Microsoft 365 for Single Sign-On の AD FS を設定する

  • [アーティクル]
  • 適用対象:
    Microsoft 365

このビデオでは、Microsoft 365 と連携するように Active Directory フェデレーション サービス (AD FS) を設定する方法を示します。 AD FS プロキシ サーバーのシナリオについては説明しません。 このビデオでは、Windows Server 2012 R2 用の AD FS について説明します。 ただし、手順 1、3、および 7 を除き、この手順は AD FS 2.0 にも適用されます。 これらの各手順では、Windows Server 2008 でこの手順を使用する方法の詳細については、「AD FS 2.0 の注意事項」セクションを参照してください。

ビデオの手順に役立つ注意事項

手順 1: Active Directory フェデレーション サービスをインストールする

役割と機能の追加ウィザードを使用して AD FS を追加します。

AD FS 2.0 に関する注意事項

Windows Server 2008 を使用している場合は、Microsoft 365 を使用できるように AD FS 2.0 をダウンロードしてインストールする必要があります。 AD FS 2.0 は、次の Microsoft ダウンロード センター Web サイトから入手できます。

Active Directory フェデレーション サービス 2.0 RTW

インストール後、Windows Update を使用して、該当するすべての更新プログラムをダウンロードしてインストールします。

手順 2: フェデレーション サーバー名のサード パーティ CA に証明書を要求する

Microsoft 365 には、AD FS サーバーで信頼された証明書が必要です。 そのため、サード パーティ証明機関 (CA) から証明書を取得する必要があります。

証明書要求をカスタマイズするときは、必ず [共通名] フィールドにフェデレーション サーバー を追加してください。

このビデオでは、証明書署名要求 (CSR) を生成する方法のみを説明します。 CSR ファイルをサード パーティの CA に送信する必要があります。 CA から署名された証明書が返されます。 次に、次の手順に従って、コンピューター証明書ストアに証明書をインポートします。

  1. を実行 Certlm.msc して、ローカル コンピューターの証明書ストアを開きます。
  2. ナビゲーション ウィンドウの [ 個人] を展開し、[証明書] を展開し、[ 証明書] フォルダーを右クリックして、[ インポート] をクリックします。

フェデレーション サーバー名について

フェデレーション サービス名は、AD FS サーバーのインターネットに接続するドメイン名です。 Microsoft 365 ユーザーは、認証のためにこのドメインにリダイレクトされます。 そのため、ドメイン名のパブリック A レコードを必ず追加してください。

手順 3: AD FS を構成する

フェデレーション サーバー名として名前を手動で入力することはできません。 名前は、ローカル コンピューターの証明書ストア内の証明書のサブジェクト名 (共通名) によって決まります。

AD FS 2.0 に関する注意事項

AD FS 2.0 では、フェデレーション サーバー名は、インターネット インフォメーション サービス (IIS) の "既定の Web サイト" にバインドする証明書によって決まります。 AD FS を構成する前に、新しい証明書を既定の Web サイトにバインドする必要があります。

サービス アカウントとして任意のアカウントを使用できます。 サービス アカウントのパスワードの有効期限が切れている場合、AD FS は動作を停止します。 そのため、アカウントのパスワードが期限切れにならないように設定されていることを確認します。

手順 4: Microsoft 365 ツールをダウンロードする

Windows PowerShell および Azure Active Directory Sync アプライアンス用の Windows Azure Active Directory モジュールは、Microsoft 365 ポータルで利用できます。 ツールを取得するには、[ アクティブ なユーザー] をクリックし、[ シングル サインオン: セットアップ] をクリックします。

手順 5: Microsoft 365 にドメインを追加する

このビデオでは、Microsoft 365 にドメインを追加して確認する方法については説明されていません。 この手順の詳細については、「 Microsoft 365 でドメインを確認する」を参照してください。

手順 6: AD FS を Microsoft 365 に接続する

AD FS を Microsoft 365 に接続するには、Windows PowerShell 用 Windows Azure Directory モジュールで次のコマンドを実行します。

手記 コマンドで Set-MsolADFSContext 、フェデレーション サーバー名ではなく、内部ドメイン内の AD FS サーバーの FQDN を指定します。

Enable-PSRemoting 
Connect-MsolService 
Set-MsolADFSContext –computer <the FQDN of the AD FS server>
Convert-MsolDomainToFederated –domain <the custom domain name you added into Microsoft 365>

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 手記: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

コマンドが正常に実行されると、次の情報が表示されます。

  • "Microsoft 365 識別プラットフォーム" 証明書利用者信頼が AD FS サーバーに追加されます。
  • カスタム ドメイン名をメール アドレス サフィックスとして使用して Microsoft 365 ポータルにログインするユーザーは、AD FS サーバーにリダイレクトされます。

手順 7: ローカル Active Directory ユーザー アカウントを Microsoft 365 に同期する

内部ドメイン名が、メール アドレス サフィックスとして使用される外部ドメイン名と異なる場合は、ローカル Active Directory ドメインに代替 UPN サフィックスとして外部ドメイン名を追加する必要があります。 たとえば、内部ドメイン名は "company.local" ですが、外部ドメイン名は "company.com" です。このような場合は、代替 UPN サフィックスとして "company.com" を追加する必要があります。

ディレクトリ同期ツールを使用して、ユーザー アカウントを Microsoft 365 に同期します。

AD FS 2.0 に関する注意事項

AD FS 2.0 を使用している場合は、アカウントを Microsoft 365 に同期する前に、ユーザー アカウントの UPN を "company.local" から "company.com" に変更する必要があります。 それ以外の場合、ユーザーは AD FS サーバーで検証されません。

手順 8: シングル Sign-On 用にクライアント コンピューターを構成する

Internet Explorer のローカル イントラネット ゾーンにフェデレーション サーバー名を追加すると、ユーザーが AD FS サーバーで認証しようとすると NTLM 認証が使用されます。 そのため、資格情報の入力を求めるメッセージは表示されません。

管理者は、グループ ポリシー設定を実装して、ドメインに参加しているクライアント コンピューターで単一 Sign-On ソリューションを構成できます。