概要
Microsoft 365と Access Control をフェデレーションしているお客様向けに、Access Control と Microsoft 365 のフェデレーションを解除し、Microsoft 365 へのログインに Access Control が介入しないようにする手順を説明します。
また、Access Control と Microsoft 365 でユーザーの同期を行なっている場合、同期が行われないように設定を削除します。
注意事項
- 本記事の内容は2026年7月時点での製品仕様に基づき作成しており、予告なく変更される場合があります。
- 本手順の実施後、フェデレーションの解除が完了するまで時間がかかる場合があります。解除の目安時間は30分~1時間程度です。
- フェデレーションの解除後にMicrosoft 365パスワードリセットを実施してください。Microsoftの同期ツールでActive Directory→Microsoft 365間のパスワード同期をしている場合は不要です。
- フェデレーションの解除後は、Microsoft 365のログインページからログインしてください。
- Secure Browserアプリおよびデバイス証明書は、各ユーザーの端末からアンインストールしてください。残っていても端末に影響はありませんが、継続利用はできません。
- 定期同期やフェデレーションの解除には、Microsoft 365全体管理者およびAccess Controlのグローバル管理者権限が必要です。
目次
手順
フェデレーションの解除
-
Access Control管理画面から[システム]-[サービスプロバイダー設定]へアクセスします。
-
サービス一覧から、「表示名」が[Microsoft]、「種別」が[Microsoft]である行を選択します。項目が存在しない場合は、フェデレーションの解除(PowerShell)に進んでください。
-
[フェデレーション中のドメイン]-[ドメインを管理する]を選択します。
- Microsoft 365の[要求されているアクセス許可]画面が表示された場合は、[組織の代理として同意する]にチェックし、[承諾]をクリックします。認証が完了している場合は、ユーザーを選択すると次の画面に進みます。
- [ドメイン管理]画面で、フェデレーションを解除するドメインのステータスを確認し、該当する手順を実施します。
- [フェデレーション済み](旧手順)の場合は、手順6以降を実施してください。
-
[フェデレーション済み]の場合は、手順8以降を実施してください。
-
対象のドメインの[アップグレード]をクリックします。
-
確認画面で内容を確認し、[アップグレードする]をクリックします。ステータスが[フェデレーション済み]に変わることを確認します。
-
対象のドメインの[解除]をクリックします。
-
確認画面で内容を確認し、[ドメインを解除する]をクリックします。ステータスが[未フェデレーション]に変わることを確認します。
- フェデレーションを解除するドメインが複数ある場合は、この手順を繰り返します。
- すべてのドメインのフェデレーション解除が完了したら、同期サービスの削除に進みます。
フェデレーションの解除(PowerShell)
※すでに他のIdPサービスとフェデレーションを実行している場合は、本手順を実施しないでください。
- Microsoft Graph PowerShell SDKモジュールがPowerShellにインストールされていることを確認してください。事前に以下の記事の手順を完了してください。
Microsoft Graph PowerShell SDKのインストール -
PowerShellを起動し、次のコマンドを実行します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
- ログインダイアログが表示されるため、Microsoft 365の全体管理者権限を持つアカウントでログインします。
-
次のコマンドを実行し、ドメイン情報を確認します。利用中ドメインの「AuthenticationType」が「Federated」となっていることを確認します。
Get-MgDomain
-
次のコマンドを実行し、フェデレーションを解除します。解除直後は、Microsoft 365内部での設定反映に時間がかかるため、シングルサインオン動作となる場合があります。
Update-MgDomain -DomainId [お客様ドメイン] -AuthenticationType "Managed"
-
次のコマンドを実行し、ドメイン情報を確認します。手順5で解除したドメインの「AuthenticationType」が「Managed」となっていることを確認します。
Get-MgDomain
-
次のコマンドを実行し、Microsoft Graphから切断します。
Disconnect-MgGraph
- 同期サービスの削除に進みます。
同期サービスの削除
Access ControlとMicrosoft 365間で定期同期をしている場合
- Access ControlとMicrosoft 365間の定期同期を停止します。詳細は以下の記事を参照してください。
Access Control Microsoft 365との定期同期の停止手順
Active DirectoryとAccess Control間で同期をしている場合
HENNGE One同期サービスがインストールされたWindowsサーバーで、以下の手順を実施してください。
- HENNGE One Directory Syncをアンインストールします。[コントロールパネル]-[プログラムと機能]一覧から、以下のプログラムをアンインストールしてください。
HENNGE One Directory Sync x.x.x - HENNGE One Directory Sync関連ファイルを削除します。「C:\Program Files\HENNGE One Directory Sync」フォルダと、その直下のファイルをすべて手動で削除してください。
- HDEOneフォルダ配下のファイルを削除します。「C:\HDEOne」フォルダが存在する場合は、そのフォルダと直下のファイルをすべて手動で削除してください。
-
HDEPasswordFilter.dllをアンインストールします。管理者としてPowerShellを起動し、以下のPowerShellコマンドを実行します。
インストーラーを格納したフォルダへ移動するコマンド例
cd <Installer_HDEOnePasswordSyncフォルダーのパス>HDEPasswordFilter.dllのアンインストール
powershell -ExecutionPolicy Bypass -File .\uninstall.ps1参考(インストール手順):[Access Control] ドメイン コントローラー全台へのHDEPasswordFilter.dllインストール(WS 2016以降)
Microsoft 365パスワードリセット
Microsoft 365の一括パスワードリセットの方法を説明します。
※Active Directory→Microsoft 365間でパスワード同期をしている場合は、この作業は不要です。
※各コマンドは必ず1行で実行してください。
この手順を実施するには、Microsoft Graph PowerShell SDKモジュールがPowerShellにインストールされている必要があります。事前に以下の記事の内容が完了していることを確認してください。
Microsoft Graph PowerShell SDKのインストール
- Cドライブ直下に「temp」フォルダを作成します。作業用PCで、Cドライブ直下に「temp」フォルダを作成してください。
-
Microsoft Graph PowerShellでログインします。PowerShellで次のコマンドを実行してください。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
ログインダイアログが表示されるため、Microsoft 365の全体管理者権限を持つアカウントでログインを続行してください。
- ユーザーの一覧を取得します。次のコマンドを実行し、ユーザーの一覧を出力してください。User Principal Nameが「*.onmicrosoft.com」以外のユーザーを出力します。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation- ユーザー一覧のCSVから会議室などのアカウント情報を手動で削除します。「c:\temp」フォルダ内のCSVファイルに記載されているユーザー一覧(volunteers.csv)から、パスワード変更の対象ではない会議室などのアカウント情報を手動で削除します。
- パスワードを一括変更します。次のコマンドを1行ずつ実行してください。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }各ユーザーはMicrosoft 365ログイン後にパスワード変更が必要です。全ユーザーが同一のパスワードになります。上記コマンド内の"XXXXXXXX"を初期ログインパスワード文字列に変更してください。
パスワードの設定要件:Azure ADパスワードポリシー(外部リンク)
Outlookなどの各種クライアントアプリでは、Microsoft 365の認証キャッシュ保持仕様により、認証ダイアログがすぐに表示されない場合があります。
- Microsoft Graphから切断します。次のコマンドを実行し、Microsoft Graphから切断してください。
Disconnect-MgGraph
[Connect-MgGraph]コマンドでは、次回起動時にサインインを求められず、前回の認証済み資格情報が保持されます。そのため、サインインを確実に切断するには[Disconnect-MgGraph]を実施してください。
エンタープライズアプリケーションの削除
Microsoft 365管理センターにアクセスします。
左メニューから[ID]をクリックし、Microsoft Entra管理センターにアクセスします。
[Entra ID]-[エンタープライズアプリ]を開きます。
右側に表示されるアプリケーション一覧から「HENNGE Access Control Federation Configuration」をクリックします。
左メニューから[管理]-[プロパティ]をクリックします。
プロパティ画面上部の[削除]を選択し、続けて[はい]をクリックします。
その他のSSOサービス解除
Access Controlとシングルサインオン(SSO)しているサービスがMicrosoft 365以外にもある場合は、SSOの解除作業を行ってください。対象はAccess Control管理画面の[サービスプロバイダー設定]で確認してください。SSOの解除作業は、接続先のサービスプロバイダー(SP)で実施する必要があります。詳細な解除方法は、各SPのサポート窓口へ確認してください。
設定は以上です。
お手数ですが、作業が完了しましたらHENNGE One Technical Supportまでご連絡ください。