Microsoft 365、Azure、または Intune にサインインすると、AD FS から証明書の警告が表示されます

問題

フェデレーション アカウントを使用して Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインしようとすると、ブラウザーの AD FS Web サービスから証明書の警告が表示されます。

原因

この問題は、証明書のテスト中に検証エラーが発生したときに発生します。

セキュリティで保護されたソケット層 (SSL) またはトランスポート層セキュリティ (TLS) セッションをセキュリティで保護するために証明書を使用する前に、証明書は次の標準テストに合格する必要があります。

• 証明書が有効な時間ではありません。 サーバーまたはクライアントの日付が証明書の 有効開始日 または発行日より前の場合、またはサーバーまたはクライアント上の日付が 有効 な日付または証明書の有効期限より後の場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、証明書が実際に期限切れになったか、アクティブになる前に適用されたかをチェックします。 次に、次のいずれかのアクションを実行します。

  • 証明書が実際に期限切れになった場合、またはアクティブになる前に適用された場合は、AD FS トラフィックの通信をセキュリティで保護するのに役立つ適切な配信日を持つ新しい証明書を生成する必要があります。
  • 証明書の有効期限が切れなかったか、アクティブになる前に適用されなかった場合は、クライアント コンピューターとサーバー コンピューターの時刻を確認し、必要に応じて更新します。

• サービス名の不一致。 接続の作成に使用する URL が、証明書を使用できる有効な名前と一致しない場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、次の手順に従います。

  1. 接続の確立に使用されるブラウザーのアドレス バーの URL を調べます。

     注:

     末尾の HTTP 構文 (/?request=..など) ではなく、サーバー アドレス (たとえば、sts.contoso.com) に焦点を当てます。

  2. エラーを再現した後、次の手順に従います。

     1. [証明書の表示] をクリックし、[詳細] タブをクリックします。手順 A の URL と、証明書の [プロパティ] ダイアログ ボックスの [サブジェクトの別名] フィールドを比較します。

        

     2. 手順 A で使用されているアドレスが一覧に表示されていないこと、またはこれらのフィールド内のエントリ、またはその両方と一致しないことを確認します。 この場合は、手順 A で使用したサーバー アドレスを含めるために証明書を再発行する必要があります。

• 証明書が信頼されたルート証明機関 (CA) によって発行されませんでした。 接続を要求しているクライアント コンピューターが、証明書を生成した CA チェーンを信頼していない場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、次の手順に従います。

  1. 証明書の警告を再生成し、[証明書の 表示 ] をクリックして証明書を確認します。 [ 認定パス ] タブで、上部に表示されているルート ノート エントリに注目してください。
  2. [ スタート] をクリックし、[ 実行] をクリックし、「 MMC」と入力して、[OK] をクリック します。
  3. [ ファイル] をクリックし、[ スナップインの追加と削除] をクリックし、[ 証明書] をクリックし、[ 追加] をクリックし、[ コンピューター アカウント] を選択し、[ 次へ]、[ 完了] の順にクリックし、[OK] をクリック します。
  4. MMC スナップインで[ コンソール ルート]、[ 証明書]、[ 信頼されたルート証明機関] の順に展開し、[ 証明書] をクリックして、手順 A でメモしたルート メモ エントリの証明書が存在しないことを確認します。

ソリューション

この問題を解決するには、警告メッセージに応じて、次のいずれかの方法を使用します。

方法 1: 有効な時間の問題

時間有効な問題を解決するには、次の手順に従います。

1. 適切な有効期間の日付で証明書を再発行します。 AD FS 用の新しい SSL 証明書をインストールして設定する方法の詳細については、「AD FS 2.0 サービス通信証明書の有効期限が切れた後に変更する方法」を参照してください。

2. AD FS プロキシが展開されている場合は、証明書のエクスポートとインポートの機能を使用して、AD FS プロキシの既定の Web サイトにも証明書をインストールする必要があります。 詳細については、「 デジタル証明書を削除、インポート、エクスポートする方法」を参照してください。

   重要

   秘密キーがエクスポートまたはインポート プロセスに含まれていることを確認します。 AD FS プロキシ サーバーまたはサーバーには、秘密キーのコピーもインストールされている必要があります。

3. クライアント コンピューターまたはすべての AD FS サーバーの日付と時刻の設定が正しいことを確認します。 オペレーティング システムの日付設定が正しくない場合、警告はエラーで表示され、Valid from と Valid torange の範囲外の値が誤って示されます。

方法 2: サービス名の不一致の問題

AD FS サービス名は、AD FS 構成ウィザードを実行するときに設定され、既定の Web サイトにバインドされている証明書に基づいています。 サービス名の不一致の問題を解決するには、次の手順に従います。

1. 交換証明書の生成に間違った証明書名が使用された場合は、次の手順に従います。

   1. 証明書名が正しいことを確認します。
   2. 正しい証明書を再発行します。 AD FS 用の新しい SSL 証明書をインストールして設定する方法の詳細については、「AD FS 2.0 サービス通信証明書の有効期限が切れた後に変更する方法」を参照してください。

2. AD FS idP エンドポイントまたはスマート リンクがカスタマイズされたサインイン エクスペリエンスに利用されている場合は、使用されるサーバー名が AD FS サービスに割り当てられている証明書と一致していることを確認します。

3. まれに、この状態は、実装後に AD FS サービス名を誤って変更しようとした場合にも発生する可能性があります。

   重要

   これらの種類の変更により、AD FS サービスの停止が発生します。 更新後、シングル サインオン (SSO) 機能を復元するには、次の手順に従う必要があります。

   1. すべてのフェデレーション名前空間で Update-MSOLFederatedDomain コマンドレットを実行します。
   2. 環境内のすべての AD FS プロキシ サーバーのセットアップ構成ウィザードを再実行します。

方法 3: サーティフィケーション チェーンの信頼に関する問題の発行

証明機関 (CA) の信頼に関する問題を解決するには、次のいずれかのタスクを実行します。

• Microsoft ルート証明書プログラムに参加しているソースから証明書を取得して使用します。
• 証明書発行者が Microsoft ルート証明書プログラムに登録することを要求します。 ルート証明書プログラムと Windows でのルート証明書の操作の詳細については、「 Microsoft ルート証明書プログラム」を参照してください。

詳細

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。