インターネット ブラウザーでフェデレーション ユーザーの AD FS サインイン Web ページを表示できない

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

フェデレーション ユーザーが Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスにサインインしようとすると、インターネット ブラウザーにActive Directory フェデレーション サービス (AD FS) (AD FS) サインイン Web ページを表示できません。 さらに、ユーザーにエラー メッセージが表示される場合があります。 たとえば、ユーザーがインターネット エクスプローラーを使用している場合、ユーザーは次のエラー メッセージを受け取ることがあります。

インターネット エクスプローラーは Web ページを表示できません。

このエラーが発生すると、Web ブラウザーに表示されるアドレスは次のアドレスのようになります。

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

原因

この問題は、ユーザーがオンプレミスの AD FS フェデレーション サーバーまたはインターネットに接続する AD FS フェデレーション サーバー プロキシに接続できない場合に発生する可能性があります。 これは、AD FS フェデレーション サービスの実行が停止した場合、または IP 接続が制限されている場合に発生する可能性があります。

ソリューション

この問題の解決を開始する前に、オンプレミスのフェデレーション サーバーの AD FS エンドポイント アドレスを特定し、問題が発生しているサーバーを特定します。

オンプレミスのフェデレーション サーバーの AD FS エンドポイント アドレスを決定する

これを行うには、Windows PowerShell用の Azure Active Directory モジュールがインストールされているドメインに接続されたコンピューターで、次の手順に従います。

  1. 管理者特権でWindows PowerShellするための Azure Active Directory モジュールを実行します。これを行うには、Windows PowerShellの Windows Azure Active Directory モジュールを右クリックし、[管理者として実行] をクリックします。

  2. 次のコマンドを入力します。 各コマンドを入力した後、Enter キーを押します。

    $cred = get-credential

    注:

    メッセージが表示されたら、グローバル管理者の資格情報を入力します。

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    注:

    AD FS Server> プレースホルダーは<、プライマリ AD FS サーバーのコンピューター名を表します。

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    注:

    フェデレーション ドメイン> プレースホルダーは<、クラウド サービスとフェデレーションされているドメイン名を表します。

出力で、ActiveClientSignInUrlproperty を調べます。 URL のドメイン部分は、この記事で後述する解決で使用できるエンドポイントです。

注:

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。 メモ: バージョン 1.0.x の MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

問題が発生しているサーバーを特定する

問題の範囲を指定します。 これを行うには、問題が発生しているサーバーを特定します。 インターネット クライアントだけが問題を抱えている場合は、まず AD FS フェデレーション サーバー プロキシのトラブルシューティングを行います。 企業ネットワーク クライアントにも問題が発生している場合は、まず AD FS フェデレーション サーバーのトラブルシューティングを行います。

問題が発生しているサーバーを特定したら、適切な AD FS サーバーで次の手順を実行します。

手順 1: オンプレミスの AD FS フェデレーション サーバーが実行されていることを確認する

  1. AD FS フェデレーション サーバーで、コントロール パネルを開き、[管理ツール] をクリックし、[サービス] をクリックします。
  2. AD FS Windows サービスを探します。
  3. AD FS Windows Service サービスの状態が [開始] になっていることを確認します。 サービスが停止している場合は、サービスを右クリックし、[ 開始 ] をクリックしてサービスを開始します。

手順 2: Web サーバーが適切な AD FS サーバーで実行されていることを確認する

  1. AD FS フェデレーション サーバーまたは AD FS フェデレーション サーバー プロキシで、サーバー マネージャーを開き、[ロール] を展開し、[Web サーバー (IIS)] を展開して、[インターネット インフォメーション サービス] を選択します。
  2. コンピューター名を展開し、[ サイト] を展開します。
  3. [既定の Web サイト][開始] に設定されていることを確認します。 表示されない場合は、[ 既定の Web サイト] を右クリックし、[ すべてのタスク] をポイントして、[ 開始] をクリックします。
  4. [ 既定の Web サイト] を展開し、adfs と /adfs/ls 仮想ディレクトリが存在することを確認します。

手順 3: 問題が発生しているクライアントに適した AD FS エンドポイントのホスト レコードが DNS に存在することを確認する

内部クライアントの場合、内部 DNS は AD FS エンドポイント名を内部 IP アドレスに解決する必要があります (たとえば、A 192.168.1.104 sts.contoso.com)。 インターネット クライアントの場合、エンドポイント名はパブリック IP アドレスに解決する必要があります。 これは、次の手順を使用してクライアントでテストできます。 オンプレミス ネットワークにプロキシ サーバーが含まれている場合は、インターネット エクスプローラーの [インターネット オプション] を使用して AD FS エンドポイントを追加してみてください。

  1. [スタート] ボタンをクリックし、[実行] をクリックします。次に「cmd」と入力し、[OK] をクリックします。

  2. コマンド プロンプトで、次のコマンドを入力します。ここで、プレースホルダー <STS.contoso.com> は AD FS エンドポイント名を表します。

    NSlookup <STS.contoso.com>

  3. コマンドの IP アドレスが正しくない場合は、内部または外部の DNS サーバーの A レコードを更新して問題を解決します。 オンプレミスコンピューターからの AD FS リソースに対する DNS 要求が AD FS プロキシ サーバーではなく AD FS フェデレーション サービスに解決されるようにするには、次の Microsoft サポート技術情報の記事を参照して、スプリットブレイン DNS 設定をチェックして更新します。

    スプリット ブレイン DNS の構成ミスを2715326すると、シームレスな SSO サインイン エクスペリエンスが防止されます

    注:

    更新されたインターネットに接続する DNS 設定は、すべてのインターネット DNS サーバーに反映されるまでに 48 時間かかる場合があります。

手順 4: クライアント コンピューターのインターネット エクスプローラーのインターネット プロキシ設定で AD FS サーバー名を例外として追加する

オンプレミス ネットワークにプロキシが含まれており、内部クライアントのみが AD FS アクセスに問題がある場合は、インターネット エクスプローラーのインターネット プロキシ設定で AD FS サーバー名を例外として追加してみてください。 これを行うには、クライアント コンピューターで次の手順を実行します。

  1. [インターネット エクスプローラー] を開き、[ツール] メニューの [インターネット オプション] をクリックします。
  2. [Connections] タブをクリックし、[LAN 設定] をクリックします。
  3. [自動構成] で、[チェック] ボックスをオフにし、[プロキシ サーバー] の下にある [LAN チェックにプロキシ サーバーを使用する] ボックスをクリックして選択します
  4. [ プロキシ サーバー] で、プロキシ サーバーのアドレスとプロキシ サーバーで使用するポートを追加し、[ 詳細設定] をクリックします。
  5. [ 例外] で、AD FS エンドポイント (たとえば、sts.contoso.com) を追加します。

詳細

この記事のWindows PowerShellコマンドでは、Windows PowerShellに Azure Active Directory モジュールが必要です。

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。