AD FS によるシングル サインオンを確認および管理する

  • [アーティクル]

更新日: 2015 年 6 月 25 日

適用対象: Azure、Office 365、Power BI、Windows Intune

注意

このトピックは、中国で Microsoft Azure を使用する場合には当てはまらないことがあります。 中国での Azure サービスの詳細については、「 windowsazure.cn」を参照してください。

管理者は、シングル サインオン (ID フェデレーションとも呼ばれます) を確認して管理する前に、情報を確認し、「 チェックリスト: AD FS を使用してシングル サインオンを実装および管理する」の手順を実行します。

シングル サインオンをセットアップしたら、正常に動作していることを確認する必要があります。 また、円滑に動作させるために、管理タスクを不定期で実行することもあります。

目的に合ったトピックをクリックしてください

  • シングル サインオンが正常にセットアップされていることを確認する

  • シングル サインオンの管理

シングル サインオンが正常にセットアップされていることを確認する

シングル サインオンが正しく設定されていることを確認するには、次の手順を実行して、会社の資格情報を使用してクラウド サービスにサインインできることを確認し、さまざまな使用シナリオでシングル サインオンをテストし、Microsoft Remote Connectivity Analyzer を使用します。

Note

  • ドメインの追加ではなく、ドメインの変換を行った場合は、シングル サインオンが設定されるまで最大 24 時間かかる可能性があります。

  • シングル サインオンを確認する前に、Active Directory 同期の設定、ディレクトリの同期、同期されたユーザーのアクティブ化を完了する必要があります。 詳細については、「 ディレクトリ同期のロードマップ」を参照してください。

シングル サインオンが正常にセットアップされていることを確認するには、次の手順を実行します。

  1. ドメインに参加しているコンピューターで、企業の資格証明書用に使用したものと同じログオン名を使用して、Microsoft クラウド サービスにログオンします。

  2. [パスワード] ボックスの内側をクリックします。 シングル サインオンが設定されている場合、パスワード ボックスが網掛けになり、"会社で<>サインインする必要があります" というメッセージが表示されます。

  3. [会社>でサインイン<] リンクをクリックします。

    サインインすることができたら、シングル サインオンが設定されています。

さまざまな使用シナリオでシングル サインオンをテストする

シングル サインオンが完了したことを確認したら、次のサインイン シナリオをテストして、シングル サインオンと AD FS 2.0 の展開が正しく構成されていることを確認します。 次の環境で、ブラウザーおよび Microsoft Office 2010 などのリッチ クライアント アプリケーションからクラウド サービス サービスへのアクセスをテストするようにユーザーのグループに依頼します。

  • ドメインに参加済みのコンピューター

  • 会社のネットワーク内にあり、ドメインに参加していないコンピューター

  • 会社のネットワークの外側にあり、ドメインに参加しているローミングのコンピューター

  • 会社で使用している各種オペレーティング システム

  • 自宅のコンピューター

  • インターネット キオスクから (ブラウザー経由でのみクラウド サービスへのアクセスをテストする)

  • スマートフォンから (たとえば、Microsoft Exchange ActiveSync を使用するスマート フォン)

Microsoft リモート接続アナライザーを使用する

シングル サインオンの接続をテストするには、「Microsoft Remote Connectivity Analyzer (Microsoft リモート接続アナライザー)」を利用できます。 [Office 365] タブをクリックし、[Office 365 シングル サインオン テスト] をクリックして、[次へ] をクリックします。 画面の指示に従ってテストを行います。 アナライザーは、企業の資格情報を使用してクラウド サービスにサインオンする機能を検証します。 また、いくつかの基本的な AD FS 2.0 構成も検証します。

目的に合ったトピックをクリックしてください

トークン署名証明書の変更が推奨されなくなったときに Azure AD を更新するようにタスクをスケジュールする

AD FS 2.0 以降を使用している場合、有効期限が切れる前に、Office 365と Azure AD によって証明書が自動的に更新されます。  手動の手順を実行したり、スケジュールされたタスクとしてスクリプトを実行したりする必要はありません。  これを機能させるには、次の既定の AD FS 構成設定の両方が有効である必要があります。

  1. AD FS プロパティ AutoCertificateRollover を True に設定する必要があります。これは、古いトークンの有効期限が切れる前に、AD FS によって新しいトークン署名証明書とトークン暗号化解除証明書が自動的に生成されることを示します。 値が False の場合は、カスタム証明書設定を使用しています。  包括的なガイダンスについては、こちらを参照してください。

  2. フェデレーション メタデータは、パブリック インターネットで使用できる必要があります。

シングル サインオンの管理

その他にも、シングル サインオンを円滑に動作させるためのオプションや不定期のタスクがあります。

このセクションの内容

  • Internet Explorer の信頼済みサイトに URL を追加する

  • クラウド サービスへのユーザーのサインインを制限する

  • 現在の設定を表示する

  • 信頼済みのプロパティを更新する

  • AD FS サーバーを復旧する

  • ローカル認証の種類をカスタマイズする

Internet Explorer の信頼済みサイトに URL を追加する

シングル サインオンの設定の一部としてドメインを追加または変換した後、AD FS サーバーの完全修飾ドメイン名を、Internet Explorer の信頼済みサイトのリストに追加できます。 これにより、ユーザーは AD FS サーバーに対するパスワードの入力を要求されなくなります。 この変更は各クライアント上で行う必要があります。 または、グローバル ポリシー設定で、ドメインに参加済みのコンピューターに対して自動的にこの URL を信頼済みサイトに追加するよう指定することで、ユーザーに代わってこの変更を行うこともできます。 詳細については、「Internet Explorer ポリシー設定」を参照してください。

クラウド サービスへのユーザーのサインインを制限する

AD FS では、管理者はユーザーのアクセスを許可または拒否するカスタム ルールを定義できます。 シングル サインオンの場合は、クラウド サービスに関連付けられている証明書利用者信頼にカスタム規則を適用する必要があります。 この信頼は、シングル サインオンを設定するためにWindows PowerShellでコマンドレットを実行したときに作成しました。

サービスへのユーザーのサインインを制限する方法の詳細については、「Create a Rule to Permit or Deny Users Based on an Incoming Claim (入力方向の要求に基づいてユーザーを許可または拒否するルールの作成)」を参照してください。 シングル サインオンを設定するためのコマンドレットの実行の詳細については、「AD FS でのシングル サインオンのWindows PowerShellのインストール」を参照してください。

現在の設定を表示する

現在の AD FS サーバーとクラウド サービスの設定をいつでも表示する場合は、Windows PowerShellのMicrosoft Azure Active Directory モジュールを開いて実行Connect-MSOLServiceし、実行Get-MSOLFederationProperty –DomainName <domain>できます。 これにより、AD FS サーバーの設定がクラウド サービスの設定と一致していることを確認できます。 設定が整合していない場合は Update-MsolFederatedDomain –DomainName <domain> を実行します。 詳細については、次のセクション「信頼済みのプロパティを更新する」を参照してください。

注意

contoso.com や fabrikam.com などの複数のトップ レベル ドメインをサポートする必要がある場合は、すべてのコマンドレットで SupportMultipleDomain スイッチを使用する必要があります。 詳細については、 複数のトップ レベル ドメインのサポートに関するページを参照してください。

目的に合ったトピックをクリックしてください

信頼済みのプロパティを更新する

次の場合は、クラウド サービスのシングル サインオン信頼プロパティを更新する必要があります。

  • URL は次の変更を行います。 AD FS サーバーの URL を変更する場合は、信頼プロパティを更新する必要があります。

  • プライマリ トークン署名証明書が変更されました。プライマリ トークン署名証明書を変更すると、AD FS サーバーのイベント ビューアーでイベント ID 334 またはイベント ID 335 がトリガーされます。 イベント ビューアーを定期的に、少なくとも週に 1 度は確認することをお勧めします。

    AD FS サーバーのイベントを見るには、以下の手順に従います。

    1. [スタート] ボタン、[コントロール パネル] の順にクリックします。 [カテゴリ] ビューで、[システムとセキュリティ]、[管理ツール]、[イベント ビューアー] の順にクリックします。

    2. AD FS のイベントを表示するには、イベント ビューアーの左ペインで、[アプリケーションとサービス ログ]、[AD FS 2.0]、[管理] の順にクリックします。

  • トークン署名証明書は、毎年有効期限が切れます。 トークン署名証明書は、フェデレーション サービスの安定性にとって重要です。 変更された場合は、この変更について Azure AD に通知する必要があります。 通知しないと、クラウド サービスへの要求が失敗します。

信頼のプロパティを手動で更新するには、次の手順を実行します。

注意

contoso.com や fabrikam.com などの複数のトップ レベル ドメインをサポートする必要がある場合は、すべてのコマンドレットで SupportMultipleDomain スイッチを使用する必要があります。 詳細については、 複数のトップ レベル ドメインのサポートに関するページを参照してください。

  1. Windows PowerShell 用 Microsoft Azure Active Directory モジュールを開きます。

  2. $cred=Get-Credential を実行します。 このコマンドレットで資格情報の入力を求められたら、クラウド サービス管理者アカウントの資格情報を入力します。

  3. Connect-MsolService –Credential $cred を実行します。 このコマンドレットでクラウド サービスに接続します。 クラウド サービスに接続している状況を作った後で、ツールによってインストールされた追加のコマンドレットを実行する必要があります。

  4. 実行 Set-MSOLAdfscontext -Computer <AD FS primary server>。 <AD FS プライマリ サーバーはプライマリ AD FS サーバー> の内部 FQDN 名です。 このコマンドレットで AD FS に接続している状況を作ります。

    注意

    プライマリ サーバーに Microsoft Azure Active Directory モジュールをインストールした場合、このコマンドレットを実行する必要はありません。

  5. Update-MSOLFederatedDomain –DomainName <domain> を実行します。 このコマンドレットは、AD FS の設定でクラウド サービスを更新し、両者の信頼関係を構成します。

目的に合ったトピックをクリックしてください

AD FS サーバーを復旧する

プライマリ サーバーを失い、回復できない場合は、別のサーバーをプライマリ サーバーに昇格する必要があります。 詳細については、「AD FS 2.0 - How to Set the Primary Federation Server in a WID Farm (AD FS 2.0 - WID ファーム内にプライマリ フェデレーション サーバーを設定する方法)」を参照してください。

注意

AD FS サーバーのいずれかが失敗し、高可用性ファーム構成を設定した場合でも、ユーザーはクラウド サービスにアクセスできます。 障害が発生したサーバーがプライマリ サーバーの場合は、別のサーバーをプライマリに昇格するまで、ファーム構成を更新することはできません。

ファーム内のすべてのサーバーが失われた場合は、次の手順を実行して、信頼関係を再構築する必要があります。

注意

contoso.com や fabrikam.com などの複数のトップ レベル ドメインをサポートする必要がある場合は、すべてのコマンドレットで SupportMultipleDomain スイッチを使用する必要があります。 SupportMultipleDomain スイッチを使用する場合は通常、各ドメインで手順を実行する必要があります。 ただし、AD FS サーバーを復旧するには、ドメインの 1 つで手順を 1 回だけ実行すれば済みます。 サーバーが復旧されると、他のすべてのシングル サインオン ドメインがクラウド サービスに接続されます。 詳細については、 複数のトップ レベル ドメインのサポートに関するページを参照してください。

  1. Microsoft Azure Active Directory モジュールを開きます。

  2. $cred=Get-Credential を実行します。 このコマンドレットによって資格情報の入力が求められたら、クラウド サービスの管理アカウントの資格情報を入力します。

  3. Connect-MsolService –Credential $cred を実行します。 このコマンドレットでクラウド サービスに接続します。 クラウド サービスに接続している状況を作った後で、ツールによってインストールされた追加のコマンドレットを実行する必要があります。

  4. 実行 Set-MSOLAdfscontext -Computer <AD FS primary server>。 <AD FS プライマリ サーバーはプライマリ AD FS サーバー> の内部 FQDN 名です。 このコマンドレットで AD FS に接続している状況を作ります。

    注意

    プライマリ AD FS サーバーに Microsoft Azure Active Directory モジュールをインストールしている場合は、このコマンドレットを実行する必要はありません。

  5. 実行Update-MsolFederatedDomain –DomainName <domain>。ドメイン<>は、プロパティを更新するドメインです。 このコマンドレットによりプロパティが更新され、信頼関係が確立されます。

  6. 実行Get-MsolFederationProperty –DomainName <domain>。ドメイン<>は、プロパティを表示するドメインです。 その後、プライマリ AD FS サーバーのプロパティとクラウド サービスのプロパティを比較して、それらが一致することを確認できます。 一致していない場合は、Update-MsolFederatedDomain –DomainName <domain> を再実行して、プロパティを同期します。

参照

概念

チェックリスト: AD FS を使用してシングル サインオンを実装および管理する
シングル サインオンのロードマップ