現在オフラインです。再接続するためにインターネットの接続を待っています

Office 365 のシングルサインオン認証が動作しないデバイスがある

現象
ウェブベースのクライアントまたはリッチクライアントアプリケーションから、フェデレーションユーザーの認証情報を使用してMicrosoft Office 365 リソースにアクセスすると、特定のクライアントコンピューターが 認証に失敗します。

同じコンピューターからフェデレーション認証情報を使用してウェブブラウザからOffice 365 ポータルにアクセスすると、以下のいずれかの現象が発生する場合があります。
  • Office 365 ポータルのエンドポイントに接続すると、次のいずれかのエラーメッセージが表示されます。
    Internet Explorer cannot display the webpage.

    ≪Internet Explorerではこのウェブページを表示できません≫

    403 Page Not Found
    ≪403 ページが見つかりません≫
  • Active Directory Federation Services (AD FS) エンドポイントに接続すると、次のいずれかのエラーメッセージが表示されます。

    Internet Explorer cannot display the webpage
    ≪Internet Explorerではこのウェブページを表示できません≫

    403 Page Not Found
    ≪403 ページが見つかりません≫
  • AD FS Active エンドポイントに接続すると、証明書の警告が表示されます。
  • 企業ドメインにログインしている間にAD FS エンドポイントに接続すると、資格情報の入力を求められます。ここでは、フォームベースの認証を使用します。
  • サードパーティのウェブブラウザを使用してAD FS エンドポイントに接続すると、繰り返し認証が求められます。ここでは、フォームベースの認証は使用しません。
  • login.microsoftonline.com エンドポイントに接続すると、次のエラーメッセージが表示されます。
    Access Denied
    ≪アクセス拒否≫
原因
通常、この問題はクライアントコンピューターまたはクライアント デバイス群で発生します。IDフェデレーションが完全に機能しない場合、すべてのユーザーとクライアントコンピューターにこの問題が発生する可能性があります。Office 365 クライアント設定が正しく実行されていない場合、IDフェデレーションは正常通り機能しません。次に挙げるOffice 365 クライアント デバイスの状況は、この問題発生の原因となり得ます。
  • ネットワーク接続が制限されている。
  • 内部で分割されたDNS(Split-brain DNS)で行われるクライアントデバイスのAD FS フェデレーションサービスの名前解決が正しくない。
  • インターネットプロキシサーバーがコンピューターに構成されている場合、AD FS Federation サービス名は、プロキシバイパスリストに追加されないことがあります。
  • AD FS Federation サービス名は、[インターネットオプション] 設定の 「ローカル インターネット セキュリティゾーン」に追加されません。 
  • クライアントコンピューターは、Active Directory Domain Services に認証されません。
  • サードパーティのウェブブラウザは、AD FS Federation サービスに対する認証の拡張保護(Extended Protection)をサポートしません。
  • フェデレーション メタデータ エンドポイントは、レジストリにハードコード化されている場合があります。これは、先行するOffice 365 BetaでのIDフェデレーション管理ツールのインストールに起因します。
処理を続ける前に、以下の状況に該当していることを確認してください。
  • アクセス問題は、クライアントコンピューターのリッチクライアントアプリケーションに限られていません。リッチクライアント認証のみ作動しない場合 (ブラウザベースの認証ではなく)の多くは、リッチクライアントの認証問題を示しています(例:リッチクライアントの必要条件または構成に関する問題)。詳細は、Microsoft Knowledge Baseにある次の資料を参照してください。
    2637629 Office 365 リッチクライアントの認証を制限するコンピューター問題のトラブルシュート方法
  • シングルサインオン(SSO)認証は、SSOが有効なユーザーアカウント全てで失敗するわけではありません。SSOが有効なすべてのユーザーに同じ現象が発生する場合、フェデレーションに関する問題である可能性が考えられます。詳細は、Microsoft Knowledge Baseにある次の資料を参照してください。
    2530569 Office 365 における シングル サインオン セットアップのトラブルシューティング
  • ユーザーアカウントのSSO 認証は、他のクライアントコンピューターで成功します。ユーザーアカウントがOffice 365 クライアントのいずれにもログオンできない場合は、クライアントコンピューターに関する解決法(下記参照)を確認してください。クライアントコンピューターではなく、ユーザーアカウントでの問題の可能性も探してください。詳細は、Microsoft Knowledge Baseにある次の資料を参照してください。
    2530590 : Office 365、Azure、Intune のフェデレーション ユーザー アカウント問題をトラブルシュートする方法
  • クライアントコンピューターのキーボードは正常に作動し、必要なユーザー名とパスワードは正確に入力されています。
解決方法
問題解決には、以下から適切なメソッドを使用してください。

解決法1: Office 365 ポータル またはAD FS に接続できない

http://www.msn.comを開いてください。ページを開けない場合は、以下の手順を用いてネットワーク接続問題をトラブルシュートしてください。
  1. コマンドプロンプトで、「ipconfig」 と「ping」 ツールを使用してIP 接続をトラブルシュートします。 方法については、Microsoft Knowledge Baseにある次の資料を参照してください。
    169790 一般的なTCP/IP 問題のトラブルシュート方法
  2. コマンドプロンプトで、「nslookup www.msn.com」 と入力し、DNS がインターネットサーバーネームを解決しているかを判断します。
  3. プロキシサーバーがローカルネットワークで使用されている場合は、インターネットオプションのプロキシ設定が適切なプロキシサーバーを反映するようにしてください。
  4. Forefront Threat Management Gateway (TMG) ファイアウォールがネットワーク範囲上にインストールされており、そのファイアウォールにクライアントの認証が必要な場合は、インターネットのアクセス用にForefront TMG Client プログラムをクライアントデバイスにインストールする必要があります。この件のヘルプには、Office 365 管理者に連絡してください。

解決法2: AD FS に接続できない

以下の手順を行い、問題を解決します。
  1. IP接続問題を除外します。(解決法1参照)
  2. コマンドプロンプトに 「press .nslookup <AD FS 2.0 FQDN>」 と入力してEnterを押し、DNS がAD FS サービスネームを正しく解決しているか判断します。
    注 このコマンドにおいて、<AD FS FQDN> とは、AD FS サービス名のFQDN(fully qualified domain name)を指します。これは、AD FSサーバーのWindowsホスト名ではありません。
    1. クライアントが企業ネットワークに所属している場合は、解決済みの:IPアドレスがプライベート IP アドレスであることを確認してください。IPアドレスは、以下のいずれかのパターンに一致している必要があります。
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    2. クライアントは企業ネットワークに所属していない場合、解決済みのIPアドレスをパブリック IP アドレスにするようにしてください。以下のパターンに該当しないことを確認してください。
      • 10.x.x.x
      • 172.16.x.x
      • 192.168.x.x
    3. 解決済みIPアドレスが正しくなく(手順1、2参照)、他のクライアントコンピューターでは同じ動作が生じていない場合は、次の手順を行ってください。
      1. コマンドプロンプトに、「ipconfig /all」 と入力します。次に、「Primary DNS Server エントリがクライアントが所属するネットワークに適切なものであるかを確認します。
      2. Notepadに「%windir%\system32\drivers\etc\hosts」ファイルを開きます。次に、AD FS FQDN のすべてのエントリを削除します。その後、ファイルを保存します。 
      3. コマンドプロンプトに、「ipconfig /flushdns と入力してDNS キャッシュをクリアにします。
    注 クライアントデバイスが企業ネットワークのみに所属する場合は、手順3に進みます。
  3. AD FS FQDN をプロキシバイパス(Proxy Bypass)リストに加えます。手順は、Microsoft Knowledge Baseにある次の資料を参照してください。
    262981 "Bypass Proxy Server for Local Addresses" オプションが選択されている場合でも、Internet ExplorerはローカルIPアドレス用にプロキシサーバーを使用します。

解決法3: AD FS エンドポイントに接続する際に表示される証明書警告

この問題を解決するには、Secure Sockets Layer (SSL) 証明書問題をトラブルシュートします。Microsoft Knowledge Baseにある次の資料を参照してください。
2523494 フェデレーションされたアカウントを使用して Office 365 ウェブ リソースにアクセスすると、AD FS から証明書の警告を受ける 

解決法4: 企業ネットワークに接続するクライアントコンピューターからログオンすると、認証情報の入力が求められる

以下の手順を用いて問題を解決します。
  1. クライアントコンピューターがドメインにログオンできるようにします。
    1. [スタート]から[ファイル名を指定して実行] をクリックし、「%logonserver%\sysvol」と入力後に[OK] をクリックします。
    2. 認証情報の入力を求められたら、一度ログオフし、企業の認証情報を用いて再度ログオンします。
  2. AD FS FQDN をローカルのイントラネットゾーンに追加します。
    1. [セキュリティ]タブにある [ローカルイントラネット][サイト] の順にクリックします。
    2. [詳細設定] をクリックし、AD FS サービスエンドポイントのDNS名を[Websites]リストで確認します。 (例:sts.contoso.com).

      注 ワイルドカード値(例:"*.consoto.com")もこの構成で作動します。
  3. AD FS FQDN をプロキシバイパス(Proxy Bypass)リストに追加します。Microsoft Knowledge Base にある次の資料を参照してください。
    262981 "Bypass Proxy Server for Local Addresses" オプションが選択されている場合でもInternet ExplorerはローカルIPアドレスを使用する

解決法5: サードパーティウェブブラウザは認証の拡張保護(Extended Protection)をサポートせず、繰り返し認証を求められる

以下の手順を用いて問題を解決します。
  1. Extended Protection for Authenticationをサポートしないサードパーティウェブブラウザではなく、Windows Internet Explorer (Internet Explorer は Extended Protection for Authenticationをサポートします) を使用します
  2. Internet Explorerの使用を選択できない場合はMicrosoft Knowledge Baseにある次の資料を参照して AD FS を構成し、Extended Protection for Authenticationをサポートしないウェブブラウザからの要求を許可します。 
    2461628 : フェデレーション ユーザーが Office 365 にサインインする際、資格情報の入力を繰り返し求められる

解決法6: 「login.microsoftonline.com」に接続すると "Access Denied" エラーメッセージ が表示される

重要 このセクションにはレジストリを修正する手順が含まれます。レジストリを誤って編集すると、深刻な問題が発生する可能性があります。手順を行う際には十分に注意してください。修正を行う前に、レジストリのバックアップを取ることをお勧めします。これにより、問題が発生した場合にもレジストリを復元することが出来ます。レジストリのバックアップと復元に関する詳細は、Microsoft Knowledge Baseにある次の資料を参照してください。
322756 Windowsでレジストリをバックアップ、復元する方法

AD FS に使用されるOffice 365 IDフェデレーションのエンドポイントが有効でないと問題が発生する可能性があります。フェデレーションのエンドポイントは、AD FS Federationサービスファーム内にある各サーバーのレジストリでハードコード化されないようにしてください。

この問題を解決するには、Registry Editor を使用して次のレジストリサブキーを削除してください。
HKEY_LOCAL_MACHINE\Software\Microsoft\MOCHA\IdentityFederation
AD FS は、IDフェデレーションの信頼関係に従い正しいエンドポイントに戻ります。

解決法7: 無効化されている AD FS サービス エンドポイント設定を規定の構成に再設定する

この設定をするには、次の Microsoft Knowledgebase 資料を参照してください。

2712957 「Microsoft Online Services の有効な SSO 認証をサポートするように AD FS エンドポイントが構成されていない」

MORE INFORMATION

その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2530713 - 最終更新日: 12/18/2014 09:24:00 - リビジョン: 27.0

Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management, Microsoft Azure cloud services

  • o365 o365a o365e o365022013 o365m KB2530713
フィードバック
html>t=">t>