フェデレーション ユーザーがExchange Online メールボックスに接続できない

現象

フェデレーション ユーザーは、Exchange Onlineでスマートフォンを使用して、Microsoft Outlook または Microsoft Exchange ActiveSyncに対して認証を行うことはできません。

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • オンプレミスの Active Directory フェデレーション サービス (AD FS) 2.0 フェデレーション サービスは、パブリック インターネットからは使用できません。
  • AD FS 2.0 エンドポイントで使用される Secure Sockets Layer (SSL) 証明書は、Exchange Online データ センターによって信頼されていない証明機関によって発行されます。

Outlook の現在のExchange Online エンドポイントでは、基本認証またはプロキシ認証が使用されます。 つまり、Outlook クライアントは基本認証を使用して Outlook.com サービスに対して認証されます。 Outlook.com は、ユーザーがフェデレーション ユーザーであると判断した場合、クライアントの代わりに SSL 経由で基本認証をユーザーの AD FS 2.0 サーバーにプロキシします。 このアクションは、ユーザーをローカルで認証し、ユーザーに対してセキュリティ アサーション マークアップ言語 (SAML) 要求またはアクセス トークンを要求します。 パブリックに利用可能な AD FS 2.0 エンドポイントが使用できない場合、認証プロセスは成功せず、ユーザーはサービス エンドポイントへのアクセスを拒否されます。

Microsoft Remote Connectivity Analyzer を使用して、オンプレミスの AD FS 2.0 フェデレーション サービスがフェデレーション ユーザーの Outlook ログオンの問題を引き起こしているかどうかをテストします。 これを行うには、次の手順を実行します。

  1. [インターネット エクスプローラー] で、[Microsoft Remote Connectivity Analyzer] に移動します。

  2. 電子メール アドレスと資格情報を入力し、ページの下部付近にある受信確認チェック ボックスを選択し、確認コードを入力して、[テストの実行] を選択します。 このテストは 2 回実行する必要があります。 次の各資格情報を使用してテストを実行します。

    • Exchange Onlineにメールボックスがあるフェデレーション アカウント
    • Exchange Onlineにメールボックスがある標準ユーザー アカウント

    Microsoft Remote Connectivity Analyzer ページのスクリーンショット。

  3. 両方のテストの結果を確認して、AD FS 2.0 が Outlook サインインの問題を引き起こしているかどうかを判断します。

    1. [テストの詳細] ツリーの次のノードにドリルダウンします。

      RPC/HTTP 接続のテスト

      • ExRCA が自動検出をテストしようとしています。 john@contoso.com

      • 自動検出サービスに接続する各方法の試行

      • HTTP リダイレクト 方法を使用して自動検出サービスに接続しようとしています

      • 自動検出 POST 要求を自動検出 URL に送信しようとしています

      • ExRCA がユーザーの URL https://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml からと XML 自動検出応答を取得しようとしています

        SSO が有効なメールボックスと標準メールボックスのテスト結果のスクリーンショット。

    2. 次の条件が両方とも当てはまるかどうかを確認します。

      • フェデレーション アカウントは自動検出にアクセスできません。"HTTP 401 の承認された応答" エラー メッセージを受け取ります。
      • 標準ユーザー アカウントは自動検出にアクセスできます。

    両方の条件が満たされている場合は、SSO エラーによって Outlook 認証が失敗していることを確認しました。

解決策 1 - オンプレミスの AD FS 2.0 フェデレーション サービスをインターネットに公開する

オンプレミスの AD FS 2.0 環境用に AD FS 2.0 フェデレーション サーバー プロキシを設定します (または、SSO をサポートする AD FS 2.0 フェデレーション サービスのファイアウォール リバース プロキシを設定します)。

解決策 2 - AD FS 2.0 プロキシ サーバーに関する問題のトラブルシューティング

AD FS 2.0 プロキシ サーバーの問題のトラブルシューティング方法の詳細については、「ユーザーが Microsoft 365、Intune、または Azure にサインインするときの AD FS エンドポイント接続の問題をトラブルシューティングする方法」を参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティ Web サイトに移動します。