対象
- Microsoft 365と Access Control をフェデレーションしているお客様
目的
- Access Control と Microsoft 365 のフェデレーションを解除し、Microsoft 365 へのログインに Access Control が介入しないようにします。
- Access Control と Microsoft 365 でユーザーの同期を行なっている場合、同期が行われないように設定を削除します。
注意事項
- 本記事の内容は 2025 年 4 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
- コマンドを実行後フェデレーション解除には時間がかかります。
※ フェデレーション解除の目安時間は、30 分 ~ 1 時間程度です。 - フェデレーション解除後に Microsoft 365 のパスワードリセットを実施してください。
※ Microsoft 社の同期ツールで Active Directory → Microsoft 365 間でパスワード同期している場合は不要です。 - フェデレーション解除後は、https://login.microsoftonline.com/ から Microsoft 365 にログインしてください。
- Secure Browser アプリ・デバイス証明書は各ユーザーの端末からアンインストールしてください。
※ 残っていても端末に影響はありませんが、継続して利用することはできません。 - Microsoft Graph PowerShell SDK モジュールが PowerShell にインストールされている必要があります。
あらかじめ以下の内容が完了していることを確認ください。
Microsoft Graph PowerShell SDK のインストール - 定期同期やフェデレーションの解除には、Microsoft 365 全体管理者および Access Control のグローバル管理者権限が必要です。
手順
シングルサインオンの解除
1. Microsoft Graph に接続
作業用 PC で PowerShell を起動し、次のコマンドを実行してください。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログイン処理を続行してください。
2. ドメイン情報の確認
次のコマンドを実行して、ドメイン情報を確認ください。
Get-MgDomain
表示された利用ドメインの「AuthenticationType」が「Federated」となっていることを確認ください。
3. シングルサインオン設定解除
次のコマンドを実行することで設定を解除することが可能です。
※ 解除後すぐは、Microsoft 365 内部での設定反映に時間がかかるためシングルサインオン動作となる場合があります。しばらく時間をおいて確認ください。
Update-MgDomain -DomainId [お客様ドメイン] -AuthenticationType “Managed”
4. ドメイン情報の確認
次のコマンドを実行し、ドメイン情報を確認ください。
Get-MgDomain
手順 3.で解除したドメインドメインの「AuthenticationType」が「Managed」となっていることを確認ください。
5. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
同期サービスの削除
Access Control と Microsoft 365 間で定期同期をしている場合
1. Access Control と Microsoft 365 間の定期同期を停止します。
詳細は以下記事をご参照ください。
Access Control Microsoft 365 との定期同期の停止手順
Active Directory と Access Control 間で同期をしている場合
HDE One 同期サービスがインストールされた Windows サーバーにて以下の手順を実施いただきます。
1. HDE One Directory Sync をアンインストール
[コントロールパネル] > [プログラムと機能]一覧より、以下のプログラムをアンインストールします
HDE One Directory Sync x.x.x
2. HDE One Directory Sync 関連ファイルの削除
「C:\Program Files\HDE One Directory Sync」フォルダと、当該フォルダ直下のファイルを全て手動削除します。
3. HDEOne フォルダ配下のファイルの削除
「C:\HDEOne」フォルダが存在している場合には、当該フォルダと、当該フォルダ直下のファイルを全て手動削除します。
Microsoft 365 パスワードリセット
Microsoft 365 の一括パスワードリセットの方法を以下に示します。
※ Active Directory >> Microsoft 365 間でパスワード同期している場合は本作業は不要です。
※ 各コマンドは必ず 1 行で実行してください。
1. Cドライブ直下に「temp」フォルダを作成
作業用 PC にて、Cドライブ直下に、「temp」フォルダを作成してください。
2. Microsoft Graph Powershell でログイン
PowerShell で次のコマンドを実行してください。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
※ ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログイン処理を続行してください。
3. ユーザの一覧を取得
次のコマンドを実行し、ユーザの一覧を出力してください。
※ User Principal Name が「*.onmicrosoft.com」以外のユーザを出力します。
Get-MgUser -All | where { -not ($_.userprincipalname-like"*.onmicrosoft.com")} | select UserPrincipalName | Export-Csv c:\temp\volunteers.csv -NoTypeInformation
4. ユーザの一覧の CSV から会議室等のアカウント情報を手動削除
「c:\temp」フォルダ内の CSV ファイルに記載されているユーザ一覧 (volunteers.csv) から、パスワードの変更対象ではない会議室等のアカウント情報を手動削除します。
5. パスワード一括変更
次のコマンドを 1 行づつ実行し、パスワードを一括変更します。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "XXXXXXXX"
}
}
Import-Csv c:\temp\volunteers.csv | where{Get-MgUser -UserID $_.UserPrincipalName; Update-MgUser -UserID $_.UserPrincipalName -BodyParameter $params }
※ 各ユーザーは Microsoft 365 ログイン後、パスワードの変更が必要になります。
※ 全ユーザが同一のパスワードになります。
上記のコマンド文内の "XXXXXXXX" を初期ログインパスワード文字列に変更します。
▼ パスワードの設定要件
Azure AD パスワード ポリシー
※ Outlook 等の各種クライアントアプリによっては、Microsoft 365 の認証キャッシュの保持仕様により、認証ダイアログが即時表示されない場合があります。
6. Microsoft Graph から切断する
次のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
※ [Connect-MgGraph] コマンドでは、次回に起動した際にはサインインを求められずに、前回の認証済みの資格情報が保持されます。
そのため、サインインを確実に切断するためには [Disconnect-MgGraph] を実施する必要がございます。
その他の SSO サービス解除
Access Control と シングルサインオン (SSO) しているサービス (Microsoft 365 以外) がある場合は SSO の解除作業を行ってください。
対象は Access Control 管理画面の「サービスプロバイダー設定」をご確認ください。
また、SSO の解除作業は接続先のサービスプロバイダー (SP) にて実施頂く必要があります。 詳細な解除方法は、各 SP のサポート窓口へご確認ください。
設定は以上となります。
お手数ですが、作業が完了しましたら HENNGE One Technical Support までご連絡ください。