Office 365、Azure または Intune にサインインしようとすると、AD FS から証明書の警告を受ける

現象

フェデレーションされたアカウントを使用して Office 365 ウェブ リソースにアクセスすると、AD FS からの証明書に関する警告がブラウザに表示されます。

原因

証明書をテストする際に認証エラーが起こると、この問題が発生します。

証明書を使用する前に(Secure Sockets Layer (SSL) またはTransport Layer Security (TLS) セッションを安全にするため)、証明書は基準テストに合格する必要があります。
  • 証明書の期限が有効ではない。 サーバーまたはクライアントの日付が[Valid from(施行日)] の日付や証明書の発行日より早い場合、または、サーバーまたはクライアントの日付が[Valid to(有効期限)] や証明書の失効日より後の場合、接続リクエストで警告が発せられます。証明書がこのテストに合格するためには、次の手順を行います。
    • 証明書が実際に失効する、またはアクティブ化される前に適用された日付を確認します。これが原因の場合は、正しい日付で証明書を新たに作成し、AD FS トラフィック通信を安全にする必要があります。
    • これが原因ではない場合、クライアントとサーバーコンピューターの時間を確認し、必要に応じて変更します。
  • サービス名の不一致。接続に使用されるURLが、証明書を使用する名前と一致しない場合、接続リクエストでは警告を発します。証明書がこのテストに合格するためには、次の手順を行います。
    1. ブラウザのアドレスバーにあるURLをテストします。

       HTTP syntax (例: /?request=…) ではなく、サーバーアドレス (例: sts.contoso.com ) に注目します。
    2. エラーを再現したら、次の手順を行います。
      1. [View Certificates(証明書を表示する)] をクリックします。次に、[Details(詳細)] タブをクリックします。手順AのURLと [Subject(対象)] フィールドを、証明書の[Properties(プロパティ)] ダイアログボックスにある[Subject Alternative Name(対象の代替え名)]フィールドと比較します。

      2. 手順Aのアドレスが、フィールドに記載されていない、または一致しないかを確認します。記載や一致がない場合は、証明書を再発行し、手順Aで使用されるサーバーアドレスを含める必要があります。
  • 証明書が信用するルート証明機関(CA)から発行されていない。接続リクエストをしているクライアントコンピューターが、証明書を発行するCAとの繋がりを信頼していない場合、接続リクエストは警告を発します。証明書にこのテストを合格させるには、次の手順を行います。
    1. 証明書の警告を再発生させます。[View Certificate(証明書を表示する)] をクリックして、証明書をテストします。[Certification Path(証明書パス)] タブの上部に表示されてルートノートエントリに注目します。
    2. [スタート]、[ファイル名を指定して実行] を順にクリックし、「MMC」と入力して[OK] をクリックします。
    3. [ファイル] から[スナップインの追加と削除] をクリックします。[証明書] を選択し、[追加] をクリックします。[コンピューターアカウント] を選択し、[次へ] をクリックします。[完了]、[OK] の順にクリックします 。
    4. MMC スナップインで、[コンソール ルート] を探します。[証明書] を展開し、[Trusted Root Certification Authorities(信頼済みルート証明機関)] を展開します。[証明書] をクリックし、手順Aでメモを取ったルートノートの証明書が存在しないことを確認します。

解決方法

警告メッセージに応じて、以下から適切な方法を用い、問題を解決してください。

メソッド1: 有効時間に関する問題

有効時間に関する問題には、次の手順を行います。
  1. 適切な有効日で証明書を再発行します。AD FSのSSL証明書をインストール、新構成する方法については、Microsoft Knowledge Base にある次の資料を参照してください。

    2921805  : AD FS 2.0 サービス コミュニケーション証明書の有効期限が失効後、証明書を変更する方法
  2. AD FS プロキシが展開されている場合は、証明書のエキスポート/インポート機能を使用して、AD FS プロキシの既定ウェブサイトで証明書をインストールする必要もあります。詳細は、次のMicrosoft Knowledge Baseを参照してください。

    179380 “デジタル証明書の削除、インポート、エキスポート方法”

    重要 エキスポートまたはインポート処理には、プライベートキーを含めるようにしてください。AD FS Proxy サーバーにも、インストールされたプライベートキーのコピーが必要です
  3. クライアントコンピューターまたはAD FS サーバーの日時を正確にしてください。オペレーティングシステムの日付設定が正しくなく、[Valid from(施行日)] と[Valid to(失効日)] の範囲から極端に離れている場合は、エラーの警告が表示されます。

メソッド2: サービス名が一致していない問題

AD FS サービス名は、既定ウェブサイトを通る証明書を基に、AD FS 構成ウィザード実行時に設定されます。サービス名の不一致問題を解決するには、次の手順を行います。
  1. 誤った証明書名が証明の置き換えに使用された場合は、次の手順を行います。
    1. 証明書の名前が正しいかを確認します。
    2. 正しい証明書を再発行します。AD FSのSSL証明書をインストール、構成する方法については、Microsoft Knowledge Baseにある次の資料を参照してください。

      2921805  : AD FS 2.0 サービス コミュニケーション証明書の有効期限が失効後、証明書を変更する方法
  2. AD FS idP エンドポイントまたはスマートリンクが、カスタマイズされたサインイン用に使用されている場合は、使用するサーバー名を、AD FS に割当てられた証明書と一致するようにしてください。idP およびスマートリンクについての詳細は、次のMicrosoft ウェブサイトをご利用ください。 

  3. 珍しいケースとして、AD FS サービス名を実行後に誤って変更した場合にもこの状態が起こり得ます。AD FS エンドポイントサービス名を手動で変更する方法は、次のMicrosoft ウェブサイトをご利用ください。


    警告 これらの変更により、AD FS サービスアウテージが発生する可能性があります。更新後、以下を行いシングル サイン オン フェデレーション機能を復元する必要があります。
    1. すべてのフェデレーションしたネームスペースで「Update-MSOLFederatedDomain」 コマンドレットを実行します。
    2. AD FS Proxyサーバー用に、セットアップ構成ウィザードに戻ります。

メソッド3: 証明書の信頼発行に関する問題


以下いずれかのタスクを行い、証明機関(CA)の信頼発行問題を解決します。
  • Microsoft Root Certificate Programに参加しているソースから証明書を取得し使用します。信頼済み証明書ソースのリストは、次のウェブサイトを参照してください。
  • Microsoft Root Certificate Programに属している証明書発行元をリクエストします。Microsoft Root Certificate Program とWindowsのルート証明書のオペレーションについては、次のMicrosoft ウェブサイトをご利用ください。
警告 シングルサインオン(SSO) やOffice 365とのIDフェデレーションを用いる際に、AD FS が内部CAを使用することをお勧めしません。Office 365データセンターに信頼されていない証明書の繋がり(チェーン)を使用すると、SSO機能を用いるOutlookのExchange Onlineへの接続は失敗します。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2523494 - 最終更新日: 2014/12/18 - リビジョン: 1

フィードバック