問題
フェデレーション アカウントを使用して Microsoft 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにサインインしようとすると、ブラウザーで AD FS Web サービスから証明書の警告が表示されます。
原因
この問題は、証明書のテスト中に検証エラーが発生した場合に発生します。
証明書を使用して Secure Sockets Layer (SSL) またはトランスポート層セキュリティ (TLS) セッションをセキュリティで保護する前に、証明書は次の標準テストに合格する必要があります。
証明書が時刻的に無効です。 サーバーまたはクライアント上の日付が 証明書の有効開始日 または発行日より前の場合、またはサーバーまたはクライアントの日付が 証明書の有効終了日 または有効期限より後の場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、証明書がアクティブになる前に証明書の有効期限が実際に切れているか、適用されたかを確認します。 次に、次のいずれかのアクションを実行します。
- 証明書が実際に期限切れになった場合、またはアクティブになる前に適用された場合は、AD FS トラフィックの通信をセキュリティで保護するために、適切な配信日を含む新しい証明書を生成する必要があります。
- 証明書の有効期限が切れなかったか、アクティブになる前に適用されなかった場合は、クライアント コンピューターとサーバー コンピューターの時刻を確認し、必要に応じて更新します。
サービス名の不一致。 接続に使用される URL が、証明書を使用できる有効な名前と一致しない場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、次の手順に従います。
接続の確立に使用するブラウザーのアドレス バーの URL を調べます。
注
末尾の HTTP 構文 (/?request=... など) ではなく、サーバー アドレス (たとえば、sts.contoso.com) に焦点を当てます。
エラーを再現したら、次の手順に従います。
[証明書の表示] をクリックし、[詳細] タブをクリックします。手順 A の URL を、証明書の [プロパティ] ダイアログ ボックスの [サブジェクト] フィールドと [サブジェクトの別名] フィールドと比較します。
![[アドレスの不一致] ページのエラーを示すスクリーンショット。](media/certificate-warning-from-ad-fs/mismatched-address.png)
手順 A で使用されているアドレスが一覧に表示されていないか、これらのフィールドのエントリと一致しないか、またはその両方であることを確認します。 その場合は、手順 A で使用したサーバー アドレスを含めるために証明書を再発行する必要があります。
証明書が信頼されたルート証明機関 (CA) によって発行されませんでした。 接続を要求しているクライアント コンピューターが証明書を生成した CA チェーンを信頼していない場合、接続要求はこの状態に基づく警告を発行します。 証明書がこのテストに合格したことを確認するには、次の手順に従います。
- 証明書の警告を再生成し、[証明書の 表示 ] をクリックして証明書を確認します。 [ 認定パス ] タブで、上部にルート ノート エントリが表示されていることを確認します。
- [ スタート] をクリックし、[ 実行] をクリックし、「 MMC」と入力して、[OK] をクリック します。
- [ ファイル] をクリックし、[ スナップインの追加と削除] をクリックし、[ 証明書] をクリックし、[ 追加] をクリックし、[ コンピューター アカウント] を選択して、[ 次へ] をクリックし、[ 完了] をクリックして、[ OK] をクリックします。
- MMC スナップインで、 コンソール ルートを見つけ、[ 証明書]、[ 信頼されたルート証明機関] の順に展開し、[ 証明書] をクリックして、手順 A でメモしたルート メモ エントリの証明書が存在しないことを確認します。
解決策
この問題を解決するには、警告メッセージに応じて、次のいずれかの方法を使用します。
方法 1: 時間内で有効な問題
タイムバリッドの問題を解決するには、次の手順に従います。
適切な有効期限を指定して証明書を再発行します。 AD FS の新しい SSL 証明書をインストールして設定する方法の詳細については、「AD FS 2.0 サービス通信証明書の有効期限が切れた後に変更する方法」を参照してください。
AD FS プロキシがデプロイされている場合は、証明書のエクスポートおよびインポート機能を使用して、AD FS プロキシの既定の Web サイトにも証明書をインストールする必要があります。 詳細については、「 デジタル証明書を削除、インポート、エクスポートする方法」を参照してください。
重要
秘密キーがエクスポートまたはインポート プロセスに含まれていることを確認します。 AD FS プロキシ サーバーにも秘密キーのコピーがインストールされている必要があります。
クライアント コンピューターまたはすべての AD FS サーバーの日付と時刻の設定が正しいことを確認します。 オペレーティング システムの日付設定が正しくない場合、この警告が誤って表示され、有効期間の開始日と終了日の範囲外の値を誤って示します。
方法 2: サービス名の不一致の問題
AD FS サービス名は、AD FS 構成ウィザードを実行するときに設定され、既定の Web サイトにバインドされている証明書に基づいています。 サービス名の不一致の問題を解決するには、次の手順に従います。
交換証明書の生成に間違った証明書名が使用された場合は、次の手順に従います。
- 証明書名が正しくないことを確認します。
- 正しい証明書を再発行します。 AD FS の新しい SSL 証明書をインストールして設定する方法の詳細については、「AD FS 2.0 サービス通信証明書の有効期限が切れた後に変更する方法」を参照してください。
カスタマイズされたサインイン エクスペリエンスのために AD FS idP エンドポイントまたはスマート リンクが利用されている場合は、使用されるサーバー名が、AD FS サービスに割り当てられている証明書と一致していることを確認します。
まれに、この状態は、実装後に AD FS サービス名を誤って変更しようとした場合にも発生する可能性があります。
重要
このような変更により、AD FS サービスが停止します。 更新後、次の手順に従ってシングル サインオン (SSO) 機能を復元する必要があります。
- すべてのフェデレーション名前空間で Update-MSOLFederatedDomain コマンドレットを実行します。
- 環境内のすべての AD FS プロキシ サーバーのセットアップ構成ウィザードを再実行します。
注
Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨に関するアップデートを参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。
Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: MSOnline のバージョン 1.0.x では、2024 年 6 月 30 日以降に中断が発生する可能性があります。
方法 3: 証明書チェーンの信頼に関する問題の解決
証明機関 (CA) の信頼の問題を解決するには、次のいずれかのタスクを実行します。
- Microsoft ルート証明書プログラムに参加しているソースから証明書を取得して使用します。
- 証明書発行者が Microsoft ルート証明書プログラムに登録することを要求します。 ルート証明書プログラムと Windows でのルート証明書の操作の詳細については、「 Microsoft ルート証明書プログラム」を参照してください。
警告
MICROSOFT 365 での SSO に利用される場合、AD FS では内部 CA を使用しないことをお勧めします。 Microsoft 365 データ センターによって信頼されていない証明書チェーンを使用すると、Sso 機能で Outlook を使用すると、Microsoft Exchange Online への Microsoft Outlook 接続が失敗します。
詳細情報
まだ助けが必要ですか? Microsoft コミュニティ または microsoft Entra フォーラム web サイト に移動します。