Microsoft 365 連携:SSO を無効化する
最終更新日:2023/07/31
はじめに
- SSO 無効化作業を実施いただくにあたり、こちらを必ずご確認ください。
- SSO 無効化作業を実施するデバイスに PowerShell がインストールされている必要があります。未インストールの場合には Microsoft 365 連携:SSO を有効にする「事前準備:Microsoft Graph PowerShell SDK をインストールする」をご参考下さい。
SSOを無効にする
- Powershell を起動して下記のコマンドを実行します。
Connect-MgGraph -Scopes "Domain.ReadWrite.All","Directory.AccessAsUser.All" -ErrorAction Stop
- 「グローバル管理者権限」を持つMicrosoft 365アカウント(@xxx.onmicrosoft.com)を入力して Entra ID(旧 Azure AD) にログインします。
※本画面が表示されない場合、以前に同様の作業が実施されており、その際の認証が切断されていなかった可能性があります。次のステップに進んで問題ありませんが、すべての作業が完了したら Entra ID から切断 するようお願いします。
- 下記のコマンドの 対象ドメイン を、SSO 無効化するカスタムドメインに書き換えた上で実行します。この作業が完了すると SSO が無効化されます。
Update-MgDomain -DomainId "対象ドメイン" -AuthenticationType "Managed"
SSO が無効化されているか確認する
-
下記のコマンドを実行し、表示された画面で対象のドメインの AuthenticationType 項目が「Managed」の状態であれば、シングルサインオンの無効化設定が完了しています。
Get-MgDomain
- Microsoft 365 ログイン画面(例:https://www.office.com/loginont)を開きます。Microsoft 365 ログイン画面に カスタムドメインのメールアドレスを入力して[次へ]をクリックした後、続けてCloudGate UNOに遷移せずMicrosoft 365のパスワード入力画面に遷移すれば作業に問題はありません。
1. で「Managed」と表示されていても、2. でCloudGate UNOに遷移する場合があります。ご利用の Microsoft 365 環境全体に設定が反映されていない可能性がありますので、時間を置いて再度 2. をお試しください。
Microsoft 365 アカウントに対し仮パスワードを設定する
Entra ID Connect にてパスワード同期を有効に設定している場合は、本作業は不要です(コマンドを実行しても動作しません)。Entra ID から切断 して作業を終了してください。
SSO 有効化中に作成された Microsoft 365 アカウントにはパスワードが設定されておらず、SSO 有効化前に作成された Microsoft 365 アカウントであってもパスワードは忘れてしまっていることが想定されます。
下記は、対象ドメイン の全ユーザーに対して 仮パスワード を設定するコマンドです。それぞれ書き換え、Powershell に認証済みである状態で、1行ずつ入力・実行します。
$params = @{
PasswordProfile = @{
ForceChangePasswordNextSignIn = $True
Password = "仮パスワード"
}
}
Get-MgUser -All | where { ($_.userprincipalname-like"*@対象ドメイン")} | ForEach-Object {Update-MgUser -UserId $_.id -BodyParameter $params}
本作業完了後、各ユーザーは Microsoft 365 ログインする際、パスワード変更を要求されます。
Entra ID から切断する(推奨)
「グローバル管理者権限」を持つ Microsoft 365 アカウントで Entra ID にログインしている状態は維持されてしまうようですので、作業の都度切断していただくことを強く推奨します。
切断するには下記のコマンドを実行します。
Disconnect-MgGraph