文書番号: 2461628 - 最終更新日: 2012年5月3日 - リビジョン: 9.0

フェデレーションされたユーザーアカウントで Office 365 にサインインする際、 AD FS 2.0 サービス エンドポイントに接続していると、資格情報の入力を繰り返し求められる

対象製品
お知らせお使いのオペレーティング システムには適用しない情報が含まれている場合があります。
重要 本資料には、コンピューターのセキュリティを低く設定するまたは機能をオフにする情報が含まれます。特定の問題に対する回避策としてこのような変更を加える場合があります。変更を加える前に、お客様の環境でこのような回避策を適用した場合に生じるリスクを考慮してください。この回避策を用いる場合は、コンピューターを保護するための適切な追加手順を適用してください。
すべて展開する | すべて折りたたむ

現象

フェデレーション ユーザーが Office 365 にサインインする際、Active Directory Federation Services (AD FS) 2.0 サービス エンドポイントに接続していると、資格情報の入力を繰り返し求められます。キャンセルすると、次のエラー メッセージが表示されます。
“Access Denied” (参考訳:アクセスが拒否されました)
先頭へ戻る

原因

この症状は、オンプレミスActive Directory の ID を Office 365 ID にフェデレーションする時に使用する AD FS 2.0 サービスの統合 Windows 認証に関する問題とされます。この問題は、以下の条件に1つ以上当てはまる場合に生じる可能性があります。
  • 使用している資格情報に問題がある。
  • インターネット インフォメーション サービス (IIS) の認証設定が、AD FS 2.0 で正しく構成されていない。または、AD FS 2.0 フェデレーション サービスと、プロキシ サービスのIIS認証設定が適合しない。?
  • AD FS 2.0 フェデレーション サービス ファーム実行時に使用するアカウントに紐づくサービス プリンシパル名 (SPN) が損失、または破損している。

    注: AD FS 2.0 がスタンドアロン構成内ではなく、フェデレーション サービス ファームとして実装されている場合に限りこの症状は生じます。
  • 以下に挙げる項目は、認証時の拡張保護 (EP) 機能により、介入攻撃として認識されます。
    • サードパーティのインターネット ブラウザ数種
    • 企業ネットワークのファイアウォール、ネットワークロードバランサー、その他のネットワーク デバイスが、IPペイロードデータを書き換える可能性のある方法でAD FS 2.0 フェデレーション サービスをインターネットに公開している場合。このような項目には、以下のデータが含まれる場合があります。
      • Secure Sockets Layer (SSL) ブリッジ
      • SSL オフロード
      • ステートフルパケットフィルタ詳細については、以下のMicrosoft Knowledge Base の資料を参照してください。

        2510193 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;2510193) ?「AD FS 2.0 実装シナリオの Office 365 ID フェデレーション サービスの影響」?
    • モニタリングまたは SSL 暗号解読アプリケーションがクライアント コンピューターにインストールされている、またはアクティブ化されている場合。
  • AD FS 2.0 サービス エンドポイントのドメイン ネーム サービス (DNS) の解決が、A レコードではなく CNAME レコードの参照により実行されている場合。
  • AD FS 2.0 サーバーに対し、Windows 統合認証を認めるよう Windows Internet Explorer が構成されていない場合。

Kerberos 問題を診断する準備

追加のトラブルシュートを実施する前に、ユーザー名とパスワードが問題の原因ではないことを確認します。
  • 正しいユーザー名が使用されていることを確認します。Office 365 フェデレーション ユーザー アクセスについては、ユーザー アカウントのユーザープリンシパル名 (UPN) が唯一の適合するフォーマットです。?
  • パスワードに誤りがないか確認します。正しいパスワードが使用されているか再度確認するには、ユーザー パスワードを再設定します。詳細については、以下の Microsoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754395.aspx (http://technet.microsoft.com/ja-jp/library/cc754395.aspx)
  • アカウントがロックアウトされていないか、有効期限内であるか、または指定されたログオン時間外に使用されていないか確認します。詳細については、以下のMicrosoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754661.aspx (http://technet.microsoft.com/ja-jp/library/cc754661.aspx)

原因の検証

原因がKerberos 問題であるかどうか確認するには、AD FS 2.0 フェデレーション サービス ファーム上でフォームによる認証を有効化して、一時的にKerberos 認証をバイパスします。この操作は、以下の手順に従ってください。

手順 1: AD FS 2.0 フェデレーション サービス ファームの各サーバー上のweb.config ファイルを編集する
  1. Windows Explorer で、C:\inetpub\adfs\ls\ フォルダーを参照し、web.config ファイルのバックアップコピーを作成します。
  2. [スタート][すべてのプログラム][アクセサリ]を順にクリックして、[メモ帳] を右クリックし、[管理者として実行] をクリックします。
  3. [ファイル] メニューより、[開く] をクリックします。[ファイル名]の入力欄で、C:\inetpub\adfs\ls\web.config と入力してから、[開く] をクリックします。
  4. web.config ファイルにおいて、以下の手順に従います。
    1. 次の行を参照します。: 「<authentication mode=」 を含む行を参照してから、<authentication mode="Forms"/> へ変更します。
    2. 「<localAuthenticationTypes>」 より始まるセクションを参照し、<add name="Forms" エントリを以下の通り、最初にくるよう変更します。

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
  5. [ファイル] メニューで、[保存] をクリックします。
  6. 表示されたコマンドプロンプトで、iisreset」 コマンドを使用して、IIS を再起動します。
AD FS 2.0 フェデレーション サービス ファームの各サーバーでこの手順を実行後、AD FS 2.0の機能をテストします。

手順 2: AD FS 2.0 機能のテスト
  1. オンプレミス Active Directory DS 環境に接続しているクライアント コンピューターで、Office 365 ポータル(https://portal.microsoftonline.com (https://portal.microsoftonline.com/) ) にサインインをして、フェデレーション ユーザーIDを入力し、[Sign-in at YourDomainNameリンクをクリックします。

    シームレスに認証されるかわりに、フォームによるサインインが実行されます。フォームによる認証を使用してサインインができたら、問題は、AD FS 2.0 フェデレーション サービスにおけるKerberosに起因していることが判断できます。
  2. 次の解決手順に進む前に、AD FS 2.0 フェデレーション サービス ファームにある各サーバーの構成を、以前の認証設定に戻します。AD FS 2.0 フェデレーション サービス ファームの各サーバーの構成を、以前の認証設定に戻すには、以下の手順に従ってください。
    1. Windows Explorer で「C:\inetpub\adfs\ls\」フォルダーを探し、「web.config」ファイルを削除します。
    2. 「手順 1: AD FS 2.0 フェデレーション サービス ファームの各サーバー上の web.config ファイルを編集する」セクション で作成した「web.config」のバックアップ ファイルを「C:\inetpub\adfs\ls\」フォルダーに移動します。
  3. 管理者特権でのコマンド プロンプトで、iisreset」コマンドを使用して IIS を再起動します。
  4. AD FS 2.0 の認証動作がループ認証に戻っているかを確認します。

先頭へ戻る

解決方法

この問題を解決するには、状況に応じて以下のいずれかの方法を使用します。

解決策 1: AD FS 2.0 認証設定を既定値にリセットする

AD FS 2.0 IIS 認証設定に誤りがあるか、IIS認証設定がAD FS 2.0 フェデレーション サービスとプロキシ サービスで一致しない場合、すべてのIIS認証設定をリセットしてAD FS 2.0の既定値に設定する方法があります。

各 AD FS 2.0 フェデレーション サーバーと各 AD FS 2.0 フェデレーション プロキシ サーバーについては、以下の Microsoft TechNet 資料を参照し、AD FS 2.0 IIS 仮想アプリケーションを既定の認証設定にリセットしてください。

http://technet.microsoft.com/ja-jp/library/cc733010(WS.10).aspx (http://technet.microsoft.com/ja-jp/library/cc733010(WS.10).aspx) ?(ADFS 2.0 IIS 仮想アプリケーションをリセットして既定の認証設定に変更する)

既定の認証設定は、以下の表に示す通りです。

元に戻す全体を表示する
仮想アプリケーション認証レベルクライアント使用
規定Web サイト/adfs任意の認証AD FS 2.0 アクティブ端末 (リッチクライアントアプリケーション)
規定Web サイト/adfs/ls任意の認証
Windows 認証		AD FS 2.0 パッシブ端末 (Web ブラウザ)
このエラーの解決方法については、Microsoft Knowledge Base の資料番号をクリックして、資料を参照してください。

907273 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;907273) ?「IISでHTTP 401 エラーのトラブルシューティング」

871179 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;871179) ?「IIS 6.0 アプリケーション プールの一部である Web サイトにアクセスするとエラー メッセージ "HTTP Error 401.1 - 権限がありません: 資格情報が無効であるため、アクセスが拒否されました" が表示される」

解決策 2: AD FS 2.0 フェデレーション サービス ファーム SPNの修正

注: この解決策は、AD FS 2.0 がフェデレーション サービス ファームとして実装されている場合に使用します。AD FS 2.0 スタンドアロン構成の場合にには使用しないでください。

この問題を解決する際に、AD FS 2.0 サービス アカウントのSPN データが欠損または破損している場合、AD FS 2.0 フェデレーション サービス ファーム内の1つのサーバーを使用して、以下の手順に従ってください。
  1. サービスマネジメントsnap-inを開きます。[スタート][すべてのプログラム][管理ツール][サービス] をクリックします。
  2. [AD FS 2.0 Windows Service] をダブルクリックします。
  3. [Log On] (ログオン) タブ上で、[This Account] (このアカウント) に表示されるサービス アカウントをメモに取ります。?
  4. [スタート][すべてのプログラム][アクセサリ] を順にクリックし、[コマンドプロンプト] で右クリックをしてから、[管理者として実行] をクリックします。
  5. 「SetSPN ?f ?q host/<AD FS service name>と入力してから、Enter キーを押します。

    注:コマンド中にある<AD FS service name>は、AD FS 2.0 サービス エンドポイントにおける完全修飾ドメイン名 (FQDN) サービス名を表しています。AD FS 2.0 サーバーの Windows ホスト名を表すものではありません。
    • コマンドで、1つ以上のエントリが返される場合:
      • 結果が手順 3 で表示された以外のユーザー アカウントに関連付けられている場合、関連性を削除します。これには以下のコマンドを実行してください。

        SetSPN ?d host/<AD FS service name><bad_username>
      • SPN が AD FS 2.0 サーバーの Window コンピューター名と同じ名前を使用している場合、AD FS 2.0 のフェデレーション エンドポイント名に誤りがあるということになります。AD FS 2.0 を再実装する必要があります。AD FS 2.0 フェデレーション サーバー ファームの FQDN は、既存サーバーの Windows ホスト名と同一のものを使用することはできません。
    • SPN が存在しない場合、以下のコマンドを実行します。

      SetSPN ?a host/<AD FS service name><username of service account>

      注: <username of service account> は、手順3で記録したユーザー名を表します
  6. AD FS 2.0 フェデレーション サーバー ファームにおいてすべての手順を実行したら、サービス マネジメント Snap-in より [AD FS 2.0 Windows Service] を右クリックして、[Restart] (再スタート) をクリックします。

解決策 3: 認証の拡張保護に関する事項の解決

認証の拡張保護が介入攻撃を検知する場合、以下のいずれかの方法を使用して解決します。
  • 方法 1 : Internet Explorer 8 (またはそれ以降のバージョンのプログラム) を使用して、Office 365 ID フェデレーション サービスにアクセスします。?
  • 方法 2 : IP ペイロード データを書き換えないSSL ブリッジ、SSL オフロード、またはステートフルパケットフィルタ等の方法を使用してAD FS 2.0 サービスをインターネットに公開します。AD FS 2.0 プロキシ サーバーはこの解決をする上で推奨されるベストプラクティスです。
  • 方法 3 :モニタリングアプリケーションまたはSSL解読アプリケーションを閉じるか、無効化します。
上記のいずれの方法を行っても問題が解決しない場合、認証の拡張保護を無効にする方法があります。これを行うには、以下における AD FS 2.0 フェデレーション サーバー ファーム内にあるすべてのサーバー上で IIS 仮想アプリケーションに対し、以下の手順を実行してください。

元に戻す全体を表示する
仮想アプリケーションクライアント使用
規定Web サイト/adfsAD FS 2.0 アクティブ端末 (リッチ クライアントアプリケーション)
規定Web サイト/adfs/lsAD FS 2.0 パッシブ端末 (Web ブラウザ)

警告 長期的なソリューションとしてこの手順を用いることは推奨していません。認証の拡張保護を無効化することにより、統合 Windows 認証エンドポイントに起こる介入攻撃を検出しなくなり、AD FS 2.0 サービスのセキュリティ プロファイルが脆弱化します。

認証の拡張保護を無効化するには、以下の手順に従ってください。
  1. 以下の Microsoft TechNet 資料を参照して、Windows 認証の詳細設定にアクセスします?。
    http://technet.microsoft.com/ja-jp/library/cc754628(WS.10).aspx (http://technet.microsoft.com/ja-jp/library/cc754628(WS.10).aspx) .
  2. [拡張保護] をオフに設定してから、[OK] をクリックします。
サードパーティ アプリケーションの機能に対してこの回避策を適用すると、認証の拡張機能に関してクライアント オペレーティング システム上での修正プログラムのアンインストールが必要になる場合もあります。修正プログラムの詳細については、以下のMicrosoft Knowledge Baseをクリックしてください。

968389 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;968389) ?「認証の拡張保護」

認証の拡張保護を再度有効にするには、前述のAD FS 2.0 フェデレーション サーバー ファーム内すべてのサーバー上におけるIIS 仮想アプリケーションに次の手順を行ってください。
  1. 以下の Microsoft TechNet資料:http://technet.microsoft.com/ja-jp/library/cc754628(WS.10).aspx (http://technet.microsoft.com/ja-jp/library/cc754628(WS.10).aspx) を参照して、Windows 認証の詳細設定にアクセスします。
  2. [拡張保護] [Accept ] (許可) に設定してから、[OK] をクリックします。
  3. 認証の拡張保護に関して、クライアント オペレーティング システム上で必要なすべての修正プログラムを再インストールします。詳細については、以下のMicrosoft Knowledge Baseをクリックしてください。

    968389 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;968389) 認証の拡張保護

解決策4: CNAME DNS の修正

DNS 管理ツールを使用して、各DNS エイリアス (CNAME) レコードを、DNS アドレス (A) レコードと差し替えます。スプリットブレインDNS構成が導入されている場合は、企業のDNS設定を確認または考慮します。DNS レコードを管理する詳細については、以下のMicrosoft TechNet Webサイトを参照してください。

http://technet.microsoft.com/ja-jp/library/bb727018.aspx (http://technet.microsoft.com/ja-jp/library/bb727018.aspx)

解決策 5: Internet Explorer を シングル サインオン (SSO) 用のAD FS 2.0 クライアントとして構成する

AD FS 2.0 アクセス用に Internet Explorer を構成する詳細については、次の Microsoft Knowledge Base を参照してください。

2535227 (https://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;2535227) 「フェデレーション ユーザーが Office 365 のリソースにアクセスすると、予期せず資格情報の入力を求められる」

先頭へ戻る

詳細

ネットワークを保護するために、AD FS 2.0 では認証の拡張保護を使用しています。認証の拡張保護により、攻撃者がクライアントの資格情報を傍受してサーバーに転送する 介入攻撃を予防することができます。このような攻撃に対する保護は、チャネル バインディング トークン (CBT) を使用することで可能になります。クライアントと接続が確立された時点で、サーバーで CBT を要求、許可、または不要にすることができます。

ExtendedProtectionTokenCheck AD FS の設定では、フェデレーション サーバーでサポートされる認証の拡張保護レベルを指定します。この設定に使用できる値は次のとおりです。
  • Require (必須) : サーバーは完全に強化されます。拡張保護が適用されます。
  • Allow (許可) :?これが既定の設定です。サーバーは部分的に強化されます。拡張保護は、この機能をサポートするように変更されたシステムに適用されます。
  • None (なし) : サーバーには脆弱性が存在します。拡張保護は適用されません。

以下の表で、インターネット インフォメーション サービス (IIS) を使用した場合に AD FS 2.0 で利用できるさまざまな拡張保護のオプションに応じて、3 つのオペレーティング システムとブラウザで認証がどのように動作するかを説明します。

注: AD FS 2.0 の既定で有効化されている拡張保護の機能を完全に活用するには、Windows クライアント オペレーティング システムに特定の更新プログラムがインストールされている必要があります。これらの更新プログラムは、以下のMicrosoft Knowledge Base 資料より入手可能です。

968389 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;968389) 認証の拡張保護

Windows 7 (あるいは Windows Vista または Windows XP の適切に更新されたプログラムのバージョン):

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
Windows Communication
Foundation (WCF) クライアント (すべてのエンドポイント)		動作動作動作
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作しない動作
Safari 4.0.4動作しない動作しない動作

適切に更新されていない?Windows Vista:

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
WCF クライアント (すべてのエンドポイント)動作しない動作動作
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

適切に更新されていないプログラム Windows XP:

元に戻す全体を表示する
設定Require (必須)Allow (既定)None (なし)
Internet Explorer 8動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

認証の拡張保護の詳細については、以下のMicrosoft 資料を参照してください。

968389 (http://vkbexternal.partners.extranet.microsoft.com/VKBWebService/ViewContent.aspx?scid=KB;ja;968389) ?「認証の拡張保護」

「AD FS 2.0 の詳細設定を構成する」 (http://technet.microsoft.com/ja-jp/library/hh237448(WS.10).aspx)

Set-ADFSProperties?コマンドレットの詳細については、「Set-ADFSProperties (英語) (http://technet.microsoft.com/ja-jp/library/ee892317(en-us).aspx) ?」を参照してください。


この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

先頭へ戻る
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises
先頭へ戻る
キーワード:?
o365 bposs KB2461628
先頭へ戻る
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"