Office 365、Azure、または Intune のシングルサインオンに関する問題のトラブルシューティングにリモート接続アナライザーを使用する方法

Note

Office 365 用リソース は、 エンタープライズ向け Microsoft 365 アプリに名前変更されています。 この変更の詳細については、 このブログの投稿を参照してください。

はじめに

この記事では、microsoft リモート接続アナライザーを使用して Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウドサービスでのシングルサインオン (SSO) ログオンの問題を診断する方法について説明します。 また、一般的な SSO エラーの原因についての情報と、問題のトラブルシューティング方法に関するリソースへのリンクも記載されています。

リモート接続アナライザーは、クラウドベースのサービスのための無料の接続テストプラットフォームです。 インターネットからこれらのサービスを処理することによって、必要な動作に必要なフェデレーションサービスエンドポイントの可用性をテストします。

詳細情報

SSO 通信のデータフローは予測可能です。 必要なデータフローパターンは、エラーが発生した SSO を検出してプロセスにおいて問題が発生しているかどうかを判断するために発生する実際のデータフローをキャプチャすることによって、またはコントラストと比較できます。

リモート接続アナライザーを実行して SSO 認証をテストする方法

リモート接続アナライザーを実行して SSO 認証をテストするには、次の手順を実行します。

  1. Web ブラウザーを開き、を参照し https://www.testconnectivity.microsoft.com/?testid=SingleSignOn ます。

  2. ユーザー ID とパスワードを入力して、[セキュリティ確認] チェックボックスをオンにし、検証コードを入力して、[テストを実行する] をクリックします。

    Note

    • ユーザー ID は、ユーザープリンシパル名 (UPN) です。
    • テストしている SSO 実装に関連付けられている実際の資格情報を入力する必要があります。

    [リモート接続アナライザー] ページのスクリーンショット。 [使用アカウント] および [パスワード] フィールド、[セキュリティ確認] チェックボックス、検証コード、および [テストの実行] ボタンが強調表示されています。

  3. 接続テストが正常に完了しなかった場合は、エラーアイコンの下にある [テストの詳細] 結果ツリーを展開し、テストで検出された最初のエラーを特定します。 検出されたエラー状態については、テスト結果ツリーを特定のエラーまで展開し、[この問題についての詳細を表示する] をクリックして、解決方法をクリックします。

    次の表は、問題の解決に使用できる一般的な SSO エラーとリソースの原因を示しています。

    テスト 一般的な原因とエラーのソース 説明 考えられる解決策
    ドメイン登録を取得し、ユーザーのフェデレーション状態情報を検証しようとしています。 ユーザーに対して受信したドメイン登録の分析 ドメイン登録でエラーが検出されました。 これは、ユーザーの UPN サフィックスとして使用されているドメインがフェデレーションされていないことを示します。 UPN サフィックスドメインのフェデレーションを行います。 ドメインフェデレーションとユーザーアカウントの問題をトラブルシューティングします。 詳細については、「 Office 365、Azure、または Intune でのフェデレーションユーザーのアカウントの問題のトラブルシューティング」を参照してください。 ユーザーの UPN を更新して、正しいフェデレーションドメインサフィックスを使用するようにします。 詳細については、「フェデレーションユーザーが Office 365、Azure、または Intune にサインインするときに発生するユーザー名の問題のトラブルシューティング」を参照してください。 
    ホスト名の解決を試行しています。DNS でのcontoso.com ホスト名を解決できませんでした。 AD FS サービスエンドポイントのパブリック DNS 解決が失敗しています。 この問題のトラブルシューティング方法の詳細については、「 Office 365、Intune、または Azure のシングルサインオンセットアップの問題のトラブルシューティング」を参照してください。AD FS を公開しない場合の制限事項の詳細については、「 Office 365、Azure、または Intune でシングルサインオンを設定するための AD fs を使用するためのサポートされているシナリオ 」を参照してください。
    ホスト sts.contoso.com で TCP ポート443をテストして、リッスンして開くことを確認する 指定したポートがブロックされていて、リッスンしていないか、予期された応答を生成していません。 AD FS 応答が停止する、停止した、または何らかの方法で使用不能になっている1つ以上のサービス。 サービスを再起動する。 詳細については、「 Internet browser でフェデレーションユーザー用の AD FS サインイン web ページを表示できません」を参照してください。 考えられる AD FS メモリリークを調査します。 詳細については、「500」というエラーコードが返されます。これは、 Windows server 2008 R2 または Windows server 2008 を実行しているコンピューター上の "/adfs/services/trust/mex" エンドポイントに HTTP SOAP 要求を送信したときに返されます。 ファイアウォールで公開された AD FS サービスの問題を調査します。 詳細については、「ファイアウォールで公開される」構成で AD fs を設定した後、ブラウザー以外のクライアントはサインインできませんまたは、ユーザーが Office 365、Intune、または Azure にサインインするときの ad fs エンドポイント接続の問題のトラブルシューティング方法について説明します。 
    メタデータから AD FS メタデータ情報を取得 https://fed.contoso.com/adfs/services/trust/mex|ExRCA しています。 exchange の URL AD fs のメタデータを取得できませんでした。 AD FS 応答が停止する、停止された、または何らかの方法で使用不能になっている1つ以上のサービス。 サービスを再起動する。 詳細については、「フェデレーションユーザーが Office 365、Azure、または Intune にサインインしようとしたときに、インターネットブラウザーが AD FS web ページを表示できない 」を参照してください。 AD FS プロキシサーバーに関する問題を調査します。 詳細については、ユーザーが Office 365、Intune、または Azure にサインインしたときの AD FS エンドポイント接続の問題のトラブルシューティング方法 を参照してください。 考えられる AD FS メモリリークを調査します。 詳細については、「500」というエラーコードが返されます。これは、 Windows server 2008 R2 または Windows server 2008 を実行しているコンピューター上の "/adfs/services/trust/mex" エンドポイントに HTTP SOAP 要求を送信したときに返されます。ファイアウォールで公開された AD FS サービスの問題を調査します。 詳細については、「ファイアウォールで公開された」構成で AD FS をセットアップした後に、ブラウザー以外のクライアントでサインインできないことを参照してください。
    証明書名を検証する 証明書名の検証に失敗しました。 SSL 証明書の問題は、AD FS 認証を制限することです。 SSL 証明書を使用して、問題のトラブルシューティングを行います。 詳細については、「 Office 365、Azure、または Intune にサインインしようとすると、AD FS から証明書の警告が表示される」を参照してください。
    証明書信頼が確認されています。 証明書の信頼の検証に失敗しました。 SSL 証明書の問題は、AD FS 認証を制限することです。 SSL 証明書を使用して、問題のトラブルシューティングを行います。 詳細については、「 Office 365、Azure、または Intune にサインインしようとすると、AD FS から証明書の警告が表示される」を参照してください。
    ExRCA は、の security token service への認証を試みてい https://sts ます。contoso.com/adfs/service/trust/2005/usernamemixed セキュリティトークンサービスからの SOAP 違反応答を受信しました。 HTTP 503 で利用できない応答が不明な応答を受信したため、web 例外が発生しました。 フェデレーション信頼を使用した AD FS エンドポイントへの認証が誤動作しています。 フェデレーションの信頼を確認し、再構築します。 詳細については、フェデレーションユーザーが Office 365、Azure、または Intune にサインインするときに、"80041317" または "80043431" エラーを参照してください。 トークン署名証明書の問題をチェックおよび修復します。 詳細については、「フェデレーションユーザーが Office 365、Azure、または Intune にサインインしているときに、AD FS からサイトにアクセスするときに問題が発生しました」を参照してください。 

詳細

さらにヘルプが必要ですか? Microsoft コミュニティまたは Azure Active Directory フォーラムweb サイトに移動します。