フェデレーション ユーザーが予期せず職場または学校アカウントの資格情報の入力を求められる

適用対象: Azure Active DirectoryAzure BackupMicrosoft Intune 詳細

現象 


フェデレーション ユーザーが Office 365、Microsoft Azure、Microsoft Intune などのMicrosoft クラウド サービスににアクセスしようとすると、予期せず職場または学校アカウントの資格情報を入力するよう求められます。ユーザーが資格情報を入力すると、クラウド サービスへアクセスすることができます。

すべてのフェデレーション ユーザーの認証操作において資格情報が要求されないというわけではありません。シナリオの一部にはユーザーが資格情報を入力するよう設定がされている場合もあります。以下に進む前に、資格情報の入力要求が間違いなく不測の動作であることを確認してください。

原因 


次のいずれかの条件が当てはまる場合、内部ドメイン クライアントにこの問題が発生することがあります。
  • 内部クライアントは、AD FS フェデレーション サービスの IP アドレスへ向くエンドポイントではなく、AD FS プロキシ サービスの IP アドレスへ向くエンドポイントを解決した場合。 
  • AD FS へのシングル サインオンが Windows Internet Explorer のセキュリティ設定でローカルイントラネットに追加されていない場合。 
  • AD FS へのシングル サインオンが Windows Internet Explorer のプロキシ サーバーの設定で構成されていない場合。 
  • AD FS サーバーのインターネット インフォメーション サーバー (IIS) 認証設定が、誤って構成されている場合。
  • Web ブラウザが統合Windows認証をサポートしていない場合。
  • クライアント コンピューターからオンプレミスの AD ドメインに接続できない。

解決方法 


この問題を解決するには、状況に応じて以下の方法のいずれか (または複数) を使用します。

解決方法 1: AD FS の IP アドレスが DNS サーバーのホスト レコードにあることを確認する

この問題が発生しているクライアント コンピューターの DNS サーバー上のホスト レコードに AD FS の IP アドレスがあることを確認します。これは、内部クライアントでは、内部 DNS サーバーが内部 IP アドレス内にある、AD FS の IP アドレスの名前を解決する必要があります。また、インターネット クライアントでは、AD FS の IP アドレス名で、グローバル IP アドレスに対して解決する必要があります。これをクライアントでテストするには、次の手順を実行します。
  1. [スタート] をクリックし、[ファイル名を指定して実行] をクリックします。「cmd」と入力して Enter キーを押します。
  2. コマンド プロンプトで次のコマンドを入力します。この場合、「sts.contoso.com」の部分には AD FS のエンドポイント名が入ります。

    nslookupsts.contoso.com
  3. コマンドの実行結果に誤った IP アドレスが表示される場合は、内部または外部の DNS サーバーの A レコードを編集します。方法の詳細については、Microsoft Knowledge Base にある次の資料を参照してください。

    2419389  「フェデレーション ユーザーが Office 365 Web リソースにサインインしようとすると、ブラウザに AD FS Web ページが表示されない」 

解決方法 2: Internet Explorer のローカル イントラネット ゾーンおよびプロキシ サーバーの設定を確認する

次の手順を実行します。

方法 A

Internet Explorer でローカル イントラネット ゾーンとプロキシ サーバーの設定を確認するには、次の手順に従います。
  1. Internet Explorer を起動します。
  2. [ツール]メニューで、[インターネット オプション] をクリック します。
  3. [セキュリティ]タブをクリックし、[ローカル イントラネット] をクリックし、次に [サイト] をクリックします 。
  4. [ローカル イントラネット] ダイアログ ボックスで、[詳細設定] をクリックします[Webサイト] の一覧に、AD FS サービス エンドポイントの完全修飾 DNS 名 (たとえば、"https://sts.contoso.com") が存在することを確認します。
  5. [閉じる]をクリックし、次に [OK]をクリックします。

    ネットワーク管理者が Web プロキシサーバーをオンプレミス環境で構成している場合に限り、以下の追加手順を実行します
  6. [接続]タブをクリックし、次に [LANの設定] をクリックします 。
  7. [自動構成] で [設定を自動的に検出する] のチェック ボックスの選択をクリアにし、[自動構成スクリプトを使用する]のチェック ボックスの選択もクリアにします。
  8. [プロキシ サーバー]の下にある [LANにプロキシ サーバーを使用する] チェック ボックスが選択されている場合、[詳細設定] をクリックします。プロキシ サーバー アドレスとポートを入力し、[詳細設定] をクリックします。
  9. [例外] に AD FS エンドポイント を追加します (例: sts.contoso.com)。
  10. [OK] を3 回クリックします。


方法 B

Internet Explorer でセキュリティ ゾーンのセキュリティ設定を手動で構成します。ローカル イントラネット ゾーンで Windows 認証を求めない既定のセキュリティ設定は、Internet Explorer のセキュリティ ゾーンで手動構成することができます。AD FS サービス名が含まれているセキュリティ ゾーンをカスタマイズするには、次の手順に従います。

警告: この構成では、統合 Windows 認証トラフィックを意図せずインターネットサイトに送るため、推奨されません。
  1. Internet Explorer を開きます。
  2. [ツール]メニューで、[インターネット オプション] をクリック します。
  3. [セキュリティ] タブをクリックし、AD FS サービス名が含まれているセキュリティ ゾーンを選択し、[レベルのカスタマイズ] をクリックします。
  4. [セキュリティ設定] のダイアログ ボックスから [ユーザー認証] を探します (スクロール下部)。
  5. [ログオン]の選択肢の中から、[現在のユーザー名とパスワードで自動的にログオンする] をクリックします。
  6. [OK]を2 回クリックします。


解決方法 3: AD FS ェデレーション サービスおよびプロキシ サービスのIIS 認証設定を確認する

AD FS フェデレーションおよび AD FS プロキシ サービスの IIS 認証設定が正常に構成されているかを確認してください。詳細については、Microsoft Knowledge Base で次の資料を参照してください。

2461628 「フェデレーション ユーザーが Office 365 にサインインする際、資格情報の入力を繰り返し求められる」

解決方法 4: Internet Explorer またはサードパーティ Web ブラウザを使用する

統合 Windows 認証をサポートする Internet Explorer またはサードパーティ Web ブラウザを使用します。

解決方法 5: Active Directory への接続を確認する

クライアントコンピューターからログオフし、Active Directory ユーザーとしてログオンします。ログオンに成功した場合は、Nltest コマンドライン ツールを使用して Active Directory への接続を確認します。
  1. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

    Nltest /dsgetdc:<FQDN Of Domain>

    : Nltest ツールを使用するには、コンピューターへ Windows Server 2003 サポート ツールをインストールする必要があります。

    設定が正しい場合は、次のような表示になります。

    DC: \\DC.contoso.com Address: \\192.168.1.10 Dom Guid: a3bd534c-19e9-4880-81ad-a8ee34cd4526 
    Dom Name: contoso.com Forest Name: contoso.com Dc Site Name: Default-First-Site-Name
    Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE
    DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE The command completed successfully
  2. コンピューターのサイトメンバー登録を確認します。次のコマンドを入力し、Enter キーを押します。

    nltest /dsgetsite

    コマンドが成功すると、次のような表示になります。

    Default-First-Site-Name The command completed successfully

解決方法 


非フェデレーション ユーザーのアカウントまたはフェデレーション ユーザーのアカウントを使用した、パブリック インターネット接続によるOffice 365 リソースへのアクセスは、シングル サインオンにならないことがあります。これは、Office 365 の仕様によるものです。

Outlook 接続にロギングするOffice 365エクスペリエンスも、シングル サインオンのエクスペリエンスにならないものと予想されます。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。