AD FS と Azure AD の間の信頼を確立する
更新日: 2015 年 6 月 25 日
適用対象: Azure、Office 365、Power BI、Windows Intune
フェデレーションを行う各ドメインは、シングル サインオン ドメインとして作成するか、標準のドメインをシングル サインオン ドメインに変換する必要があります。 ドメインを追加または変換すると、AD FS とMicrosoft Azure Active Directory (Microsoft Azure AD) 間の信頼が設定されます。
重要
- 最上位ドメイン (contoso.com など) に加えて下位ドメイン (corp.contoso.com など) を使用している場合、下位ドメインを追加する前にクラウド サービスで最上位ドメインを追加する必要があります。 シングル サインオン用にトップレベル ドメインをセットアップすると、同様にすべてのサブドメインが自動的にセットアップされます。
- 信頼の設定は 1 回限りの操作であり、サーバー ファームに AD FS サーバーを追加する場合は、Windows PowerShell コマンドレットのMicrosoft Azure Active Directory モジュールを再度実行する必要はありません。
- Microsoft Azure Active Directory モジュールを使用してドメインを追加して確認する場合は、いくつかの追加設定を指定する必要があります。 ドメインがクラウド サービスと連動するように設定する DNS レコードを表示するためにこの設定が必要になります。
複数の最上位ドメインをサポートする必要がある場合、「ドメインの追加」手続きや「ドメインの変換」手続きで使用されるコマンドレットなど、何らかのコマンドレットで SupportMultipleDomain スイッチを使用する必要があります。
たとえば、contoso.com と fabrikam.com の両方をシングル サインオン ドメインとして追加するには、コマンドレットのあるステップごとに SupportMultipleDomain スイッチを利用し、contoso.com に「ドメインの追加」手続きを行います。 したがってステップ 5 では、New-MsolFederatedDomain –DomainName contoso.com –SupportMultipleDomain
を使用します。 contoso.com の追加手順のすべてのステップを完了したら、fabrikam.com ドメインについてこの手順を再実行します。 ステップ 5 では、New-MsolFederatedDomain –DomainName fabrikam.com –SupportMultipleDomain
を使用します。
詳細については、 複数のトップ レベル ドメインのサポートに関するページを参照してください。
新しいドメインを追加するか、既存のドメインを変換する必要があるかに応じて、Azure AD とのフェデレーション信頼を設定するには、次のいずれかの手順を実行します。
ドメインの追加
ドメインを変換する
Microsoft Azure Active Directory モジュールを開きます。
$cred=Get-Credential
を実行します。 このコマンドレットによって資格情報の入力が求められたら、クラウド サービスの管理アカウントの資格情報を入力します。Connect-MsolService –Credential $cred
を実行します。 このコマンドレットは、Azure AD に接続します。 ツールによってインストールされた追加のコマンドレットのいずれかを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。実行
Set-MsolAdfscontext -Computer <AD FS primary server>
。 <AD FS プライマリ サーバーはプライマリ AD FS サーバー> の内部 FQDN 名です。 このコマンドレットで AD FS に接続している状況を作ります。注意
プライマリ AD FS サーバーに Microsoft Azure Active Directory モジュールをインストールしている場合は、このコマンドレットを実行する必要はありません。
[実行] を選択
New-MsolFederatedDomain –DomainName <domain>
します。ドメイン<>は、追加するドメインであり、シングル サインオンに対して有効にします。 このコマンドレットは、フェデレーション認証用に構成されるトップレベル ドメインまたはサブドメインを新たに追加します。注意
New-MsolFederatedDomain コマンドレットを使用してトップレベル ドメインを追加したら、New-MsolDomain コマンドレットを使用して標準ドメイン (非フェデレーション) を追加することはできません。
ドメイン レジストラーに連絡し、
New-MsolFederatedDomain
コマンドレットの結果から得られた情報を使用して、必要な DNS レコードを作成します。 これによって、そのドメインの所有者であることが確認されます。 レジストラーによっては、反映されるまで最大 15 分かかる場合がある点に注意してください。 変更がシステムを経由して反映されるまで、最大 72 時間かかることがあります。 詳細については、「 任意のドメイン名レジストラーでドメインを確認する」を参照してください。同じドメイン名を指定して 2 回目の
New-MsolFederatedDomain
を実行し、プロセスを終了します。
既存のドメインをシングル サインオン ドメインに変換すると、ライセンスを持つすべてのユーザーがフェデレーション ユーザーになり、既存の Active Directory 企業資格情報 (ユーザー名とパスワード) を使用してクラウド サービスにアクセスできます。 現在、シングル サインオンの段階的なロールアウトを実行することはできません。ただし、運用 Active Directory フォレストの一連の運用ユーザーでシングル サインオンをパイロットできます。 詳細については、「 パイロットを実行してシングル サインオンを設定する前にテストする (省略可能)」を参照してください。
注意
変換は、ユーザーに対する影響を低く抑えるために、週末などのユーザーが最も少ないときに実行することをお勧めします。
既存のドメインをシングル サインオン ドメインに変換するには、次の手順に従います。
Microsoft Azure Active Directory モジュールを開きます。
$cred=Get-Credential
を実行します。 このコマンドレットによって資格情報の入力が求められたら、クラウド サービスの管理アカウントの資格情報を入力します。Connect-MsolService –Credential $cred
を実行します。 このコマンドレットは、Azure AD に接続します。 ツールによってインストールされた追加のコマンドレットのいずれかを実行する前に、Azure AD に接続するコンテキストを作成する必要があります。実行
Set-MsolAdfscontext -Computer <AD FS primary server>
。 <AD FS プライマリ サーバーはプライマリ AD FS サーバー> の内部 FQDN 名です。 このコマンドレットで AD FS に接続している状況を作ります。注意
プライマリ AD FS サーバーに Microsoft Azure Active Directory モジュールをインストールしている場合は、このコマンドレットを実行する必要はありません。
[実行
Convert-MsolDomainToFederated –DomainName <domain>
] を選択します。ドメイン<>は変換するドメインです。 このコマンドレットによって、ドメインが標準認証からシングル サインオンに変更されます。
注意
変換が機能したことを確認するには、AD FS サーバーと Azure AD の設定を比較します Get-MsolFederationProperty –DomainName <domain>
。ここで <、ドメイン> は設定を表示するドメインです。 一致していない場合は、Update-MsolFederatedDomain –DomainName <domain>
を実行して、設定を同期します。
AD FS と Azure AD の間に信頼が構築されました。次に Active Directory 同期を設定する必要があります。 詳細については、「 ディレクトリ同期のロードマップ」を参照してください。 Active Directory 同期を設定したら、「 AD FS でのシングル サインオンの確認と管理」を参照してください。