エラーメッセージ
401 Unauthorizedエラーは、エラーメッセージの内容がさまざまに異なります。最も一般的なエラーメッセージについて、その一部を以下に示します。ここに示す以外のエラーメッセージが表示された場合は、サポートにお問い合わせください。
Your migration failed while checking destination credentials. Http POST request to 'autodiscover-s.outlook.com' failed - 401 Unauthorized (移行先の資格情報を確認できませんでした。「autodiscover-s.outlook.com」へのHttp POSTリクエストが失敗しました - 401 Unauthorized):構成されたメールボックスへのアクセスに使用される資格情報が無効である、または、指定された資格情報が構成されたメールボックスへのアクセス権を有していない、あるいは、リソースが過剰に使用されている可能性があります。
DatabaseNotFoundException - 401 Unauthorized - Http POST request to 'autodiscover-s.outlook.com' failed (DatabaseNotFoundException - 401 Unauthorized -「autodiscover-s.outlook.com」へのHttp POSTリクエストが失敗しました):MigrationWizは、メールデータベースを特定/アクセスすることができませんでした。
401 Unauthorized - Http POST request to 'autodiscover-s.outlook.com' failed - Basic Auth Disabled (401 Unauthorized -「autodiscover-s.outlook.com」へのHttp POSTリクエストが失敗しました - 基本認証が無効です):MigrationWizは、テナントの基本認証が有効になっていないことを検知しました。
解決策
401 Unauthorizedは一般的なエラーの1つであり、エンドポイントのさまざまな問題に起因して発生します。最も一般的な例と、その推奨される解決策を以下に示します。ここに示す以外にもさまざまな事例があり、また、移行元や移行先の環境に起因するエラーの場合もありますので、ご注意ください。
401 Unauthorizedエラーは、Microsoft 365またはオンプレミスExchangeの移行で最もよく発生します。エラー メッセージ自体から、エラーの原因が移行元環境と移行先環境のどちらにあるのかを判断することができます。
401 Unauthorizedエラーのトラブルシューティング
401 Unauthorizedは認証エラーであり、一般的に、MigrationWizがエンドポイントの管理者資格情報またはエンドユーザーの資格情報を使用して、指定された環境に接続することができない場合に発生します。次の手順を実行することにより、このエラーの最も一般的な原因を確認することができます。
トラブルシューティングの手順
- MigrationWizプロジェクトのラインアイテム(ユーザー)のエラー履歴を確認して、認証に失敗したエンドポイントを特定します。多くの場合、エラー メッセージ自体に、移行元と移行先のどちらに問題があるのかが記載されていますが、左下隅のボックス内にも、エラーの発生場所が表示されます。
- エンドポイントの管理者情報とパスワードを使用して、エンドポイント環境にログインします。
- この時、入力内容に間違いがないかどうかを確認します。ユーザー名とパスワード以外の要件が、エラーの発生原因となる場合があります。
- ログイン時に問題が見つからない場合は、管理者アカウントに必要な権限が付与されているかどうかを確認します。
- 両方のエンドポイントへのログインが成功するにもかかわらず、移行が引き続き失敗する場合は、EWS URLを使用してログインを試みます (例:https://webmail.sample.com/EWS/Exchange.asmx)。また、Microsoftの接続アナライザーを使用してEWSアクセスをテストすると、多くの場合、正確な障害発生箇所が明らかになります。
Microsoft 365で新しくアカウントを作成した場合は、そのアカウント/メールボックスが完全にプロビジョニングされるまでに、最大24時間かかる場合があります。この間、Microsoft 365 UI内ではすべてが正常に表示されることがありますが、MigrationWizからのプログラムによるアクセスは、引き続き失敗します。
ユーザー名および/またはパスワードが正しくない
401 Unauthorizedエラーの最も一般的な原因の1つは、ユーザー名またはパスワード(あるいは両方)が、プロジェクトに正しく入力されていないことです。これは、入力ミスや、パスワードが最近変更されたことが原因である可能性があります。これを確認する最善の方法は、入力した資格情報を使用して、その環境へのログインを試みることです。正常にログインできる場合は、エンドポイントの設定で、その環境へのログインに使用したものとまったく同じユーザー名とパスワードを再入力します。
エンドポイントの設定を更新するには、「プロジェクトの編集」をクリックし、ドロップダウンリストから「プロジェクトの編集」を選択して、「移行元の設定」または「移行先の設定(DESTINATION SETTINGS)」タブを選択します。各設定画面で、「エンドポイントの編集(Edit endpoint)」をクリックします。
エンドユーザーの資格情報を使用している場合は、プロジェクトのユーザーリストで、該当するユーザーの横にある鉛筆アイコンをクリックして、資格情報を確認および編集することができます。
ログイン時の予期しない入力
環境にログインする際は、入力要件に注意してください。ログイン時は、ユーザー名とパスワードのみの入力を求めるプロンプトが表示されます。MigrationWizは、ユーザー名とパスワード以外の入力要件をサポートしていないため、他の要件がある場合は、401 Unauthorizedエラーが発生します。
他の要件には、次のようなものがあります:
- 2要素認証または多要素認証:MigrationWizは、2要素認証または多要素認証が有効になっているアカウントに接続することはできません。
- 期限切れのパスワードまたはパスワード変更の要求:MigrationWizは、パスワードの更新や変更のような環境の変更を行うことができないため、これらの要件がある場合は、移行が失敗します。
- アカウントの選択を求めるプロンプト:同じログインに、異なるアカウント(職場、自宅、学校のアカウントなど)を使用することが可能です。ログインするアカウントを選択するよう求めるプロンプトが表示された場合、401 Unauthorizedエラーが発生することがあります。
Azureのデフォルトのセキュリティ設定
まれに、前段階移行(Pre-Stage Migration)または完全移行(Full Migration)の実行後、数日経過してから401 Unauthorizedエラーが発生することがあります。これは、2要素認証を求めるデフォルトのセキュリティポリシーが起動し、サーバーが認証に失敗したためです。
移行のセットアップ中に移行先のMicrosoft 365管理ポータルにログインすると、2要素認証をセットアップするよう求めるポップアップが表示されます。これをスキップして、2要素認証なしで続行することも可能ですが、その場合の有効期間は14日のみとなります。14日経過後に移行プロジェクトを実行すると、資格情報の検証が失敗し、エラーが発生します。
これを解決するには、以下の手順に従って、「セキュリティの既定値群の有効化(Enable Security Defaults)」オプションを無効にし、MigrationWizサーバーが2要素認証のセットアップを要求されることなく認証を行うことができるようにします。
セキュリティの既定値群を無効にするには
- https://portal.azure.comにアクセスし、移行先の管理者アカウントとパスワードを使用して、Azureにログインします。
- 左上隅の「メニュー」アイコンをクリックします。
- 「Azure Active Directory」をクリックします。
- 「プロパティ」をクリックします。
- 「Azureリソースのアクセス管理」が「いいえ」に設定されていることを確認します。
- 「セキュリティの既定値群の管理」をクリックし、「セキュリティの既定値群の有効化」を「いいえ」に設定します。
- 設定を保存して、ログオフします。
- ユーザーの資格情報の検証(Verify Credentials)を再度実行します。
不十分な権限
移行に管理者ログインを使用しており、資格情報が正しいことを確認済みであるにもかかわらず、引き続き401 Unauthorizedエラーが発生する場合は、管理者アカウントの権限を調べる必要があります。
MigrationWiz - アクセス権限の要件の記事を参照し、手順に従ってください。これにより、問題が解決するはずです。偽装を使用している場合は、Microsoft 365とExchangeの移行におけるMigrationWizの偽装と委任(MigrationWiz Impersonation and Delegation for Microsoft 365 & Exchange Migrations)の記事を参照し、手順を実行してください。
基本認証が無効になっている
基本認証が無効になっている場合、MigrationWizの資格情報を使用してOWAにログインすることはできますが、MigrationWizではエラーが発生します。
原因
この問題は、先進認証が原因である可能性があります。テナントの基本認証が無効になっている場合は、それを有効にするか(下記の手順を参照してください)、Microsoft 365(全製品)の移行における認証方法の手順に従って、先進認証を有効にする必要があります。先進認証は、メールボックス移行でのみ機能します。その他の移行タイプでは、接続に先進認証を使用することはできません。
解決策
EWSで権限を確認するには、次のリモートPowerShellコマンドを実行します:
- $cred = Get-Credential
- $session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.outlook.com/powershell/ -Credential $cred -Authentication Basic -AllowRedirection
- Import-PSSession $session
Powershellで次のコマンドを使用して、関連付けられたアカウントでEWSの基本認証が有効になっていることを確認します:
- Get-User -Identity "admin_or_user@domain.com" | fl *auth*
- Get-OrganizationConfig | fl *defaultauth* | fl Oauth*
Powershellを介してEWSの基本認証を有効にする
New-AuthenticationPolicy -Name "Enable Basic Auth for EWS"
Set-AuthenticationPolicy -Identity "Enable Basic Auth for EWS" -AllowBasicAuthWebServices -AllowBasicAuthOutlookService -AllowBasicAuthAutodiscover
Set-User -Identity "admin_or_user@domain.com" -AuthenticationPolicy "Enable Basic Auth for EWS"
(「admin_or_user@domain.com」を自分のアドレスに置き換えます。このサンプルアドレスでは成功しません。)- ユーザーに割り当てる認証ポリシーを作成または変更する場合、あるいは、Microsoft 365でポリシーを更新する場合、デフォルトでは、その変更がテナントにレプリケートされるのに、最大24時間かかる場合があります。ポリシーを30分以内に有効にしたい場合は、次の構文を使用します:
Set-User -Identity "admin_or_user@domain.com" -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow)
- 任意:
Set-OrganizationConfig -DefaultAuthenticationPolicy "Enable Basic Auth for EWS".
これは、エンド ユーザーの資格情報を使用している場合にのみ、必要になります。このコマンドは、テナント全体の基本認証を有効にします。移行が完了したら、すぐに元に戻す必要があります。
AAD Connectを使用してメールボックスを作成する場合
AAD ConnectまたはAAD Syncを使用して、移行先にメールボックスを作成する場合、メールボックスが正しく作成されなかったり、MigrationWizからの接続に必要な設定が含まれていないことがあります。
確認手順
- Microsoft 365 OWAポータルに、メールボックスユーザーとしてログインします。
- ユーザーがAAD Connect状態であること (管理 > ユーザー > アクティブなユーザー > ユーザーを開く > メール設定に進み、「ユーザーメールボックスが移行されていません」と表示されていること) を確認します。ADD Connect状態でない場合、メールボックスは、プロビジョニング時にインスタンス化されません。この場合、Microsoftに問い合わせるか、オブジェクトを再作成してください。
原因
原因は、次のいずれかです:
- メールボックスがインスタンス化されていない(AAD Connect GUIDがNULLに設定されていない)。
あるいは
- メールボックスが完全にプロビジョニングされていない、または、テナント内で破損している。
解決策
- 上記の1については、MigrationWiz用のAzure(Azure for MigrationWiz)を参照して、必要な設定を行います。
- 上記の2については、Microsoft 365でメールボックスオブジェクトまたはユーザーを削除し、再作成します。
OneDriveの移行
OneDriveでユーザーのプロビジョニングが行われなかった場合、401 Unauthorizedエラーが発生することがあります。
- Microsoft 365でユーザーを作成し、OneDrive for Businessを含むライセンスを割り当てます。詳細な手順については、Microsoftの記事、ユーザーを追加して同時にライセンスを割り当てるを参照してください。
- 特権管理者権限を設定します。以下に示す権限レベルのいずれかを付与します。
- グローバル管理者。グローバル管理者の権限を設定する手順については、次のMicrosoftのガイドを参照してください: 管理者ロールを割り当てる。
- サイトコレクション管理者。サイトコレクション管理者の権限およびプロジェクトの設定については、MigrationWiz - アクセス権限の要件を参照してください 。
上記の手順を実行すると、指定したユーザーがMicrosoft 365管理センターに表示されます。ユーザーアカウントを完全にプロビジョニングするには、最大24 時間かかる場合があります。
401 Unauthorizedエラーの原因が移行元のOneDriveにある場合は、ユーザーがブロックまたは無効化されていないこと、そのユーザーに移行元テナントのOneDriveを使用するライセンスが付与されていること、および、最近そのユーザーによるOneDriveへのログインがあったことを確認します。
リソースの過剰使用
これは、古いサーバーでよく発生するエラーです。資格情報が適切に機能していることが確認されていても、Exchange 2010、Lotus Notes、または別の古いシステムなどのプラットフォーム上では、現在の移行に必要なリソースが不足し、エラーが発生する場合があります。
リソースの使用率を確認するには、まず、ドメインに参加していないシステムの外部ネットワークからOWA URLを開きます。OWAが適切な時間内にロードされる場合は、サーバーリソースを確認します:
- サーバーのCPU使用率を確認します。
- メモリ使用量を確認します。
- パフォーマンスモニターを使用して、ディスクI/O使用量を確認します。
- ネットワークリソースの過剰使用をチェックします。
- 同時に移行するメールボックスの数を減らして、再試行します。