「アクセス権がありません」のエラーについて

こんにちは、Azure & Identity サポート チームの坂井です。   今回は Azure ポータル上で表示される Azure AD に関するエラーメッセージについて説明します。 Azure ポータル上で、[Azure Active Directory] を選択した際に、下記のエラーが表示される場合があります。   ——————— アクセスが拒否されました   アクセス権がありません   このコンテンツへのアクセス権がないようです。アクセス権を得るには、所有者に連絡してください。 ———————   画面は下記のような表示です。   こちらは、エラーメッセージの通りアクセスしようとしたユーザーの権限が不足している状況を示すエラーになります。 ここでいう、権限とはサブスクリプションの権限(RBAC で付与した所有者の権限など)とは異なる、Azure AD の権限となります。 サブスクリプションの管理者と Azure AD の管理者の説明については、下記のブログをご確認ください。   -参考情報 Azure サブスクリプションと Azure AD の管理者     詳細 下記、 [Azure AD 管理ポータルへのアクセスを制限する] が「はい」に設定されている場合は、Azure AD の管理者権限を持ったユーザーのみが [Azure…

0

[Azure AD Connect] ID 同期と重複属性の回復性の動作について

こんにちは、Azure & Identity サポート チームの後藤です。 2017 年 3 月に多くのテナントで有効化された ID 同期と重複属性の回復性の動作についてご紹介します。 なお、2017 年 10 月 30 日以降は例外なくすべてのテナントでこの機能は有効になっています。   以下のような流れでご紹介します。   <目次> 以前の動作の概要 ID 同期と重複属性の回復性の動作 重複状態からの解消について ID 同期と重複属性の回復性が動作しないケース   以前の動作の概要 以前は、ディレクトリ同期の際に UPN または ProxyAddresses の属性が Azure AD 内で重複するようなユーザー オブジェクトを Azure AD に同期を試みた場合、エラーが発生し、ユーザー オブジェクトを Azure AD に作成することができませんでした。   一例 : Azure AD に、UPN : user01@contoso.com (オリジナルuser01)のユーザーが存在します。 この…

0

Azure サブスクリプションと Azure AD の管理者

こんにちは、 Azure ID サポートチームの三浦です。 今回は混乱することが多い Azure のサブスクリプションと Azure Active Directory (Azure AD) の関係、それぞれの管理者について紹介します。   Azure サブスクリプションと Azure AD の関係 まず、 Azure サブスクリプションと Azure AD の関係ですが、 Azure のサブスクリプションに Azure AD が含まれているというイメージを持たれている方もいるかもしれませんが、これは間違いです。       正しくは Azure サブスクリプションと Azure AD には包含関係は無く、独立しています。Azure サブスクリプションは必ず 1 つの Azure AD に関連付けられています (*注1) ので、両者の関係性は次のような図になります。       上の図では 2 つのサブスクリプションが同じ Azure AD…

0

DirSync & ADSync – 2017/12/31 で終了のお知らせ

Azure Identity サポートチームの橋本です。   もう 2 か月を切ったのでこちらでもご案内しておきます。   2017 年の 4 月 13 日にサポートが終了した旧 Azure AD 同期ツールである DirSync と ADSync ですが、今年いっぱいで遂に Azure AD への通信も行えなくなります。 公開情報としても 2017 年 7 月から掲載していますが、DirSync からの移行を検討中です、といった話をまだお客様から聞くことがあります。 Azure AD Connect への移行が完了していない皆様、移行するなら今です!   Azure AD Connect への移行方法   移行する方法は 2 通りあります。 並列デプロイ (DirSync) / スウィング移行 (ADSync) インプレース アップグレード   それぞれの特徴をリストアップしてみました。   1. 並列デプロイ/スウィング移行…

0

Azure AD Connect で実現するシングル サインオン

こんにちは! Azure Identity サポート担当の橋本です。 今回は Azure AD Connect のパススルー認証とシームレス シングルサインオン機能で実現するシングル サインオンについてご紹介します。 従来、Office 365 にシングル サインオン (SSO) といえば、AD FS が必要でしたが、Azure AD Connect のパススルー認証とシームレス シングルサインオンを構成することで、AD FS 無しで SSO が実現できてしまいます。 ID とパスワードはオンプレミス側で管理しつつも、Azure AD と連携しているクラウド サービスなどは、ユーザーはパスワードを入力することなくオンプレの ID を用いたシングル サインオンで利用できるようになるのです。   設定方法はとても簡単。 Azure AD Connect でパススルー認証 + シングルサインオンを有効にします。 ドメイン グループ ポリシーを使って、ユーザーのイントラネットゾーンの設定に次の Azure AD URL を追加するポリシーをユーザーに配布します。 https://autologon.microsoftazuread-sso.com https://aadg.windows.net.nsatc.net   前提条件などはいくつかありますが、必要な手順は大まかにこの 2…

0

[調査に有効な採取情報] Azure AD Connect でユーザー同期ができない問題

こんにちは、Azure & Identity サポート チームの後藤です。   今回は Azure AD Connect サーバーでユーザー同期に問題が生じているケースについて取得する情報をご紹介します。 なお、この情報は “ユーザー同期トラブル” に特化していますので、併せて別途紹介しています Azure AD Connect の全般情報の採取もお願いします。   <採取情報> オンプレミス Active Directory に格納されるユーザー オブジェクト情報 Azure AD Connect サーバー上のユーザー オブジェクト情報 Synchronization Service Manager のエラー画面ショット イベントログ エラーログの出力結果   <取得手順> オンプレミス Active Directory に格納されるユーザー オブジェクト情報 ================================= 同期できないという問題が一部のオブジェクトで生じている場合には、正常に同期が完了しているユーザーと同期に問題が生じているものについて少なくとも 1 つずつを任意に選択の上、取得ください。   1-1. ドメイン コントローラーにて管理者権限でコマンド プロンプトを開きます。 1-2. 以下のコマンドをそれぞれのオブジェクトに対して実行します。  …

0

[調査に有効な採取情報] Azure AD Connect サーバーの全般情報

こんにちは、Azure & Identity サポート チームの後藤です。   今回は Azure AD Connect サーバー構成に関わる情報採取についてご紹介します。 Azure AD Connect に関わる問題のときに有効ですが、同期のトラブルでは “Azure AD Connect でユーザー同期ができない問題” の情報取得も合わせてお願いします。   <採取情報> 以下の情報を Azure AD Connect サーバー上で採取します。   アプリケーション / システムのイベントログ Azure AD Connectトレース ログ Azure AD Connect の構成情報 Azure AD Connect のバージョン情報   <取得手順> アプリケーション / システムのイベントログ ================================= 1-1. Azure AD Connect サーバーに管理者権限にてログインします。 1-2….

0

[調査に有効な採取情報] ブラウザ経由での Azure AD 認証

こんにちは、Azure & Identity サポート チームの後藤です。 サポートに問い合わせる前に取得しておくと、その後の調査がスムーズに進む可能性がある資料をご紹介します。 今回はブラウザ経由でのアクセス時に Azure AD における認証の問題が疑われるシナリオの場合です。 具体的なシナリオとしては次のような例です。 Azure AD と連携する Box などのサードパーティーの SaaS アプリで SSO をしようとしたがうまく動作しない。 Azure ポータルで設定作業をしたが、雲のマークが出て設定画面がロードされない。 Office 365 にサインインしようとしたが、エラーが出力されサインインできない。 上記のようなシナリオで有効な採取情報、その採取手順をご紹介します。あわせて Azure AD に関する問題全般 でご紹介しました情報の採取も実施ください (PSR 情報は重複していますが、認証に関わる問題の際には本ブログの手順で採取します)。 <採取情報> (a) 問題ステップ記録 (PSR) ツール情報 問題ステップ記録 (以降、PSR) は、クリックした場所の説明や、表示される画面のスクリーン ショット、その日時などを自動的にキャプチャするツールです。 PSR 情報から得られた各オペレーションの実行日時を元に Fiddler トレース、ネットワーク パケットの情報を解析します。 (b) Fiddler トレース Fiddler トレースは、該当端末の HTTP(S) 通信の確認を目的としています。 PSR 情報、ネットワーク パケットと合わせて同じタイミングで取得ください。 (c) ネットワーク パケット ネットワーク パケットは、通信の相手先や HTTP (S) の確立、 TCP レベルの解析を目的としています。 PSR 情報、 Fiddler トレースと合わせて同じタイミングで取得ください。 <取得手順目次> 端末に Fiddler をインストールします PSR 情報、Fiddler トレースの記録及びネットワーク キャプチャの記録を開始します 事象の発生を確認します PSR 情報、Fiddler トレースの記録及びネットワーク キャプチャの記録を停止します <取得手順詳細> ———————————– 端末に Fiddler をインストールします…

0

[調査に有効な採取情報] Azure AD に関する問題全般

こんにちは、Azure & Identity サポート チームの後藤です。   今回は Azure AD に関する問題についてサポートに問い合わせる際に問い合わせに含めることを推奨する情報についてご紹介します。 ここでご紹介する情報は Azure AD が関係するようなお問い合わせでは、大体どのようなケースにおいても調査に必要になる情報となります。   <採取情報> (a) 問題が起きているテナント及び問題に関係しているテナントの Tenant ID かイニシャル ドメイン (******.onmicrosoft.com) *この情報は Azure ポータルから問題の発生しているテナントのユーザーでお問い合わせを発行された場合にはこの情報はサポートにて確認できるので不要です。   (b) 作業対象のユーザーや問題が発生しているユーザーの情報 (UPN, メンバーかゲスト ユーザーか, どのテナントのユーザーか)   (c) 問題ステップ記録 (PSR) ツール情報 問題ステップ記録 (以降、PSR) は、クリックした場所の説明や、表示される画面のスクリーン ショット、その日時などを自動的にキャプチャするツールです。 PSR 情報から得られた各オペレーションの実行日時を元に、後述の各種情報から調査・追跡を行うために採取していただきます。 PSR の取得手順については後述します。   (c) エラー コード 下記のようなエラー コードがあるとサポート エンジニアは同様のエラーが出力された事例の調査ができます。 また、開発エンジニアの確認が必要になるケースでもエラー コードを元に大まかな要因を特定できる可能性があります。…

0

AD FS が PDC と通信するケース

皆様、こんにちは。Windows プラットフォーム サポート担当の竹村です。   今回は、簡単ですが AD FS が PDC と通信する3つのケースについてご案内します。 ドメイン コントローラーが各拠点に散らばっている場合などに、ご留意ください。   – 対象リリース Windows Server 2012 R2 (AD FS 3.0)   ————————————————————- (1) AD FS 構成ウィザードの実行時 ————————————————————- AD FS 構成ウィザード中で、PDC にアクセスいたします。 したがって、PDC と通信できない場合にはウィザードが失敗いたしますので、ご注意ください。     ————————————————————- (2) パスワード更新機能利用時 ————————————————————- AD FS には、オンプレミス ドメインのユーザーのパスワードを更新する機能がございます。   (ご参考) https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/operations/update-password-customization この機能を利用してパスワードを更新する際には、PDC にアクセスいたします。 PDC と通信ができない場合には、パスワードを更新できませんので、ご注意ください。     ————————————————————-…

0