Partager via

フェデレーション環境で Outlook に接続できない! (対処編)

  • Article

こんにちは、日本マイクロソフトの小林です。

前回 Outlook からの基本的な認証フローをご案内しましたが、ここではよくある原因をもとに、すぐにお試しいただける対処方法をご案内します。
なお、続編では、対応策を実施後も解消しない場合に採取いただきたい情報および採取手順をご案内する予定ですので併せてご参照ください。

対処方法の概要
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
以下の順番に対処方法を実施いただき、各ステップの完了後に事象が解消したかをご確認いただければと存じます。

1. Outlook の必要なパッチを適用する
2. 資格情報のクリア
3. Outlook を終了して 1 時間程待つ
4. クライアント側から新しい認証情報を明示的に送信する
5. Outlook のプロファイルを確認する

対処方法の詳細
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. Outlook の必要なパッチを適用する
------------------------------------
Outlook クライアントにて必須の更新プログラムが適用されていないことでユーザーが正しい資格情報を入力後も、認証が通らないという問題が発生することがあります。
その場合には、下記の更新プログラムを適用することで事象が解消するかをご確認ください。

<Outlook 2010 用の更新プログラム>

ID    : 2687567
Title : Description of the Outlook 2010 update 2687567: February 11, 2014
Url   : https://support.microsoft.com/kb/2687567/en-us

<Outlook 2013 用の更新プログラム>

ID    : 2880470
Title : Update 2880470 for Outlook 2013: May 13, 2014
Url   : https://support.microsoft.com/kb/2880470/en-us

2. 資格情報のクリア
------------------------------------
Outlook では Windows 端末に資格情報が登録されている場合に、登録された資格情報を用いて Exchange Online へ通信を行います。Windows 端末に登録されている資格情報が古いパスワードであるために、認証に失敗している可能性があります。

この原因に該当する場合には、前述の更新プログラムの適用後、下記の手順にて資格情報をクリアください。

<手順>
1. [コントロール パネル] - [ユーザー アカウントと家族のための安全設定] - [ユーザー アカウント] をクリックし [資格情報の管理] をクリックします。
2. [Windows 資格情報] に登録されている項目をクリックして [資格情報コンテナーから削除] をクリックし、削除するかの確認メッセージが表示されたら [はい] をクリックします。
   (複数行登録されている場合は、同様にすべて削除ください。)
3. [汎用資格情報] に保存されている項目をクリックし [資格情報コンテナーから削除] をクリックし、削除するかの確認メッセージが表示されたら [はい] をクリックします。
   (複数行登録されている場合は、同様にすべて削除ください。)
4.コマンド プロンプトから以下のコマンドを実行して、全ての資格情報が削除されたかどう確認します。
Cmdkey /L

-参考情報
Title: 保存されたパスワード、証明書、およびその他の資格情報を削除する
Url: https://windows.microsoft.com/ja-jp/windows7/remove-stored-passwords-certificates-and-other-credentials

3. Outlook を終了して 1 時間程待つ
--------------------------------------------------
Exchange Online ではフェデレーション ユーザーに対するログオン キャッシュを保持し、ADFS 2.0 サーバーの認証トークンの有効である期間保持されます。
このキャッシュが存在する場合には、新たなパスワードにて認証が行われた場合にも再度クレームが発行されないため、誤ったパスワード(古いパスワード)により認証が失敗している可能性がございます。

認証トークンの有効期限は既定で 60 分に設定されているため、ログオン キャッシュの影響を排除するために、Outlook を終了して 1 時間程待つことにより事象が解消するかご確認下さい。
なお、ログオン キャッシュを強制的にクリアにすることはできない点をご留意いただければと存じます。

-参考情報
Title: Claims-based authentication and security token expiration
Url: https://technet.microsoft.com/en-us/library/gg188586.aspx

4. クライアント側から新しい認証情報を明示的に送信する
--------------------------------------------------------------------
Outlook は RPC 接続と HTTP 接続の 2 種類の接続を使用して接続しています。
・ RPC 接続
・ HTTP 接続

上記通信のうち HTTP 接続につきましては、HTTP 接続が必要な AutoDiscover や OAB のダウンロードなどの処理が開始された場合、その度に認証情報を要求されます。
しかし、HTTP の通信はバックグラウンドで行われているため、ユーザーの利便性を考慮して認証ポップアップを表示させない場合もございます。

そのため、パスワード変更時のシナリオにおいて、ユーザーが気付かないバックグラウンドの通信にて古いパスワードで何度も認証をリトライしており、失敗数が上限に達することでアカウントロックが発生することがございます。

事象が発生しているクライアント端末にて以下のレジストリを作成することで、HTTPの通信におきましても認証に失敗した場合、必ず認証ダイアログが表示される動作へ変更されます。
表示された認証ダイアログに対して、ユーザーが正しい資格情報を入力することで、その後問題なく Outlook の利用を継続することができます。

-Outlook 2010 の場合
   キー: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\RPC
   名前: DisableRetryGoodCredentials
   種類: DWORD
   値: 1

-Outlook 2013 の場合
   キー: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\RPC
   名前: DisableRetryGoodCredentials
   種類: DWORD
   値: 1
*変更後に、Outlook を再起動します。

5. Outlook プロファイルの確認
--------------------------------------------------------------------
ここまでの手順を実施後も事象が解消されない場合には、下記の KB に記載のございます通り、「ログオン ネットワーク セキュリティ」 が匿名認証に設定されていないことで Exchange Online への接続に失敗している可能性がございます。

Title : Outlook continually prompts for password connecting to Office 365
URL   : https://support.microsoft.com/kb/2984912

なお、必須パッチが適用されている Outlook クライアントであれば通常自動構成サービス (Autodiscover) によって自動的に匿名認証に設定されます。
しかしながら、何らかの理由によりプロファイルが不正な状態となっているために、Outlook プロファイルの認証設定が正しく構成されていな可能性がございます。

そのため、下記の A, B, C を順番に実施いただき、事象が解消するかをご確認ください。

<A. 認証設定>
「ログオン ネットワーク セキュリティ」 が匿名認証に設定されているかどうか確認します。

1. Outlook 2010 が起動している場合には終了してください。
2. [スタート]-[コントロール パネル] を開き、[ユーザー アカウント]-[メール] をクリックします。
3. [プロファイルの表示] をクリックします。
4. ご利用いただいているプロファイルを選択し、[プロパティ] をクリックします。
5. [電子メール アカウント] をクリックします。
6. [電子メール] タブでご利用のアカウントを選択し、[変更] をクリックします。
7. [詳細設定] ボタンをクリックします。
8. [セキュリティ] タブの「ログオン ネットワーク セキュリティ」の認証方式を確認します。
9. 「ログオン ネットワーク セキュリティ」 が匿名認証になっていない場合は匿名認証に変更し、[OK] をクリックします。
10. 変更した場合は [次へ]-[完了] をクリックし、画面を閉じます。
11. Outlook を起動し、現象が回避される確認します。

<B. アカウント修復>
認証設定の確認で解消しない場合は以下のアカウント修復を実施します。自動構成サービス (Autodiscover) が明示的に実行され、認証を含めて EXO に接続するためのプロファイル構成が正しく設定されますので、事象が解消されることが期待できます。

1. Outlook 2010 が起動している場合には終了してください。
2. [スタート]-[コントロール パネル] をひらき、[ユーザー アカウント]-[メール] をクリックします。
3. [プロファイルの表示] をクリックします。
4. ご利用いただいているプロファイルを選択し、[プロパティ] をクリックします。
5. [電子メール アカウント] をクリックします。
6. [電子メール] タブでご利用のアカウントを選択し、[修復] をクリックします。
7. [次へ] をクリックします。
8. 処理が終了したら [完了] をクリックします。
9. [閉じる] ボタンをクリックして設定を終了します。
10. Outlook 2010 を起動し、現象が回避される確認します。

<C. Outlook プロファイル再作成>
A. 認証確認及びB. アカウント修復でも事象が継続的に発生する場合は、Outlook プロファイルを再作成することで解消するかどう確認します。

今後も当ブログおよび Exchange Server サポート チームをよろしくお願いいたします。