インターネットブラウザーでフェデレーションユーザーの AD FS サインイン web ページが表示されない

注意

Office 365 ProPlusは、 Enterprise 用の Microsoft 365 アプリに名前が変更されています。 この変更について詳しくは、このブログ投稿をご覧ください。

問題

フェデレーションユーザーが Office 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウドサービスにサインインしようとすると、インターネットブラウザーは Active Directory フェデレーションサービス (AD FS) サインイン web ページを表示できません。 また、ユーザーにエラーメッセージが表示されることがあります。 たとえば、ユーザーが Internet Explorer を使用している場合、次のエラーメッセージが表示されることがあります。

Internet Explorer で web ページを表示できません。

このエラーが発生した場合、web ブラウザーに表示されるアドレスは次のようになります。

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

原因

この問題は、ユーザーがオンプレミスの AD FS フェデレーションサーバーまたはインターネットに直接接続された AD FS フェデレーションサーバープロキシに接続できない場合に発生する可能性があります。 これは、AD FS フェデレーションサービスの実行が停止したとき、または IP 接続が marginalized されたときに発生する可能性があります。

ソリューション

この問題の解決を開始する前に、オンプレミスのフェデレーションサーバーの AD FS エンドポイントアドレスを特定し、問題が発生しているサーバーを特定します。

オンプレミスのフェデレーションサーバーの AD FS エンドポイントアドレスを決定する

これを行うには、Windows PowerShell 用 Azure Active Directory モジュールがインストールされているドメイン接続コンピューターで、次の手順を実行します。

  1. Windows PowerShell の Azure Active Directory モジュールを昇格された管理者として実行します。これを行うには、[windows PowerShell 用 Windows Azure Active Directory モジュール] を右クリックし、[管理者として実行] をクリックします。

  2. 次のコマンドを入力します。 各コマンドを入力した後に Enter キーを押します。

    $cred = get-credential
    

    注意

    メッセージが表示されたら、グローバル管理者の資格情報を入力します。

    Connect-MsolService –credential $credS  
    
    Set-MsolADFSContext -Computer <AD FS Server>
    

    注意

    <AD Fs サーバー> のプレースホルダーは、プライマリ AD fs サーバーのコンピューター名を表します。

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL
    

    注意

    <フェデレーションドメイン> のプレースホルダーは、クラウドサービスとフェデレーションされるドメイン名を表します。

出力で、ActiveClientSignInUrlproperty を調べます。 URL のドメイン部分は、この記事の後半で説明する解決策で使用できるエンドポイントです。

問題が発生しているサーバーを特定する

問題の範囲を示します。 これを行うには、問題が発生しているサーバーを特定します。 インターネットクライアントのみで問題が発生している場合は、まず AD FS フェデレーションサーバープロキシのトラブルシューティングを行います。 企業ネットワーククライアントでも問題が発生している場合は、まず AD FS フェデレーションサーバーのトラブルシューティングを行います。

問題が発生しているサーバーを特定したら、適切な AD FS サーバー上で次の手順を実行します。

手順 1: オンプレミスの AD FS フェデレーションサーバーが実行されていることを確認する

  1. AD FS フェデレーションサーバーで、[コントロールパネル] を開き、[管理ツール] をクリックし、[サービス] をクリックします。
  2. AD FS Windows サービスサービスを探します。
  3. AD FS Windows Service サービスの状態が開始されていることを確認します。 サービスが停止している場合は、サービスを右クリックし、[開始] をクリックしてサービスを開始します。

手順 2: web サーバーが適切な AD FS サーバー上で実行されていることを確認する

  1. AD FS フェデレーションサーバーまたは AD FS フェデレーションサーバープロキシで、[サーバーマネージャー] を開き、[役割] を展開し、[ WEB サーバー (IIS)] を展開して、[インターネットインフォメーションサービス] を選択します。
  2. コンピューター名を展開し、[サイト] を展開します。
  3. 既定の Web サイト開始するように設定されていることを確認します。 選択されていない場合は、[既定の Web サイト] を右クリックし、[すべてのタスク] をポイントして、[開始] をクリックします。
  4. [既定の Web サイト] を展開し、adfs および/adfs/ls 仮想ディレクトリが存在することを確認します。

手順 3: 問題が発生しているクライアントに対して適切な AD FS エンドポイントのホストレコードが DNS にあることを確認します。

内部クライアントの場合、内部 DNS は、AD FS エンドポイント名を内部 IP アドレス (たとえば、sts.contoso.com A 192.168.1.104) に解決する必要があります。 インターネットクライアントの場合、エンドポイント名をパブリック IP アドレスに解決する必要があります。 これは、次の手順を使用してクライアントでテストできます。 オンプレミスネットワークにプロキシサーバーが含まれている場合は、Internet Explorer の [インターネットオプション] を使用して、AD FS エンドポイントを追加します。

  1. [スタート]、[実行] の順にクリックし、「cmd」と入力して、[ OK] をクリックします。

  2. コマンドプロンプトで、次のコマンドを入力します。プレースホルダー <STS.contoso.com> は、AD FS エンドポイント名を表します。

    NSlookup <STS.contoso.com>
    
  3. コマンドの結果、IP アドレスが正しくない場合は、内部または外部 DNS サーバーの A レコードを更新して問題を解決します。 オンプレミスのコンピューターからの AD FS リソースの DNS 要求が ad FS プロキシサーバーではなく AD FS フェデレーションサービスに解決されるようにするには、次の Microsoft サポート技術情報の記事を参照して、スプリットブレイン DNS の設定を確認して更新してください。

    2715326スプリットブレイン DNS の構成の誤りにより、シームレスな SSO サインインの動作が妨げられる

    注意

    インターネットに直接接続された DNS 設定を更新すると、すべてのインターネット DNS サーバーに伝達されるまでに48時間かかる場合があります。

手順 4: クライアントコンピューターの Internet Explorer のインターネットプロキシ設定で、AD FS サーバー名を例外として追加する

オンプレミスネットワークにプロキシが含まれていて、内部クライアントだけが AD FS へのアクセスに問題がある場合は、Internet Explorer のインターネットプロキシ設定で、AD FS サーバー名を例外として追加してみてください。 これを行うには、クライアントコンピューターで次の手順を実行します。

  1. Internet Explorer を開き、[ツール] メニューの [インターネットオプション] をクリックします。
  2. [接続] タブをクリックし、[LAN の設定] をクリックします。
  3. [自動構成] でチェックボックスをオフにし、[プロキシサーバー] の下の [ LAN にプロキシサーバーを使用する] チェックボックスをオンにします。
  4. [プロキシサーバー] で、プロキシサーバーが使用するプロキシサーバーのアドレスとポートを追加し、[詳細設定] をクリックします。
  5. [例外] で、AD FS エンドポイントを追加します (たとえば、sts.contoso.com)。

詳細

この記事に記載されている Windows PowerShell コマンドでは、Windows PowerShell の Azure Active Directory モジュールが必要です。

さらにヘルプが必要ですか? Microsoft コミュニティ または Azure Active Directory Forums (英語情報) Web サイトを参照してください。