メインコンテンツへスキップ
English (United States) 简体中文 繁體中文

[Access Control] 解除手順 (Microsoft 365)

対象

  • Microsoft 365と Access Control をフェデレーションしているお客様

目的

  • Access Control と Microsoft 365 のフェデレーションを解除し、Microsoft 365 へのログインに Access Control が介入しないようにします。
  • Access Control と Microsoft 365 でユーザーの同期を行なっている場合、同期が行われないように設定を削除します。

注意事項

  1. 本記事の内容は 2025 年 10 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
  2. 本手順の実施後、フェデレーション解除までには時間がかかります。
    ※ フェデレーション解除の目安時間は、30 分 ~ 1 時間程度です。
  3. フェデレーション解除後に Microsoft 365 のパスワードリセットを実施してください。
    ※ Microsoft 社の同期ツールで Active Directory → Microsoft 365 間でパスワード同期している場合は不要です。
  4. フェデレーション解除後は、Microsoft 365 のログインページからログインしてください。
  5. Secure Browser アプリおよびデバイス証明書は各ユーザーの端末からアンインストールしてください。
    ※ 残っていても端末に影響はありませんが、継続して利用することはできません。
  6. 定期同期やフェデレーションの解除には、Microsoft 365 全体管理者および Access Control のグローバル管理者権限が必要です。

目次

手順

フェデレーションの解除

  1. Access Control 管理画面から[システム]-[サービスプロバイダー設定]へアクセスします。

    サービスプロバイダー設定へのアクセス.png

  2. サービス一覧から「表示名」が [Microsoft]、「種別」が[Microsoft]である行を選択します。
    ※ 項目が存在しない場合、フェデレーションの解除(Powershell)に進んでください。

    SP設定_MS.png

  3. [フェデレーション中のドメイン]-[ドメインを管理する]を選択します。

    SP設定からドメイン管理画面の遷移.png

  4. Microsoft 365 の [要求されているアクセス許可] の画面が表示された場合、[組織の代理として同意する] にチェックして [承諾] を選択します。
    ※ 認証が済んでいる場合、ユーザーを選択することで次の画面に進みます。
  5. 「ドメイン管理」画面で、フェデレーションを解除したいドメインのステータスを確認し、対応した手順を実施します。
    • [フェデレーション済み](旧手順):手順6. 以降の手順を実施してください。

    • [フェデレーション済み]:手順8.以降の手順を実施してください。

      ドメイン管理画面.png

  6. 対象のドメインの[アップグレード]をクリックします。

    アップグレード.png

  7. 確認画面で内容を確認し、[アップグレードする]をクリックします。
    ステータスが[フェデレーション済み]に変わることを確認します。

    アップグレード確認画面.png

  8. 対象のドメインの[解除]をクリックします。

    スクリーンショット 2025-12-05 19.09.23.png

  9. 確認画面で内容を確認し、[ドメインを解除する]をクリックします。
    ステータスが[未フェデレーション]に変わることを確認します。

    スクリーンショット 2025-12-05 19.07.34.png

  10. フェデレーションを解除したいドメインが複数ある場合、この手順を繰り返します。
  11. 全てのドメインのフェデレーション解除が完了したら、同期サービスの削除に進みます。

フェデレーションの解除(Powershell)

※すでに他の Idp サービスとフェデレーションを実行済みの場合は、本手順は実施しないでください。

  1. Microsoft Graph PowerShell SDK モジュールが PowerShell にインストールされていることを確認するため、以下の手順が完了していることを確認してください。
    Microsoft Graph PowerShell SDK のインストール

  2. PowerShell を起動し、次のコマンドを実行します。

    Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
  3. ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログインします。

  4. 次のコマンドを実行して、ドメイン情報を確認します。
    利用中ドメインの「AuthenticationType」が「Federated」となっていることを確認します。

    Get-MgDomain

    Screenshot_2023-01-26_at_11.05.16.png

  5. 次のコマンドを実行し、フェデレーションを解除します。
    ※ 解除後すぐは、Microsoft 365 内部での設定反映に時間がかかるためシングルサインオン動作となる場合があります。

    Update-MgDomain -DomainId [お客様ドメイン] -AuthenticationType "Managed"

  6. 次のコマンドを実行し、ドメイン情報を確認します。
    手順 5.で解除したドメインの「AuthenticationType」が「Managed」となっていることを確認します。

    Get-MgDomain

    Screenshot_2023-01-26_at_11.06.07.png

  7. 以下のコマンドを実行し、Microsoft Graph から切断します。

    Disconnect-MgGraph
  8. 同期サービスの削除に進みます。

同期サービスの削除

Access Control と Microsoft 365 間で定期同期をしている場合

1. Access Control と Microsoft 365 間の定期同期を停止します。
詳細は以下記事をご参照ください。
Access Control Microsoft 365 との定期同期の停止手順

Active Directory と Access Control 間で同期をしている場合

HDE One 同期サービスがインストールされた Windows サーバーにて以下の手順を実施いただきます。

1. HDE One Directory Sync をアンインストール
[コントロールパネル] - [プログラムと機能]一覧より、以下のプログラムをアンインストールします
HDE One Directory Sync x.x.x

2. HDE One Directory Sync 関連ファイルの削除
「C:\Program Files\HDE One Directory Sync」フォルダと、当該フォルダ直下のファイルを全て手動削除します。

3. HDEOne フォルダ配下のファイルの削除
「C:\HDEOne」フォルダが存在している場合には、当該フォルダと、当該フォルダ直下のファイルを全て手動削除します。

Microsoft 365 パスワードリセット

Microsoft 365 の一括パスワードリセットの方法を以下に示します。
※ Active Directory >> Microsoft 365 間でパスワード同期している場合は本作業は不要です。
※ 各コマンドは必ず 1 行で実行してください。

この手順を実施するためには、Microsoft Graph PowerShell SDK モジュールが PowerShell にインストールされている必要があります。
あらかじめ以下の内容が完了していることを確認してください。
Microsoft Graph PowerShell SDK のインストール

1. Cドライブ直下に「temp」フォルダを作成
作業用 PC にて、Cドライブ直下に、「temp」フォルダを作成してください。

2. Microsoft Graph Powershell でログイン
PowerShell で次のコマンドを実行してください。

Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop

※ ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログイン処理を続行してください。

3. ユーザの一覧を取得
次のコマンドを実行し、ユーザの一覧を出力してください。
※ User Principal Name が「*.onmicrosoft.com」以外のユーザを出力します。

Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation

4. ユーザの一覧の CSV から会議室等のアカウント情報を手動削除
「c:\temp」フォルダ内の CSV ファイルに記載されているユーザ一覧 (volunteers.csv) から、パスワードの変更対象ではない会議室等のアカウント情報を手動削除します。

5. パスワード一括変更
次のコマンドを 1 行づつ実行し、パスワードを一括変更します。

$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }

※ 各ユーザーは Microsoft 365 ログイン後、パスワードの変更が必要になります。
※ 全ユーザが同一のパスワードになります。
上記のコマンド文内の "XXXXXXXX" を初期ログインパスワード文字列に変更します。

▼ パスワードの設定要件
Azure AD パスワード ポリシー

※ Outlook 等の各種クライアントアプリによっては、Microsoft 365 の認証キャッシュの保持仕様により、認証ダイアログが即時表示されない場合があります。

3.5.__________.png

6. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。

Disconnect-MgGraph

※ [Connect-MgGraph] コマンドでは、次回に起動した際にはサインインを求められずに、前回の認証済みの資格情報が保持されます。
そのため、サインインを確実に切断するためには [Disconnect-MgGraph] を実施する必要がございます。

エンタープライズアプリケーションの削除

  1. Microsoft 365 管理センターにアクセスします。

  2. 左メニューから[ID]をクリックし、Microsoft Entra 管理センターにアクセスします。

  3. [Entra ID] - [エンタープライズ アプリ] を開きます。

  4. 右側に表示されるアプリケーションの一覧から「HENNGE Access Control Federation Configuration」をクリックします。

  5. 左メニューから [管理] - [プロパティ] をクリックします。

  6. プロパティ画面上部の [削除] を選択し、続けて [はい] をクリックします。

その他の SSO サービス解除

Access Control と シングルサインオン (SSO) しているサービス (Microsoft 365 以外) がある場合は SSO の解除作業を行ってください。
対象は Access Control 管理画面の「サービスプロバイダー設定」をご確認ください。
また、SSO の解除作業は接続先のサービスプロバイダー (SP) にて実施頂く必要があります。 詳細な解除方法は、各 SP のサポート窓口へご確認ください。

設定は以上となります。
お手数ですが、作業が完了しましたら HENNGE One Technical Support までご連絡ください。