Remote Connectivity Analyzer を使用して、Office 365、Azure、またはIntuneのシングル サインオンの問題をトラブルシューティングする方法

概要

この記事では、Microsoft Remote Connectivity Analyzer を使用して、Office 365、Microsoft Azure、Microsoft Intuneなどの Microsoft クラウド サービスでのシングル サインオン (SSO) ログオンの問題を診断する方法について説明します。 また、一般的な SSO エラーの原因に関する情報と、問題のトラブルシューティング方法に関するリソースへのリンクの一覧も含まれています。

Remote Connectivity Analyzer は、クラウドベースのサービス用の無料の接続テスト プラットフォームです。 インターネットからこれらのサービスに対して動作することで、必要なフェデレーション サービス エンドポイントの可用性をテストし、期待される動作を行います。

詳細情報

SSO 通信のデータ フローは予測可能です。 予想されるデータ フロー パターンは、失敗した SSO 試行中に発生する実際のデータ フローのキャプチャと比較したり、プロセスの問題を判断したりする場合と比較できます。

リモート接続アナライザーを実行して SSO 認証をテストする方法

リモート接続アナライザーを実行して SSO 認証をテストするには、次の手順に従います。

  1. Web ブラウザーを開き、 を参照 https://www.testconnectivity.microsoft.com/tests/SingleSignOn/inputします。

  2. ユーザー ID とパスワードを入力し、クリックしてセキュリティ確認確認チェック ボックスをオンにし、確認コードを入力して、[ テストの実行] をクリックします。

    注意

    • ユーザー ID はユーザー プリンシパル名 (UPN) です。
    • テストする SSO 実装に関連付けられている実際の資格情報を入力する必要があります。

    [リモート接続アナライザー] ページのスクリーンショット。

  3. 接続テストが正常に完了しない場合は、エラー アイコンに従って テストの詳細 結果ツリーを展開し、テストで最初に発生したエラーを特定します。 検出されたエラー状態については、テスト結果ツリーを特定のエラーに展開し、[ この問題と解決方法の詳細を教えてください] をクリックします。

    次の表に、一般的な SSO エラーの原因と、問題の解決に役立つリソースを示します。

    テスト 一般的な原因とエラーのソース 説明 考えられる解決策
    ドメイン登録を取得し、ユーザーのフェデレーション状態情報を検証しようとしています。 ユーザーに対して受信したドメイン登録の分析 ドメイン登録でエラーが見つかりました。 これは、ユーザーの UPN サフィックスとして使用されるドメインがフェデレーションされていないことを示します。 UPN サフィックス ドメインをフェデレーションします。 ドメイン フェデレーションとユーザー アカウントの問題のトラブルシューティングを行います。 詳細については、「Office 365、Azure、またはIntuneのフェデレーション ユーザーのアカウントの問題のトラブルシューティング」を参照してください。 正しいフェデレーション ドメイン サフィックスを使用するように、ユーザーの UPN を更新します。 詳細については、「Office 365、Azure、またはIntuneにサインインするときにフェデレーション ユーザーに発生するユーザー名の問題のトラブルシューティングに関するページを参照してください。
    フィードされたホスト名を解決しようとしています。DNS の contoso.com ホスト名を解決できませんでした。 AD FS サービス エンドポイントのパブリック DNS 解決が失敗しています。 この問題のトラブルシューティング方法の詳細については、「Office 365、Intune、または Azure でのシングル サインオンセットアップの問題のトラブルシューティング」を参照してください。 AD FS を公開しない場合の制限事項の詳細については、「AD FS を使用して、Office 365、Azure、またはIntuneでシングル サインオンを設定するためのサポートされているシナリオ」を参照してください。
    ホスト sts.contoso.com で TCP ポート 443 をテストして、ホストがリッスンして開かれていることを確認する 指定したポートがブロックされているか、リッスンしていないか、または予想される応答が生成されません。 AD FS 応答が依存している 1 つ以上のサービスが停止、停止、または何らかの方法で利用できません。 サービスを再起動する。 詳細については、「 インターネット ブラウザーでフェデレーション ユーザーの AD FS サインイン Web ページを表示できない」を参照してください。 AD FS メモリ リークの可能性を調査します。 詳細については、サーバー 2008 R2 または Windows Server 2008 を実行しているコンピューター上の "/adfs/services/trust/mex" エンドポイントに HTTP SOAP 要求を送信すると、"500" エラー コードが返されるWindowsを参照してください。 ファイアウォールで公開された AD FS サービスの問題を調査します。 詳細については、「ユーザーがOffice 365、Intune、または Azure にサインインするときに AD FS エンドポイント接続の問題をトラブルシューティングする方法」を参照してください。
    メタデータ交換 URL から AD FS メタデータ情報を https://fed.contoso.com/adfs/services/trust/mex|ExRCA 取得しても、AD FS メタデータを取得できませんでした。 AD FS 応答が依存している 1 つ以上のサービスが停止、停止、または何らかの方法で利用できません。 サービスを再起動する。 詳細については、「フェデレーション ユーザーがOffice 365、Azure、またはIntuneにサインインしようとしたときにインターネット ブラウザーで AD FS Web ページを表示できない」を参照してください。 AD FS プロキシ サーバーに関する問題を調査します。 詳細については、「ユーザーがOffice 365、Intune、または Azure にサインインするときに AD FS エンドポイント接続の問題をトラブルシューティングする方法」を参照してください。 AD FS メモリ リークの可能性を調査します。 詳細については、サーバー 2008 R2 または Windows Server 2008 を実行しているコンピューター上の "/adfs/services/trust/mex" エンドポイントに HTTP SOAP 要求を送信すると、"500" エラー コードが返されるWindowsを参照してください。
    証明書名の検証 証明書名の検証に失敗しました。 SSL 証明書に関する問題は、AD FS 認証の制限です。 SSL 証明書を使用して問題のトラブルシューティングを行います。 詳細については、「Office 365、Azure、またはIntuneにサインインしようとすると、AD FS から証明書の警告が表示される」を参照してください。
    証明書信頼が検証されています。 証明書信頼の検証に失敗しました。 SSL 証明書に関する問題は、AD FS 認証の制限です。 SSL 証明書を使用して問題のトラブルシューティングを行います。 詳細については、「Office 365、Azure、またはIntuneにサインインしようとすると、AD FS から証明書の警告が表示される」を参照してください。
    ExRCA では、セキュリティ トークン サービス https://stsに対する認証が試行されています。contoso.com/adfs/services/trust/2005/usernamemixed セキュリティ トークン サービスから SOAP 障害応答が受信されました。 HTTP 503 - サービス利用不可の応答が不明から受信されたため、Web 例外が発生しました。 フェデレーション信頼を使用した AD FS エンドポイントへの認証が誤動作しています。 フェデレーション信頼を確認して再構築します。 詳細については、フェデレーション ユーザーがOffice 365、Azure、またはIntuneにサインインするときの "80041317" または "80043431" エラーを参照してください。 トークン署名証明書の問題を確認して修復します。 詳細については、フェデレーション ユーザーがOffice 365、Azure、またはIntuneにサインインしたときに AD FS から "サイトへのアクセスに問題が発生しました" エラーに関するページを参照してください。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。