NAKIVO > Blog > Microsoft 365

Office 365 向け ADFS の設定:ステップバイステップガイド

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

Office 365 は、サブスクリプション形式で提供されるエンタープライズ向けの生産性向上アプリケーションのWebスイートです。サブスクリプションプランの支払いが完了次第、すぐに Office 365 をご利用いただけます。 ただし、いつでも追加機能を設定することができます。Microsoft Office 365 と Active Directory ドメイン サービスを利用している企業にとって有用な機能の一つが、Office 365 向けの Active Directory フェデレーション サービス (ADFS) です。ADFS は、シングル サインオン (SSO) など、認証とセキュリティの面で多くの利点を提供します。

Microsoft Office 365 クラウド データ バックアップで、さらなる安全性とセキュリティを確保しましょう。お試しください NAKIVO Backup & Replication. これは、仮想、物理、クラウド、SaaSインフラストラクチャを包括的に保護するオールインワンソリューションであり、時間、労力、コストを削減します。

Microsoft 365 データのバックアップ

Microsoft 365 データのバックアップ

NAKIVOソリューションを活用して、Exchange Online、Teams、OneDrive、SharePoint Online内のMicrosoft 365データをバックアップし、ワークフローの中断を防ぎ、ダウンタイムをゼロにしましょう。

ソリューションを見る

ADFSは何に使われるのですか?

Active Directory Federation Services(ADFS)は、マイクロソフトが提供するシングルサインオン(SSO)およびWebベースの認証ソリューションです。SSOを利用することで、ユーザーは1組の認証情報(ユーザー名とパスワード)を使用して、関連性はあるものの独立した複数のアプリケーションやWebサイトにアクセスできます。ADFSにより、ユーザーは標準のActive Directory Windows認証に対応していないアプリケーションにもアクセスできるようになります。 ADFSはWindows Server OSのコンポーネントであり、例えばWindows Server 2016ではADFS v.4.0が提供されています(ADFS 2016はADFS 4.0と同じです)。ユーザーは、SSOを通じてActive Directoryと統合されたサービスやアプリケーションにアクセスできるだけでなく、ネイティブなWindowsサービスにも、単一の認証情報を使用してアクセスできます。ADFSはクラウドIDの代替として利用でき、パスワード管理に関連する問題の解決に役立ちます。 Office 365 向けに ADFS を構成すると、ユーザーは Windows ドメインのユーザー名とパスワードを使用して Office 365 アプリケーションにアクセスできるようになります。

さらに、ADFS はクレームベースのアクセス制御認証モデルを採用し、フェデレーション ID を利用してアプリケーションのセキュリティを確保します。フェデレーション ID 管理により、ユーザーは同一の認証データを使用して、組織内の複数のネットワークやサービスにまたがってアクセスできるようになります。

ADFSはOffice 365とどのように連携するのですか?

まず、ユーザーはADFSが提供するURLにアクセスします。

その後、組織のActive Directoryを通じて認証が行われます。

認証後、ADFSはユーザーに認証済みアクセスを提供します。

ユーザーのWebブラウザは、Office 365などの対象アプリケーションにクレームを転送し、そのアプリケーションがアクセスを許可または拒否します。

Windows Server 2016上のADFSは、Azure MFAによるSSOも提供しており、Microsoft Passportでのサインインも可能にしています。

How does ADFS work

Office 365 ADFS のセットアップ要件

Office 365 ADFS の設定を行うには、環境に以下のものが必要です:

  • Active Directory ドメイン コントローラー(Windows Server 2016 以降)
  • 同じドメインに参加しているActive Directoryフェデレーションサーバー
  • ドメイン名をIPアドレスに変換するようにDNSが設定されている
  • Active Directory ドメイン内の ADFS 用サービス アカウント
  • 有効なSSL証明書
  • SSL証明書に対応したウェブブラウザ
  • ウェブブラウザではJavaScriptとCookieが有効になっています
  • TCPポート443および49443での着信接続が有効になっています

Office 365 用の ADFS の設定方法

Windows Server 2016 で ADFS を設定する方法を見ていきましょう。

Domain Controllerまず、Active Directory ドメイン コントローラー(ADDC)が必要です。本記事では Office 365 向けの ADFS の設定について解説するため、ドメイン コントローラーの展開については詳しく触れません。ドメイン コントローラーのインストールに関する基本事項については、 『VMwareクラスタリング完全ガイド』この例では、Windows Server 2016 を実行しているドメイン コントローラーがあり、その完全な名前は win2016dc@officedomain.net (ホスト名 – win2016dc、ドメイン名 – officedomain.net).

A domain user. ADFS用にドメイン内で管理者権限を持つユーザーを作成します。この例では、 adfssrv ADFSの設定に進む前に、ユーザーを作成します。

ADFS ロールの追加

次に、Windows Server マシンに ADFS ロールをインストールする必要があります。このブログ記事では、Windows Server 2016 を実行しているドメイン コントローラーに、グラフィカル ユーザー インターフェイス (GUI) を使用してこのロールをインストールし、多数のスクリーンショットを用いてその手順を解説しています。ただし、コマンド ライン インターフェイスをご希望の場合は、代わりに PowerShell を使用することも可能です。

サーバーマネージャー(Windows Server 2016の起動時にデフォルトで開くウィンドウ)で、[ Add roles and features。"役割と機能の追加ウィザード"ウィンドウが開きます。ここで、いくつかの手順を設定する必要があります。

Before You Beginこれは導入段階の手順ですので、スキップしても構いません。

Installation Type. 選択 ロールベースまたは機能ベースのインストール. ヒット Next ウィザードの各ステップで、続行するには。

Set up ADFS for Office 365

Server Selection. サーバープールからサーバーを選択してください: WIN2016DC.officedomain.net (当社の場合、サーバーが1台しかないため、これがデフォルトで選択されています)。

Selecting a server to install ADFS 2016

Server Roles. 横にあるチェックボックスを選択してください Active Directory フェデレーション サービス. Office 365 ADFS setup – selecting the ADFS role

Features.NET Frameworkなど、Active Directory Federation Servicesのインストールに必要な機能を選択します。

The required features are selected

AD FS. クリックするだけです 次へ Active Directory Federation Services の説明を読んだ後、この手順に進みます。

ADFS notifications

Confirmation必要に応じて、チェックボックスをオンにして宛先サーバーを自動的に再起動するように設定し、 Yes 確認します。最後にクリックして Install Office 365用にADFSを設定するには。

Confirmation of ADFS installation and server restart

ResultsADFS 2016 のインストールが完了するまでお待ちください。

Installing ADFS for Office 365

ADFSのインストールが完了したら、サーバーを再起動する必要があります。

ADCS をインストールして証明書を作成する

Office 365 用の ADFS の設定を続行する前に、証明書を作成する必要があります。このため、Active Directory 証明書サービスがインストールされている必要があります。サーバー マネージャーで、[ Add roles and features. 前節で説明したように、 "役割と機能の追加ウィザード" 開きます。

Installation Type. 選択 ロールベースまたは機能ベースのインストール. ヒット Next ウィザードの各ステップで"次へ"をクリックして進みます(ADFSのインストール時と同様です)。

Server Selection. サーバープールからサーバーを選択してください: WIN2016DC.officedomain.net (ADFSのインストール手順と同様です)。

Server Roles. 横にあるチェックボックスを選択してください Active Directory 証明書サービス. IIS(インターネット・インフォメーション・サービス)などの関連する役割や機能は自動的に選択されます。

Installing Active Directory Certificate Services to create a certificate for Office 365 ADFS setup

Features. このステップで .NET Frameworkの機能 必ず選択する必要があります(これらは関連フィーチャーとしてデフォルトで選択されています)。

The required features are selected automatically

AD CSこの手順では設定を行う必要はありません。Active Directory 証明書サービスの説明を確認してから、次の手順に進んでください。

AD CS description

Role Services. 以下の横にあるチェックボックスを選択してください Certificate Authority そして Certification Authority Web Enrollment サービス。

Selecting the needed role services for AD CS

Confirmation設定を確認し、必要に応じて宛先サーバーを自動的に再起動するチェックボックスを選択して、 Install インストールプロセスを開始します。

Confirmation of installation selections for AD CS

ADCSの設定

ここで、Office 365 用の ADFS の設定を続行する前に、Active Directory 証明書サービスの展開後の構成を行う必要があります。[サーバー マネージャー] で、国旗アイコンの横にある黄色の三角形をクリックします。表示されるメニューで、[ Configure Active Directory Certificates このマシンで。

Credentials. ロール サービスを構成するために、認証情報を指定します。今回のケースでは、 OFFICEDOMAIN管理者 選択したロール サービスをインストールするために使用されるアカウントです。クリック Next ウィザードの各ステップで、続行するには。

Configuring ADFS for Office 365 – specifying credentials

Role Services. 選択するには 認証局 そして 認証局のWeb登録、該当するチェックボックスにチェックを入れてください。

Selecting role services needed to configure AD CS

Setup Type. 選択 Enterprise CA このケースではActive Directory ドメイン サービスが使用されているためです。Selecting Enterprise CA for a certificate needed for Office 365 ADFS setup

CA Type. CAのタイプを指定します。選択してください Root CA これは、公開鍵基盤(PKI)の階層構造における最上位に位置するものです。

Specifying the type of the CA needed for Office 365 ADFS setup

Private Key. 秘密鍵のタイプを指定するには、[ ] を選択します Create a new private key.

Creating a new private key

Cryptography. CA の暗号化オプションを指定します。この例では、 RSA#Microsoft ソフトウェア キー ストレージ プロバイダー キー長が 2048. SHA256 がハッシュアルゴリズムとして選択されます。

Cryptography options

CA Name. CAの名前を指定します。この例では、以下のパラメータを使用しています。

このCAの共通名: officedomain-WIN2016DC-CA

識別名サフィックス: DC=officedomain,DC=net

識別名のプレビュー: CN=officedomain-WIN2016DC-CA,DC=officedomain,DC=net

ADCS configuration – CA name

Validity Period. この認証局(CA)のために生成される証明書の有効期間を指定します(例:5年)。

Setting the validity period for the certificate needed for Office 365 ADFS setup

Certificate Database. データベースの保存場所を指定してください。デフォルト値のままでも構いません。

証明書データベースの保存場所: C:Windowssystem32CertLog

証明書データベースのログの保存場所: C:Windowssystem32CertLog

Selecting the certificate database

ConfirmationActive Directory 証明書サービスの設定を確認し、問題がなければ、[実行] をクリックしてください。 Configure.

Confirmation of Active Directory Certificate Services configuration

もし Configuration succeeded メッセージが表示されれば、すべて正常です。ウィンドウを閉じてください。

ADCS configuration results

証明書テンプレートの編集

証明書テンプレートを編集するには、[認証局] 設定ウィンドウを開きます。 Win+R そして稼働中 certsrv.msc

Running certsrv.msc

認証局のウィンドウが開いたら、右クリックします Certificate Templates そして、コンテキストメニューでクリックして Manage.

Managing certificate templates

開いた"証明書テンプレート コンソール"で、右クリックします Web Server そして、コンテキストメニューで Duplicate Template.

Duplicating a template for creating a certificate for Office 365 ADFS setup

その 新しいテンプレートの特性 ウィンドウが開きます。その中では General タブキーを押して、テンプレートの表示名とテンプレート名を入力します。ここでは Office 365 用の ADFS を設定しているため、テンプレート名は Office 365 ADFS この例では。証明書の有効期間を設定することもできます。

内の セキュリティ タブ選択 Authenticated users そして、認証済みユーザーの権限設定で、チェックボックスをオンにして 許可する Enroll (下のスクリーンショットを参照)。

Properties of a new template

"認証局"ウィンドウ(certsrv)で、[クリック] Action > New > Certificate Template to Issue.

Generating a certificate for Office 365 ADFS setup

その 証明書テンプレートを有効にする ウィンドウで、先ほど作成したテンプレートを選択します(Office 365 ADFS (この場合)をクリックして OK.

Creating the certificate template

これで、Office 365 ADFS テンプレートがテンプレート一覧に表示されます。 証明書テンプレート のディレクトリ 認証局 リスト。

The certificate template is created

新しい証明書を作成する

移動 Start > Run そして、次のコマンドで証明書マネージャーを開きます:

certlm

その certlm 表示されるウィンドウで、[ Personal > Certificates、次にウィンドウの右側の領域の何もない場所を右クリックします。コンテキストメニューから、 All Tasks > Request New Certificate.

Creating a new certificate for configuring ADFS for Office 365

Before You beginこの手順では設定する必要はありません。[クリック] Next 続きを読む。

Select Certificate Enrollment Policyこの手順では、デフォルト設定を使用できます。

Selecting certificate enrollment policy

Request Certificates. 選択してください Office 365 ADFS チェックボックスを選択して証明書テンプレートを選択し、[クリック] Details 設定を展開し、次にクリックします Properties.

Requesting ADFS Office 365 certificate

[証明書のプロパティ] ウィンドウが開きます。[ Subject タブで、 Subject name セクションで、ドロップダウンメニューから Common name として入力します。ADFSがインストールされているWindows Serverの完全修飾ドメイン名(FQDN)を入力してください。例: win2016dc.officedomain.net (左のスクリーンショットを参照)。

同様に、 Alternative name セクションに、3つの値を追加します。入力: DNS.

win2016dc.officedomain.net

enterpriseregistration.officedomain.net

certauth.officedomain.net

ADFS 2016 certificate properties

証明書は、EKU Server Authentication(サーバー認証)に対応しており、秘密鍵をエクスポートできるものでなければなりません。ファーム内のすべてのサーバーは、単一の証明書を使用する必要があります。ファーム内の最初のADFSサーバーを設定した後、その証明書を別のサーバーにエクスポートする必要があります。サムプリントが異なる証明書を混在させて使用することはできません。

Webサーバー用の証明書テンプレートや他の証明書を使用して、カスタム証明書を作成できます。主な条件は、正しいEKUが指定されていることです。もう1つの重要な点は、サブジェクト名およびサブジェクトの別名に正しい値を使用することです。

企業登録。[domain-name] これは、クライアントがWorkplace Join経由で登録できるようにするための機能であり、ADFSを介して認証が設定されているWebアプリケーションに対して条件付きアクセスを実装するための仕組みを提供します。Office 365のADFS設定でも、この仕組みを利用できます。

certauth.[domain-name] スマートカード(仮想スマートカードを含む)を使用した認証が可能です。

In the Private Key タブで、[ Make private key exportable チェックボックス。

ヒット OK 設定を保存するには。

Making the private key exportable for Office 365 ADFS

証明書を登録するために必要な情報はすべて定義されています。クリックしてください Enroll 続きを読む。

A certificate is ready to enroll

ステータスが Succeeded ~の中で 証明書のインストール結果 ウィザードのこのステップで、[クリック] Finish ウィンドウを閉じるには。

A certificate has been enrolled on the machine used for Office 365 ADFS setup

Office 365 ADFS の設定用証明書のエクスポート

証明書を、現在のサーバーおよびADFSファーム内の他のWindowsサーバーで使用できるファイルにエクスポートする必要があります。

を実行 certlm まだ行っていない場合は、

にアクセスしてください。 Personal > Certificates、証明書を選択してください。この例では、選択されている証明書は officedomain-WIN2016DC-CA証明書を右クリックし、コンテキストメニューから All Tasks > Export.

How to export a created certificate for configuring ADFS for Office 365

"証明書エクスポートウィザード"が開きます。

Welcome to the Certificate Export Wizard. これは、導入用のウィザードの最初のステップです。設定する必要はなく、クリックするだけで Next 続きを読む。

Export Private Key. 選択 Yes, export the private key.

The private key must be exported

Export File Format. 選択 個人情報の交換 – PKCS #12 (.PFX) ファイル形式として選択します。次に、以下のチェックボックスを選択します:

  • 可能であれば、証明書パスに含まれるすべての証明書を含めてください
  • すべての拡張プロパティをエクスポートする
  • 証明書のプライバシー機能を有効にする

Selecting personal information exchange options

Security. を選択してください Password チェックボックスにチェックを入れ、パスワードを入力し、パスワードの確認を入力してください。

Define a password for a certificate that will be used for Office 365 ADFS setup

File to Export. クリック Browse そして、エクスポートする証明書の保存先とファイル名を選択します。この例では、エクスポートするファイル名は C:tempOffice365adfs.pfx

Exporting a certificate to a PFX file

Completing the Certificate Export Wizardこれでエクスポートの準備はすべて整いました。クリックしてください Finish 証明書をエクスポートします。エクスポートは正常に完了しました。クリックしてください OK ウィンドウを閉じるには。

The certificate was exported successfully

Office 365 用の ADFS の設定

ADFS ロールをインストールし、証明書を作成またはエクスポートしたら、Office 365 ADFS のセットアップを再開できます。

サーバー マネージャーを開き、黄色の三角形が付いた旗のアイコンをクリックします。表示されるメニューで、[ Configure the federation service on this server 導入後の設定を行う。

Post-deployment configuration of the federation service on the server

"Active Directory フェデレーション サービス構成ウィザード"が開きます。

Welcome. ウィザードの最初のステップで、次のオプションを選択します: フェデレーション サーバー ファームに最初のフェデレーション サーバーを作成する. ヒット Next 続きを読む。

Create the first federation server in a federation server farm

Connect to AD DS. ADドメイン管理者の権限を持つアカウントを選択します(OFFICEDOMAIN管理者 (この場合)。クリックすると Change ボタンをタップして、別のユーザーを選択してください。

Connecting to Active Directory Domain Services

Specify Service Properties. SSL証明書: win2016dc.officedomain.net (ドロップダウンメニューから、事前に作成した証明書を選択してください。または、 Import ボタンをクリックして、エクスポートされた証明書ファイルを参照してください。)

フェデレーション・サービス名: certauth.officedomain.net

連盟サービスの表示名: adfs.officedomain.net (この名前は、ユーザーがサインインする際に表示されます)。

Selecting the certificate in service properties for configuring ADFS for Office 365

Specify Service Account. ドメインユーザーアカウントまたはグループを指定します。この例では、2番目のオプションが選択されています: Use an existing domain user account or group. クリック Select 管理者権限を持つアカウントを選択する(特別な adfssrv (このチュートリアルの冒頭でアカウントが作成されました)。

Office 365 ADFS setup – selecting a user with administrative permissions

Specify Database. この手順では、Active Directory Federation Service (ADFS) の構成データを保存するデータベースを指定する必要があります。小規模な組織やADFS環境では、内部データベースを使用できます。大規模なADFS展開では、MS SQL Serverデータベースの使用が推奨されます。この例では、最初のオプションを選択します:

このサーバー上で、Windows 内部データベースを使用してデータベースを作成します.

Office 365 ADFS setup – using Windows Internal Database

Review Options. 選択肢を確認してください。クリックして View script そして、設定スクリプトを保存します。これは、複数のActive Directory Federation Serverを展開する場合に役立ちます。

Review ADFS options

Prerequisite Checksシステムが設定パラメータを確認します。すべてが正しい場合、"すべての前提条件チェックに合格しました"というメッセージが表示されます。クリックしてください Configure インストールを開始します。Office 365 ADFS のセットアップが完了するまでお待ちください。

Office 365 ADFS setup – passing prerequisite checks

Results. インストールが正常に完了すると、次のようなメッセージが表示されます: このサーバーの設定は正常に完了しました. ウィザードを閉じることができます。

ADFS configuration results

PowerShell を管理者として実行し、次のコマンドを実行します:

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

以下を確認することができます EnableIdpInitiatedSignonPage パラメータと Get-AdfsProperties コマンド。

以下のリンクのいずれかを使用して、WebブラウザでADFSのログインページをテストできます:

https://win2016dc.officedomain.net/adfs/ls/IdpInitiatedSignon.aspx

https://win2016dc.officedomain.net/adfs/ls/idpinitiatedsignon.htm

ドメイン名を変更する (win2016dc.officedomain.net) 設定に応じて、これらのリンクに自社サイトのURLを入力してください。後でそのWebページをカスタマイズし、例えば自社のコーポレートデザインを適用することも可能です。

ドメインユーザーが手動でパスワードを入力する必要がないように、グループポリシーで(上記のリンク先の)自社サイトを"信頼済みサイト"に追加してください。

Azure AD Connect の使用

Azure AD Connect は、オンプレミスの Active Directory インフラストラクチャをクラウド上の Azure Active Directory に接続するための Microsoft のツールです。混合環境における認証と承認は、"ハイブリッド ID"とも呼ばれます。Azure AD Connect をインストールすると、SSO および AD 同期を可能にするコンポーネントがインストールされます。

以下のリンクから Azure AD Connect をダウンロードしてください:

https://www.microsoft.com/en-us/download/details.aspx?id=47594

PowerShell を使用して Azure Active Tenant に接続できるツールをダウンロードできます。

Microsoft Online Services Sign-In Assistant for IT Professionals RTW:

https://www.microsoft.com/en-us/download/details.aspx?id=41950

Windows PowerShell 用 Windows Azure Active Directory モジュール:

https://www.powershellgallery.com/packages/MSOnline/1.1.166.0

Azure AD Connect をインストールし、Azure AD Connect ウィザードを実行します。以下の設定を行います:

Connect to Azure ADAzure AD の認証情報を入力してください。

Connect to AD DS. Active Directory ドメイン サービスのエンタープライズ管理者の認証情報を入力してください。(例: officedomain.net 管理者)

Configure. チェックボックスにチェックを入れることができます: 設定が完了したら、同期プロセスを開始してください

ヒット Install.

設定が完了したら、[Enter] キーを押してください Exitこれで、オンプレミスのActive Directoryユーザーの詳細を Azure Portal > Azure Active Directory.

その後、ドメイン内の他のマシンに Office 365 ProPlus をインストールできます。インストール手順については、 リモートデスクトップサービスサーバーに Office 365 ProPlus をインストールする方法. XML設定では、ドメインユーザーがアクセス可能な共有フォルダーを使用してください。Office 365のインストールとOffice 365 ADFSの設定が完了すると、Windowsドメインの認証情報(ADFSサーバー経由)を使用して、シングルサインオンパスワードでOffice 365アカウントにサインインできるようになります。

結論

このブログ記事では、組織のユーザーがフェデレーテッド ID 管理による認証でシングルサインオン(SSO)を利用できるようにするための、Microsoft Office 365 ADFS の設定について解説します。その仕組みは、組織の Active Directory ドメインにユーザーを一度作成し、Azure クラウドとオンプレミスの Active Directory を同期させることで、Office 365 アプリケーション向けの SSO を実現するというものです。 設定において最も重要な手順の 1 つは、Active Directory Federation Services(ADFS)の設定用証明書を生成することです。Office 365 用の ADFS を設定した後、オンプレミス環境とクラウド環境を同期させ、ハイブリッド ID 環境を確保するために、Azure AD Connect をインストールする必要があります。

1年間の無料データ保護: NAKIVO Backup & Replication

1年間の無料データ保護: NAKIVO Backup & Replication

2分で導入でき、仮想環境、クラウド、物理環境、SaaSのデータを保護します。バックアップ、レプリケーション、即時復旧のオプションをご用意しています。

無料版を入手する

People also read

Picture
VMware vSphere 6.7 および 7.0 における仮想ボリューム(vVol)の概要
Picture
サイバー犯罪におけるAI:新たな脅威に直面した際のデータ保護策
Picture
VirtualBoxのネットワーク設定:完全ガイド