次の方法で共有

Microsoft Entra IDを使用して SharePoint Server で OIDC 認証を設定する

  • [アーティクル]

適用対象:no-img-132013 no-img-162016 no-img-192019 yes-img-seSubscription Edition no-img-sopSharePoint in Microsoft 365

前提条件

Microsoft Entra IDで OpenID Connect (OIDC) を構成する場合は、次のリソースが必要です。

  1. SharePoint Server サブスクリプション エディション (SPSE) ファーム

  2. M365 テナントのグローバル管理者ロールのMicrosoft Entra

この記事では、OIDC セットアップに次の値の例Microsoft Entra使用します。

リンク
SharePoint サイトの Uniform Resource Locator (URL) https://spsites.contoso.local/
OIDC サイト URL https://sts.windows.net/<tenantid>/
OIDC 認証エンドポイントのMicrosoft Entra https://login.microsoftonline.com/<tenantid>/oauth2/authorize
OIDC RegisteredIssuerName URL のMicrosoft Entra https://sts.windows.net/<tenantid>/
OIDC SignoutURL のMicrosoft Entra https://login.microsoftonline.com/<tenantid>/oauth2/logout
ID 要求の種類 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
Windows サイト コレクション管理者 contoso\yvand
フェデレーション サイト コレクション管理者のEmail値 yvand@contoso.local

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 アクセス許可の低いアカウントを使用すると、組織のセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急時に限定する必要があります。

手順 1: ID プロバイダーをセットアップする

次の手順を実行して、Microsoft Entra IDを使用して OIDC を設定します。

  1. Entra ID 管理ポータルを参照し、グローバル管理者ロールを持つアカウントでサインインします。

  2. [アプリケーション] で、[アプリの登録] を選択します。

  3. [新規登録] を選択します。

  4. [アプリケーションの 登録 ] ページ https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/RegisteredAppsに移動します。

  5. [ リダイレクト URI ] セクションで、[プラットフォーム] として [Web] を選択し、SharePoint Server Web アプリケーション URL を入力します (例: https://spsites.contoso.local/ して [登録] を選択します)。

    アプリケーションを登録する

  6. テナント ID は後続の手順で使用されるため、 ディレクトリ (テナント) ID の値を保存します。 また、SharePoint セットアップで DefaultClientIdentifier として使用するアプリケーション (クライアント) ID も保存します。

    アプリケーションの保存

  7. アプリケーションを登録したら、[認証] タブに移動し、[ID トークンチェック] ボックスを選択し、[保存] を選択します

    ID トークンを有効にする

  8. [API のアクセス許可] タブに移動し、[アクセス許可の追加] を選択します。 [Microsoft Graph]、[委任されたアクセス許可] の順に選択します。[メールプロファイルの追加] アクセス許可を選択し、[アクセス許可の追加] を選択します。

    API のアクセス許可

  9. [ トークン構成 ] タブに移動し、[ オプションの要求の追加] を選択します。 トークンの種類 (ID、Access、SAML) ごとに、 電子メールおよび upn 要求を 追加します。

  10. [ トークンの構成 ] タブで、[ グループ要求の追加] を選択します。 セキュリティ グループが最も一般的ですが、選択するグループの種類は、SharePoint Web アプリケーションへのアクセスを許可するために使用するグループの種類によって異なります。 詳細については、「グループの省略可能な要求を構成する」および「Microsoft Entra IDを使用してアプリケーションのグループ要求を構成する」を参照してください。

    トークンの構成

  11. [ マニフェスト ] タブに移動し、[Microsoft Graph アプリ マニフェスト] で redirectUris の値を https://spsites.contoso.local/ から https://spsites.contoso.local/* に変更します。 その後、[保存] を選択します。 redirectUriSettings の下に一覧表示されている "uri" 値に対して同じ操作を行い、もう一度 [保存] を選択します。

    マニフェストを編集する方法を示すスクリーンショット

手順 2: SharePoint ファームのプロパティを変更する

この手順では、SharePoint Server ファームのバージョンに基づいて SharePoint Server ファームのプロパティを変更する必要があります。

SharePoint Server サブスクリプション エディションバージョン 24H1 以降のバージョンを早期リリース機能の基本設定で構成する

SharePoint Server サブスクリプション エディション バージョン 24H1 (2024 年 3 月) 以降、SharePoint ファームが早期リリース機能優先用に構成されている場合は、SharePoint 証明書管理を使用して非ce Cookie 証明書を管理することで SharePoint Server ファームのプロパティを構成できます。 nonce Cookie 証明書は、OIDC 認証トークンがセキュリティで保護されるようにするためのインフラストラクチャの一部です。 次の PowerShell スクリプトを実行して構成します。

重要

このスクリプトを使用するには、上記のように SharePoint ファームを早期リリースに設定する必要があります。 そうでない場合、スクリプトはエラーなしで完了しますが、$farmの呼び出しです。UpdateNonceCertificate() は何も行いません。 ファームを早期リリース用に構成しない場合は、代わりに バージョン 24H1 より前の SPSE の構成手順を使用する 必要があります。

注:

ファーム管理者として SharePoint 管理シェルを起動して、次のスクリプトを実行します。 次の PowerShell スクリプトに記載されている手順をよくお読みください。 特定の場所に独自の環境固有の値を入力する必要があります。

# Set up farm properties to work with OIDC

# Create the Nonce certificate
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"

# Import certificate to Certificate Management
$certPath = "<path and file name to save the exported cert.  ex: c:\certs\nonce.pfx>"
$certPassword = ConvertTo-SecureString -String "<password>" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath $certPath -Password $certPassword
$nonceCert = Import-SPCertificate -Path $certPath -Password $certPassword -Store "EndEntity" -Exportable:$true

# Update farm property
$farm = Get-SPFarm 
$farm.UpdateNonceCertificate($nonceCert,$true)

バージョン 24H1 より前のSharePoint Server サブスクリプション エディションを構成する

24H1 (2024 年 3 月) の更新前に、Nonce Cookie 証明書を手動で管理する必要があります。 これには、ファーム内の各サーバーに手動でインストールし、秘密キーに対するアクセス許可を設定することが含まれます。 これを実現するには、次の PowerShell スクリプトを使用できます。

注:

ファーム管理者として SharePoint 管理シェルを起動して、次のスクリプトを実行します。 次の PowerShell スクリプトに記載されている手順をよくお読みください。 特定の場所に独自の環境固有の値を入力する必要があります。

# Set up farm properties to work with OIDC
$cert = New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Provider 'Microsoft Enhanced RSA and AES Cryptographic Provider' -Subject "CN=SharePoint Cookie Cert"
$rsaCert = [System.Security.Cryptography.X509Certificates.RSACertificateExtensions]::GetRSAPrivateKey($cert)
$fileName = $rsaCert.key.UniqueName

# If you have multiple SharePoint servers in the farm, you need to export the certificate by Export-PfxCertificate and import the certificate to all other SharePoint servers in the farm by Import-PfxCertificate. 

# After the certificate is successfully imported to SharePoint Server, we will need to grant access permission to the certificate's private key.

$path = "$env:ALLUSERSPROFILE\Microsoft\Crypto\RSA\MachineKeys\$fileName"
$permissions = Get-Acl -Path $path

# Replace the <web application pool account> with the real application pool account of your web application
$access_rule = New-Object System.Security.AccessControl.FileSystemAccessRule(<Web application pool account>, 'Read', 'None', 'None', 'Allow')
$permissions.AddAccessRule($access_rule)
Set-Acl -Path $path -AclObject $permissions

# Then update farm properties
$farm = Get-SPFarm
$farm.Properties['SP-NonceCookieCertificateThumbprint']=$cert.Thumbprint
$farm.Properties['SP-NonceCookieHMACSecretKey']='seed'
$farm.Update()

重要

秘密キーを含む nonce Cookie 証明書は、ファーム内のすべての SharePoint サーバーにインストールする必要があります。 また、秘密キーへのアクセス許可は、各サーバーの Web アプリケーション プール サービス アカウントに付与する必要があります。 この手順を完了しないと、OIDC 認証エラーが発生します。 上記の PowerShell の例を使用して、秘密キー ファイルに対するアクセス許可を設定して、それが正しく実行されていることを確認することをお勧めします。

手順 3: ID プロバイダーを信頼するように SharePoint を構成する

この手順では、SharePoint が OIDC プロバイダーとして OIDC Microsoft Entra信頼する必要がある構成を格納するSPTrustedTokenIssuerを作成します。

次のいずれかの方法で、ID プロバイダーを信頼するように SharePoint を構成できます。

  • メタデータ エンドポイントを使用してMICROSOFT ENTRA IDを OIDC プロバイダーとして信頼するように SharePoint を構成します。
    • メタデータ エンドポイントを使用すると、必要ないくつかのパラメーターがメタデータ エンドポイントから自動的に取得されます。
  • MICROSOFT ENTRA IDを OIDC プロバイダーとして手動で信頼するように SharePoint を構成します。

注:

手動の構成手順またはメタデータ エンドポイントの手順に従いますが、両方に従う必要はありません。
メタデータ エンドポイントを使用することをお勧めします。これはプロセスを簡略化するためです。

メタデータ エンドポイントを使用してMicrosoft Entra IDを信頼するように SharePoint を構成する

SharePoint Server サブスクリプション エディションでは、信頼された ID トークン発行者の作成時に OIDC メタデータ検出機能の使用がサポートされるようになりました。

Microsoft Entra IDでは、OIDC 検出エンドポイントには 2 つのバージョンがあります。

  • V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
  • V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

重要

現在、SharePoint Server では、信頼された ID トークン発行者の作成に使用される場合にのみ v1.0 メタデータ エンドポイントがサポートされます。 次の PowerShell スクリプトの例では、V1.0 エンドポイントを使用します。

OIDC ID プロバイダーによって提供されるメタデータ エンドポイントを使用する場合、一部の構成は OIDC プロバイダーメタデータ エンドポイントから直接取得されます。これには、次のものが含まれます。

  1. 証明書
  2. 発行者
  3. 承認エンドポイント
  4. SignoutURL

これにより、OIDC トークン発行者の構成を簡略化できます。

次の PowerShell の例では、Microsoft Entra IDのメタデータ エンドポイントを使用して、OIDC Microsoft Entra信頼するように SharePoint を構成できます。

注:

次の PowerShell スクリプトに記載されている手順をよくお読みください。 特定の場所に独自の環境固有の値を入力する必要があります。 たとえば、 <tenantid> を独自のディレクトリ (テナント) ID に置き換えます。

# Define claim types
# In this example, we're using Email Address as the Identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Set the AAD metadata endpoint URL. Please replace <TenantID> with the value saved in step #3 in the Entra ID setup section  
$metadataendpointurl = "https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration"

# Please replace <Application (Client) ID> with the value saved in step #3 in the Entra ID setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ClaimsMappings $emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -DefaultClientIdentifier $clientIdentifier -MetadataEndPoint $metadataendpointurl -Scope "openid profile"
パラメーター 説明
名前 新しいトークン発行者に名前を付けます。
説明 新しいトークン発行者に説明を提供します。
ImportTrustCertificate OIDC 識別子から id_token を検証するために使用される証明書。
ClaimsMappings SPClaimTypeMapping オブジェクト。これは、id_tokenのどの要求が SharePoint の識別子と見なされているかを識別するために使用されます。
IdentifierClaim 識別子の種類を指定します。
DefaultClientIdentifier OIDC ID プロバイダーによって割り当てられる SharePoint サーバーの client_id を指定します。 これは、 id_tokenの aud 要求に対して検証されます。
MetadataEndPoint OIDC ID プロバイダーから既知のメタデータ エンドポイントを指定します。これを使用して、最新の証明書、発行者、承認エンドポイント、サインアウト エンドポイントを取得できます。

MICROSOFT ENTRA IDを OIDC プロバイダーとして手動で信頼するように SharePoint を構成する

手動で構成する場合は、いくつかの追加パラメーターを指定する必要があります。 OIDC 検出エンドポイントから値を取得できます。

Microsoft Entra IDには、OIDC 認証エンドポイントの 2 つのバージョンがあります。 したがって、OIDC 検出エンドポイントには、それぞれ 2 つのバージョンがあります。

  • V1.0: https://login.microsoftonline.com/<TenantID>/.well-known/openid-configuration
  • V2.0: https://login.microsoftonline.com/<TenantID>/v2.0/.well-known/openid-configuration

TenantID を、「手順 1: ID プロバイダーをセットアップする」で保存したディレクトリ (テナント) ID に置き換え、ブラウザーを介してエンドポイントに接続します。 次に、次の情報を保存します。

リンク
authorization_endpoint https://login.microsoftonline.com/<tenantid>/oauth2/authorize
end_session_endpoint https://login.microsoftonline.com/<tenantid>/oauth2/logout
発行者 https://sts.windows.net/<tenantid>/
jwks_uri https://login.microsoftonline.com/common/discovery/keys

jwks_uri (https://login.microsoftonline.com/common/discovery/keys) を開き、後で SharePoint セットアップで使用できるように、すべての x5c 証明書文字列を保存します。

検出キー

SharePoint 管理シェルをファーム管理者として起動し、上記で取得した値を入力した後、次のスクリプトを実行して信頼された ID トークン発行者を作成します。

注:

次の PowerShell スクリプトに記載されている手順をよくお読みください。 特定の場所に独自の環境固有の値を入力する必要があります。 たとえば、 <tenantid> を独自のディレクトリ (テナント) ID に置き換えます。

# Define claim types
# In this example, we're using Email Address as the identity claim.
$emailClaimMap = New-SPClaimTypeMapping -IncomingClaimType "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "Email" -SameAsIncoming

# Public key of the AAD OIDC signing certificate. Please replace <x5c cert string> with the encoded cert string which you get from x5c certificate string of the keys of jwks_uri from Step #1
$encodedCertStrs = @()
$encodedCertStrs += <x5c cert string 1>
$encodedCertStrs += <x5c cert string 2>
...
$certificates = @()
foreach ($encodedCertStr in $encodedCertStrs) {
     $certificates += New-Object System.Security.Cryptography.X509Certificates.X509Certificate2 @(,[System.Convert]::FromBase64String($encodedCertStr))
}

# Set the AAD OIDC URL where users are redirected to authenticate. Please replace <tenantid> accordingly
$authendpointurl = "https://login.microsoftonline.com/<tenantid>/oauth2/authorize"
$registeredissuernameurl = "https://sts.windows.net/<tenantid>/"
$signouturl = "https://login.microsoftonline.com/<tenantid>/oauth2/logout"

# Please replace <Application (Client) ID> with the value saved in step #3 in AAD setup section
$clientIdentifier = "<Application (Client)ID>"

# Create a new SPTrustedIdentityTokenIssuer in SharePoint
New-SPTrustedIdentityTokenIssuer -Name "contoso.local" -Description "contoso.local" -ImportTrustCertificate $certificates -ClaimsMappings emailClaimMap -IdentifierClaim $emailClaimMap.InputClaimType -RegisteredIssuerName $registeredissuernameurl -AuthorizationEndPointUri $authendpointurl -SignOutUrl $signouturl -DefaultClientIdentifier $clientIdentifier -Scope "openid profile"

ここでは、次 New-SPTrustedIdentityTokenIssuer パラメーターを使用して OIDC をサポートするように PowerShell コマンドレットを拡張します。

パラメーター 説明
名前 新しいトークン発行者に名前を付けます。
説明 新しいトークン発行者に説明を提供します。
ImportTrustCertificate OIDC 識別子から id_token を検証するために使用される X509 証明書の一覧をインポートします。 OIDC ID プロバイダー (IDP) が複数の証明書を使用して id_tokenにデジタル署名する場合は、これらの証明書をインポートし、SharePoint は、これらの証明書を使用して生成されたデジタル署名を照合して id_token を検証します。
ClaimsMappings SPClaimTypeMapping オブジェクト。これは、id_tokenのどの要求が SharePoint の識別子と見なされているかを識別するために使用されます。
IdentifierClaim 識別子の種類を指定します。
RegisteredIssuerName id_tokenを発行する発行者識別子を指定します。 これは、 id_tokenの検証に使用されます。
AuthorizationEndPointUrl OIDC ID プロバイダーの承認エンドポイントを指定します。
SignoutUrl OIDC ID プロバイダーのサインアウト エンドポイントを指定します。
DefaultClientIdentifier OIDC ID プロバイダーによって割り当てられる SharePoint サーバーの client_id を指定します。 これは、 id_tokenの aud 要求に対して検証されます。
ResponseTypesSupported このトークン発行者が受け入れる IDP の応答の種類を指定します。 id_tokencode id_tokenの 2 つの文字列を受け取ることができます。 このパラメーターが指定されていない場合は、既定で code id_token が使用されます。

手順 4: SharePoint Web アプリケーションを構成する

この手順では、前の手順で作成したSPTrustedIdentityTokenIssuerを使用して、SharePoint の Web アプリケーションを Microsoft Entra OIDC とフェデレーションするように構成します。

重要

  • SharePoint Web アプリケーションの既定のゾーンでは、Windows 認証が有効になっている必要があります。 これは、検索クローラーに必要です。
  • OIDC フェデレーションMicrosoft Entra使用する SharePoint URL は、Hypertext Transfer Protocol Secure (HTTPS) で構成する必要があります。

この構成は、次のいずれかの方法で実行できます。

  • 新しい Web アプリケーションを作成し、既定のゾーンで Windows 認証とMicrosoft Entra OIDC 認証の両方を使用する。
  • 既存の Web アプリケーションを拡張して、新しいゾーンMicrosoft Entra OIDC 認証を設定する。

新しい Web アプリケーションを作成するには、次の操作を行います。

  1. SharePoint 管理シェルを起動し、次のスクリプトを実行して新しい SPAuthenticationProviderを作成します。

    # This script creates a trusted authentication provider for OIDC

$sptrust = Get-SPTrustedIdentityTokenIssuer "contoso.local"
$trustedAp = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust

  2. 「SharePoint Server で Web アプリケーションを作成する」に従って、contoso.local で SharePoint - OIDC という名前の HTTPS/Secure Sockets Layer (SSL) を有効にする新しい Web アプリケーションを作成します。

  3. SharePoint サーバーの全体管理サイトを開きます。

  4. 作成した Web アプリケーションを選択し、リボンで [認証プロバイダー] を選択し、[既定] ゾーンのリンクをクリックして、[信頼された ID プロバイダー] として [contoso.local] を選択します。

    認証プロバイダー

  5. SharePoint サーバーの全体管理サイトで、[システム設定>代替アクセス マッピングの構成>Alternate Access Mapping Collection] に移動します。

  6. 新しい Web アプリケーションでディスプレイをフィルター処理し、次の情報が表示されることを確認します。

    新しい Web アプリケーション

既存の Web アプリケーションを拡張し、"contoso.local" 信頼されたプロバイダーを使用するように構成するには、次の操作を行います。

  1. SharePoint 管理シェルを起動し、PowerShell を実行して Web アプリケーションを拡張します。 次の例では、Web アプリケーションをイントラネット ゾーンに拡張し、認証に "Contoso.local" 信頼されたプロバイダーを使用するようにゾーンを構成します。

    注:

    これを機能させるには、ファームにインポートされた 'SharePoint OIDC サイト' という名前の有効な証明書が必要です。 詳細については、「 SSL 証明書管理操作 」を参照してください。

    # Get the trusted provider
$sptrust = Get-SPTrustedIdentityTokenIssuer "Contoso.local"
$ap = New-SPAuthenticationProvider -TrustedIdentityTokenIssuer $sptrust
# Get the web app
$wa = Get-SPWebApplication http://spsites
# Extend the web app to the "Intranet" zone using trusted provider (OIDC) auth and a SharePoint managed certificate called "SharePoint OIDC Site"
New-SPWebApplicationExtension -Identity $wa -Name "spsites" -port 443 -HostHeader 'spsites.contoso.local'-AuthenticationProvider $ap -SecureSocketsLayer -UseServerNameIndication -Certificate 'SharePoint OIDC Site' -Zone 'Intranet' -URL 'https://spsites.contoso.local'

  2. SharePoint サーバーの全体管理サイトで、[システム設定>代替アクセス マッピングの構成>Alternate Access Mapping Collection] に移動します。

  3. 拡張された Web アプリケーションで表示をフィルター処理し、次の情報が表示されることを確認します。

    SharePoint 管理サイト

手順 5: Web アプリケーションが SSL 証明書で構成されていることを確認する

OIDC 1.0 認証は HTTPS プロトコルでのみ機能するため、対応する Web アプリケーションで証明書を設定する必要があります。 まだ構成されていない場合は、次の手順を実行して証明書を設定します。

  1. サイト証明書を生成します。

    注:

    証明書を既に生成している場合は、この手順をスキップできます。

    1. SharePoint PowerShell コンソールを開きます。

    2. 次のスクリプトを実行して自己署名証明書を生成し、SharePoint ファームに追加します。

      New-SPCertificate -FriendlyName "Contoso SharePoint (2021)" -KeySize 2048 -CommonName spsites.contoso.local -AlternativeNames extranet.contoso.local, onedrive.contoso.local -OrganizationalUnit "Contoso IT Department" -Organization "Contoso" -Locality "Redmond" -State "Washington" -Country "US" -Exportable -HashAlgorithm SHA256 -Path "\\server\fileshare\Contoso SharePoint 2021 Certificate Signing Request.txt"
Move-SPCertificate -Identity "Contoso SharePoint (2021)" -NewStore EndEntity

      重要

      自己署名証明書は、テスト目的にのみ適しています。 運用環境では、代わりに証明機関によって発行された証明書を使用することを強くお勧めします。

  2. 証明書を設定します。

    次の PowerShell コマンドレットを使用して、証明書を Web アプリケーションに割り当てることができます。

    Set-SPWebApplication -Identity https://spsites.contoso.local -Zone Default -SecureSocketsLayer -Certificate "Contoso SharePoint (2021)"

手順 6: サイト コレクションを作成する

この手順では、2 人の管理者を持つチーム サイト コレクションを作成します。1 つは Windows 管理者、もう 1 つはフェデレーション (Microsoft Entra ID) 管理者です。

  1. SharePoint サーバーの全体管理サイトを開きます。

  2. [アプリケーション管理>サイト コレクションの作成>サイト コレクションの作成] に移動します。

  3. タイトル、URL を入力し、テンプレート Team Site を選択します。

  4. [プライマリ サイト コレクション管理者] セクションで、ブック アイコン People ピッカー (書籍) アイコンを選択して、[People ピッカー] ダイアログを開きます。

  5. [People ピッカー] ダイアログで、Windows 管理者アカウント (例: yvand) を入力します。

  6. 左側の一覧をフィルター処理し、[ 組織] を選択します。 出力例を次に示します。

    ユーザーを選択する

  7. アカウントに移動し、[ OK] を選択します

  8. [セカンダリ サイト コレクション管理者] セクションで、ブック アイコンを選択して、[People ピッカー] ダイアログを開きます。

  9. [People ピッカー] ダイアログで、Microsoft Entra管理者アカウントの正確な電子メール値を入力します (例: yvand@contoso.local)。

  10. contoso.local を選択して、左側の一覧をフィルター処理します。 出力例を次に示します。

    ユーザーの選択 2

  11. アカウントに移動し、[OK] を選択して [Peopleピッカー] ダイアログを閉じます。

  12. もう一度 [OK] を 選択してサイト コレクションを作成します。

サイト コレクションが作成されると、Windows またはフェデレーション サイト コレクション管理者アカウントを使用してサインインできるようになります。

手順 7: People ピッカーを設定する

OIDC 認証では、People ピッカーでは入力が検証されないため、スペルミスやユーザーが誤って間違った要求の種類を選択する可能性があります。 これは、カスタム要求プロバイダーを使用するか、SharePoint Server サブスクリプション エディションに含まれる新しい UPA でサポートされる要求プロバイダーを使用して対処できます。 UPA に基づく要求プロバイダーを構成するには、「先進認証用の拡張Peopleピッカー」を参照してください。