Windows 10 の Office 2016 ビルド 16.0.7967 の更新後のサインインにおける接続問題

注意

Office 365 用リソース は、 エンタープライズ向け Microsoft 365 アプリに名前変更されています。 この変更の詳細については、 このブログの投稿を参照してください。

ヒント

一般的な Office サインインの問題を診断して自動的に修正するには、Microsoft サポート/回復アシスタントをダウンロードして実行します。

概要

この記事では、Microsoft Office 2016 の新しい認証フレームワークについて説明します。

既定では、Microsoft 365 Apps for enterprise (2016 バージョン) は、Azure Active Directory 認証ライブラリ (ADAL) フレームワークをベースとする認証を使用します。 ビルド 16.0.7967 から始まり、Officeは、15000 (Windows 10、バージョン 1703、ビルド 15063.138) 以降の Windows ビルド上のワークフローにサインインするために Web アカウント マネージャ (WAM) を使用します。

一般的なガイダンス

Windows 10 の Office アプリケーションで認証の問題が発生した場合は、次の操作を行うことをお勧めします。

  • エンタープライズ向け Microsoft 365 アプリの更新履歴 (日付順)」に従って、Office 製品をチャネルの最新ビルドに更新します。
  • 次の Windows ビルドのいずれかを実行していることを確認してください。
    • Windows 10 Version 1809 以降のバージョンのすべてのビルド
    • Windows 10 Version 1803 用の 17134.677 以降のビルド
    • Windows 10 Version 1709 用の 16299.461 以降のビルド
    • Windows 10 Version 1703 用の 15063.1112 以降のビルド

現象

Windows 10 で Microsoft Office 2016 ビルド 16.0.7967 以降のバージョンに更新した後に、次のいずれかの現象が発生する場合があります。

現象 1

ネットワーク全体がデバイスで動作している場合、Office アプリケーションで接続の問題が発生する場合があります。 また、次のいずれかと同様のメッセージが表示されることがあります。

インターネットが必要だというエラー メッセージのスクリーンショット。

この種の問題が発生しているかどうかを確認するには、次の手順を実行します。

  1. Office ビルド 16.0.9126.2259 以降のビルドを実行していることを確認します。 (あなたのチャネルの最新のビルドはこれを満たします。 概要セクションの一般的なガイダンスを参照してください。

  2. イベント ビューアーを開きます。

  3. アプリケーションとサービス ログ > Microsoft > Windows > AAD に移動します。

  4. 操作ログで、次のパターンを持つ XMLHTTPWebRequest からのメッセージを見つけます。

    0x?aa7????,  0x?aa8????, 0x?aa3????, 0x102, 0x80070102
    
  5. これらのエラーの時刻が、実際にインターネットに接続されていた時刻に関連していることを確認します。 Wi-Fi 接続が切断されたり、休止状態の後やネットワーク スタックの初期化後にウェイクアップが発生するため、これは断続的なネットワークの問題ではありません。

次に、ネットワーク環境またはローカル ファイアウォール/ウイルス対策ソフトウェアのどちらが原因で問題が発生しているかを確認するには、次の手順を実行します。

  1. Edge (インターネット エクスプローラーではありません) を開き、https://login.microsoftonline.comにアクセスします。 ナビゲーションは、 https://www.office.comまたは会社のデフォルトのランディング ページにアクセスする必要があります。 これが失敗した場合、問題はネットワーク環境またはローカルファイアウォール/アンチウイルスソフトウェアにあります。

  2. InPrivate モードで Edge (インターネット エクスプローラではない) を開き、https://login.microsoftonline.comにアクセスします。 資格情報を入力すると、ナビゲーションがhttps://www.office.com上に移動するか、会社の既定のランディング ページに移動します。 これが失敗した場合、問題はネットワーク環境またはローカルファイアウォール/アンチウイルスソフトウェアにあります。

この問題を解決するには、ローカル ファイアウォール、ウイルス対策ソフトウェア、および Windows Defender が、トークンの取得に関与した次の AAD WAM プラグイン プロセスをブロックしないようにします。

C:\Windows\SystemApps\Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy\Microsoft.AAD.BrokerPlugin.exe

C:\Windows\System32\backgroundTaskHost.exe

注: プラグインの PackageFamilyName は次のとおりです。

Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy

また、ネットワーク環境がプライマリの宛先をブロックしないようにしてください。

https://login.microsoftonline.com/

注: このプライマリ アドレスは、多くの IP アドレス (および多くのサービス) をカバーします。 これらのアドレスの一部は、環境内で正当な理由もなくブロックされ、一部のデバイスでは断続的な問題が発生し、他のデバイスは正常に動作します。

現象 2

Microsoft SharePoint Online、OneDrive for Business、 SharePoint でドキュメントを開くか保存しようとするとき、または Microsoft Outlook で電子メール メッセージまたは予定表を同期しようとすると、資格情報の入力を求められます。 資格情報を入力すると、再度入力を求められます。 この問題は、以下のことが原因で発生する可能性があります。

  • トラステッド プラットフォーム モジュール (TPM) チップまたはファームウェアが誤動作しています。 資格情報を保護するために TPM チップが使用されます。 一部の状況では、チップが破損したりリセットされたりすることがあります。 この種の問題が発生しているかどうかを確認するには、次の手順を実行します。

    1. イベント ビューアーを開きます。
    2. アプリケーションとサービス ログ > Microsoft > Windows > AAD に移動します。
    3. 操作ログで、次のパターンを表示するエラーを見つけます。0x?028????、0x?029???? または 0x?009????

    今後この問題を回避するため、TPM ファームウェアを更新することをお勧めします。

    Windows 10 Version 1709 以降のバージョンの場合: オペレーティング システムは、TPM の障害に関連する状況を自動的に検出し、自動的に発生するユーザー回復プロセスを提供します。 このプロセスが自動的に行われない場合は、この手動回復方法を使用することをお勧めします。

    Windows 10 Version 1703 の場合: Hybrid Azure AD 参加の自動プロセスが提供されます。 他の環境構成では自動プロセスは提供されません。 Hybrid Azure AD 参加プロセスが自動的に発生しない場合は、この手動回復方法を使用することをお勧めします。

  • デバイスは、セキュリティ上の問題または誤りにより、ユーザー、エンタープライズ管理者、またはポリシーによって無効にされます。 この問題が発生しているかどうかを確認するには、次の手順を実行します。

    1. イベント ビューアーを開きます。
    2. アプリケーションとサービス ログ > Microsoft > Windows > AAD に移動します。
    3. 操作ログで、次のメッセージを見つけます。

    説明: AADSTS70002: 資格情報の検証中にエラーが発生しました。AADSTS135011: 認証中に使用されたデバイスは無効になっています。

    この問題を解決するには、エンタープライズ管理者が Active Directoryまたは Azure Active Directory (Azure AD) でデバイスを有効にすることをお勧めします。 Azure AD でデバイスを管理する方法については、Microsoft ドキュメント Web サイトの「Azure Portal を使用してデバイスを管理する方法」の [デバイス管理タスク] セクションを参照してください。

  • エンタープライズ管理者またはポリシーが、セキュリティ上の理由または誤りによりデバイスを削除しました。 管理者としてログオンしているかどうかを確認するには、以下の手順を実行します。

    1. イベント ビューアーを開きます。
    2. アプリケーションとサービス ログ > Microsoft > Windows > AAD に移動します。
    3. 操作ログで、次のメッセージを見つけます。

    説明: AADSTS70002: 資格情報の検証中にエラーが発生しました。AADSTS50155: デバイスは認証されていません。

    この問題を解決するには、手動による回復方法を使用してデバイスを回復することをお勧めします。 注: エンタープライズの誰もデバイスを削除しなかった場合は、サポート チケットを提出し、回復されていないデバイスの例を提供してください。

手動回復

コンピューターを手動で回復するには、デバイスをクラウドに参加させる方法 (Hybrid Azure AD 参加、職場アカウントの追加、または Azure AD 参加) に応じて、適切な手順に従います。

  • Hybrid Azure AD 参加

    次のコマンドを実行します。>dsregcmd /status

    結果には、(デバイス状態の) 次のフィールドが含まれている必要があります。

    AzureAdJoined : YES
    DomainJoined : YES
    DomainName : <CustomerDomain>
    

    現在のログオン ユーザーはドメイン ユーザーである必要があります。 影響を受ける ID は、現在のログオン ユーザーである必要があります。

    回復 (安全に行う):

    管理コマンド プロンプト ウィンドウで Dsregcmd /leave コマンドを実行し、システムを再起動します。

  • 職場アカウントを追加する

    次のコマンドを実行します。>dsregcmd /status

    結果には、次のフィールド (ユーザー状態) が含まれている必要があります。

    WorkplaceJoined : YES
    

    デバイスの状態は、任意のオプションに設定できます。 現在のログオン ユーザーは、任意のユーザーにできます。 影響を受ける ID は、[設定]、 > [アカウント]、 > [職場または学校にアクセスする] で確認できる職場または学校のアカウントである必要があります。

    回復 (安全に行う):

    [設定]、[ > アカウント > ]、[職場または学校にアクセスする] で仕事用アカウントを削除し、仕事用アカウントを復元します。

  • Azure AD 参加

    次のコマンドを実行します。>dsregcmd /status

    結果には、(デバイス状態の) 次のフィールドが含まれている必要があります。

    AzureAdJoined : YES
    DomainJoined : NO
    

    現在のログオン ユーザーは、Azure Active Directory (AAD) ユーザーである必要があります。 影響を受ける ID は、現在のログオン ユーザーである必要があります。

    回復:

    注: 最初にデータをバックアップします。

    新しいローカル管理者を作成します。 ドメインから切断します ([設定] > [アカウント] > [職場または学校にアクセスする] > [切断])。 次に、新しいローカル管理者としてログオンし、Azure AD に再接続します。

現象 3

Office サインインのワークフローは、画面上の進行状況を停止または表示しません。 サインイン ウィンドウには、"サインイン" メッセージまたは空の認証画面が表示されます。

サインイン ページのスクリーンショット。

この問題は、誰かがユーザーの資格情報を盗むなど、セキュリティの脅威を防ぐために非 HTTPS トラフィックを WAM が無効にしているために発生します。 管理者としてログオンしているかどうかを確認するには、以下の手順を実行します。

  1. イベント ビューアーを開きます。

  2. アプリケーションとサービス ログ > Microsoft > Windows > AAD に移動します。

  3. 操作ログで、次のメッセージを見つけます。

    非 SSL 宛先へのナビゲーション。安全でない通信は禁止されています。ナビゲーションをキャンセルしています。

この問題を解決し、ユーザーの資格情報をセキュリティで保護するには、ID サーバーで HTTPS を有効にすることをお勧めします。

現象 4

シングル サインオン (SSO) として構成されたフェデレーション ID プロバイダー (IdP) を持つ非永続的な仮想デスクトップ インフラストラクチャ (VDI) 環境があります。 SSO が構成されているため、アクティブ化/サインインするように求められません。 ただし、新しいセッションごとにサインインするよう求められます。 Office ULS ログには、次のエラー メッセージが表示されます。

{"Action": "BlockedRequest", "HRESULT": "0xc0f10005"

注意

この問題が発生した場合、サポート事例を開いてください。 問題を特定するためには、より多くのログ エントリ レポートが必要です。

詳細

この記事には、次のガイドラインが適用されます。

  • 15000 より前の Windows 7、Windows 8、Windows 8.1、または Windows 10 のビルドでは、ADAL 認証が唯一のオプションです。
  • Windows のビルドは 15000 (Windows 10 Version 1703、ビルド 15063.138、一般に入手可能) より後である必要があります。 詳細については、「Windows 10 リリース 情報」を参照してください。
  • この記事は、Microsoft Federation または Microsoft Federation 以外のソリューションを使用する場合に適用されます。

詳細については、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。

4347010 エラー コード: ビジネスのために OneDrive にサインインするときの 0x8004deb4