Microsoft Cloud Deutschland からの移行に関する追加の Azure Active Directory 情報Additional Azure Active Directory information for the migration from Microsoft Cloud Deutschland

Azure German クラウドから Azure パブリック クラウドへの移行を完了するには、OpenID Connect (OIDC) エンドポイントが商用クラウド エンドポイントのレポートを開始するときに、アプリケーションの認証エンドポイント、Azure Active Directory (Azure AD) Graph、および MS Graph エンドポイントを商用クラウドのエンドポイントに更新することをお勧めします。 https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configurationTo complete the move from the Azure German cloud to the Azure public cloud we recommend that the authentication endpoint, Azure Active Directory (Azure AD) Graph, and MS Graph endpoints for your applications be updated to those of the commercial cloud when the OpenID Connect (OIDC) endpoint, https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration, starts reporting commercial cloud endpoints.

いつこの変更を行う必要がありますか?When should I make this change?

テナントがドイツのクラウドから商用クラウドへの移行を完了すると、Azure/Office ポータルで通知を受け取ります。You'll receive a notification in Azure/Office portal when your tenant completes migration from German cloud to the commercial cloud. これらの更新プログラムを完了するには、この通知を受信して 30 日後に、Azure Germany クラウドから Azure Public cloud に移行されたテナントでアプリが引き続き動作するようにします。You have 30 days after receiving this notification to complete these updates so that your app continues to work for tenants that are migrated from Azure Germany cloud to Azure Public cloud.

サインイン機関の更新には、次の 3 つの条件があります。There are three preconditions to updating your sign-in authority:

  • テナントの OIDC 検出エンドポイントは https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration 、Azure ADパブリック クラウド エンドポイントを返します。OIDC discovery endpoint for your tenant https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration returns Azure AD public cloud endpoints.

  • テナントがフェデレーション用に設定されている場合は、Active Directory フェデレーション サービス (AD FS) が更新され、Azure ADパブリックと同期されます。If your tenant is set up for federation, Active Directory Federation Services (AD FS) is updated to sync with Azure AD Public. この変更を行う手順に従って Azure AD接続設定を更新できます。You can follow instructions to update Azure AD Connect settings for making this change.

  • アプリケーションで使用されているリソース アプリケーションがある場合は、Azure AD および Azure AD Public の両方によって署名されたトークンを受け入ADされます。Resource applications, if any, used by your applications are modified to accept tokens that are signed by both Azure AD Germany and Azure AD Public.

どのような種類のアプリケーションですか?What kind of applications?

アプリケーションには、次に示す任意のアプリケーションを指定できます。An application could be any of the following:

注意

アプリケーションが権限として使用に login.microsoftonline.com 切り替えた場合、トークンはこの新しい機関によって署名されます。When an application switches to using login.microsoftonline.com as your authority, the tokens will be signed by this new authority. 他のアプリが呼び出すリソース アプリケーションをホストする場合は、時間の少ないトークンの検証を許可する必要があります。If you host any resource applications that other apps call into, you will need to allow for lax token validation. つまり、アプリは、Azure とドイツと Azure の両方のパブリック クラウドADトークンAD必要があります。This means that your app needs to allow tokens that are signed by both the Azure AD Germany and Azure AD public clouds. この時間の少ないトークン検証は、サービスを呼び出すすべてのクライアント アプリケーションがパブリック クラウドの Azure ADされるまで必要です。This lax token validation is needed until all client applications that call your service are fully migrated to the Azure AD public cloud. 移行後、リソース アプリケーションは、Azure によって署名されたトークンをパブリック クラウドAD受け入れる必要があります。After migration, your resource application only needs to accept tokens signed by the Azure AD public cloud.

更新する必要があるものWhat do I need to update?

  1. Azure Germany または Office 365 ドイツ のユーザーの認証に使用されるアプリケーションを Azure Germany でホストしている場合は、認証コンテキストの機関として使用してください。 https://login.microsoftonline.comIf you're hosting an application in Azure Germany that is used to authenticate Azure Germany or Office 365 Germany users, ensure that https://login.microsoftonline.com is used as the authority in the authentication context.

    • 「Azure AD認証コンテキスト」を参照してください。See Azure AD authentication contexts.
    • これは、アプリケーションに対する認証と、アプリケーションが呼び出す可能性がある任意の API (Microsoft Graph、Azure AD Graph、Azure Resource Manager) への認証の両方に適用されます。This applies both to authentication to your application as well as authentication to any APIs that your application may be calling (that is, Microsoft Graph, Azure AD Graph, Azure Resource Manager).
  2. Azure AD Graph エンドポイントを更新します https://graph.windows.netUpdate Azure AD Graph endpoint to be https://graph.windows.net.

  3. MS Graph エンドポイントを更新します https://graph.microsoft.comUpdate MS Graph endpoint to be https://graph.microsoft.com.

  4. アプリケーションで使用されるドイツのクラウド エンドポイント (Exchange Online や SharePoint Online 用など) をパブリック クラウドのエンドポイントに更新します。Update any German cloud endpoints (such as those for Exchange Online and SharePoint Online) that are used by your applications to be those of the public cloud.

  5. 管理ツールとスクリプトの AzurePublic 環境パラメーターを (代わりに) 更新 AzureGermany します。Update environment parameters to be AzurePublic (instead of AzureGermany) in administrative tools and scripts for:

発行するアプリケーションについてWhat about applications that I publish?

テナント外のユーザーが利用できるアプリケーションを発行する場合は、継続性を確保するためにアプリケーションの登録を変更する必要があります。If you publish an application that is available to users who are outside of your tenant, you may need to change your application registration to ensure continuity. アプリケーションを使用する他のテナントは、テナントとは異なる時刻に移動される可能性があります。Other tenants that use your application may be moved at a different time than your tenant. アプリケーションへのアクセスが失われるのを確実に行わないには、アプリが Azure Germany から Azure Public に同期されている状態に同意する必要があります。To ensure that they never lose access to your application, you'll need to consent to your app being synchronized from Azure Germany to Azure public.

その他の考慮事項Additional considerations

Azure の追加の考慮事項を次に示AD。Here are some additional considerations for Azure AD:

  • フェデレーション認証の場合:For federated authentication:

    • テナント移行の実行中は、フェデレーション ドメインを作成、昇格、または降格できません。You must not create, promote, or demote a federated domain while the tenant transition is in process. Azure AD サービスへの移行が完了した後 (テナントが完全に完了)、フェデレーション ドメインの管理を再開できます。After the migration to the Azure AD service is complete (the tenant is fully complete), you can resume managing federated domains.

    • Active Directory フェデレーション サービス (AD FS) でフェデレーション認証を使用している場合は、移行中にオンプレミスの Active Directory ドメイン サービス (AD DS) ですべての認証に使用される発行者 URI を変更する必要があります。If you're using federated authentication with Active Directory Federation Services (AD FS), you shouldn't make changes to Issuer URIs used for all authentication with your on-premises Active Directory Domain Services (AD DS) during migration. 発行者 URI を変更すると、ドメイン内のユーザーの認証エラーが発生します。Changing issuer URIs will lead to authentication failures for users in the domain. 発行者 URI は、FS またはドメインAD管理からフェデレーションに変換される場合、またはその逆に直接変更できます。Issuer URIs can be changed directly in AD FS or when a domain is converted from managed to federated and vice versa. 移行する Azure ドメインのフェデレーション ドメインを追加、削除、または変換AD推奨します。Microsoft recommends customers don't add, remove, or convert a federated domain in the Azure AD tenant being migrated. 発行者 URI は、移行が完全に完了した後で変更できます。Issuer URIs can be changed after the migration is fully complete.

  • ネットワークの場合:For networking:

    • IPv6 名前付きネットワークの作成は、Azure portal では機能しません http://portal.microsoftazure.de/Creating IPv6-named networks doesn't work in the Azure portal, http://portal.microsoftazure.de/. Azure portal を使用して https://portal.azure.com 、IPv6 名前付きネットワークを作成します。Use the Azure portal at https://portal.azure.com to create IPv6-named networks.

    • Microsoft Cloud Deutschland ポータルから Azure 多要素認証 (MFA) サービス設定の信頼できる IP アドレス範囲を作成できません。You can't create trusted IP address ranges for Azure Multi-Factor Authentication (MFA) service settings from the Microsoft Cloud Deutschland portal. 365 サービスAD Azure Officeポータルを使用して、Azure MFA の信頼済み IP アドレス範囲を作成します。Use the Azure AD portal for Office 365 services to create Azure MFA trusted IP address ranges.

  • 条件付きアクセスの場合:For Conditional Access:

    • Office 365 サービスへの移行が完了するまで 、次の付与制御を持つ条件付きアクセス ポリシーはサポートされません (Azure AD 移行フェーズの完了後)。Conditional Access policies with the following grant controls aren't supported until migration to Office 365 services is complete (after the Finalize Azure AD migration phase):

      • 準拠デバイスを要求するRequire Compliant Device
      • 承認済みアプリを要求するRequire Approved App
      • アプリ保護ポリシーを要求するRequire App Protection Policy
    • 条件付きアクセス ポリシー インターフェイスは、無効になっている場合でもテナントに対して有効になっているセキュリティの既定値に関する誤った警告を表示し、条件付きアクセス ポリシーはテナントに対して既に存在します。The Conditional Access policy interface gives a false warning about security defaults being enabled for the tenant even when it's disabled, and Conditional Access policies already exist for the tenant. 警告を無視するか、365 サービス Officeを使用して条件付きアクセス ポリシーを管理する必要があります。You should ignore the warning or use the Office 365 services portal to manage Conditional Access policies.

  • Intune のシナリオは、テナントの移行が完了した後、すべての Office ワークロードの移行を含む、世界中のエンドポイントに対してのみサポートされます。Intune scenarios are supported only against worldwide endpoints after tenant migration is complete, including all office workloads migrations.

  • MFA 要求にモバイル アプリ通知メソッドを使用する Microsoft Cloud Deutschland ユーザーには、Microsoft Authenticator アプリのユーザー プリンシパル名 (UPN) の代わりに、ユーザーの ObjectId (GUID) が表示されます。Microsoft Cloud Deutschland users who use the Mobile App Notification method for MFA requests see the user's ObjectId (a GUID) instead of the user principal name (UPN) in the Microsoft Authenticator app. Azure AD テナントの移行が完了し、Office 365 サービスでホストされると、新しい Microsoft Authenticator ライセンス認証によってユーザーの UPN が表示されます。After migration of the Azure AD tenant is complete and hosted in Office 365 services, new Microsoft Authenticator activations will display users' UPNs. 既存の Microsoft Authenticator アカウントは引き続きユーザー ObjectId を表示しますが、モバイル アプリ通知では引き続き機能します。Existing Microsoft Authenticator accounts will continue to display the user ObjectId, but they'll continue to work for mobile app notifications.

  • 2019 年 10 月 22 日以降に作成されたテナントの場合、Office 365 サービスに移行するときに、テナントのセキュリティの既定値が自動的に有効になる場合があります。For tenants that are created after October 22, 2019, security defaults may be auto-enabled for the tenant when it's migrated to the Office 365 service. テナント管理者は、セキュリティの既定値を有効のままにして MFA に登録するか、機能を無効にできます。Tenant admins can choose to leave security defaults enabled and register for MFA, or they can disable the feature. 詳細については、「セキュリティの既定値 を無効にする」を参照してくださいFor more information, see Disabling security defaults.

    注意

    移行中に自動有効化されていない組織は、セキュリティの既定値を有効にする機能が Office 365 サービスに展開される可能性があります。Organizations that are not auto-enabled during migration may still be auto-enrolled in the future as the feature to enable security defaults is rolled out in the Office 365 service. セキュリティの既定値を明示的に無効または有効にした管理者は 、Azure Active Directory の [プロパティ] で機能を更新>できます。Admins who choose to explicitly disable or enable security defaults may do so by updating the feature under Azure Active Directory > Properties. 管理者が機能を明示的に有効にした後は、自動的に有効になりません。After the feature is explicitly enabled by the admin, it will not be auto-enabled.

  • テナントの移行が完了すると、Office 365 ドイツ のポータルと Office 365 ポータルの Azure AD Connect のバージョンに関する警告が表示されます。There will be warning about the version of Azure AD Connect in the Office 365 Germany portal as well as in the Office 365 portal once the tenant is in migration. 移行の完了後にバージョンの警告が警告を表示しなくなった場合は、これを無視できます。This can be ignored if the version warning is no longer showing the warning after the migration is complete. 移行の前または移行後に、いずれかのポータルで警告が表示される場合は、Azure AD接続を更新する必要があります。If there's a warning, either before or after migration, in either portal, Azure AD Connect must be updated. 警告メッセージには、「古いディレクトリ同期ツールを使用しているのが検出されました。The warning message says: "We detected you're using an outdated directory sync tool. Microsoft ダウンロード センターにアクセスして、最新バージョンの Azure AD接続することをお勧めします。We recommend you go to the Microsoft Download Center to get the latest version of Azure AD Connect."

詳細More information

はじめに:Getting started:

切り替えの移動:Moving through the transition:

クラウド アプリ:Cloud apps: