シングル サインオンを使用した Office 365、Azure、または Intune へのサインインが一部のデバイスから機能しない

適用対象: Azure Active DirectoryMicrosoft IntuneAzure Backup

問題


フェデレーション アカウントを使用して、Web ベースのクライアントまたはリッチ クライアント アプリケーションを介して Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにアクセスしようとすると、特定のクライアント コンピューターからの認証が失敗します。

Web ブラウザーを使用し、フェデレーション アカウントを使用して同じコンピューターからクラウド サービス ポータルにアクセスすると、次のいずれかの現象が発生することがあります。
  • ポータルのエンドポイントに接続すると、次のいずれかのエラー メッセージが表示されます。 
    Internet Explorer ではこのページは表示できません
    403 Page Not Found
  • Active Directory フェデレーション サービス (AD FS) エンドポイントに接続すると、次のいずれかのエラー メッセージが表示されます。
    Internet Explorer ではこのページは表示できません
    403 Page Not Found
  • AD FS エンドポイントに接続すると、証明書の警告が表示されます。
  • 企業ドメインにログインしている間に AD FS エンドポイントに接続すると、単一の資格情報プロンプトが表示されます。 資格情報のこのプロンプトでは、フォームベース認証は使用されません。
  • サードパーティの Web ブラウザーを使用して AD F Sエンドポイントに接続すると、ループ認証プロンプトが表示されます。 これらのプロンプトでは、フォームベース認証は使用されません。
  • login.microsoftonline.com エンドポイントに接続すると、次のエラー メッセージが表示されます。
    アクセスが拒否される

原因


通常、この問題はクライアント コンピューターまたはクライアント デバイス群で発生します。 シングル サインオン (SSO) が完全に機能しない場合、すべてのユーザーとクライアント コンピューターにこの問題が発生する可能性があります。 クライアント設定が正しく設定されていないと、SSO が完全に機能しない可能性があります。 次のクライアント デバイスの状況により、この問題が発生する可能性があります。
  • ネットワーク接続が制限されている可能性がある。
  • クライアント デバイスは、内部スプリットブレイン DNS 実装から AD FS フェデレーション サービスの不正な名前解決を受信している。
  • コンピューターでインターネット プロキシ サーバーが構成されている場合、AD FS フェデレーション サービス名がプロキシ バイパス リストに追加されないことがある。
  • AD FS フェデレーション サービス名は、インターネット オプション設定のローカル イントラネット セキュリティ ゾーンに追加されない場合がある。
  • クライアント コンピューターが Active Directory ドメイン サービスに対して認証されていない。
  • サードパーティの Web ブラウザーは、AD FS フェデレーション サービスに対する認証の拡張保護をサポートしていない。
  • フェデレーション メタデータ エンドポイントは、SSO 管理ツールの以前の Office 365 Beta インストールが原因で、レジストリにハードコードされている場合がある。
  • 特定のクライアント アプリケーションに必要な AD FS サービス エンドポイントが無効になっている。
処理を続ける前に、以下の状況に該当していることを確認してください。
  • アクセス問題は、クライアント コンピューターのリッチ クライアント アプリケーションに限られていません。 リッチ クライアント認証のみ作動しない場合 (ブラウザベースの認証ではなく) の多くは、リッチ クライアントの認証問題を示しています。 たとえば、リッチ クライアント アプリケーションの必要条件または構成に関する問題が考えられます。 関連情報については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
    2637629 Office 365、Azure、または Intune にサインインできないブラウザー以外のアプリのトラブルシューティング   
  • シングル サインオン (SSO) 認証は、SSO が有効なユーザー アカウント全てで失敗するわけではありません。 SSO が有効なすべてのユーザーに同じ現象が発生する場合、フェデレーションに関する問題である可能性が考えられます。 詳細については、以下のサポート技術情報番号をクリックしてください。
    2530569 Office 365、Intune または Azure における シングル サインオン セットアップのトラブルシューティング  
  • ユーザー アカウントの SSO 認証は、他のクライアント コンピューターで成功します。 ユーザー アカウントがクラウド サービス クライアントにログオンできない場合は、この記事の後半でクライアント コンピューターに関する解決策を参照してください。 また、クライアント コンピューターではなく、ユーザー アカウントに問題がある可能性についても調べてください。 詳細については、以下のサポート技術情報番号をクリックしてください。  
    2530590 Office 365、Azure、または Intune でフェデレーション ユーザーのアカウントの問題をトラブルシューティングする   
  • クライアン トコンピューターのキーボードは正常に作動し、必要なユーザー名とパスワードは正確に入力されています。

解決方法


この問題のトラブルシューティングを行うには、問題の原因に応じて、次のいずれかの方法の 1 つ以上を使用します。

解決方法 1: クラウド サービス ポータルまたは AD FS に接続できない 

http://www.msn.com にアクセスしてみてください。 これが機能しない場合は、ネットワーク接続の問題をトラブルシューティングします。 このためには、次の手順に従います。
  1. コマンド プロンプトで、ipconfig および ping ツールを使用して IP 接続のトラブルシューティングを行います。 関連情報については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
    169790 基本的な TCP/IP 問題のトラブルシューティング方法
  2. コマンド プロンプトで「nslookup www.msn.com」と入力して、DNS がインターネット サーバー名を解決しているかどうかを確認します。
  3. ローカル ネットワークでプロキシ サーバーが使用されている場合は、インターネット オプションのプロキシ設定が適切なプロキシ サーバーを反映していることを確認します。
  4. Forefront Threat Management Gateway (TMG) ファイアウォールがネットワークの境界にインストールされており、ファイアウォールでクライアント認証が必要な場合、インターネット アクセスのためにクライアント デバイスに Forefront TMG クライアント プログラムをインストールする必要がある場合があります。 この件のヘルプには、クラウド サービス管理者に連絡してください。

解決方法 2: AD FS に接続できない

この問題を解決するには、次の手順を実行します。
  1. IP 接続問題を除外します (解決法 1 参照)。
  2. コマンド プロンプトに「nslookup <AD FS 2.0 FQDN>」と入力して Enter キーを押し、DNS がAD FS サービス ネームを正しく解決しているか判断します。

    : このコマンドにおいて、<AD FS FQDN> とは、AD FS サービス名の FQDN (fully qualified domain name) を指します。 これは、AD FS サーバーの Windows ホスト名ではありません。
    1. クライアントが企業ネットワークに所属している場合は、解決済みの IP アドレスがプライベート IP アドレスであることを確認します。 IP アドレスは、以下のいずれかのパターンに一致している必要があります。
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    2. クライアントが企業ネットワークの外部にある場合は、解決済みの IP アドレスがパブリック IP アドレスであることを確認します。 以下のパターンに該当しないことを確認してください。
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    3. 手順 1 と手順 2 に基づいた解決済み IP アドレスが正しくなく、他のクライアント コンピューターで同じ動作が発生しない場合は、次の手順を実行します。
      1. コマンド プロンプトで「ipconfig /all」と入力し、クライアントが接続されているネットワークにプライマリ DNS サーバーのエントリが適切であることを確認します。
      2. メモ帳で %windir%\system32\drivers\etc\hosts ファイルを開き、AD FS FQDN のエントリをすべて削除します。 ファイルを保存します。
      3. コマンド プロンプトで「ipconfig /flushdns」と入力し、DNS キャッシュをクリアします。
    注: クライアント デバイスが企業ネットワークにのみ接続されている場合は、手順 3 に進みます。
  3. AD FS FQDN をプロキシ バイパス リストに追加します。 これを行うには、マイクロソフト サポート技術情報 (Microsoft Knowledge Base) の次の記事の手順に従ってください。
    262981 [ローカル アドレスにはプロキシ サーバを使用しない] オプションが有効であるにもかかわらず、Internet Explorer がローカル IP アドレスにプロキシ サーバーを使用する

解決方法 3: AD FS エンドポイントに接続する際に表示される証明書警告

この問題を解決するには、マイクロソフト サポート技術情報 (Microsoft Knowledge Base) の次の記事を使用して、SSL (Secure Sockets Layer) 証明書の問題をトラブルシューティングします。
2523494 Office 365、Azure、または Intune にサインインすると、AD FS から証明書の警告が表示される  

解決方法 4: 企業ネットワークに接続されているクライアント コンピューターからログオンすると、予期しない資格情報のプロンプトが 1 つ表示される

この問題を解決するには、次の手順を実行します。
  1. クライアント コンピューターがドメインに正常にログオンしていることを確認します。
    1. [スタート]、[ファイル名を指定して実行] の順にクリックし、「%logonserver%\sysvol」と入力して、[OK] をクリックします。
    2. 資格情報のプロンプトが表示された場合は、ログオフしてから、企業の資格情報を使用して再度ログオンします。
  2. AD FS FQDN をローカル イントラネット ゾーンに追加します。
    1. [セキュリティ] タブで、[ローカル イントラネット] をクリックし、[サイト] をクリックします。
    2. [詳細設定] をクリックし、Web サイトのリストで AD FS サービス エンドポイントの完全修飾 DNS 名 (sts.contoso.com など) を確認します。

      注: 「*.consoto.com」などのワイルドカード値も、この構成で機能します。
  3. AD FS FQDN をプロキシ バイパス リストに追加します。 これを行うには、マイクロソフト サポート技術情報 (Microsoft Knowledge Base) の次の記事の手順に従ってください。
    262981 [ローカル アドレスにはプロキシ サーバーを使用しない] オプションが有効であるにもかかわらず、Internet Explorer がローカル IP アドレスにプロキシ サーバーを使用する

解決方法 5: サードパーティの Web ブラウザーは認証の拡張保護をサポートしておらず、ループする認証プロンプトが表示される

この問題を解決するには、次の手順を実行します。
  1. 認証の拡張保護をサポートしていないサードパーティの Web ブラウザーの代わりに、Windows Internet Explorer (Internet Explorerは認証の拡張保護をサポートしています) を使用します。
  2. Internet Explorer を使用できない場合は、次のマイクロソフト サポート技術情報 (Microsoft Knowledge Base) の記事を使用して、認証の拡張保護をサポートしていない Web ブラウザーからの要求を受け入れるように AD FS を構成します。
    2461628 フェデレーション ユーザーが Office 365、Azure、または Intune へのサインイン中に資格情報の入力を繰り返し求められる

解決方法 6: login.microsoftonline.com に接続しようとすると「アクセスが拒否されました」というエラー メッセージが表示される

重要: このセクションには、レジストリの変更方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 万一に備えて、編集の前にレジストリをバックアップしてください。 問題が発生した場合でも、レジストリを復元できます。 レジストリのバックアップ方法および復元方法の詳細を参照するには、以下のサポート技術情報番号をクリックしてください。
322756 Windows でレジストリをバックアップおよび復元する方法
AD FS で使用される Azure アクティブ ディレクトリ SSO のエンドポイントが有効でない場合、問題が発生する可能性があります。 フェデレーション エンドポイントが、AD FS フェデレーション サービス ファーム内の各サーバーのレジストリにハードコーディングされていないことを確認します。

この問題を解決するには、レジストリ エディターを使用して次のレジストリ サブキーを削除します。
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS は、SSO 証明書利用者信頼に基づいて正しいエンドポイントにフォールバックします。

解決方法 7: 無効な AD FS サービス エンドポイント設定を既定の構成にリセットする

これを行う方法の詳細については、次のマイクロソフト サポート技術情報 (Microsoft Knowledge Base) の記事を参照してください。
2712957 フェデレーション サービス エンドポイントを変更した後、Office 365、Azure、または Intune にサインインできない 
さらにヘルプが必要ですか? Microsoft コミュニティ または「Azure Active Directory Forums (英語情報)」 Web サイトを参照してください。