Microsoft Entra MFA の NPS 拡張機能からのエラー メッセージを解決する
Microsoft Entra 多要素認証の NPS 拡張機能でエラーが発生した場合は、この記事を使用して、より迅速に解決してください。 NPS 拡張機能のログは、NPS 拡張機能がインストールされているサーバー上で [アプリケーションとサービス ログ]>[Microsoft]>[AzureMfa]>[AuthN]>[AuthZ] を選択すると表示されるイベント ビューアーで確認できます。
一般的なエラーのトラブルシューティング手順
| エラー コード | トラブルシューティングの手順 |
|---|---|
| CONTACT_SUPPORT | サポートに連絡し、ログを収集した手順について説明してください。 テナント ID、ユーザー プリンシパル名 (UPN) など、エラーが発生する前の状況について、できるだけ多くの情報をお知らせください。 |
| CLIENT_CERT_INSTALL_ERROR | テナントへのクライアント証明書のインストールまたは関連付けに問題がある可能性があります。 MFA NPS 拡張機能のトラブルシューティングの手順に従って、クライアント証明書に関する問題を調査します。 |
| ESTS_TOKEN_ERROR | MFA NPS 拡張機能のトラブルシューティングの手順に従って、クライアント証明書および セキュリティ トークンに関する問題を調査します。 |
| HTTPS_COMMUNICATION_ERROR | NPS サーバーで Microsoft Entra 多要素認証からの応答を受信できません。 ファイアウォールが https://adnotifications.windowsazure.com との間のトラフィックに対して双方向に開いており、TLS 1.2 が有効になっている (既定) ことを確認します。 TLS 1.2 が無効になっている場合は、ユーザー認証は失敗し、ソースの SChannel を含むイベント ID 36871 がイベント ビューアーのシステム ログに記入されます。 TLS 1.2 が有効になっていることを確認するには、TLS レジストリ設定に関するページを参照してください。 |
| HTTP_CONNECT_ERROR | NPS 拡張機能を実行しているサーバーで、 https://adnotifications.windowsazure.com と https://login.microsoftonline.com/ に到達できることを確認します。 このサイトが読み込まれない場合は、そのサーバーで接続のトラブルシューティングを行います。 |
| Microsoft Entra 多要素認証の NPS 拡張機能 (AccessReject): Microsoft Entra 多要素認証の NPS 拡張機能では、AccessAccept 状態の Radius 要求のセカンダリ認証のみを実行します。 ユーザー username から受け取った要求に対する応答の状態は AccessReject で、要求を無視します。 |
このエラーは通常、AD での認証の失敗、または NPS サーバーで Microsoft Entra ID AD からの応答を受信できないことを反映しています。 ファイアウォールがポート 80 と 443 を使用して、https://adnotifications.windowsazure.com および https://login.microsoftonline.comの間で送受信されるトラフィックに対して双方向に開いていることを確認します。 また、[Network Access Permissions]\(ネットワーク アクセス許可) の [DIAL-IN]\(ダイヤル IN) タブで、[control access through NPS Network Policy]\(NPS ネットワーク ポリシーでアクセスを制御する) に設定されていることを確認することも重要です。 また、ユーザーにライセンスが割り当てられていない場合にも、このエラーがトリガーされる可能性があります。 |
| Microsoft Entra 多要素認証の NPS 拡張機能 (AccessChallenge): Microsoft Entra 多要素認証の NPS 拡張機能では、AccessAccept 状態の Radius 要求のセカンダリ認証のみを実行します。 ユーザー username から受け取った要求に対する応答の状態が AccessChallenge であり、要求が無視されます。 |
この応答は、認証または承認プロセスを完了するためにユーザーから追加情報が必要な場合に使用されます。 NPS サーバーは、ユーザーに課題を送信し、追加の資格情報または情報を要求します。 通常、Access-Accept 応答または Access-Reject 応答が優先されます。 |
| REGISTRY_CONFIG_ERROR | レジストリにアプリケーションに対するキーが見つかりません。原因としては、PowerShell スクリプトがインストール後に実行されていないことが考えられます。 見つからないキーは、エラー メッセージに示されています。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa に、そのキーがあることを確認してください。 |
| REQUEST_FORMAT_ERROR REQUEST_FORMAT_ERROR - Radius 要求に、必須の Radius userName\Identifier 属性がありません。 NPS で RADIUS 要求が受信されていることを確認します |
このエラーは、通常、インストールに問題があることを示します。 NPS 拡張機能は、RADIUS 要求を受信できる NPS サーバーにインストールする必要があります。 RDG、RRAS などのサービスの依存関係としてインストールされた NPS サーバーは、RADIUS 要求を受信しません。 このようにインストールされ、エラーが発生した場合、NPS 拡張機能は、認証要求から詳細情報を読み取ることができないため、動作しません。 |
| REQUEST_MISSING_CODE | NPS サーバーと NAS サーバーの間のパスワード暗号化プロトコルが 2 つ目として使用している認証方法に対応していることを確認します。 PAP では、クラウドでの Microsoft Entra 多要素認証のすべての認証方法 (電話、一方向テキスト メッセージ、モバイル アプリの通知、モバイル アプリの確認コード) がサポートされます。 CHAPV2 と EAP は、電話とモバイル アプリの通知をサポートします。 |
| USERNAME_CANONICALIZATION_ERROR | ユーザーがオンプレミスの Active Directory インスタンスに存在すること、また、ディレクトリへのアクセス許可が NPS サービスに付与されていることを確認します。 フォレスト間の信頼を使用している場合、詳細については、サポートにお問い合わせください。 |
| ユーザーの外部認証で要求された課題 | PAP 以外の RADIUS プロトコルを使用している組織では、NPS 拡張機能サーバーの AuthZOptCh イベント ログにこれらのイベントが表示され、ユーザーの VPN 認証が失敗する可能性があります。 NPS サーバーは PAP をサポートするように構成できます。 PAP がオプションでない場合は、OVERRIDE_NUMBER_MATCHING_WITH_OTP = FALSE に設定して、プッシュ通知の [承認]/[禁止] にフォールバックできます。 詳細については、「NPS 拡張機能を使用した番号一致」を参照してください。 |
代替ログイン ID エラー
| エラー コード | エラー メッセージ | トラブルシューティングの手順 |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | エラー: userObjectSid の検索に失敗しました | ユーザーがオンプレミスの Active Directory インスタンスに存在することを確認します。 フォレスト間の信頼を使用している場合、詳細については、サポートにお問い合わせください。 |
| ALTERNATE_LOGIN_ID_ERROR | エラー:代替 LoginId の検索に失敗しました | LDAP_ALTERNATE_LOGINID_ATTRIBUTE が有効な Active Directory 属性に設定されていることを確認します。 LDAP_FORCE_GLOBAL_CATALOG が True に設定されているか、LDAP_LOOKUP_FORESTS が空でない値で構成されている場合は、グローバル カタログが構成され、それに AlternateLoginId 属性が追加されていることを確認します。 LDAP_LOOKUP_FORESTS が空でない値で構成されている場合は、値が正しいことを確認します。 複数のフォレスト名がある場合、名前はスペースではなくセミコロンで区切る必要があります。 これらの手順で問題が解決されない場合は、サポートにお問い合わせください。 |
| ALTERNATE_LOGIN_ID_ERROR | エラー:代替 LoginId 値が空です | ユーザーの AlternateLoginId 属性が構成されていることを確認します。 |
ユーザー側で発生する可能性があるエラー
| エラー コード | エラー メッセージ | トラブルシューティングの手順 |
|---|---|---|
| AccessDenied | 呼び出し元のテナントに、ユーザーの認証を行うためのアクセス許可がありません | テナント ドメインとユーザー プリンシパル名 (UPN) のドメインが同じかどうかを確認します。 たとえば、user@contoso.com が、Contoso テナントに対して認証しようとしていることを確認します。 UPN は、Azure のテナントの有効なユーザーを表します。 |
| AuthenticationMethodNotConfigured | 指定した認証方法が、ユーザーに対して構成されていません | 「2 段階認証設定の管理」の説明に従って、ユーザーに認証方法を追加または確認してもらいます。 |
| AuthenticationMethodNotSupported | 指定した認証方法がサポートされていません。 | このエラーを含むすべてのログを収集し、サポートに連絡します。 サポートに連絡するとき、ユーザー名と、エラーをトリガーしたセカンダリ検証方法をお伝えください。 |
| BecAccessDenied | MSODS Bec 呼び出しによってアクセス拒否が返されました。テナントでユーザー名が定義されていない可能性があります | ユーザーは、オンプレミスの Active Directory に存在しますが、AD Connect によって Microsoft Entra ID に同期されません。 または、テナント用のユーザーがありません。 「2 段階認証設定の管理」の説明に従って、ユーザーを Microsoft Entra ID に追加し、そのユーザーに認証方法を追加してもらいます。 |
| InvalidFormat またはStrongAuthenticationServiceInvalidParameter | 電話番号の形式を認識できません | ユーザーに確認の電話番号を修正してもらいます。 |
| InvalidSession | 指定したセッションが無効か、有効期限が切れている可能性があります | セッション完了までの時間が 3 分を超えました。 認証要求を開始してから 3 分以内にユーザーが確認コードを入力していること、またはアプリの通知に応答していることを確認します。 それでも問題が解決しない場合は、クライアント、NAS サーバー、NPS サーバー、および Microsoft Entra 多要素認証エンドポイントの間でネットワーク待機時間が発生していないことを確認します。 |
| NoDefaultAuthenticationMethodIsConfigured | 既定の認証方法が、ユーザーに対して構成されていません | 「2 段階認証設定の管理」の説明に従って、ユーザーに認証方法を追加または確認してもらいます。 ユーザーが既定の認証方法を選択し、その方法を自身のアカウントに対して構成していることを確認します。 |
| OathCodePinIncorrect | 入力したコードと PIN が誤っています。 | このエラーは、NPS 拡張機能では発生しません。 このエラーが発生した場合、トラブルシューティング方法については、サポートにお問い合わせください。 |
| ProofDataNotFound | プルーフ データが、指定した認証方法に対して構成されていません。 | 「2 段階認証設定の管理」の説明に従って、ユーザーに別の認証方法を試してもらうか、新しい認証方法を追加してもらいます。 認証方法が適切に設定されていることを確認した後も、このエラーが引き続き発生する場合は、サポートにお問い合わせください。 |
| SMSAuthFailedWrongCodePinEntered | 入力したコードと PIN が誤っています。 (OneWaySMS) | このエラーは、NPS 拡張機能では発生しません。 このエラーが発生した場合、トラブルシューティング方法については、サポートにお問い合わせください。 |
| TenantIsBlocked | テナントがブロックされています | サポートにお問い合わせください。その際には、Microsoft Entra 管理センターの Microsoft Entra プロパティ ページの [テナント ID] をご用意ください。 |
| UserNotFound | 指定したユーザーが見つかりませんでした | テナントが Microsoft Entra ID でアクティブとして表示されなくなりました。 サブスクリプションがアクティブで、必要なファースト パーティー アプリがあることを確認します。 また、証明書サブジェクトが意図したとおりであること、およびその証明書が引き続き有効で、サービス プリンシパルで登録されていることを確認します。 |
ユーザーに表示されるエラー以外のメッセージ
認証要求の失敗が原因で、多要素認証からメッセージが表示されることもあります。 これは構成の結果としてエラーが発生したことを示すものではありません。認証要求が拒否された理由を説明する意図的な警告です。
| エラー コード | エラー メッセージ | 推奨される手順 |
|---|---|---|
| OathCodeIncorrect | 誤ったコードが入力されました\OATH コードが正しくありません | ユーザーが誤ったコードを入力しました。 新しいコードを要求するか、サインインし直したうえで、もう一度試すようユーザーに指示します。 |
| SMSAuthFailedMaxAllowedCodeRetryReached | 許可されている最大コード再試行回数に達しました | ユーザーが何回も検証チャレンジに失敗しました。 設定によっては、管理者によるブロック解除が必要になることがあります。 |
| SMSAuthFailedWrongCodeEntered | 誤ったコードが入力されました/テキスト メッセージ OTP が正しくありません | ユーザーが誤ったコードを入力しました。 新しいコードを要求するか、サインインし直したうえで、もう一度試すようユーザーに指示します。 |
| AuthenticationThrottled | ユーザーによる短時間内の試行回数が多すぎます。 調整。 | Microsoft では、同じユーザーが短時間に認証の試行を繰り返すことを制限する場合があります。 この制限は、Microsoft Authenticator または確認コードには適用されません。 これらの制限に達した場合は、Authenticator アプリまたは確認コードを使用するか、数分後にもう一度サインインを試行することができます。 |
| AuthenticationMethodLimitReached | 認証方法の制限に達しました。 調整。 | Microsoft では、同じユーザーが短期間に同じ種類の認証 (特に、音声通話または SMS) を繰り返し試行することを制限する場合があります。 この制限は、Microsoft Authenticator または確認コードには適用されません。 これらの制限に達した場合は、Authenticator アプリまたは確認コードを使用するか、数分後にもう一度サインインを試行することができます。 |
サポートを必要とするエラー
次のいずれかのエラーが発生した場合は、診断のためにサポートに連絡することをお勧めします。 こうしたエラーに対処する手順に標準はありません。 サポートに問い合わせるときは、エラーを引き起こした状況や手順に関するできるだけ多くの情報、およびテナント情報を必ずお知らせください。
| エラー コード | エラー メッセージ |
|---|---|
| InvalidParameter | 要求は null にできません |
| InvalidParameter | ObjectId は ReplicationScope {0} に対して null または空にできません |
| InvalidParameter | CompanyName {0}\ の長さは、許可される最大長 {1} を超えています |
| InvalidParameter | UserPrincipalName は null または空にできません |
| InvalidParameter | 指定した TenantId の形式が正しくありません |
| InvalidParameter | SessionId は null または空にできません |
| InvalidParameter | 要求または Msods からの ProofData を解決できませんでした。 ProofData は不明です |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
次のステップ
ユーザー アカウントをトラブルシューティングする
2 段階認証で問題が発生している場合は、その問題を自己診断できるようユーザーをサポートします。
正常性チェック スクリプト
Microsoft Entra 多要素認証の NPS 拡張機能の正常性チェック スクリプトでは、NPS 拡張機能のトラブルシューティングを行うときに、いくつかの基本的な正常性チェックが行われます。 スクリプトの実行時に使用可能な各オプションの概要を次に示します。
- オプション 1 - NPS または MFA の問題の場合に問題の原因を特定する (MFA RegKeys のエクスポート、NPS の再起動、テスト、RegKeys のインポート、NPS の再起動)
- オプション 2 - すべてのユーザーが MFA NPS 拡張機能を使用できるわけではない場合に、完全なテスト セットを確認する (Azure へのアクセスのテスト、HTML レポートの作成)
- オプション 3 - 特定のユーザーが MFA NPS 拡張機能を使用できない場合に、特定のテスト セットを確認する (特定の UPN に対する MFA のテスト)
- オプション 4 - Microsoft サポートに問い合わせるためにログを収集する (ログ記録の有効化、NPS の再起動、ログの収集)
Microsoft サポートに問い合わせる
さらにサポートが必要な場合は、Azure Multi-Factor Authentication Server サポートを通して、サポートのプロフェッショナルにお問い合わせください。 お問い合わせの際は、問題に関する情報をできるだけお知らせいただくと役に立ちます。 エラーが表示されたページ、具体的なエラー コード、具体的なセッション ID、エラーが表示されたユーザーの ID、デバッグ ログなどの情報をご提供ください。
サポート 診断用のデバッグ ログを収集するには、NPS サーバーで Microsoft Entra 多要素認証の NPS 拡張機能の正常性チェック スクリプトを実行し、オプション 4 を選択してログを収集し、Microsoft サポートに提供します。
最後に、C:\NPS フォルダーに生成された ZIP 出力ファイルをアップロードし、サポート ケースに添付します。