フェデレーション ユーザーが、Exchange Online メールボックスに接続できない

文書翻訳 文書翻訳
文書番号: 2466333 - 対象製品

アップグレード前後、どちらの Office 365 を使用しているか確認するには、以下の Microsoft Web サイトを参照してください。
すべて展開する | すべて折りたたむ

現象?

スマートフォンを使用してMicrosoft Outlook または Microsoft Exchange ActiveSync を Exchange Online サービスに認証する際、Microsoft Office 365 フェデレーション資格情報を使用できない場合。

原因

以下の条件のいずれかが当てはまる場合、この問題が発生することがあります。
  • オンプレミスの Active Directory フェデレーション サービス (AD FS) 2.0 フェデレーション サービスがパブリック Internet で利用できない場合。
  • AD FS 2.0エンドポイントが使用しているSecure Sockets Layer (SSL) 認証が、Exchange Onlineデータセンターにより信頼されていない証明書機関により発行されている場合 。
現在のExchange Online Outlook サービス エンドポイントは、 基本またはプロキシ認証を使用しています。 これは、Outlookクライアントが基本認証を使用してOutlook.comサービスに認証することを意味します。 また、ユーザーがフェデレーション ユーザーであるとOutlook.comが判断した場合、クライアントの代わりに、Secure Sockets Layer (SSL)上の基本認証をユーザーのAD FS 2.0サーバーにプロキシします。これにより、ユーザーをローカルで認証Security Assertion Markup Language (SAML)の要求をリクエスト、またはユーザーのトークンにアクセスします。公共で利用可能なAD FS 2.0エンドポイントが利用可能でない場合、認証のプロセスは失敗し、ユーザーはサービス エンドポイントへのアクセスを拒否されます 。


Microsoft Exchange Remote Connectivity Analyzerを使用して、オンプレミスのAD FS 2.0 サービスが、シングルサインオン(SSO)が有効化されたユーザーに対し、Outlook のログオンに関する問題を引き起こしているのかをテストします。これを行うには、以下の手順に従います:
  1. Internet Explorerで、 https://www.testconnectivity.microsoft.com/?testid=O365Ola を表示します 。
  2. 電子メールアドレスと資格情報を入力し、ページの下にある確認のチェックボックスをクリックして選択し、認証コードを入力して、「テストの実行」をクリックします。このテストは2回行う必要があります。次の各資格情報を使用して、テストを行います:
    • Exchange Onlineにメールボックスを持つ、SSOが有効化されたユーザーアカウント
    • Exchange Onlineにメールボックスを持つ、標準のユーザーアカウント
    元に戻す画像を拡大する
     Microsoft Remote Connectivity Analyzer ページの画像

  3. AD FS 2.0 が Outlook サインインに関する問題の原因になっているかを判断するため、両方のテスト結果を確認します 。

    a. 「テストの詳細」ツリーの以下のノードを掘り下げます:

    RPC/HTTP 接続のテスト
    - ExRCA がjohn@contoso.com の自動検出のテストを試みている。
    - 自動検出サービスへの各連絡方法を試みる。
    - HTTPリダイレクト方法を使用して自動検出サービスへの連絡を試みる。
    - 自動検出 POSTリクエストを可能性のある自動検出URLに送信を試みる。
    - ExRCAが読み込みを試みており、 以下のURLからXML自動検出の応答 
    htts://autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml for user 
    元に戻す画像を拡大する
    SSO が有効なメールボックスと標準メールボックスのテスト結果の画像


    b. 以下の両方の条件が当てはまるかどうかを確認します:
    • SSOが有効化されたユーザーアカウントで自動検出サービスにアクセスできず、"HTTP 401 authorized response"<参考訳:許可された返信> エラーメッセージを受信する 。
    • 標準のユーザーアカウントで、自動検出サービスにアクセスができる 。
    両方の条件が当てはまる場合、SSOの失敗が原因でOutlookの認証が失敗したことを確認済みです。

解決方法

この問題を解決するには、状況に応じて、以下の方法のいずれかを使用します。

方法 1: オンプレミス AD FS 2.0 フェデレーション サービスをインターネットに公開する

ID フェデレーションをサポートしている、オンプレミス AD FS 2.0 環境の AD FS 2.0 フェデレーション サーバー プロキシを構成し (または、AD FS 2.0 フェデレーションサービスのファイアウォール リバース プロキシを構成する)、プロキシをインターネットに公開します。

AD FS 2.0 フェデレーション サーバー プロキシの構成についての詳細は、以下の Microsoft ウェブサイトを参照してください。

Plan for and deploy Active Directory Federation Services 2.0 for use with single sign-on
方法 2: AD FS 2.0 プロキシ サーバーの問題をトラブルシュートする

AD FS 2.0 プロキシ サーバーの問題をトラブルシュートするには、以下の Microsoft Knowledge Base を参照してください。

2712961 「AD FS 2.0 プロキシのトラブルシューティング ガイド 」

追加情報が必要な場合は Office 365 コミュニティ Web サイトを参照してください。

プロパティ

文書番号: 2466333 - 最終更新日: 2013年8月28日 - リビジョン: 10.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Exchange Online
キーワード:?
o365 o365a o365e o365022013 after upgrade o365062011 pre-upgrade o365m kbgraphxlink kbgraphic KB2466333
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com