ユーザーが Microsoft 365、Intune、または Azure にサインインするときの AD FS エンドポイント接続の問題のトラブルシューティング方法

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

ユーザーがフェデレーション ユーザー アカウントを使用して Microsoft 365、Microsoft Intune、Microsoft Azure などの Microsoft クラウド サービスにサインインすると、Active Directory フェデレーション サービス (AD FS) (AD FS) サービスへの接続は、ユーザーが次の操作を試みる場合にのみ失敗します。

  • リモート インターネットの場所から接続する
  • 電子メール接続を使用してサインインする

この状況により、リモート接続アナライザーが実行する SSO テストも失敗します。

リモート接続アナライザーを実行して Microsoft 365 で SSO 認証をテストする方法の詳細については、Microsoft サポート技術情報の次の記事を参照してください。

  • 2650717 リモート接続アナライザーを使用して、Microsoft 365、Azure、または Intuneのシングル サインオンの問題のトラブルシューティングを行う方法
  • フェデレーション ユーザーがExchange Onlineメールボックスに接続できない2466333

原因

これらのエラーは、AD FS サービスがインターネットに正しく公開されていない場合に発生する可能性があります。 通常、この目的には AD FS プロキシ サーバーが使用され、AD FS プロキシ サーバーに問題が発生すると、このような現象が発生します。 一般的な問題は次のとおりです。

  • AD FS プロキシ サーバーに割り当てられている期限切れの SSL 証明書

    多くの場合、AD FS フェデレーション サービスと AD FS プロキシ サーバーの両方の通信 (HTTPS) をセキュリティで保護するために、同じ SSL 証明書が使用されます。 この証明書の有効期限が切れ、AD FS フェデレーション サービス ファームで証明書が更新または更新された場合は、すべての AD FS プロキシ サーバーでも SSL 証明書を更新する必要があります。 この場合、AD FS プロキシ サーバーの SSL 証明書が更新されない場合、AD FS フェデレーション サービスが正常であっても、AD FS サービスへのインターネット接続が失敗する可能性があります。

  • IIS 認証エンドポイントの正しくない構成

    AD FS プロキシ サーバーの役割は、AD FS で送信されるインターネット通信を受信し、その通信を AD FS フェデレーション サービスに中継することです。 そのため、AD FS フェデレーション サービスとプロキシ サーバーの IIS 認証設定を補完的にすることが重要です。 AD FS プロキシ サーバーの IIS 認証設定が AD FS フェデレーション サービスの IIS 認証設定を補完するように設定されていない場合、サインインが失敗するか、複数の予期しないプロンプトが生成される可能性があります。

  • AD FS プロキシ サーバーと AD FS フェデレーション サービスの間の信頼が壊れています

    AD FS プロキシ サービスは、ドメインに参加していないコンピューターにインストールするように設計されています。 そのため、AD FS プロキシ サーバーと AD FS フェデレーション サービス間の通信は、Active Directory の信頼または資格情報に基づいて行うことはできません。 代わりに、これら 2 つのサーバー ロール間の通信は、AD FS フェデレーション サービスによって AD FS プロキシ サーバーに発行され、AD FS トークン署名証明書によって署名されたトークンを使用して確立されます。 この信頼の有効期限が切れているか無効な場合、AD FS プロキシ サービスは AD FS 要求を中継できないため、機能を復元するには信頼を再構築する必要があります。

ソリューション

この問題を解決するには、問題が発生しているすべての AD FS プロキシ サーバーで、状況に応じて次のいずれかの方法を使用します。

方法 1: AD FS サーバーでの AD FS SSL 証明書の問題を修正する

これを行うには、次の手順を実行します。

  1. 次の Microsoft サポート技術情報の記事を使用して、AD FS フェデレーション サービス (プロキシ サービスではなく) の SSL 証明書の問題のトラブルシューティングを行います。

    2523494 Microsoft 365、Azure、または Intune にサインインしようとすると、AD FS から証明書の警告が表示されます。

  2. AD FS フェデレーション サービスの SSL 証明書が正しく機能している場合は、証明書のエクスポートとインポートの機能を使用して、AD FS プロキシ サーバー上の SSL 証明書を更新します。 詳細については、次の Microsoft サポート技術情報の記事を参照してください。
    179380 デジタル証明書を削除、インポート、エクスポートする方法

方法 2: AD FS プロキシ サーバーの IIS 認証設定を既定にリセットする

これを行うには、AD FS プロキシ サーバーの次の Microsoft サポート技術情報記事の解決策 1 に記載されている手順に従います。

2461628 フェデレーション ユーザーは、Microsoft 365、Azure、または Intune へのサインイン中に資格情報の入力を繰り返し求められます。

方法 3: AD FS プロキシ構成ウィザードを再実行する

これを行うには、影響を受けるすべての AD FS プロキシ サーバーの管理ツール インターフェイスから AD FS フェデレーション サーバー プロキシ構成ウィザードを再実行します。

注:

構成ウィザードを再実行するときに、"ブラウザー サインイン Web サイトの展開" 手順から警告を受け取るのが一般的です。 これは、ウィザードが AD FS プロキシ サーバーと AD FS フェデレーション サービスの間の信頼を再構築しなかったことを示すものではありません。

詳細

AD FS プロキシ サーバーを使用して AD FS サービスをインターネットに公開する方法の詳細については、次の Microsoft Web サイトを参照してください。

シングル サインオンで使用する AD FS 2.0 の計画と展開

さらにヘルプが必要ですか? Microsoft コミュニティを参照してください。