現在オフラインです。再接続するためにインターネットの接続を待っています

フェデレーション ユーザーが Office 365、Azure、または Intune にサインインする際、資格情報の入力を繰り返し求められる

Windows XP のサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XP のサポートを終了しました。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

重要: 本資料には、コンピューターのセキュリティを低く設定するまたは機能をオフにする情報が含まれます。特定の問題に対する回避策としてこのような変更を加える場合があります。変更を加える前に、お客様の環境でこのような回避策を適用した場合に生じるリスクを考慮してください。この回避策を用いる場合は、コンピューターを保護するための適切な追加手順を適用してください。
現象
フェデレーション ユーザーが Office 365 にサインインする際、Active Directory Federation Services (AD FS) サービス エンドポイントへの認証を試みる間、資格情報の入力を繰り返し求められます。資格情報の入力をキャンセルすると、次のエラー メッセージが表示されます
“Access Denied” (参考訳: アクセスが拒否されました)
原因
この症状は、AD FS との Windows 統合認証に関する問題とされます。この問題は、以下の条件に 1 つまたは複数当てはまる場合に生じる可能性があります。
  • ユーザー名またはパスワードに誤りがある。
  • インターネット インフォメーション サービス (IIS) の認証設定が、AD FS で正しく構成されていない。
  • AD FS フェデレーション サービス ファーム実行時に使用するアカウントに紐付いているサービス プリンシパル名 (SPN) が損失、または破損している。

    注:AD FS がスタンドアロン構成内ではなく、フェデレーション サービス ファームとして実装されている場合に限りこの症状は生じます。
  • 以下に挙げる 1 つ以上の項目が、認証時の拡張保護 (EP) 機能により、介入攻撃として認識されている。
    • サードパーティのインターネット ブラウザー数種
    • 企業ネットワークのファイアウォール、ネットワーク ロード バランサー、その他のネットワーク デバイスが、AD FS フェデレーション サービスをインターネットに公開する際に、IP ペイロード データが書き換えられる可能性がある場合。このような項目には、以下のデータが含まれる場合があります。
      • Secure Sockets Layer (SSL) ブリッジ
      • SSL オフロード
      • ステートフル パケット フィルター

        その他詳細については、以下の Microsoft Knowledge Base の資料を参照してください。

        2510193: Office 365 ID フェデレーション サービスにおける AD FS の導入シナリオ 
  • AD FS サービス エンドポイントのドメイン ネーム システム (DNS) での解決が、A レコードではなく CNAME レコードの参照により実行されている場合。
  • AD FS サーバーに対し、Windows 統合認証を認めるよう Windows Internet Explorer が構成されていない場合。

トラブルシューティングを開始する準備

ユーザー名とパスワードを確認し、問題の原因ではないことを確認します。
  • 正しいユーザー名であり、UPN 形式 (例: johnsmith@contoso.com) であることを確認します。
  • パスワードに誤りがないか確認します。正しいパスワードが使用されているかどうかを再度確認するために、ユーザー パスワードを再設定します。詳細については、以下の Microsoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754395.aspx
  • アカウントがロックアウトされていないこと、有効期限内であること、または指定されたログオン時間外に使用されていないことを確認します。詳細については、以下の Microsoft TechNet 資料を参照してください。

    http://technet.microsoft.com/ja-jp/library/cc754661.aspx

原因の検証

原因が Kerberos 問題であるかどうか確認するには、AD FS フェデレーション サービス ファーム上でフォームによる認証を有効化して、一時的に Kerberos 認証をバイパスします。この操作は、以下の手順に従ってください。

手順 1: AD FS フェデレーション サービス ファームの各サーバー上のweb.config ファイルを編集する
  1. Windows Explorer で、C:\inetpub\adfs\ls\ フォルダーを参照し、web.config ファイルのバックアップコピーを作成します。
  2. [スタート][すべてのプログラム][アクセサリ]を順にクリックして、[メモ帳] を右クリックし、[管理者として実行] をクリックします。
  3. [ファイル] メニューより、[開く] をクリックします。[ファイル名]の入力欄で、C:\inetpub\adfs\ls\web.config と入力してから、[開く] をクリックします。
  4. web.config ファイルにおいて、以下の手順に従います。
    1. <authentication mode= を含む行を特定してから、<authentication mode="Forms"/> へ変更します。
    2. <localAuthenticationTypes> より始まるセクションを参照し、<add name="Forms" エントリを以下の通り、一番上に表示されるようセクションを変更します。

      <localAuthenticationTypes>
      <add name="Forms" page="FormsSignIn.aspx" />
      <add name="Integrated" page="auth/integrated/" />
      <add name="TlsClient" page="auth/sslclient/" />
      <add name="Basic" page="auth/basic/" />
  5. [ファイル] メニューで、[保存] をクリックします。
  6. 管理者権限で、コマンドプロンプトを開き、iisreset コマンドを実行して、IIS を再起動します。

手順 2: AD FS 機能のテスト
  1. オンプレミス Active Directory DS 環境に接続および認証されているクライアント コンピューターで、Office 365 ポータル (https://portal.microsoftonline.com) にサインインします。

    シームレスに認証されるかわりに、フォームによるサインインが実行されます。フォームによる認証によりサインインができたら、問題は、AD FS における Kerberos に起因していることが判断できます。
  2. 次の「解決方法」セクションの手順に進む前に、AD FS ファームにある各サーバーの構成を、以前の認証設定に戻します。AD FS フェデレーション サービス ファームの各サーバーの構成を、以前の認証設定に戻すには、以下の手順に従ってください。
    1. Windows Explorer で C:\inetpub\adfs\ls\ フォルダーを探し、フォルダー内の web.config ファイルを削除します。
    2. 「手順 1: AD FS フェデレーション サービス ファームの各サーバー上の web.config ファイルを編集する」セクションで作成した web.config のバックアップ ファイルを C:\inetpub\adfs\ls\ フォルダーに移動します。
  3. 管理者権限でコマンド プロンプトを開き、iisreset コマンドを実行して IIS を再起動します。
  4. AD FS の認証動作がループ認証に戻っているかを確認します。

解決方法
AD FS 認証を制限する Kerberos 問題を解決するには、状況に応じ、以下いずれかの方法に従います。

解決策 1: AD FS 認証設定を既定値にリセットする

AD FS IIS 認証設定に誤りがあるか、AD FS フェデレーション サービスとプロキシ サービスの IIS 認証設定が適合しない場合、すべての IIS 認証設定を AD FS の既定値にリセットします。

既定の認証設定は、以下の表に記載のとおりです。
仮想アプリケーション認証レベル
既定 Web サイト/adfs匿名認証
既定 Web サイト/adfs/ls匿名認証
Windows 認証

各 AD FS フェデレーション サーバーと各 AD FS フェデレーション プロキシ サーバーについては、以下の Microsoft TechNet 資料を参照し、AD FS IIS 仮想アプリケーションを既定の認証設定にリセットしてください。

http://technet.microsoft.com/ja-jp/library/cc733010(WS.10).aspx (ADFS IIS 仮想アプリケーションをリセットして既定の認証設定に変更する)

このエラーの解決方法については、以下の Microsoft Knowledge Base の資料番号をクリックして、手順を参照してください。

907273: IIS での HTTP 401 エラーのトラブルシューティング

871179: 上の IIS 6.0 アプリケーション プールの一部である Web サイトにアクセスすると、 a "承認が解除された HTTP エラー 401.1 の、:無効な資格情報のため、Access is denied" エラー メッセージ受信します。



解決策 2: AD FS フェデレーション サービス ファーム SPN の修正

注: この解決策は、AD FS がフェデレーション サーバー ファームとして実装されている場合に使用します。AD FS スタンドアロン構成の場合には使用しないでください。

この問題を解決する際に、AD FS サービス アカウントの SPN データが欠損または破損している場合、AD FS フェデレーション サービス ファーム内の 1 つのサーバーで、以下の手順に従ってください。
  1. [スタート][すべてのプログラム][管理ツール][サービス] を順にクリックし、サービス管理スナップインを開きます。
  2. [AD FS (2.0) Windows Service] をダブルクリックします。
  3. [ログオン] タブ上で、[アカウント] に表示されるサービス アカウントをメモに取ります。
  4. [スタート][すべてのプログラム][アクセサリ] を順にクリックし、[コマンドプロンプト] で右クリックをしてから、[管理者として実行] をクリックします。
  5. 「SetSPN –f –q host/<AD FS service name>と入力してから、Enter キーを押します。

    注: コマンド中にある<AD FS service name>は、AD FS サービス エンドポイントにおける完全修飾ドメイン名 (FQDN) を入力します。AD FS サーバーの Windows ホスト名ではありません。
    • コマンドの実行後、1 つ以上のエントリが返される場合で、その結果が手順 3 に表示されていたユーザー アカウント以外と関連付けられている場合は、以下のコマンドを実行して関連付けを削除します。

      SetSPN –d host/<AD FS service name><bad_username>
    • コマンドの実行後、1 つ以上のエントリが返される場合で、SPN が AD FS サーバーの Window コンピューター名と同じ名前を使用している場合、AD FS のフェデレーション エンドポイント名に誤りがあるということになります。この場合、AD FS を再実装する必要があります。AD FS フェデレーション サーバー ファームの FQDN は、既存サーバーの Windows ホスト名と同一のものを使用することはできません。
    • SPN が存在しない場合、以下のコマンドを実行します。

      SetSPN –a host/<AD FS service name><username of service account>

      注: <username of service account> は、手順3で記録したユーザー名を入力します
  6. AD FS フェデレーション サーバー ファームにおいてすべての手順を実行したら、サービス管理スナップインより [AD FS (2.0) Windows Service] を右クリックして、[再起動] をクリックします。

解決策 3: 認証の拡張保護に関する事項の解決

認証の拡張保護が原因となり認証が妨害される場合、以下のいずれかの方法を使用して解決します。

  • 方法 1: Internet Explorer 8 (またはそれ以降のバージョンのプログラム) を使用してサインインします。
  • 方法 2: SSL ブリッジ、SSL オフロード、またはステートフル パケット フィルター等が IP ペイロード データを書き換えない方法を使用して、AD FS サービスをインターネットに公開します。AD FS プロキシ サーバーはこの解決方法で推奨されるベスト プラクティスです。
  • 方法 3:モニタリング アプリケーションまたは SSL 解読アプリケーションを閉じるか、無効化します。
上記のいずれの方法も行えない場合、問題を回避する方法として、認証の拡張保護を無効にする方法があります。

回避策: 認証の拡張保護を無効化する

警告: この手順は一時的な回避策として用いてください。認証の拡張保護を無効化することにより、統合 Windows 認証エンドポイントに起こる特定の介入攻撃を検出しなくなり、AD FS サービスのセキュリティ プロファイルが脆弱化します。

: サードパーティ アプリケーションの機能に対してこの回避策を適用すると、認証の拡張機能に関してクライアント オペレーティング システム上での修正プログラムのアンインストールが必要になる場合もあります。修正プログラムの詳細については、以下の Microsoft Knowledge Base を参照してください。
968389: 認証に対する保護の強化

パッシブクライアント

パッシブ クライアントの認証拡張保護を無効化するには、以下における AD FS フェデレーション サーバー ファーム内にあるすべてのサーバー上で IIS 仮想アプリケーションに対し、以下の手順を実行してください。
  • 既定 Web サイト/adfs
  • 既定 Web サイト/adfs/ls

実行手順:
  1. インターネット インフォーメーション サービス (IIS) マネージャーを起動し、管理対象レベルに移動します。IIS マネージャーの起動に関する詳細は、「IIS マネージャーを開く (IIS 7)」を参照してください。
  2. 機能ビューで [Authentication] (認証) をダブルクリックします。
  3. 認証ページで [Windows Authentication] (Windows 認証) を選択します。
  4. [Actions] (操作) メニューから [Advanced Settings] (詳細設定) をクリックします。
  5. [Advanced Settings] ダイアログ ボックスで [Extended Protection] (拡張保護) ドロップダウン メニューから [Off] (オフ) を選択します。

アクティブクライアント

アクティブ クライアントの認証拡張保護を無効化するには、プライマリ AD FS サーバー上で以下の手順を実行してください。
  1. プライマリ AD FS サーバーで Windows PowerShell を開きます。
  2. 以下のコマンドを実行し、AD FS 用 Windows PowerShell スナップインを読み込みます。
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 以下のコマンドを実行し、認証の拡張保護を無効化します。
    Set-ADFSProperties –ExtendedProtectionTokenCheck “None”

認証の拡張保護を再有効化する


パッシブクライアント

認証の拡張保護を再度有効にするには、以下のAD FS フェデレーション サーバー ファーム内すべてのサーバー上におけるIIS 仮想アプリケーションに次の手順を行ってください。
  • 既定 Web サイト/adfs
  • 既定 Web サイト/adfs/ls
実行手順:
  1. インターネット インフォーメーション サービス (IIS) マネージャーを起動し、管理対象レベルに移動します。IIS マネージャーの起動に関する詳細は、「IIS マネージャーを開く (IIS 7)」を参照してください。
  2. 機能ビューで [Authentication] (認証) をダブルクリックします。
  3. 認証ページで [Windows Authentication] (Windows 認証) を選択します。
  4. [Actions] (操作) メニューから [Advanced Settings] (詳細設定) をクリックします。
  5. [Advanced Settings] ダイアログ ボックスで [Extended Protection] (拡張保護) ドロップダウン メニューから [Accept] (許可) を選択します。
アクティブクライアント

アクティブ クライアントの認証拡張保護を再有効化するには、プライマリ AD FS サーバー上で以下の手順を実行してください。
  1. プライマリ AD FS サーバーで Windows PowerShell を開きます。
  2. 以下のコマンドを実行し、AD FS 用 Windows PowerShell スナップインを読み込みます。
    Add-PsSnapIn Microsoft.Adfs.Powershell
  3. 以下のコマンドを実行し、認証の拡張保護を有効にします。
    Set-ADFSProperties –ExtendedProtectionTokenCheck “Allow”

解決策 4: AD FS の CNAME レコードを A レコードに置き換える

DNS 管理ツールを使用して、フェデレーション サービスに使用する各 DNS エイリアス (CNAME) レコードを、DNS アドレス (A) レコードと差し替えます。スプリット ブレイン DNS 構成を実装している場合は、企業の DNS 設定を確認または考慮します。DNS レコードを管理する詳細については、以下の Microsoft TechNet Web サイトを参照してください。


解決策 5: Internet Explorer を シングル サインオン (SSO) 用の AD FS クライアントとして構成する

AD FS アクセス用に Internet Explorer を構成する詳細については、以下の Microsoft Knowledge Base を参照してください。

2535227: フェデレーション ユーザーが Office 365 のリソースにアクセスすると、予期せず資格情報の入力を求められる

追加情報
ネットワークを保護するために、AD FS では認証の拡張保護を使用しています。認証の拡張保護により、攻撃者がクライアントの資格情報を傍受してサーバーに転送するといった介入攻撃を防止することができます。このような攻撃に対する保護は、チャネル バインディング トークン (CBT) を使用することで可能になります。クライアントと接続が確立された時点で、サーバーで CBT を要求、許可、または不要にすることができます。

ExtendedProtectionTokenCheck AD FS の設定では、フェデレーション サーバーでサポートされる認証の拡張保護レベルを指定します。この設定に使用できる値は次のとおりです。
  • Require (必須): サーバーは完全に強化されます。拡張保護が適用されます。
  • Allow (許可): これが既定の設定です。サーバーは部分的に強化されます。拡張保護は、この機能をサポートするように変更されたシステムに適用されます。
  • None (なし): サーバーには脆弱性が存在します。拡張保護は適用されません。

以下の表では、インターネット インフォメーション サービス (IIS) を使用した場合に AD FS で利用できるさまざまな拡張保護のオプションに応じて、3 つのオペレーティング システムとブラウザーでの認証動作方法について説明します。

注: AD FS の既定で有効化されている拡張保護の機能を完全に活用するには、Windows クライアント オペレーティング システムに特定の更新プログラムがインストールされている必要があります。これらの更新プログラムは、以下の Microsoft Knowledge Base 資料より入手可能です。

968389: 認証に対する保護の強化
Windows 7 には、拡張保護を使用するための適切なバイナリが既定で含まれています。

Windows 7 (または適切な更新が適用済みの Windows Vista、Windows XP):

設定Require (必須)Allow (既定)None (なし)
Windows Communication
Foundation (WCF) クライアント (すべてのエンドポイント)
動作動作動作
Internet Explorer 8 および以降のバージョン動作動作動作
Firefox 3.6動作しない動作しない動作
Safari 4.0.4動作しない動作しない動作

適切に更新されていない Windows Vista:

設定Require (必須)Allow (既定)None (なし)
WCF クライアント (すべてのエンドポイント)動作しない動作動作
Internet Explorer 8 および以降のバージョン動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

適切に更新されていないプログラム Windows XP:

設定Require (必須)Allow (既定)None (なし)
Internet Explorer 8 および以降のバージョン動作動作動作
Firefox 3.6動作しない動作動作
Safari 4.0.4動作しない動作動作

認証の拡張保護の詳細については、以下の Microsoft 資料を参照してください。

968389: 認証に対する保護の強化


Set-ADFSProperties コマンドレットの詳細については、「Set-ADFSProperties (英語) 」を参照してください。

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。



プロパティ

文書番号:2461628 - 最終更新日: 01/19/2016 06:42:00 - リビジョン: 23.0

  • Microsoft Azure Active Directory
  • Microsoft Office 365
  • Microsoft Intune
  • CRM Online via Office 365 E Plans
  • Microsoft Azure Recovery Services
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Office 365 Identity Management
  • Microsoft Azure Cloud Services
  • o365 o365a o365e o365022013 o365m KB2461628
フィードバック