フェデレーション ドメインの設定を更新または修復するには、Office 365 Azure、Intune を使用します。

注意

Office 365 用リソース は、 エンタープライズ向け Microsoft 365 アプリに名前変更されています。 この変更の詳細については、 このブログの投稿を参照してください。

はじめに

Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスのシングル サインオン (SSO) は、正しく機能する Active Directory フェデレーション サービス (AD FS) のオンプレミス展開に依存します。 いくつかのシナリオでは、技術的な問題を修正するために、ADドメインの構成を再構築する必要があります。 この記事では、フェデレーション ドメインの構成を更新または修復する方法に関する手順について説明します。

詳細情報

フェデレーション ドメインの構成を更新する方法

フェデレーション ドメインの構成は、次のマイクロソフト サポート技術情報の記事で説明されているシナリオで更新する必要があります。

  • 2713898フェデレーション ユーザーが AD、Azure、Intune にサインインすると、AD Office 365 FS から "サイトへのアクセスに問題が発生しました" というエラーが発生しました
  • 2535191ユーザーが Office 365、Azure、Intune にサインインしようとすると、「申し訳ありませんが、サインインに問題がある」および「80048163」エラーが発生しました。
  • 2647020ユーザーが Office 365、Azure、Intune にサインインしようとすると、「申し訳ありませんが、サインインに問題がある」および「80041317」または「80043431」エラーが発生しました。

ドメインに参加しているコンピューターでフェデレーション ドメインの構成を更新するには、Azure Active DirectoryモジュールWindows PowerShell手順を実行します。

  1. [スタート] ボタン、[すべてのプログラム] の順にクリックし、[Windows Azure Active Directory] を クリック し、[モジュール] Windows Azure Active Directoryをクリックして Windows PowerShell。

  2. コマンド プロンプトで、次のコマンドを入力し、各コマンドの後に Enter キーを押します。

    $cred = get-credential
    

    注意

    メッセージが表示されたら、クラウド サービス管理者の資格情報を入力します。

    Connect-MSOLService –credential:$cred
    
    Set-MSOLADFSContext –Computer: <AD FS 2.0 ServerName>
    

    注意

    このコマンドでは 、FS 2.0 server name<AD のプレースホルダー>は、プライマリ FS サーバーの Windows ホスト名ADします。

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name>
    

    または

    Update-MSOLFederatedDomain –DomainName: <Federated Domain Name> –supportmultipledomain 
    

    注意

    • 複数のトップ レベル ドメインが FS フェデレーション サービスと同じドメインを使用してフェデレーションされる場合は、–supportmultipledomain スイッチAD必要です。
    • これらのコマンドでは、プレースホルダー <Federated Domain Name> は既にフェデレーションされているドメインの名前を表します。

重要

FS トークン署名証明書への変更が正しくレプリケートされるように、定期的にフェデレーション メタデータの更新を自動化ADスクリプトを使用できます。

このスクリプトは、プライマリ AD FS サーバーに Windows スケジュールされたタスクを作成し、信頼情報、署名証明書の更新など、AD FS 構成への変更が定期的に Azure Active Directory (Azure AD) に伝達されます。

スクリプトが実装されている環境でトークン署名証明書が自動的に更新される場合、スクリプトはクラウド信頼情報を更新して、古いクラウド証明書情報によって引き起こされたダウンタイムを防止します。

フェデレーション ドメインの構成を修復する方法

フェデレーション ドメインの構成は、次のマイクロソフト サポート技術情報の記事で説明されているシナリオで修復する必要があります。

  • 2523494 AD、Azure、Intune にサインインしようとするときに、OFFICE 365 FS から証明書の警告を受け取る
  • 2618887 FS 2.0 サーバーでADフェデレーション サービス識別子が既に使用されています。 Azure、Intune で別のフェデレーション ドメインをセットアップOffice 365エラー
  • 2713898フェデレーション ユーザーが AD、Azure、Intune にサインインすると、AD Office 365 FS から "サイトへのアクセスに問題が発生しました" というエラーが発生しました
  • 2647020フェデレーション ユーザーがサービスにサインインしようとすると、「組織でこのサービスにサインインできない」というエラーと "80041317" または "80043431" エラー コードが表示Office 365
  • FS のフェデレーション サービスAD変更されます。 詳細については、「FS 2.0: ADフェデレーション サービス名を変更する方法」を参照してください。

ドメインに参加しているコンピューターのフェデレーション ドメイン構成を修復するには、Azure Active DirectoryモジュールWindows PowerShell手順を実行します。

警告

  • 次の手順では、クライアントの場所を使用して、Office 365 サービスへのアクセスを制限して作成されたカスタマイズを削除します。 フェデレーション ドメインの構成が修復された後、FS アクセスの制限付きドメインAD必要があります。
  • 次の手順は慎重に計画する必要があります。 フェデレーション ドメインで SSO 機能が有効になっているユーザーは、手順 4 の完了から手順 5 の完了まで、この操作中に認証できません。 手順 1 の update-MSOLFederatedDomain コマンドレット テストが正常に実行されない場合、手順 5 は正しく終了しません。 フェデレーション ユーザーは、update-MSOLFederatedDomain コマンドレットを正常に実行するまで認証できません。
  1. この記事の前の「フェデレーション ドメイン構成を更新する方法」セクションの手順を実行して、update-MSOLFederatedDomain コマンドレットが正常に終了しました。
    • コマンドレットが正常に終了しなかった場合は、この手順を続行しない。 代わりに、この記事の後半の「フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題」セクションを参照して、問題のトラブルシューティングを行います。
    • コマンドレットが正常に終了した場合は、後で使用するためにコマンド プロンプト ウィンドウを開いたままにします。
  2. FS サーバーにADします。 これを行うには、[スタート] ボタンを クリック し、[すべてのプログラム] をポイントし、[管理ツール] をポイントし 、[FS (2.0) 管理] ADをクリックします。
  3. 左側のナビゲーション ウィンドウで 、[FS (2.0) AD]をクリックし、[信頼関係] をクリックし、[証明書利用者の信頼]をクリックします
  4. 右端のウィンドウで、[Id プラットフォーム]エントリMicrosoft Office 365削除 します。
  5. 手順 1 Windows PowerShell開いた [新しい信頼] ウィンドウで、削除された信頼オブジェクトを再作成します。 これを行うには、次のコマンドを実行し、Enter キーを押します。
    Update-MSOLFederatedDomain -DomainName <Federated Domain Name>
    
    または
    Update-MSOLFederatedDomain –DomainName:<Federated Domain Name> –supportmultipledomain
    

    注意

    • 複数のトップ レベル ドメインが FS フェデレーション サービスと同じドメインを使用してフェデレーションされる場合は、–supportmultipledomain スイッチAD必要です。
    • これらのコマンドでは、プレースホルダー <Federated Domain Name> は既にフェデレーションされているドメインの名前を表します。

フェデレーション ドメインを更新または修復するときに発生する可能性がある既知の問題

フェデレーション ドメインを更新または修復すると、次のシナリオで問題が発生します。

  • デバイスを使用して接続Windows PowerShell。 この問題の詳細については、次のマイクロソフト サポート技術情報の記事を参照してください。

    2494043モジュールを使用して接続Azure Active DirectoryできませんWindows PowerShell

  • 必須Azure Active Directory不足Windows PowerShell、このモジュールのモジュールを読み込む必要があります。 詳細については、次のマイクロソフト サポート技術情報の記事を参照してください。

    2461873モジュールを開Azure Active Directory開Windows PowerShell

  • set-MSOLADFSContext コマンドレットを実行しようとするときに、"Access Denied" というエラー メッセージが表示されます。 詳細については、次のマイクロソフト サポート技術情報の記事を参照してください。

    2587730 コマンドレットを使用すると、「Active Directory フェデレーション サービス <ServerName> 2.0 サーバーへの接続にSet-MsolADFSContextしました」

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。