フェデレーション サービス エンドポイントを変更した後、Microsoft 365、Azure、またはIntuneにサインインできない

  • [アーティクル]
  • 適用対象:
    Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

AD FS 管理コンソールでActive Directory フェデレーション サービス (AD FS) (AD FS) サービス エンドポイント設定を変更すると、Microsoft 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスへのシングル サインオン (SSO) 認証が失敗し、次のいずれかの現象が発生します。

  • フェデレーション ユーザーは、リッチ クライアント アプリケーションを使用して Microsoft 365、Azure、またはIntuneにサインインできません。
  • ブラウザー アプリケーションは、SSO 認証中に AD FS に対して認証しようとすると、ユーザーに資格情報の入力を繰り返し求めます。

原因

この問題は、次のいずれかの条件に該当する場合に発生する可能性があります。

  • AD FS サービス エンドポイントが不適切に構成されています。
  • AD FS サーバーでの Kerberos 認証が壊れています。

ソリューション

この問題を解決するには、状況に応じて、次のいずれかの方法を使用します。

解決策 1: 既定の AD FS サービス エンドポイント構成を復元する

AD FS の既定のサービス エンドポイント設定を復元するには、プライマリ AD FS サーバーで次の手順を実行します。

  1. AD FS 管理コンソールを開き、左側のナビゲーション ウィンドウで [AD FS]、[ サービス]、[ エンドポイント] の順に参照します。

    A D F S の既定のサービス エンドポイント設定をチェックする手順を示すスクリーンショット。

  2. エンドポイントの一覧を調べ、この一覧のエントリが (少なくとも) 示されているように有効になっていることを確認します。

    URL Path Enabled プロキシが有効
    /adfs/ls/ True True
    /adfs/services/trust/2005/windowstransport True False
    /adfs/services/trust/2005/certificatemixed True True
    /adfs/services/trust/2005/certificatetransport True True
    /adfs/services/trust/2005/usernamemixed True True
    /adfs/services/trust/2005/kerberosmixed True False
    /adfs/services/trust/2005/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/2005/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trust/13/kerberosmixed True False
    /adfs/services/trust/13/certificatemixed True True
    /adfs/services/trust/13/usernamemixed True True
    /adfs/services/trust/13/issuedtokenmixedasymmetricbasic256 True True
    /adfs/services/trust/13/issuedtokenmixedsymmetricbasic256 True True
    /adfs/services/trusttcp/windows True False
    /adfs/services/trust/mex True True
    /FederationMetadata/2007-06/FederationMetadata.xml True True
    /adfs/ls/federationserverservice.asmx True False

  3. リスト内の項目が前の表の既定の設定と一致しない場合は、エントリを右クリックし、必要に応じて [プロキシで有効にする ] または [有効にする ] を選択します。

    注:

    WS-Trust Windows エンドポイント (/adfs/services/trust/2005/windowstransport and /adfs/services/trust/13/windowstransport) は、HTTPS で WIA バインドを使用するイントラネットに接続するエンドポイントのみを意味します。

    これらのエンドポイントは、AD アカウントのロックアウトを保護するために、プロキシで常に無効にしておく必要があります (つまり、エクストラネットから無効にします)。

解決策 2: Kerberos 認証に関する問題のトラブルシューティング

Kerberos 認証の問題のトラブルシューティング方法の詳細については、次の Microsoft サポート技術情報の記事を参照してください。

2461628 フェデレーション ユーザーは、Microsoft 365、Azure、または Intune へのサインイン中に資格情報の入力を繰り返し求められます。

詳細情報

さらにヘルプが必要ですか? Microsoft コミュニティまたはMicrosoft Entra フォーラム Web サイトに移動します。