フェデレーション ユーザーが Microsoft 365、Azure、または Intune にサインインしたときに、AD FS から "サイトへのアクセスに問題がありました" というエラーが発生しましたIntune

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Azure Backup, Microsoft Intune, Microsoft 365

問題

フェデレーション ユーザーが Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインしようとすると、ユーザーはActive Directory フェデレーション サービス (AD FS) (AD FS) から次のエラー メッセージを受け取ります。

There was a problem accessing the site. Try to browse to the site again.
If the problem persists, contact the administrator of this site and provide the reference number to identify the problem.
Reference number: <GUID>

このエラーが発生すると、Web ブラウザーのアドレス バーは、次のようなアドレスでオンプレミスの AD FS エンドポイントを指します。

"https://sts.domain.com/adfs/ls/?cbcxt=&vv=&username=username%40domain.com&mkt=&lc=1033&wa=wsignin1.0&wtrealm=urn:federation:MicrosoftOnline&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D2%26ct%3D1299115248%26rver%3D6.1.6206.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252FDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1299115248"

原因

この問題は、次のいずれかの理由で発生する可能性があります。

  • AD FS を介したシングル サインオン (SSO) の設定が完了していません。
  • AD FS トークン署名証明書の有効期限が切れています。
  • AD FS クライアント アクセス ポリシーの要求が正しく設定されていません。
  • Microsoft Entra IDを持つ証明書利用者の信頼が見つからないか、正しく設定されていません。
  • AD FS フェデレーション プロキシ サーバーが正しく設定されていないか、正しく公開されていません。
  • AD FS IUSR アカウントには、"認証後にクライアントを偽装する" ユーザーアクセス許可がありません。

ソリューション

この問題を解決するには、状況に適したメソッドを使用します。

シナリオ 1: AD FS トークン署名証明書の有効期限が切れた

トークン署名証明書の有効期限が切れているかどうかを確認する

トークン署名証明書の有効期限が切れているかどうかをチェックするには、次の手順に従います。

  1. [ スタート] をクリックし、[ すべてのプログラム] をクリックし、[ 管理ツール] をクリックし、[ AD FS (2.0) 管理] をクリックします。
  2. AD FS 管理コンソールで、[サービス] をクリックし、[証明書] をクリックし、AD FS トークン署名証明書の有効日と有効期限を確認します。

証明書の有効期限が切れている場合は、SSO 認証機能を復元するために証明書を更新する必要があります。

トークン署名証明書を更新する (有効期限が切れている場合)

自己署名証明書を使用してプライマリ AD FS サーバー上のトークン署名証明書を更新するには、次の手順に従います。

  1. 同じ AD FS 管理コンソールで、[サービス] をクリックし、[証明書] をクリックし、[操作] ウィンドウの [証明書] **の下にある [証明書の追加] Token-Signing クリックします。
  2. "AD FS の自動証明書ロールオーバー機能が有効になっている間に証明書を変更できません" という警告が表示される場合は、手順 3 に進みます。 それ以外の場合は、証明書の有効日と有効期限をチェックします。 証明書が正常に更新された場合は、手順 3 と 4 を実行する必要はありません。
  3. 証明書が更新されない場合は、[スタート] をクリックし、[すべてのプログラム] をポイントし、[アクセサリ] をクリックし、[Windows PowerShell] フォルダークリックし、[Windows PowerShell] を右クリックして、[管理者として実行] をクリックします。
  4. Windows PowerShell コマンド プロンプトで、次のコマンドを入力します。 各コマンドを入力した後、Enter キーを押します。
    • Microsoft.Adfs.Powershell の Add-PSSnapin
    • Update-ADFSCertificate -CertificateType: Token-Signing

証明機関 (CA) 署名付き証明書を使用してプライマリ AD FS サーバー上のトークン署名証明書を更新するには、次の手順に従います。

  1. WebServerTemplate.inf ファイルを作成します。 これを行うには、次の手順を実行します。

    1. メモ帳を起動し、新しい空白のドキュメントを開きます。

    2. 次をファイルに貼り付けます。

      [Version] Signature=$Windows NT$[NewRequest] ;EncipherOnly=False Exportable=True KeyLength=2048 KeySpec=1 KeyUsage=0xa0MachineKeySet=True ProviderName="Microsoft RSA SChannel Cryptographic Provider"
ProviderType=12 RequestType=CMC subject="CN=adfs.contoso.com"[EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 [RequestAttributes]

    3. ファイルで subject="CN=adfs.contoso.com" を次のように変更します。

      subject="CN=your-federation-service-name"

    4. [ファイル] メニューの [名前を付けて保存] をクリックします。

    5. [** 名前を付けて保存 ] ダイアログ ボックスで、[ すべてのファイル ] (.) をクリックします。** の [名前を付けて保存] の種類 ボックスに表示されます。

    6. [ ファイル名 ] ボックスに「WebServerTemplate.inf」と入力し、[ 保存] をクリックします。

  2. WebServerTemplate.inf ファイルを AD FS フェデレーション サーバーのいずれかにコピーします。

  3. AD FS サーバーで、[管理コマンド プロンプト] ウィンドウを開きます。

  4. cd(ディレクトリの変更) コマンドを使用して、.inf ファイルをコピーしたディレクトリに変更します。

  5. 次のコマンドを入力し、Enter キーを押します。

    CertReq.exe -New WebServerTemplate.inf AdfsSSL.req

  6. 署名のために出力ファイル AdfsSSL.req を CA に送信します。

  7. CA は、署名された公開キー部分を .p7b または .cer 形式で返します。 要求を生成した AD FS サーバーにこのファイルをコピーします。

  8. AD FS サーバーで、[管理コマンド プロンプト] ウィンドウを開きます。

  9. cd(ディレクトリの変更) コマンドを使用して、.p7b または .cer ファイルをコピーしたディレクトリに変更します。

  10. 次のコマンドを入力し、Enter キーを押します。

    CertReq.exe -Accept "file-from-your-CA-p7b-or-cer"

SSO 機能の復元を完了する

自己署名証明書と CA 署名証明書のどちらを使用するかに関係なく、SSO 認証機能の復元を完了する必要があります。 これを行うには、次の手順を実行します。

  1. プライマリ AD FS サーバー上の AD FS サービス アカウントの秘密キーに読み取りアクセスを追加します。 これを行うには、次の手順を実行します。
    1. [ スタート] をクリックし、[ 実行] をクリックし、「mmc.exe」と入力し、Enter キーを押します。
    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。
    3. [証明書] をダブルクリックし、[コンピューター アカウント] を選択し、[次へ] をクリックします。
    4. [ ローカル コンピューター] を選択し、[ 完了] をクリックし、[OK] をクリック します
    5. [証明書 - ローカル ユーザー] を展開し、 [個人] を展開します。次に、 [証明書] をクリックします。
    6. 新しいトークン署名証明書を右クリックし、[ すべてのタスク] をポイントし、[ 秘密キーの管理] をクリックします。
    7. AD FS サービス アカウントに読み取りアクセスを追加し、[OK] をクリック します
    8. 証明書スナップインを終了します。
  2. 新しい証明書の拇印と証明書利用者信頼の日付をMicrosoft Entra IDで更新します。 これを行うには、「Microsoft 365、Azure、またはIntuneのフェデレーション ドメインの設定を更新または修復する方法」の「Microsoft 365 フェデレーション ドメインの構成を更新する方法」セクションを参照してください。
  3. AD FS プロキシ信頼構成を再作成します。 これを行うには、次の手順を実行します。
    1. プライマリ AD FS サーバーで AD FS Windows サービスを再起動します。
    2. 証明書がフェデレーション サーバー ファームのすべてのメンバーにレプリケートされるまで 10 分待ってから、残りの AD FS サーバーで AD FS Windows サービスを再起動します。
    3. 各 AD FS プロキシ サーバーでプロキシ構成ウィザードを再実行します。 詳細については、「 フェデレーション サーバー プロキシロール用にコンピューターを構成する」を参照してください。

シナリオ 2: 要求を使用してクライアント アクセス ポリシーを最近更新したが、サインインが機能しない

クライアント アクセス ポリシーが正しく適用されているかどうかを確認します。 詳細については、「 クライアントの場所に基づく Microsoft 365 サービスへのアクセスの制限」を参照してください。

シナリオ 3: フェデレーション メタデータ エンドポイントまたは証明書利用者信頼が無効になる可能性がある

プライマリ AD FS サーバーでMicrosoft Entra IDを使用して、フェデレーション メタデータ エンドポイントと証明書利用者信頼を有効にします。 これを行うには、次の手順を実行します。

  1. AD FS 2.0 管理コンソールを開きます。
  2. フェデレーション メタデータ エンドポイントが有効になっていることを確認します。 これを行うには、次の手順を実行します。
    1. 左側のナビゲーション ウィンドウで、 AD FS (2.0)、サービス、エンドポイントを参照します
    2. 中央のウィンドウで、 /Federation Metadata/2007-06/FederationMetadata.xml エントリを右クリックし、[ プロキシで有効][有効にする] をクリックします。
  3. 証明書利用者の信頼とMicrosoft Entra IDが有効になっていることを確認します。 これを行うには、次の手順を実行します。
    1. 左側のナビゲーション ウィンドウで、[ AD FS (2.0)]、[信頼関係]、[証明書利用者 の信頼] の順 に参照します
    2. ID プラットフォームMicrosoft Office 365存在する場合は、このエントリを右クリックし、[有効] をクリックします。
  4. AD FS でのシングル サインオンの確認と管理に関するページの「信頼プロパティの更新」セクションを表示して、証明書利用者の信頼をMicrosoft Entra IDで修復します。

シナリオ 4: 証明書利用者の信頼が見つからないか破損している可能性がある

証明書利用者信頼を削除して再追加します。 これを行うには、次の手順を実行します。

  1. コア AD FS サーバーにログオンします。
  2. [ スタート] をクリックし、[ すべてのプログラム] をポイントし、[ 管理ツール] をクリックし、[ AD FS (2.0) 管理] をクリックします。
  3. 管理コンソールで、AD FS (2.0) を展開し、[信頼関係] を展開し、[証明書利用者の信頼] を展開します。
  4. ID プラットフォームMicrosoft Office 365存在する場合は、このエントリを右クリックし、[削除] をクリックします
  5. AD FS でのシングル サインオンの確認と管理に関するページの「信頼プロパティの更新」セクションを表示して、証明書利用者の信頼を再追加します。

シナリオ 5: AD FS サービス アカウントに "認証後にクライアントを偽装する" ユーザーアクセス許可がありません

AD FS IUSR サービス アカウントに "認証後にクライアントを偽装する" ユーザーアクセス許可を付与するには、「イベント ID 128 — トークンベースのアプリケーション構成Windows NT」を参照してください。

関連情報

フェデレーション ユーザーのサインインの問題をトラブルシューティングする方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

  • 2530569 Microsoft 365、Intune、または Azure でのシングル サインオンのセットアップに関する問題のトラブルシューティング
  • 2712961 ユーザーが Microsoft 365、Intune、または Azure にサインインするときの AD FS エンドポイント接続の問題をトラブルシューティングする方法

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。