ADFS+Office365 フェデレーションドメイン登録時のトラブルシューティング(2)

前回の投稿で、Office365のシングルサインオン設定をテスト環境で何回も試すと、
次のような理由でトラブルに巻き込まれるという話をしました。

1. Office 365テナントに登録したオンプレミスの情報は
Office 365の中で既に使われているオンプレミスとして認識され、もう一度同じテストはできない

2. Office 365テナントに登録した会社のドメイン名は
Office 365の中で既に使われているドメインとして認識され、もう一度同じテストはできない

今回は、2.のケースについて紹介したいと思います。

■ ■ ■

Office365テナントに登録した会社のドメイン名は一度登録すると、その名前を他のテナントで使うことはできません。
下の図はOffice365テナントに登録されたドメインの一覧ですが、赤枠で囲まれているような感じで
会社のドメイン名を登録してしまうと、2.のケースに遭遇します。

remove-domain1

この問題を解決するには、既存のドメインを削除すればよいのですが、
ディレクトリ同期を行っていてユーザーやグループがOffice365に移行されているとドメインを削除することができません。

そのため、ドメインを削除するためには
事前にディレクトリ同期で移行したユーザーやグループを削除しておく必要があります。

ところが、ディレクトリ同期で移行したユーザーやグループはOffice365管理者ポータルから削除できないのです。
下図を見るとわかるように、nyamadaユーザーを選択しても[削除]リンクがグレーアウトしていることがわかります。

remove-user1

そこで、削除するときには、Windows PowerShell用Microsoft Online Servicesモジュールを使ってください。
Remove-MsolUserコマンドレットを使ってディレクトリ同期ユーザーを指定すれば、
下図のように、きれいにユーザーを削除できます。

remove-user2

また、グループを削除するときには、

Get-MsolGroup | Remove-MsolGroup -Force

と実行すると、全部まとめてグループを削除できます。
また、FIM(Forefront Identity Manager)をご存知の方であれば、
@genkiwさんがブログで書いてくださっているやり方も有効です。

ここまでの操作を行ったうえでもう一度ドメインを削除すれば、今度はドメインが削除できることを確認できます。

■ ■ ■

このように、Office 365でシングルサインオンを実現するために、フェデレーションドメインを登録する作業は
何回も気軽にテストできるものではありません。
Office365のテナントを用意して、インターネットドメインを用意して…
やることがたくさんあるので、私が登壇しているトレーニングコース
「ADFS2.0によるIDフェデレーションの実装」では必要な環境をすべて揃えてテストできるようになっていますので、
もしシングルサインオンのテストを行ってみたいときには活用してみるのもひとつの方法だと思います。