フェデレーション ユーザーが Office 365、Windows Azure、または Windows Intune にサインインする際、資格情報の入力を繰り返し求められる

文書翻訳 文書翻訳
文書番号: 2461628 - 対象製品
?重要 本資料には、コンピューターのセキュリティを低く設定するまたは機能をオフにする情報が含まれます。特定の問題に対する回避策としてこのような変更を加える場合があります。変更を加える前に、お客様の環境でこのような回避策を適用した場合に生じるリスクを考慮してください。この回避策を用いる場合は、コンピューターを保護するための適切な追加手順を適用してください。
すべて展開する | すべて折りたたむ

現象

フェデレーション ユーザーが Office 365 にサインインする際、Active Directory Federation Services (AD FS) サービス エンドポイントへの認証を試みる間、資格情報の入力を繰り返し求められます。資格情報の入力をキャンセルすると、次のエラー メッセージが表示されます
“Access Denied” (参考訳:アクセスが拒否されました)

原因

この症状は、AD FS との Windows 統合認証に関する問題とされます。この問題は、以下の条件に 1 つまたは複数当てはまる場合に生じる可能性があります。
  • ユーザー名またはパスワードに誤りがある。
  • インターネット インフォメーション サービス (IIS) の認証設定が、AD FS で正しく構成されていない。
  • AD FS フェデレーション サービス ファーム実行時に使用するアカウントに紐付いているサービス プリンシパル名 (SPN) が損失、または破損している。

    注:AD FS?がスタンドアロン構成内ではなく、フェデレーション サービス ファームとして実装されている場合に限りこの症状は生じます。?
  • 以下に挙げる 1 つ以上の項目が、認証時の拡張保護 (EP) 機能により、介入攻撃として認識されている。
    • サードパーティのインターネット ブラウザー数種
    • 企業ネットワークのファイアウォール、ネットワーク ロード バランサー、その他のネットワーク デバイスが、AD FS?フェデレーション サービスをインターネットに公開する際に、IP ペイロード データが書き換えられる可能性がある場合。このような項目には、以下のデータが含まれる場合があります。
      • Secure Sockets Layer (SSL) ブリッジ
      • SSL オフロード
      • ステートフル パケット フィルター

        その他詳細については、以下の Microsoft Knowledge Base の資料を参照してください。

        2510193: AD FS?を使用して Office 365 にシングル サインオンを実装する場合について?
  • AD FS?サービス エンドポイントのドメイン ネーム システム (DNS) での解決が、A レコードではなく CNAME レコードの参照により実行されている場合。
  • AD FS?サーバーに対し、Windows 統合認証を認めるよう Windows Internet Explorer が構成されていない場合。

トラブルシューティングを開始する準備

ユーザー名とパスワードを確認し、問題の原因ではないことを確認します。
  • 正しいユーザー名であり、UPN 形式 (例: johnsmith@contoso.com) であることを確認します。
  • パスワードに誤りがないか確認します。正しいパスワードが使用されているかどうかを再度確認するために、ユーザー パスワードを再設定します。詳細については、以下の Microsoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754395.aspx
  • アカウントがロックアウトされていないこと、有効期限内であること、または指定されたログオン時間外に使用されていないことを確認します。詳細については、以下の Microsoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754661.aspx

原因の検証

原因が Kerberos 問題であるかどうか確認するには、AD FS?フェデレーション サービス ファーム上でフォームによる認証を有効化して、一時的に Kerberos 認証をバイパスします。この操作は、以下の手順に従ってください。

手順 1: AD FS?フェデレーション サービス ファームの各サーバー上のweb.config ファイルを編集する
  1. Windows Explorer で、C:\inetpub\adfs\ls\ フォルダーを参照し、web.config ファイルのバックアップコピーを作成します。
  2. [スタート][すべてのプログラム][アクセサリ]を順にクリックして、[メモ帳] を右クリックし、[管理者として実行] をクリックします。
  3. [ファイル] メニューより、[開く] をクリックします。[ファイル名]の入力欄で、C:\inetpub\adfs\ls\web.config と入力してから、[開く] をクリックします。
  4. web.config ファイルにおいて、以下の手順に従います。
    1. <authentication mode= を含む行を特定してから、<authentication mode="Forms"/> へ変更します。
    2. <localAuthenticationTypes> より始まるセクションを参照し、<add name="Forms" エントリを以下の通り、一番上に表示されるようセクションを変更します。

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
  5. [ファイル] メニューで、[保存] をクリックします。
  6. 管理者権限で、コマンドプロンプトを開き、iisreset コマンドを実行して、IIS を再起動します。

手順?2: AD FS?機能のテスト
  1. オンプレミス Active Directory DS 環境に接続および認証されているクライアント コンピューターで、Office 365 ポータル (https://portal.microsoftonline.com) にサインインします。

    シームレスに認証されるかわりに、フォームによるサインインが実行されます。フォームによる認証によりサインインができたら、問題は、AD FS?における Kerberos に起因していることが判断できます。
  2. 次の「解決方法」セクションの手順に進む前に、AD FS ファームにある各サーバーの構成を、以前の認証設定に戻します。AD FS フェデレーション サービス ファームの各サーバーの構成を、以前の認証設定に戻すには、以下の手順に従ってください。
    1. Windows Explorer で C:\inetpub\adfs\ls\ フォルダーを探し、フォルダー内の web.config ファイルを削除します。
    2. 「手順 1: AD FS?フェデレーション サービス ファームの各サーバー上の web.config ファイルを編集する」セクションで作成した web.config のバックアップ ファイルを C:\inetpub\adfs\ls\ フォルダーに移動します。
  3. 管理者権限でコマンド プロンプトを開き、iisreset コマンドを実行して IIS を再起動します。
  4. AD FS?の認証動作がループ認証に戻っているかを確認します。

解決方法

AD FS?認証を制限する Kerberos 問題を解決するには、状況に応じ、以下いずれかの方法に従います。

解決策 1: AD FS 認証設定を既定値にリセットする

元に戻す画像を拡大する
assets folding start collapsed
AD FS IIS 認証設定に誤りがあるか、AD FS フェデレーション サービスとプロキシ サービスの IIS 認証設定が適合しない場合、すべての IIS 認証設定を AD FS の既定値にリセットします。

既定の認証設定は、以下の表に記載のとおりです。
元に戻す全体を表示する
仮想アプリケーション認証レベル
既定 Web サイト/adfs匿名認証
既定 Web サイト/adfs/ls匿名認証
Windows 認証

各 AD FS?フェデレーション サーバーと各 AD FS?フェデレーション プロキシ サーバーについては、以下の Microsoft TechNet 資料を参照し、AD FS?IIS 仮想アプリケーションを既定の認証設定にリセットしてください。

http://technet.microsoft.com/ja-jp/library/cc733010(WS.10).aspx?(ADFS?IIS 仮想アプリケーションをリセットして既定の認証設定に変更する)?

このエラーの解決方法については、以下の Microsoft Knowledge Base の資料番号をクリックして、手順を参照してください。

907273 : IISでHTTP 401 エラーのトラブルシューティング

871179 : IIS 6.0 アプリケーション プールの一部である Web サイトにアクセスするとエラー メッセージ "HTTP Error 401.1 - 権限がありません: 資格情報が無効であるため、アクセスが拒否されました" が表示される

元に戻す画像を拡大する
assets folding end collapsed


解決策 2: AD FS?フェデレーション サービス ファーム SPN の修正

元に戻す画像を拡大する
assets folding start collapsed
注: この解決策は、AD FS がフェデレーション サーバー ファームとして実装されている場合に使用します。AD FS スタンドアロン構成の場合には使用しないでください。

この問題を解決する際に、AD FS サービス アカウントの SPN データが欠損または破損している場合、AD FS フェデレーション サービス ファーム内の 1 つのサーバーで、以下の手順に従ってください。
  1. [スタート][すべてのプログラム][管理ツール][サービス] を順にクリックし、サービス管理スナップインを開きます。
  2. [AD FS (2.0) Windows Service]?をダブルクリックします。
  3. [ログオン] タブ上で、[アカウント] に表示されるサービス アカウントをメモに取ります。
  4. [スタート][すべてのプログラム][アクセサリ] を順にクリックし、[コマンドプロンプト] で右クリックをしてから、[管理者として実行] をクリックします。
  5. 「SetSPN ?f ?q host/<AD FS service name>と入力してから、Enter キーを押します。

    注: コマンド中にある<AD FS service name>は、AD FS サービス エンドポイントにおける完全修飾ドメイン名 (FQDN) を入力します。AD FS サーバーの Windows ホスト名ではありません。
    • コマンドの実行後、1 つ以上のエントリが返される場合で、その結果が手順 3 に表示されていたユーザー アカウント以外と関連付けられている場合は、以下のコマンドを実行して関連付けを削除します。

      SetSPN ?d host/<AD FS service name><bad_username>
    • コマンドの実行後、1 つ以上のエントリが返される場合で、SPN が AD FS?サーバーの Window コンピューター名と同じ名前を使用している場合、AD FS のフェデレーション エンドポイント名に誤りがあるということになります。この場合、AD FS を再実装する必要があります。AD FS フェデレーション サーバー ファームの FQDN は、既存サーバーの Windows ホスト名と同一のものを使用することはできません。
    • SPN が存在しない場合、以下のコマンドを実行します。

      SetSPN ?a host/<AD FS service name><username of service account>

      注: <username of service account> は、手順3で記録したユーザー名を入力します
  6. AD FS フェデレーション サーバー ファームにおいてすべての手順を実行したら、サービス管理スナップインより?[AD FS (2.0) Windows Service] を右クリックして、[再起動] をクリックします。
元に戻す画像を拡大する
assets folding end collapsed

解決策 3: 認証の拡張保護に関する事項の解決

元に戻す画像を拡大する
assets folding start collapsed
認証の拡張保護が原因となり認証が妨害される場合、以下のいずれかの方法を使用して解決します。

  • 方法 1: Internet Explorer 8 (またはそれ以降のバージョンのプログラム) を使用してサインインします。
  • 方法 2: SSL ブリッジ、SSL オフロード、またはステートフル パケット フィルター等が IP ペイロード データを書き換えない方法を使用して、AD FS サービスをインターネットに公開します。AD FS プロキシ サーバーはこの解決方法で推奨されるベスト プラクティスです。
  • 方法 3:モニタリング アプリケーションまたは SSL 解読アプリケーションを閉じるか、無効化します。
上記のいずれの方法も行えない場合、問題を回避する方法として、認証の拡張保護を無効にする方法があります。

回避策: 認証の拡張保護を無効化する

警告: この手順は一時的な回避策として用いてください。認証の拡張保護を無効化することにより、統合 Windows 認証エンドポイントに起こる特定の介入攻撃を検出しなくなり、AD FS サービスのセキュリティ プロファイルが脆弱化します。?

: サードパーティ アプリケーションの機能に対してこの回避策を適用すると、認証の拡張機能に関してクライアント オペレーティング システム上での修正プログラムのアンインストールが必要になる場合もあります。修正プログラムの詳細については、以下のMicrosoft Knowledge Base?を参照してください。
968389:?認証の拡張保護

パッシブクライアント

パッシブ クライアントの認証拡張保護を無効化するには、以下における AD FS フェデレーション サーバー ファーム内にあるすべてのサーバー上で IIS 仮想アプリケーションに対し、以下の手順を実行してください。
  • 既定?Web?サイト/adfs
  • 既定?Web?サイト/adfs/ls

実行手順:
  1. インターネット インフォーメーション サービス (IIS) マネージャーを起動し、管理対象レベルに移動します。IIS マネージャーの起動に関する詳細は、「IIS マネージャーを開く (IIS 7)」を参照してください。
  2. 機能ビューで [Authentication] (認証) をダブルクリックします。
  3. 認証ページで [Windows Authentication] (Windows 認証) を選択します。
  4. [Actions] (操作) メニューから [Advanced Settings] (詳細設定) をクリックします。
  5. [Advanced Settings] ダイアログ ボックスで [Extended Protection] (拡張保護) ドロップダウン メニューから [Off] (オフ) を選択します。

アクティブクライアント

アクティブ クライアントの認証拡張保護を無効化するには、プライマリ AD FS サーバー上で以下の手順を実行してください。
  1. プライマリ AD FS サーバーで Windows PowerShell を開きます。
  2. 以下のコマンドを実行し、AD FS 用 Windows PowerShell スナップインを読み込みます。
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 以下のコマンドを実行し、認証の拡張保護を無効化します。
    Set-ADFSProperties ?ExtendedProtectionTokenCheck “None”

認証の拡張保護を再有効化する


パッシブクライアント

認証の拡張保護を再度有効にするには、以下のAD FS フェデレーション サーバー ファーム内すべてのサーバー上におけるIIS 仮想アプリケーションに次の手順を行ってください。
  • 既定 Web サイト/adfs
  • 既定 Web サイト/adfs/ls
実行手順:
  1. ?インターネット インフォーメーション サービス (IIS) マネージャーを起動し、管理対象レベルに移動します。IIS マネージャーの起動に関する詳細は、「IIS マネージャーを開く (IIS 7)」を参照してください。
  2. 機能ビューで [Authentication] (認証) をダブルクリックします。
  3. 認証ページで [Windows Authentication] (Windows 認証) を選択します。
  4. [Actions] (操作) メニューから [Advanced Settings] (詳細設定) をクリックします。
  5. [Advanced Settings]?ダイアログ?ボックスで?[Extended Protection] (拡張保護)?ドロップダウン?メニューから?[Accept] (許可)?を選択します。
アクティブクライアント

アクティブ クライアントの認証拡張保護を再有効化するには、プライマリ AD FS サーバー上で以下の手順を実行してください。?
  1. プライマリ AD FS サーバーで Windows PowerShell を開きます。
  2. 以下のコマンドを実行し、AD FS 用 Windows PowerShell スナップインを読み込みます。
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 以下のコマンドを実行し、認証の拡張保護を有効にします。
    Set-ADFSProperties ?ExtendedProtectionTokenCheck “Allow”
元に戻す画像を拡大する
assets folding end collapsed

解決策4: AD FS の CNAME レコードを A レコードに置き換える

元に戻す画像を拡大する
assets folding start collapsed
DNS 管理ツールを使用して、フェデレーション サービスに使用する各 DNS エイリアス (CNAME) レコードを、DNS アドレス (A) レコードと差し替えます。スプリット ブレイン DNS構成を実装している場合は、企業の DNS 設定を確認または考慮します。DNS レコードを管理する詳細については、以下のMicrosoft TechNet Web サイトを参照してください。

http://technet.microsoft.com/ja-jp/library/bb727018.aspx
元に戻す画像を拡大する
assets folding end collapsed

解決策 5: Internet Explorer を シングル サインオン (SSO) 用のAD FS クライアントとして構成する

元に戻す画像を拡大する
assets folding start collapsed
AD FS アクセス用に Internet Explorer を構成する詳細については、次の Microsoft Knowledge Base を参照してください。

2535227 「フェデレーション ユーザーが Office 365 のリソースにアクセスすると、予期せず資格情報の入力を求められる」
元に戻す画像を拡大する
assets folding end collapsed

追加情報?

ネットワークを保護するために、AD FS では認証の拡張保護を使用しています。認証の拡張保護により、攻撃者がクライアントの資格情報を傍受してサーバーに転送するといった介入攻撃を防止することができます。このような攻撃に対する保護は、チャネル バインディング トークン (CBT) を使用することで可能になります。クライアントと接続が確立された時点で、サーバーで CBT を要求、許可、または不要にすることができます。

ExtendedProtectionTokenCheck AD FS の設定では、フェデレーション サーバーでサポートされる認証の拡張保護レベルを指定します。この設定に使用できる値は次のとおりです。
  • Require (必須) : サーバーは完全に強化されます。拡張保護が適用されます。
  • Allow (許可) : これが既定の設定です。サーバーは部分的に強化されます。拡張保護は、この機能をサポートするように変更されたシステムに適用されます。
  • None (なし) : サーバーには脆弱性が存在します。拡張保護は適用されません。

以下の表では、インターネット インフォメーション サービス (IIS) を使用した場合に AD FS で利用できるさまざまな拡張保護のオプションに応じて、3 つのオペレーティング システムとブラウザーでの認証動作方法について説明します。

注: AD FS?の既定で有効化されている拡張保護の機能を完全に活用するには、Windows クライアント オペレーティング システムに特定の更新プログラムがインストールされている必要があります。これらの更新プログラムは、以下のMicrosoft Knowledge Base 資料より入手可能です。

968389 認証の拡張保護
Windows 7 には、拡張保護を使用するための適切なバイナリが既定で含まれています。

Windows 7 (または適切な更新が適用済みの Windows Vista、Windows XP):

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
Windows Communication
Foundation (WCF) クライアント (すべてのエンドポイント)
動作動作動作
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作しない動作
Safari 4.0.4動作しない動作しない動作

適切に更新されていない Windows Vista:

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
WCF クライアント (すべてのエンドポイント)動作しない動作動作
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

適切に更新されていないプログラム Windows XP:

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

認証の拡張保護の詳細については、以下のMicrosoft 資料を参照してください。

968389?: 認証の拡張保護

「AD FS 2.0 の詳細設定を構成する」

Set-ADFSProperties コマンドレットの詳細については、「Set-ADFSProperties (英語) 」を参照してください。

Video: Looping Credential Prompts When Signing In to Office 365 Using an Identity Federated Account (英語のみ)

元に戻す画像を拡大する
assets video1
uuid=206faa92-f769-445d-8cd6-0c3f45a0ecc3 VideoUrl=http://aka.ms/wqsfve
元に戻す画像を拡大する
assets video2


Video: Federated Users are Repeatedly Prompted for Credentials and Cannot Sign In to Office 365 (英語のみ)

元に戻す画像を拡大する
assets video1
uuid=3add2284-c878-46f8-881c-ba6c8bb6286a VideoUrl=http://aka.ms/lifluf
元に戻す画像を拡大する
assets video2



その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Windows Azure Active Directory フォーラム Web サイトを参照してください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。



プロパティ

文書番号: 2461628 - 最終更新日: 2013年12月9日 - リビジョン: 16.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Windows Azure
  • Windows Azure Recovery Services
  • Microsoft Office 365
  • CRM Online via Office 365 E Plans
キーワード:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m KB2461628
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com