フェデレーション ユーザーが予期せずアカウントの資格情報を入力するように求められます

この記事では、フェデレーション ユーザーが、Office 365、Azure、またはMicrosoft Intuneにアクセスするときに、予期せず職場または学校アカウントの資格情報を入力するように求められるシナリオについて説明します。

元の製品バージョン: Microsoft Entra ID、Microsoft Intune、Azure Backup、Office 365 Identity Management
元の KB 番号: 2535227

現象

フェデレーション ユーザーがOffice 365、Microsoft Azure、またはMicrosoft Intuneにサインインすると、ユーザーは予期せず職場または学校アカウントの資格情報を入力するように求められます。 ユーザーが資格情報を入力すると、ユーザーにはクラウド サービスへのアクセス権が付与されます。

原因

この問題は、次の条件の 1 つ以上が当てはまる場合、内部ドメイン クライアントで発生する可能性があります。

• 内部クライアントは、AD FS フェデレーション サービスの IP アドレスではなく、AD FS プロキシ サービスの IP アドレスにActive Directory フェデレーション サービス (AD FS) (AD FS) エンドポイントを解決します。
• インターネット エクスプローラーのセキュリティ設定は、AD FS へのシングル サインオン用に構成されていません。
• インターネット エクスプローラーのプロキシ サーバー設定は、AD FS へのシングル サインオン用に構成されていません。
• Web ブラウザーでは、統合されたWindows 認証はサポートされていません。
• クライアント コンピューターは、オンプレミスの Active Directory ドメインに接続できません。

解決策 1: DNS サーバーに AD FS エンドポイントのホスト レコードがあることを確認する

この問題が発生しているクライアント コンピューターに適した AD FS エンドポイントのホスト レコードが DNS サーバーにあることを確認します。 内部クライアントの場合、これは、内部 DNS サーバーが AD FS エンドポイント名を内部 IP アドレスに解決する必要があることを意味します。 インターネット クライアントの場合は、エンドポイント名をパブリック IP アドレスに解決する必要があることを意味します。 クライアントでこれをテストするには、次の手順に従います。

1. [スタート] を選択し、[実行] を選択し、「cmd」と入力し、Enter キーを押します。

2. コマンド プロンプトで、次のコマンドを入力します。ここで、プレースホルダー sts.contoso.com は AD FS エンドポイント名を表します。

   nslookup sts.contoso.com
   

3. コマンドの出力に正しくない IP アドレスが表示されている場合は、内部または外部の DNS サーバーの A レコードを更新します。 これを行う方法の詳細については、「フェデレーション ユーザーのインターネット ブラウザーで AD FS サインイン Web ページを表示できない」を参照してください。フェデレーション ユーザーがOffice 365、Azure、またはIntuneにサインインしようとすると、インターネット ブラウザーで AD FS Web ページを表示できない

解決策 2: インターネット エクスプローラーのローカル イントラネット ゾーンとプロキシ サーバーの設定を確認する

状況に応じて、次のいずれかの手順を使用します。

プロシージャ A

インターネット エクスプローラーのローカル イントラネット ゾーンとプロキシ サーバーの設定を確認します。 これを行うには、次の手順を実行します。

1. Internet Explorer を開始します。

2. [ツール] メニューの [インターネット オプション] を選択します。

3. [ セキュリティ ] タブを選択し、[ ローカル イントラネット ] ゾーンを選択し、[サイト] を選択 します。

4. [ ローカル イントラネット ] ダイアログ ボックスで、[ 詳細設定] を選択します。 [ Web サイト ] の一覧で、AD FS サービス エンドポイントの完全修飾 DNS 名のエントリ (など sts.contoso.com) が存在することを確認します。

5. [閉じる]、[OK] の順に選択します。

   注:

   ネットワーク管理者がオンプレミス環境で Web プロキシ サーバーを構成した場合にのみ、次の追加手順を使用します。

6. [Connections] タブを選択し、[LAN 設定] を選択します。

7. [自動構成] で、[設定チェック自動的に検出する] ボックスをオフにし、[自動構成スクリプトチェック使用] ボックスをオフにします。

8. [プロキシ サーバー] で、[LAN チェックにプロキシ サーバーを使用する] ボックスを選択し、使用するプロキシ サーバー のアドレスとポートを入力し、[詳細設定] を選択します。

9. [ 例外] で、AD FS エンドポイント (など sts.contoso.com) を追加します。

10. [OK] を 3 回選択します。

手順 B

インターネット エクスプローラーのセキュリティ ゾーンのセキュリティ設定を手動で構成します。 ローカル イントラネット ゾーンがWindows 認証を求めないようにする既定のセキュリティ設定は、インターネット エクスプローラー内の任意のセキュリティ ゾーンに対して手動で構成できます。 AD FS サービス名が既に一部になっているセキュリティ ゾーンをカスタマイズするには、次の手順に従います。

1. Internet Explorer を開始します。
2. [ ツール ] メニューの [ インターネット オプション] を選択します。
3. [ セキュリティ ] タブを選択し、AD FS サービス名が既に含まれているセキュリティ ゾーンを選択し、[ カスタム レベル] を選択します。
4. [ セキュリティ設定] ダイアログ ボックスで、一番下までスクロールして [ユーザー認証 ] エントリを見つけます。
5. [ ログオン] で、[ 現在のユーザー名とパスワードを使用した自動ログオン] を選択します。
6. [ OK] を 2 回選択します。

解決策 3: インターネット エクスプローラーまたはサードパーティの Web ブラウザーを使用する

統合されたWindows 認証をサポートするインターネット エクスプローラーまたはサードパーティの Web ブラウザーを使用します。

解決策 4: Active Directory への接続を確認する

クライアント コンピューターからログオフし、Active Directory ユーザーとしてログオンします。 ログオンに成功した場合は、Nltest コマンド ライン ツールを使用して Active Directory への接続を確認します。 Nltest.exe は、Windows 10用のリモート サーバー管理ツールに含まれています。

1. コマンド プロンプトで、次のコマンドを入力し、Enter キーを押します。 Nltest /dsgetdc:<FQDN Of Domain> 設定が正しい場合は、次のような出力を受け取ります。

   DC: \DC.contoso.com Address:\ <IP Address> Dom Guid: GUID> Dom Name: <contoso.com フォレスト名: contoso.com Dc サイト名: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE コマンドが正常に完了しました

2. コンピューターのサイト メンバーシップを確認します。 これを行うには、次のコマンドを入力し、Enter キーを押します。 nltest /dsgetsite 成功した結果は次のようになります。

   Default-First-Site-Name コマンドが正常に完了しました

詳細

パブリック インターネット接続から非フェデレーション アカウントまたはフェデレーション アカウントを使用してOffice 365リソースにアクセスしても、シングル サインオンエクスペリエンスが発生しない可能性があります。

Microsoft Outlook 接続にログオンするためのエクスペリエンスも、シングル サインオン エクスペリエンスとは見なされません。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。