本記事に記載の内容は、
「AD同期 - Azure AD Connect によるフェデレーション解除 [パスワードハッシュ]」方法に関する内容となっています。
ADFSを利用しているが、サーバーメンテナンスや更改の手間を考え
構成を解除したいと考えている方が多くいるため記事にしました。
実際の作業を自身で行わないとしても、作業内容を把握しておくことで見えることがあると思うので
ぜひ、参考にしてくださいっ。
目次
Active Directory Federation Services (ADFS)によるフェデレーションを解除する
本手順は、Active Directory Federation Services 構成を
Azure AD Connect を利用して解除する手順になっています。
構成解除後は、Azure AD Connect によるパスワードハッシュ同期を行う手順です。
- Azure AD Connect サーバーに、オンプレミスADの[Domain Admin]アカウントでサインインします。
- [Azure AD Connect] を [管理者として実行]にて起動します。
![管理者として [Azure AD Connect] を実行](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAALcAAACXAQAAAAB/ufcEAAAAAnRSTlMAAHaTzTgAAAAaSURBVEjH7cExAQAAAMKg9U/taQmgAAAA4AYOKAABtEJQAQAAAABJRU5ErkJggg==)
- [Azure AD Connect へようこそ]画面が表示されるので、
[構成]をクリックします。
※クリック後は、本画面を閉じるまで同期が停止されます。
作業後は必ず、本画面を閉じましょう。![[Azure AD Connect へようこそ]画面が表示されるので、 [構成]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAroAAAHnAQAAAAB/fsMAAAAAAnRSTlMAAHaTzTgAAABASURBVHja7cEBAQAAAIIg/69uSEABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADnBqlPAAGWZ5W2AAAAAElFTkSuQmCC)
- [追加のタスク]画面にて、
[ユーザー サインイン]を選択して、[次へ]をクリックします。![[ユーザー サインイン]を選択して、[次へ]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApkAAAHWAQAAAAAUMq/bAAAAAnRSTlMAAHaTzTgAAAA9SURBVHja7cEBDQAAAMKg909tDwcUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAC8GpwOAAEmk4jSAAAAAElFTkSuQmCC)
- [Azure AD に接続]画面にて、
Microsoft 365 テナントの グローバル管理者アカウント の資格情報を入力して
[次へ] をクリックします。![Microsoft 365 テナントの グローバル管理者アカウント の資格情報を入力して [次へ] をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApgAAAHSAQAAAABgYYbzAAAAAnRSTlMAAHaTzTgAAAA9SURBVHja7cEBDQAAAMKg909tDjegAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIBXA5joAAEgn/i/AAAAAElFTkSuQmCC)
- [ユーザー サインイン]画面にて、
[パスワード ハッシュ同期] と [シングル サインオン] を選択して [次へ] をクリックします。![[パスワード ハッシュ同期] と [シングル サインオン] を選択して [次へ] をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApMAAAHQAQAAAADVSdwPAAAAAnRSTlMAAHaTzTgAAAA8SURBVHja7cExAQAAAMKg9U/tbwagAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIA3mEAAAXvk0ysAAAAASUVORK5CYII=)
- [シングル サインオンを有効にする]画面にて
[資格情報の入力] をクリックして
オンプレミスADの Domain Admin 権限を持つアカウントの資格情報を入力して[OK]をクリックします。![[資格情報の入力] をクリックして オンプレミスADの Domain Admin 権限を持つアカウントの資格情報を入力して[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApEAAAHQAQAAAADRvAwyAAAAAnRSTlMAAHaTzTgAAAA8SURBVHja7cExAQAAAMKg9U/tbwagAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIA3mEAAAXvk0ysAAAAASUVORK5CYII=)
- [資格情報の入力]の横に、緑色のチェックマークがついたことを確認し、
[次へ]をクリックします。![[資格情報の入力]の横に、緑色のチェックマークがついたことを確認し、 [次へ]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApIAAAHLAQAAAABTmkVpAAAAAnRSTlMAAHaTzTgAAAA8SURBVHja7cExAQAAAMKg9U9tCy+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHgblpwAAQmV5JQAAAAASUVORK5CYII=)
- [構成の準備完了]画面にて、構成内容を確認して問題が無ければ [構成]をクリックします。
![構成内容を確認して問題が無ければ [構成]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAApYAAAHQAQAAAAAzYBdLAAAAAnRSTlMAAHaTzTgAAAA8SURBVHja7cExAQAAAMKg9U/tbwagAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAIA3mEAAAXvk0ysAAAAASUVORK5CYII=)
- [構成が完了しました]画面にて、
'Active Directory のサインオン方式は パスワード ハッシュ同期'と記載されていることを確認して[終了] をクリックします。!['Active Directory のサインオン方式は パスワード ハッシュ同期'と記載されていることを確認して[終了] をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAo4AAAHPAQAAAAD1mWYZAAAAAnRSTlMAAHaTzTgAAAA7SURBVHja7cEBAQAAAIIg/69uSEABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAHBqWHQABmX3hfwAAAABJRU5ErkJggg==)
![管理者として [Azure AD Connect] を実行](https://kurataku.com/wp-content/uploads/2022/07/a7871b7e9cb1ffbdb79334a77647904a.png)
![[Azure AD Connect へようこそ]画面が表示されるので、 [構成]をクリック](https://kurataku.com/wp-content/uploads/2022/07/ed4b6d3d977d55ed54a47890d817d110.png)
![[ユーザー サインイン]を選択して、[次へ]をクリック](https://kurataku.com/wp-content/uploads/2022/07/776a906503c751de213f75c947bd0b69.png)
![Microsoft 365 テナントの グローバル管理者アカウント の資格情報を入力して [次へ] をクリック](https://kurataku.com/wp-content/uploads/2022/07/6bbe60952e942b5e3c38cbced380c7b8.png)
![[パスワード ハッシュ同期] と [シングル サインオン] を選択して [次へ] をクリック](https://kurataku.com/wp-content/uploads/2022/07/02b01f1a6dfadbdf4309ede1d5c750b1.png)
![[資格情報の入力] をクリックして オンプレミスADの Domain Admin 権限を持つアカウントの資格情報を入力して[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/07/22dcdf9127b8399b0bfba28323118eb9.png)
![[資格情報の入力]の横に、緑色のチェックマークがついたことを確認し、 [次へ]をクリック](https://kurataku.com/wp-content/uploads/2022/07/da673d51ce70ebca62b8eab44d208bf5.png)
![構成内容を確認して問題が無ければ [構成]をクリック](https://kurataku.com/wp-content/uploads/2022/07/2811363a6e3c91a0f9288a7e28a1484a.png)
!['Active Directory のサインオン方式は パスワード ハッシュ同期'と記載されていることを確認して[終了] をクリック](https://kurataku.com/wp-content/uploads/2022/07/4c512d841c518c7b0953a6914626f6d8.png)
ADFS 構成解除後のシームレスSSO 構成
シームレスSSOを行うために必要な、グループ ポリシーの設定手順になります。
- オンプレミス Active Directoryにて、[グループ ポリシーの管理]を開きます。
- グループポリシーを適用する[OU]を右クリックして、
[このドメインに GPO を作成し、このコンテナーにリンクする]をクリックします。![グループポリシーを適用する[OU]を右クリックして、 [このドメインに GPO を作成し、このコンテナーにリンクする]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAu4AAAISAQAAAAC7NncFAAAAAnRSTlMAAHaTzTgAAABISURBVHja7cGBAAAAAMOg+VNf4QBVAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAJ8BxK4AAXvlJmgAAAAASUVORK5CYII=)
- [新しい GPO]画面が表示されるので、
[名前]欄に、管理していくうえで分かりやすい名称を入力し[OK]をクリックします。![[名前]欄に、管理していくうえで分かりやすい名称を入力し[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAvAAAAIIAQAAAAAgHOejAAAAAnRSTlMAAHaTzTgAAABHSURBVHja7cExAQAAAMKg9U9tDB+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAlwHA+AABo2fIQQAAAABJRU5ErkJggg==)
- 以下か所に存在している、[サイトとゾーンの割り当て一覧]をダブルクリックします。
command コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Internet Explorer > インターネット コントロール パネル > セキュリティページ
- [表示するコンテンツ]にて、以下を入力します。
- 値の名前:"https://autologon.microsoftazuread-sso.com"
- 値:1
- 有効 を選択し、[OK]をクリックします。
![有効 を選択し、[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAqgAAAJ6AQAAAADMNY3VAAAAAnRSTlMAAHaTzTgAAABMSURBVHja7cExAQAAAMKg9U9tCj+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAICHAdT8AAGXAOBcAAAAAElFTkSuQmCC)
- 以下か所に存在している、[スクリプトを介したステータス バーの更新を許可する]をダブルクリックします。
command コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Internet Explorer > インターネット コントロール パネル > セキュリティページ > イントラネット ゾーン![[スクリプトを介したステータス バーの更新を許可する]をダブルクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAxIAAAIsAQAAAABOuKIPAAAAAnRSTlMAAHaTzTgAAABNSURBVHja7cExAQAAAMKg9U9tDB+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAACAtwHZMAAB4aDBugAAAABJRU5ErkJggg==)
- 有効 を選択し、[スクリプトを介したステータス バーの更新]も有効にします。
その後、[OK]をクリックします。![[スクリプトを介したステータス バーの更新]も有効にします。 その後、[OK]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAsAAAAKEAQAAAAAhnbE4AAAAAnRSTlMAAHaTzTgAAABOSURBVHja7cGBAAAAAMOg+VNf4QBVAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAMBn3+QAARtAqvsAAAAASUVORK5CYII=)
- Azure AD 認証が、シームレス シングル サインオン になっているか確認するため、
動作確認用 オンプレミス AD参加済みの Windows 端末にて、管理者権限でコマンドプロンプトを起動します。
- 起動したコマンドプロンプトにて、以下コマンドを実行します。
command gpupdate /force - Windows 端末を再起動し、
Microsoft Edge を起動し、Microsoft 365へアクセスします。 - ユーザーアカウントの入力画面が表示されるので、IDを入力します。
その後、パスワードが求められずに Microsoft 365 ページが表示されれば
シームレス シングル サインオン の構成が完了です。
![グループポリシーを適用する[OU]を右クリックして、 [このドメインに GPO を作成し、このコンテナーにリンクする]をクリック](https://kurataku.com/wp-content/uploads/2022/07/498416519c243c92aa710dae5657172a.png)
![[名前]欄に、管理していくうえで分かりやすい名称を入力し[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/07/1d026fd15aa066ad7f7fa036e7c5c3d0.png)
![有効 を選択し、[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/07/b7327033a73a9541f8c23ed14782f318.png)
![[スクリプトを介したステータス バーの更新を許可する]をダブルクリック](https://kurataku.com/wp-content/uploads/2022/07/bc832b18f7c8e52af3fb585fa023d8f1.png)
![[スクリプトを介したステータス バーの更新]も有効にします。 その後、[OK]をクリック](https://kurataku.com/wp-content/uploads/2022/07/9aa23d63c0b96b1feab29519e46ff950.png)
さいごに・・・
ここまで読んでいただきありがとうございます。
ADFS構成を解除したいけど、解除手順がイメージ出来ない方が多いと思います。
読んでいただいた結果から、解除手順をイメージして頂けるようになって頂けてれば嬉しいです。
手順は簡単ですが、実環境を見ないと確実に実施できるわけではないので、
リスクが無いかは、確認しておく必要がありますよ。
なお、Azure AD Connect について知りたい方は以下記事をご参照くださいっ。 続きを見る
AD同期 - Azure AD Connect 構成方法