ご質問
Access Control と Microsoft 365 をフェデレーションしています。
もし Access Control へのアクセスが出来なくなった場合に、フェデレーションを解除して Microsoft 365 の認証に戻すことはできますか?
回答
以下の手順で Powershell コマンドを使用することで、Access Control と Microsoft 365 のフェデレーションを解除することができます。
注意事項
- コマンドを実行した後、フェデレーションが解除されるまでには時間がかかります。
※ フェデレーション解除の目安時間は、30 分 ~ 1 時間程度です。 - フェデレーション解除後に Microsoft 365 のパスワードリセットを実施してください。
※ Microsoft 社の同期ツールで Active Directory → Microsoft 365 間でパスワード同期している場合は不要です。 - Microsoft Graph PowerShell SDK モジュールが PowerShell にインストールされている必要があります。
あらかじめ以下の内容が完了していることを確認ください。
Microsoft Graph PowerShell SDK のインストール
手順
-
PowerShell を起動し、次のコマンドを実行します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop - ログインダイアログが表示されるので、Microsoft 365 の全体管理者権限を持つアカウントでログインします。
-
次のコマンドを実行して、ドメイン情報を確認します。
利用中ドメインの「AuthenticationType」が「Federated」となっていることを確認します。Get-MgDomain -
次のコマンドを実行し、フェデレーションを解除します。
※ 解除後すぐは、Microsoft 365 内部での設定反映に時間がかかるためシングルサインオン動作となる場合があります。Update-MgDomain -DomainId [お客様ドメイン] -AuthenticationType "Managed" -
次のコマンドを実行し、ドメイン情報を確認します。
手順 5.で解除したドメインの「AuthenticationType」が「Managed」となっていることを確認します。Get-MgDomain -
以下のコマンドを実行し、Microsoft Graph から切断します。
Disconnect-MgGraph
なお、本手順のように Powershell でのフェデレーション解除を行った場合、サービスプロバイダー設定の編集画面のステータスが変化しませんのでご注意ください。
※ リアルタイムの情報は[ドメインを管理する]から確認することができます。
必要に応じて確認および再フェデレーションしてください。