次の方法で共有

インターネット ブラウザーでフェデレーション ユーザーの AD FS サインイン Web ページを表示できない

  • 適用対象: Cloud Services (Web roles/Worker roles), Azure Active Directory, Microsoft Intune, Azure Backup, Microsoft 365

問題

フェデレーション ユーザーが Microsoft 365、Microsoft Azure、Microsoft Intune などの Microsoft クラウド サービスにサインインしようとすると、インターネット ブラウザーに Active Directory フェデレーション サービス (AD FS) サインイン Web ページを表示できません。 さらに、ユーザーにエラー メッセージが表示される場合があります。 たとえば、ユーザーが Internet Explorer を使用している場合、次のエラー メッセージが表示されることがあります。

Internet Explorer で Web ページを表示できません。

このエラーが発生すると、Web ブラウザーに表示されるアドレスは次のアドレスのようになります。

https://sts.domain.tld/adfs/ls/auth/integrated/?wa=wsignin1.0&wtrealm=uri:WindowsLiveID&wctx=MEST%3D0%26LoginOptions%3D2%26wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1283354771%26rver%3D6.0.5286.0%26wp%3DMCMBI%26wreply%3Dhttps:%252F%252Fportal.office.com%252Flanding.aspx%253Ftarget%253D%25252fDefault.aspx%26lc%3D1033%26id%3D271346%26bk%3D1283354772

原因

この問題は、ユーザーがオンプレミスの AD FS フェデレーション サーバーまたはインターネットに接続している AD FS フェデレーション サーバー プロキシに接続できない場合に発生する可能性があります。 これは、AD FS フェデレーション サービスの実行が停止した場合、または IP 接続が制限されている場合に発生する可能性があります。

解決策

この問題の解決を開始する前に、オンプレミスのフェデレーション サーバーの AD FS エンドポイント アドレスを特定し、問題が発生しているサーバーを特定します。

オンプレミスのフェデレーション サーバーの AD FS エンドポイント アドレスを決定する

これを行うには、Windows PowerShell 用 Azure Active Directory モジュールがインストールされているドメインに接続されたコンピューターで、次の手順に従います。

  1. 管理者特権で Windows PowerShell 用の Azure Active Directory モジュールを実行します。これを行うには、 Windows PowerShell の Windows Azure Active Directory モジュールを右クリックし、[ 管理者として実行] をクリックします。

  2. 次のコマンドを入力します。 各コマンドを入力した後、Enter キーを押します。

    $cred = get-credential

    メッセージが表示されたら、グローバル管理者の資格情報を入力します。

    Connect-MsolService –credential $credS  

    Set-MsolADFSContext -Computer <AD FS Server>

    <AD FS Server> プレースホルダーは、プライマリ AD FS サーバーのコンピューター名を表します。

    Get-MSOLFederationProperty –DomainName <Federated Domain> | FL

    <Federated Domain> プレースホルダーは、クラウド サービスとフェデレーションされているドメイン名を表します。

出力で、ActiveClientSignInUrlproperty を調べます。 URL のドメイン部分は、この記事で後述する解決策で使用できるエンドポイントです。

Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となります。 詳細については、非推奨に関する更新情報を参照してください。 この日以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

Microsoft Entra ID (旧称 Azure AD) を使用するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、「移行に関する FAQ」を参照してください。 注: MSOnline のバージョン 1.0.x では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

問題が発生しているサーバーを特定する

問題の範囲を調べます。 これを行うには、問題が発生しているサーバーを特定します。 インターネット クライアントのみが問題を抱えている場合は、まず AD FS フェデレーション サーバー プロキシのトラブルシューティングを行います。 企業ネットワーク クライアントでも問題が発生している場合は、まず AD FS フェデレーション サーバーのトラブルシューティングを行います。

問題が発生しているサーバーを特定したら、適切な AD FS サーバーで次の手順に従います。

手順 1: オンプレミスの AD FS フェデレーション サーバーが実行されていることを確認する

  1. AD FS フェデレーション サーバーで、[コントロール パネル] を開き、[ 管理ツール] をクリックし、[ サービス] をクリックします。
  2. AD FS Windows サービスを探します。
  3. AD FS Windows サービス サービスの状態が [開始] になっていることを確認します。 サービスが停止している場合は、サービスを右クリックし、[ 開始 ] をクリックしてサービスを開始します。

手順 2: Web サーバーが適切な AD FS サーバーで実行されていることを確認する

  1. AD FS フェデレーション サーバーまたは AD FS フェデレーション サーバー プロキシで、サーバー マネージャーを開き、[ 役割] を展開し、[ Web サーバー (IIS)]、[ インターネット インフォメーション サービス] の順に選択します。
  2. コンピューター名を展開し、その後、サイトを展開します。
  3. 既定の Web サイト[開始] に設定されていることを確認します。 そうでない場合は、[ 既定の Web サイト] を右クリックし、[ すべてのタスク] をポイントして、[ スタート] をクリックします。
  4. [既定の Web サイト] を展開し、adfs および /adfs/ls 仮想ディレクトリが存在することを確認します。

手順 3: 問題が発生しているクライアントに適した AD FS エンドポイントのホスト レコードが DNS にあることを確認する

内部クライアントの場合、内部 DNS は AD FS エンドポイント名を内部 IP アドレスに解決する必要があります (たとえば、sts.contoso.com A 192.168.1.104)。 インターネット クライアントの場合、エンドポイント名はパブリック IP アドレスに解決されるべきです。 これは、次の手順を使用してクライアントでテストできます。 オンプレミス ネットワークにプロキシ サーバーが含まれている場合は、Internet Explorer でインターネット オプションを使用して AD FS エンドポイントを追加してみてください。

  1. [スタート] ボタンをクリックし、[実行] をクリックします。次に「cmd」と入力し、[OK] をクリックします。

  2. コマンド プロンプトで、次のコマンドを入力します。ここで、プレースホルダー <STS.contoso.com> は AD FS エンドポイント名を表します。

    NSlookup <STS.contoso.com>

  3. コマンドの結果 IP アドレスが正しくない場合は、内部または外部の DNS サーバーの A レコードを更新して問題を解決します。 オンプレミス コンピューターからの AD FS リソースに対する DNS 要求が AD FS プロキシ サーバーではなく AD FS フェデレーション サービスに解決されるようにするには、次の Microsoft サポート技術情報の記事を参照して、スプリット ブレイン DNS 設定を確認して更新してください。

    2715326 スプリット ブレイン DNS の構成ミスにより、シームレスな SSO サインイン エクスペリエンスが妨げる

    更新されたインターネットに接続する DNS 設定は、すべてのインターネット DNS サーバーに反映されるまでに 48 時間かかる場合があります。

手順 4: クライアント コンピューターの Internet Explorer のインターネット プロキシ設定で、AD FS サーバー名を例外として追加する

オンプレミス ネットワークにプロキシが含まれており、内部クライアントのみが AD FS アクセスに問題がある場合は、Internet Explorer のインターネット プロキシ設定で AD FS サーバー名を例外として追加してみてください。 これを行うには、クライアント コンピューターで次の手順を実行します。

  1. Internet Explorer を開き、[ツール] メニューの [インターネット オプション] をクリックします。
  2. [接続] タブをクリックし、[LAN 設定] をクリックします。
  3. 自動構成 でチェックボックスの選択を解除し、プロキシ サーバーLAN にプロキシ サーバーを使用する チェックボックスを選択します。
  4. [ プロキシ サーバー] で、プロキシ サーバーのアドレスとプロキシ サーバーが使用するポートを追加し、[ 詳細設定] をクリックします。
  5. [ 例外] で、AD FS エンドポイント (たとえば、sts.contoso.com) を追加します。

詳細情報

この記事の Windows PowerShell コマンドには、Windows PowerShell 用の Azure Active Directory モジュールが必要です。

まだ助けが必要ですか? Microsoft コミュニティ または microsoft Entra フォーラム web サイト に移動します。