Office 365 Microsoft Online Services Diagnostics and Logging (MOSDAL) サポート ツールキット を使用して ID フェデレーション問題を診断する方法

文書翻訳 文書翻訳
文書番号: 2598459 - 対象製品

アップグレード前後、どちらの Office 365 を使用しているか確認するには、以下の Microsoft Web サイトを参照してください。
すべて展開する | すべて折りたたむ

目次

概要

Microsoft Online Services Diagnostics and Logging (MOSDAL) サポート ツールキット には、Active Directory Federation Services (AD FS) 2.0 インフラストラクチャ、ユーザー アカウント準備、Microsoft Office 365 フェデレーション信頼などの分析に役立つデータ コレクション パッケージが含まれています。この診断ログを利用して、Office 365 シングル サインオン (SSO) に関する問題のトラブルシューティングをすることが出来ます。この資料には、MOSDAL サポート ツールキットに表示される AD FS 2.0 認証情報や ID フェデレーション情報を理解するための情報が含まれています。

詳細

Office 365 SSO コミュニケーションのデータフローは予測可能です。SSO 処理中、どの問題が発生しているかを判断するには、キャプチャを使用して予測データ フロー パターンと、実際に失敗した SSO 処理中のデータフ ローを比較します。MOSDAL サポート ツールキットの AD FS 2.0 認証を診断する機能は、この種のデータ取得と比較に役立ちます。このような情報を利用することにより、Office 365 SSO と ID フェデレーションの問題を診断することができます。

MOSDAL サポートツールキット をインストールする方法

MOSDAL サポート ツールキットのダウンロードは、次のMicrosoft Web サイトから行ってください。
http://www.microsoft.com/downloads/ja-jp/details.aspx?familyid=457e0786-1bec-40a2-95ab-06428f53b5cc&displaylang=ja-nec

AD FS 2.0 認証の診断情報を収集する方法

MOSDAL サポート ツールキットを使用してAD FS 診断情報を収集するには次の手順を行います。
  1. MOSDALサポート ツールキットを開始します。MOSDAL Support Toolkit デスクトップ ショートカットをクリックします。または [スタート] をクリックした後、[すべてのプログラム] にカーソルを合わせ、[MOSDAL Support Toolkit] をクリックします。次にもう一度 [MOSDAL Support Toolkit] をクリックします 。
  2. MOSDAL サポート ツールキットを実行し、O365 サービスの一覧より [Single sign-on with Active Directory Federation Services] を選択してから [次へ] をクリックします。


    元に戻す画像を拡大する
    2776989

  3. 資格情報の入力画面が表示されたら、Office 365 ユーザー ID またはサインイン アドレスを入力し、[Next] をクリックします。なお、パスワードは保存されません (認証をシミュレーションし、結果を記録するためにのみ使用)。

    元に戻す画像を拡大する
    2776990


  4. 問題を再現し、[Next] をクリックします。

    元に戻す画像を拡大する
    2776991

  5. 診断が終了したら、[Exit and Show Files] をクリックします 。
  6. レポートが完了したら、ドキュメント ライブラリの MOSDALREPORT.zip ファイルを探します。MOSDALReport.zip ファイルより [DataCollectionADFS] フォルダーを開き、 [AdfsDiagnostics.txt] ファイルを開きます。

AD FS 2.0 認証の診断レポートを分析する方法

AD FS 2.0 認証の診断レポートは、次の 4 つのセクションから成ります。上から順に読み進めることをお勧めします。つまり、最初のセクション から読んでいくということです。あるセクションに原因が記載されているが、問題分析には情報が不十分な場合は、次のセクションの関連部分を参照し、詳細を確認します。
  • Table of Contents

    このセクションは、テストの診断結果を一瞥できるセクションです。このセクションには次の内容が含まれます。
    • 実行されたハイレベルなテストとその全般的な結果 (Pass/Fail)
    • 失敗した各テストの原因として考えられるすべての問題
    • クライアントが、AD FS 2.0 に企業ネットワークの内部からアクセスしているか、または外部からアクセスしているか。
    • 収集した添付ファイル名
  • Console Output

    このセクションでは、実行されたテストを更に詳しく説明します。「Table of Contents」セクションのデータに十分な情報が含まれていない場合、以下の「Console Output」で詳細を確認してください。
    • 「Table of Contents」セクションに表示されるテスト毎に行われた各手順の詳細
    • 各テスト手順の結果(Pass/Fail)
    • 失敗した各手順の原因として考えられるすべての問題
  • Test Traces

    このセクションでは、実行されたテストについての追跡レベルにおける詳細を記載しています。「Console Output」のデータに十分な情報が含まれていない場合、「Test Traces」セクションの詳細を検討してください。
  • Attachments

    このセクションには、様々な失敗の原因を分析および判断するために役立つ、環境の状態と設定の情報が含まれます。収集される一般的な情報は以下の通りです。
    • クライアントから収集したユーザー環境情報
    • テストに使用された資格情報
    • Office 365 Metadata Exchange (MEX) 資料から収集した、テナントのネーム スペース登録情報 (AD FS 2.0 サービス エンドポイントから取得)
    • AD FS 2.0 HTTP レスポンス
    • AD FS 2.0 セキュリティ トークン レスポンス (SAML クレーム情報を含む)
    • Azure Active Directory (Azure AD) のセキュリティ トークン レスポンス

原因の手がかりをたどる方法

以下の表には、AD FS 2.0 認証で失敗する場合のテストとその手順の診断レポート (出力) に示される最も一般的な原因が記載されています。

これらはあくまで提示的であり、問題解決のアクション プランを決める前には、原因の調査と確認を行う必要があります。
元に戻す全体を表示する
ログデータ:テストログデータ: 失敗したソースの一般的な原因原因/説明見込まれる解決法
Office 365 認証システム テナント ネーム スペース登録を確認する。ドメイン <フェデレーションしたユーザー名> がフェデレーション ドメインではありません。ユーザーのプリンシパル名 (UPN) として使用されるドメインが Office 365 とフェデレーションされていないことを示しています。シングルサインオンを準備する」を参照し、UPN サフィックス ドメインをフェデレーションします。


ドメイン フェデレーションとユーザーのアカウント問題をトラブルシューティングします。詳細については、次の資料を参照してください。

2530590 「Office 365 環境の ID フェデレーション ユーザー アカウントの問題をトラブルシューティングする方法」

ユーザーの UPN を更新して正しいフェデレーション ドメイン サフィックスを使用します。詳細については、次の資料を参照してください。

2392130 「Office 365 SSO が有効なユーザー ID を使用する Active Directory ユーザー アカウントのトラブル シューティング?」

クラウド ユーザーのアカウント UPN をオンプレミスのフェデレーション UPN と一致するように更新します。詳細については、次の資料を参照してください。

2523192 「ユーザーのユーザー プリンシパル名 (UPN) が、同期後に Office 365 のドメインを含んでいる」
Metadata Exchange (MEX) ドキュメントをフェデレーション サービスから検索できることを確認する。フェデレーションサーバー: WS-Metadata Exchange (MEX エンドポイント)

フェデレーション サーバー: フェデレーション サービスが実行しています。

フェデレーション サーバー プロキシ: WS-Metadata Exchange (MEX エンドポイント)
AD FS 2.0 レスポンスが依存する 1 つ以上のサービスが停止しているか、一部が利用できない。 サービスを再スタートします。詳細は次の資料を参照してください。

2419389 「フェデレーション ユーザーが Office 365 Web リソースにサインインしようとすると、ブラウザに AD FS 2.0 Web ページが表示されない」

AD FS メモリ リークを修復します。詳細は次の資料を参照してください。

2254265 「Windows Server 2008 R2 または Windows Server 2008 を実行しているコンピューター上でHTTP SOAP 要求を "/adfs/services/trust/mex" に送信するとき、「500」エラー コードが返される」

"firewall-published" 構成の AD FS サービスにおける問題調査します。詳細については、次の資料を参照してください。

2535789 「"firewall-published" 構成で AD FS を設定後、インターネットベースのクライアント コンピューターが認証できない」
AD FSへのWeb アプリケーションのログオンを統合Windows 認証を使用して確認する。



AD FSへのWeb アプリケーションのログオンを、ユーザー名/パスワード認証を使用して確認する。
フェデレーションンサーバー: フェデレーション パッシブ Web サイト



フェデレーションサーバー: Windows 統合認証サインインページ



フェデレーション サーバー プロキシ: フェデレーションサーバーとフェデレーション サーバー プロキシ間の信頼関係
AD FS エンドポイントへの認証が正常に機能していません。



これは、インターネット基盤のクライアントに典型的な結果であり、問題というわけではありません。
AD FS バーチャル ディレクトリで認証設定を行います。詳細は次の資料を参照してください。

2461628 「フェデレーションされたユーザー アカウントで Office 365 にサインインする際、 AD FS 2.0 サービス エンドポイントに接続していると、資格情報の入力を繰り返し求められる」

firewall-published 構成の AD FS サービス問題を調査します。詳細は次の資料を参照してください。

2535789 「"firewall-published" 構成で AD FS を設定後、インターネット ベースのクライアント コンピューターが認証できない」
ユーザー名/パスワード認証を利用してリッチクライアントのアプリケーションログオンを確認するフェデレーションサーバー プロキシ: フェデレーション サーバーとフェデレーション サーバー プロキシ間の信頼関係



フェデレーション サーバー: Microsoft Office 365 トークン発行

フェデレーション サーバー: トークン署名の証明書
認証は成功していますが、AD FS SAML トークン発行が失敗しています。Office 365 フェデレーションの信頼をチェックして再構築します。詳細は次の資料を参照してください。

2521057 「AD FS 2.0サーバーが応答しなくなった後Office 365 認証プラットフォームの信頼を再確立する方法」

トークン署名の証明書をチェックして修正します。詳細は次の資料を参照してください。

2383983 「フェデレーション ユーザーが Office 365 にサインインする際に表示される AD FS 2.0 エラー: "There was a problem accessing the site" (サイトにアクセスする際に問題が生じました)」


MOSDAL でエラーが表示されていないにもかかわらず、認証問題が引き続き発生する場合


Office 365 クライアント コンピューター準備には、診断ルーティンにエミュレートされる特定の部分があります。テスト中にエミュレートされるため、SSO 問題の原因となる部分の出力は失敗になりません。そのため、AD FS 2.0 診断では成功しているにもかかわらず、SSO 問題が残る場合、問題は以下のいずれかに関係している可能性があります。
  • AD FS 2.0 フェデレーションのサービス名が Internet Explorer の [ローカル イントラネット] セキュリティ ゾーンに追加されていない。
  • プロキシ サーバーの展開時に、AD FS 2.0 フェデレーションのサービス名が、プロキシのバイパス リストに追加されていない。
  • Microsoft Online Services サインイン アシスタントがクライアント デバイスにインストールされていない。
  • 特定のサードパーティ アプリケーションが、AD FS 2.0 フェデレーション サービスで認証用の拡張保護機能を無効化にする必要がある。
これらの問題のトラブルシューティングにはMicrosoft Knowledge Baseにある次の資料を参照してください。

2530713 「Office 365 のシングルサインオン認証が動作しないデバイスがある?」

また、問題は以下に関連があることもあります。
  • 正常なリッチ クライアント機能に必要な全ての更新がクライアントにおいて実行されていない。
Office 365 クライアントの必須要件を全て満たしていることを確認してください。詳細はMicrosoft Knowledge Baseにある次の資料を参照してください。

2637629 「Office 365 リッチクライアントの認証を制限するコンピューターの問題をトラブルシューティングする方法」


詳細

追加情報が必要な場合は Office 365 コミュニティ Web サイトを参照してください。

プロパティ

文書番号: 2598459 - 最終更新日: 2014年6月26日 - リビジョン: 36.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Office 365 Identity Management
キーワード:?
o365 mosdal4.5 o365a o365e kbgraphxlink o365062011 pre-upgrade o365022013 after upgrade o365m KB2598459
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com