アカウント フェデレーション サーバーを信頼するようにクライアント コンピューターを構成する

クライアント コンピューターが Active Directory フェデレーション サービス (AD FS) を使用してフェデレーション アプリケーションに正常にアクセスできるようにするには、まず、ブラウザーがアカウント フェデレーション サーバーを信頼するように、各クライアント コンピューターで Internet Explorer の設定を構成する必要があります。 これは、管理で何を優先するかに応じて、次のいずれかの手順を実行することにより、手動またはグループ ポリシーによって行うことができます。

Internet Explorer の設定を手動で構成する

以下の手順を使用すると、AD FS を通じてフェデレーションをサポートするように、各ユーザーの Internet Explorer の設定を手動で構成することができます。 複数のユーザーが 1 台のコンピューターを使用する場合は、ユーザー プロファイルごとに 1 回、この手順を複数回実行します。

この手順を実行するには、フェデレーション アプリケーションにアクセスするユーザーとしてログオンします。 これはプロファイル固有の設定です。 そのため、特定のコンピューターに存在するプロファイルごとに、この設定を手動で追加する必要があります。

アカウント フェデレーション サーバーを信頼するようにクライアント コンピューターを手動で構成するには

1. クライアント コンピューターで、Internet Explorer を開始します。

2. [ツール] メニューの [インターネット オプション] をクリックします。

3. [セキュリティ] タブで、[ローカル イントラネット] アイコンをクリックし、[サイト] をクリックします。

4. [詳細設定] をクリックし、[次の Web サイトをゾーンに追加する] でアカウント フェデレーション サーバーの完全なドメイン ネーム システム (DNS) 名 (例: https://fs1.fabrikam.com)) を入力して、[追加] をクリックします。

5. [OK] を 3 回クリックします。

グループ ポリシーを使用して Internet Explorer の設定を構成する

ほとんどの展開では、グループ ポリシーを使って、Internet Explorer の適切な設定を各クライアント コンピューターにプッシュすることをお勧めします。

この手順を実行するには、Active Directory Domain Services (AD DS) の Domain Admins または Enterprise Admins、またはそれと同等のメンバーシップが最低限必要です。 適切なアカウントおよびグループ メンバーシップの使用について詳しくは、「ローカルおよびドメインの既定のグループ (http://go.microsoft.com/fwlink/?LinkId=83477).」を参照してください

グループ ポリシーを使用して、アカウント フェデレーション サーバーを信頼するようにクライアント コンピューターを構成するには

1. アカウント パートナー組織のフォレスト内のドメイン コントローラーで、[グループ ポリシーの管理] スナップインを開始します。

2. 適切なグループ ポリシー オブジェクト (GPO) を見つけて右クリックし、[編集] をクリックします。

3. コンソール ツリーで、[ユーザーの構成] > [基本設定] > [Windows の設定] > [Internet Explorer のメンテナンス] を開き、[セキュリティ] をクリックします。

4. 詳細ウィンドウで、[セキュリティ ゾーンおよびコンテンツの規制] をダブルクリックします。

5. [セキュリティ ゾーンとプライバシー] で [現行のセキュリティ ゾーンとプライバシーの設定をインポートする] をクリックし、[設定の変更] をクリックします。

6. [ローカル イントラネット] をクリックし、[サイト] をクリックします。

7. [次の Web サイトをゾーンに追加する] でアカウント フェデレーション サーバーの完全な DNS 名 (例: https://fs1.fabrikam.com)) を入力し、[追加] をクリックしてから、[閉じる] をクリックします。

8. [OK] を 2 回クリックして、これらの変更をグループ ポリシーに適用します。