェデレーションサービス (AD FS) サーバーに Windows PowerShell 用 Azure Active Directory モジュールをインストールした場合、このコマンドレットを実行する必要はありません。

      • このコマンドでは、> AD fs 2.0 プライマリサーバー <プレースホルダーは、プライマリ ad FS サーバーの内部完全修飾ドメイン名 (FQDN) を表します。 このコマンドは、AD FS に接続するコンテキストを作成します。

    4. Get-MSOLFederationProperty -DomainName < federated domain name > 

      注: このコマンドでは、[ フェデレーションドメイン名>] というプレースホルダー <、セットアップ手順でフェデレーションされたドメイン名を表します。

  3. 手順2D で実行したMSOLFederationPropertyコマンドの出力の最初の半分 (ソース: AD FS サーバー) と最後の半分 (ソース: Microsoft Office 365) を比較します。 SourceとFederationServiceDisplayNameを除くすべてのエントリが一致している必要があります。 一致しない場合は、次の Microsoft サポート技術情報の記事の「解決策」セクションを使用して、「申し訳ございませんが、サインインできません」というエラー、およびフェデレーションされたユーザーが Office 365、Azure、または Intune にサインインしようとすると、"80041317" または "80043431" エラーが発生し2647020ます。

手順3の検証に関する問題のトラブルシューティングトラブルシューティングするには、次の手順を実行します。

  1. 状況に応じて、次の Microsoft サポート技術情報の記事を使用して、一般的な検証の問題のトラブルシューティングを行います。

    • 2461873 Windows PowerShell 用 Azure Active Directory モジュールを開くことができない

    • 2494043Windows PowerShell 用 Azure Active Directory モジュールを使用して接続できない

    • 2587730 コマンドレットを使用したときに "<ServerName> Active Directory フェデレーションサービス2.0 サーバーに接続できませんでした" というエラーが発生する

    • 2279117 管理者が Office 365 アカウントにドメインを追加できない

    • ドメインの確認に失敗したため、 MsolFederatedDomain コマンドレットを2回目に実行したときにエラーが発生します。 このシナリオの詳細については、次のサポート技術情報の記事を参照してください。

      2515404 Office 365 でのドメイン確認の問題のトラブルシューティング

    • 2618887 "AD FS 2.0 サーバーで指定されたフェデレーションサービス識別子は既に使用されています。" Office 365、Azure、または Intune で別のフェデレーションドメインを設定しようとするとエラーが発生する

    • 時刻の問題は、 MSOLFederatedDomain コマンドレットまたは MSOLDomainToFederated コマンドレットで問題が発生します。 このシナリオの詳細については、次のサポート技術情報の記事を参照してください。

      2578667 "申し訳ございませんが、フェデレーションされたユーザーが Office 365、Azure、または Intune にサインインしようとしたときに、サインインに問題が発生しています。

  2. 検証手順を再実行して、問題が解決されたかどうかを確認します。

手順 4: Active Directory の同期を実装する

セットアップガイダンス

次の Microsoft web サイトに移動します。

手順4の検証

検証するには、次の手順を実行します。

  1. 管理者として Windows PowerShell 用 Azure Active Directory モジュールを実行します。

  2. 次のコマンドを入力します。 1 つのコマンドを入力するたびに必ず Enter キーを押してください。

    1. $cred=Get-Credential 注 メッセージが表示されたら、クラウドサービスの管理者資格情報を入力します。

    2. Connect-MsolService -Credential $cred 注 このコマンドを実行すると、Azure AD に接続されます。Windows PowerShell 用 Azure Active Directory モジュールによってインストールされた追加のコマンドレットを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。

    3. Get-MSOLCompanyInformation

  3. 前のコマンドの出力から [ LastdirsyncTime ] の値を確認し、Azure Active Directory 同期ツールがインストールされた後の同期を示していることを確認します。注: この値の日付と時刻のスタンプは、協定世界時 (グリニッジ標準時) で表示されます。

  4. LastDirSyncTimeが更新されていない場合は、次のイベント用に Azure Active Directory 同期ツールがインストールされているサーバーのアプリケーションログを監視します。

    • ソース: ディレクトリ同期

    • イベント ID: 4

    • レベル: 情報

    このイベントは、サーバーでディレクトリ同期が完了したことを示します。 この問題が発生した場合は、次の手順を再実行して、 LastDirSyncTime 値が適切に更新されていることを確認してください。

手順4の検証に関する問題のトラブルシューティング状況に応じて、次の Microsoft サポート技術情報の記事を使用して、一般的な検証の問題のトラブルシューティングを行います。

  • 2386445  Azure Active Directory 同期ツールを実行すると、エラー "Windows Azure Active Directory 同期構成のバージョンは古くなっています" が表示される

  • 2310320 Azure Active Directory 同期ツール構成ウィザードを実行しようとすると、"資格情報を認証できませんでした。" というエラーが表示されます。 資格情報をもう一度入力して、もう一度やり直してください。

  • 2508225 "LogonUser () に失敗しました。 Azure Active Directory 同期ツールの構成ウィザードでエンタープライズ管理者の資格情報を入力した後に、エラーコード: 1789" が表示されない

  • 2502710 "Azure Active Directory 同期ツールの構成ウィザードを実行すると、Microsoft Online Services サインインアシスタントで不明なエラーが発生しました" というエラーが表示される

  • 2419250 "Azure Active Directory 同期ツールをインストールしようとすると、コンピューターはドメインに参加している必要があります" というエラーが表示される

  • 2643629 Azure Active Directory 同期ツールを使用すると、1つまたは複数のオブジェクトが同期しない

  • 2641663 SMTP の一致を使用して、オンプレミスのユーザーアカウントと、ディレクトリ同期のために Office 365 ユーザーアカウントを照合する方法

  • 2492140 Office 365 ポータルでフェデレーションドメインをユーザーに割り当てることができない

手順 5: Office 365 クライアントによる準備

セットアップガイダンス
  1. Office 365 のクライアントの前提条件を確認します。 Office 365 のシステム要件の詳細については、「 office 365 のシステム要件」を参照してください。

  2. リッチクライアントアプリケーションを使用するすべてのクライアントコンピューターで Office 365 デスクトップセットアップを実行します。 リッチクライアントアプリケーションには、Microsoft Outlook、Microsoft Lync 2010、Microsoft Office Professional Plus 2010、Windows PowerShell 用 Azure Active Directory モジュールがあります。 Office デスクトップアプリケーションと Microsoft SharePoint 統合アプリケーション。 注: Office 365 デスクトップセットアップは、 http://g.microsoftonline.com/0BX10en/436?!Office365DesktopSetup.applicationでご利用いただけます。

  3. ドメインに参加しているクライアントコンピューターとドメインに接続されているコンピューターでシームレスなプロンプトを表示しない場合は、AD FS フェデレーションサービスの URL を Windows Internet Explorer のローカルイントラネットゾーンに追加します。 たとえば、次の操作を行います。

    1. Internet Explorer で、[ ツール ] メニューの [ インターネットオプション] をクリックします。

    2. [ セキュリティ ] タブをクリックし、[ ローカルイントラネット] をクリックし、[ サイト] をクリックして、[ 詳細設定] をクリックします。

    3. [この web サイトをゾーンに追加する] ボックスに「 https://sts.contoso.com 」と入力して、[追加] をクリックします。注 "sts.contoso.com" は、AD FS フェデレーションサービスの FQDN を表します。

    この構成の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

    2535227 フェデレーション ユーザーが予期せず職場または学校アカウントの資格情報の入力を求められる

  4. ドメインに参加しているかドメインに接続しているクライアントコンピューターで、パブリック DNS クエリ (内部の分割ブレイン DNS ではなく) を使ってインターネットアドレスを解決するプロキシサーバーを使用して、インターネットリソースにアクセスする場合は、Internet Explorer がプロキシフィルターをバイパスするリストに、AD FS フェデレーションサービス URL を追加します。 Internet Explorer の例外リストに URL を追加する方法の例を次に示します。

    1. Internet Explorer で、[ ツール ] メニューの [ インターネットオプション] をクリックします。

    2. [ 接続 ] タブで [ LAN の設定] をクリックし、[ 詳細設定] をクリックします。

    3. [ 例外 ] ボックスに、AD FS サービスのエンドポイント名の完全修飾 DNS 名を使用して値を入力します。 たとえば、「 sts.contoso.com」と入力します。

手順5の検証 検証するには、次の手順を実行します。

  1. Microsoft Online service サインインアシスタントサービスがインストールされ、実行されていることを確認します。 これを行うには、次の手順を実行します。

    1. [ スタート] をクリックし、[ 実行] をクリックし、「 services.msc」と入力して、[ OK]をクリックします。

    2. Microsoft Online Services サインインアシスタントのエントリを見つけて、サービスが実行されていることを確認します。

    3. サービスが実行されていない場合は、エントリを右クリックし、[ 開始] を選択します。

  2. AD FS MEX web サイトに移動して、エンドポイントが Internet Explorer のイントラネットセキュリティゾーンの一部であることを確認します。 これを行うには、次の手順を実行します。

    1. Internet Explorer を起動し、AD FS サービスエンドポイントの web サイトに移動します。 サービスエンドポイント web サイトの例を次に示します。

      https://sts.contoso.com/federationmetadata/2007-06/federationmetadata.xml

    2. ウィンドウの下部にあるステータスバーで、この URL に指定されているセキュリティゾーンが [ ローカルイントラネット] であることを確認します。

手順 6: 最終的な検証

構成されたクライアントコンピューターで、必要な SSO 認証エクスペリエンスをテストします。 これを行うには、フェデレーションされたユーザーアカウントを使用して認証します。 次のシナリオでは、フェデレーションされたユーザーの認証をテストすることができます。

  • オンプレミスのネットワークで、オンプレミスの Active Directory に対して認証された場合

  • インターネットに依存しない IP 場所から、オンプレミスの Active Directory に対して認証されていない場合

検証するには、次の手順を実行します。

  1. Web 認証をテストします。 これを行うには、以下のいずれかの方法を使用します。

    • ローカルの Active Directory の資格情報を使用して、フェデレーションされたユーザーとしてクラウドサービスポータルにサインインします。

    • Exchange Online メールボックスを持っているフェデレーションユーザーとして Outlook Web App にサインインします (ローカル Active Directory 資格情報を使用します)。 たとえば、次の URL で Outlook Web App にサインインします。

      https://outlook.com/owa/contoso.com注:この URL では、"contoso.com" はフェデレーションドメイン名を表します。

    • チームサイトコレクションへのアクセス権を持つフェデレーションユーザーとして Microsoft SharePoint Online にサインインします (ローカル Active Directory 資格情報を使用します)。 たとえば、次の URL から SharePoint Online にサインインします。

      http://contoso.sharepoint.com注: この URL では、"contoso" は組織の名前を表します。

  2. リッチクライアントまたはアクティブなリクエスター認証をテストします。 これを行うには、次の手順を実行します。

    1. フェデレーションされたユーザーアカウント用に Skype for Business Online (以前の Lync Online) のクライアントプロファイルを構成し、ローカル Active Directory の資格情報を使用してアカウントにサインインします。

    2. Connect-「connect-msolserviceコマンドレットを使用して、グローバル管理者の資格情報を持つフェデレーションされたユーザーアカウントを使用して、Windows PowerShell 用 Azure Active Directory モジュールにサインインします。

  3. Microsoft リモート接続アナライザーを使用して、Exchange Online の基本認証をテストします。 リモート接続アナライザーの使い方の詳細については、Microsoft サポート技術情報の次の記事を参照してください。

    2650717  Remote 接続アナライザーを使用して、Office 365 のシングル サインオン (SSO) 問題を診断する方法

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

翻訳品質にどの程度満足していますか?
どのような要因がお客様の操作性に影響しましたか?

フィードバックをお送りいただきありがとうございます!

×