この記事では、Microsoft Entra アプリケーション プロキシの問題とエラー メッセージをトラブルシューティングするために実行できる手順について説明します。
開始する前に
最初に確認するのはコネクタです。 プライベート ネットワーク コネクタをデバッグする方法については、「プライベート ネットワーク コネクタの 問題をデバッグする」を参照してください。 それでもアプリケーションへの接続に問題がある場合は、この記事に戻ってアプリケーションのトラブルシューティングを行ってください。
アプリケーションへのアクセスまたは発行中にエラーが発生した場合は、次の手順を使用して、Microsoft Entra アプリケーション プロキシが正常に機能していることを確認します。
Windows サービス コンソールを開きます。 Microsoft Entra プライベート ネットワーク コネクタ サービスが有効で実行されていることを確認します。 アプリケーション プロキシ サービスのプロパティ ページを確認します。
![Microsoft Entra プライベート ネットワーク コネクタの状態が [実行中] であることを示すスクリーンショット。](media/application-proxy-troubleshoot/connectorproperties.png)
イベント ビューアーを開きます。 Applications and Services Logs>Microsoft>Microsoft Entra private network>Connector>Admin に移動し、プライベート ネットワーク コネクタ イベントを確認します。
詳細なログを確認します。 プライベート ネットワーク コネクタ セッション ログを有効にする方法について説明します。
アプリケーション構成エラー
一般的な構成の問題と推奨される解決策については、次のセクションを参照してください。
アプリが正しくレンダリングされない
アプリケーションのレンダリングに問題がある、または正しく機能しませんが、特定のエラー メッセージは表示されません。
この問題は、アプリの発行に使用したパスの外側に存在するコンテンツがアプリケーションに必要な場合に発生します。
たとえば、 https://yourapp/appパスを発行しても、アプリケーションが https://yourapp/mediaにあるイメージを参照している場合、イメージはアプリケーションに表示されません。
参照されているすべてのコンテンツとファイルを含める必要がある最上位レベルのパスを使用して、アプリケーションを発行してください。 この例では、そのレベルは http://yourapp/。
不足しているリソースが問題の原因であることを確認します。
- Fiddler やブラウザー開発者ツール (Internet Explorer または Microsoft Edge で F12 を選択) を使用して、ネットワーク トラッカーを開きます。
- ページを読み込みます。
- エラー ID 404 エラーを探します。
404 エラーは、ページが見つからないことを示し、それらを公開する必要があることを示します。
アプリの読み込みに時間がかかりすぎる
アプリケーションは機能していても、待機時間が長い場合があります。
ネットワーク トポロジを変更して、アプリケーションの速度を向上させることができます。 ネットワークに関する考慮事項を確認します。
1 つのアプリケーションとしての発行に関する問題
同じアプリケーション内のすべてのリソースを発行できない場合は、複数のアプリケーションを発行し、それらの間のリンクを設定します。 このシナリオでは、 カスタム ドメインを使用することをお勧めします。 ただし、このソリューションでは、ドメインの証明書を所有し、アプリケーションで完全修飾ドメイン名 (FQDN) を使用する必要があります。 その他のオプションについては、 壊れたリンクのトラブルシューティングを行います。
アプリの接続の設定に関する問題
原因と推奨される解決策については、 アプリケーション プロキシ アプリケーション用に開くポートを参照してください。
管理ポータルでの Microsoft Entra アプリケーション プロキシの構成に関する問題
原因と推奨される解決策については、 アプリケーション プロキシ アプリケーションでのシングル サインオンに関するセクションを参照してください。
アプリケーションへのバックエンド認証の設定に関する問題
原因と推奨される解決策については、次の記事を参照してください。
アプリケーションにサインインできない
This corporate app can’t be accessedエラーが表示され、アプリケーションにサインインできない場合は、構成エラーが発生しました。 推奨される解決策については、「 無効なゲートウェイ タイムアウト エラーのトラブルシューティング」を参照してください。
プライベート ネットワーク コネクタのエラー
原因と推奨される解決策については、「 プライベート ネットワーク コネクタのインストール」を参照してください。
Kerberos のエラー
次の表では、Kerberos のセットアップと構成における一般的なエラーとその解決方法について説明します。
| エラー | 説明と手順 |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
コネクタのインストールが失敗した場合は、PowerShell 実行ポリシーが無効になっていないことを確認します。 1.グループ ポリシー エディターを開きます。 2. コンピューターの構成>管理者テンプレート>Windows コンポーネント>Windows PowerShell に移動し、[ スクリプトの実行を有効にする] をダブルクリックします。 3.実行ポリシーは、 [未構成] または [有効] に設定できます。 ポリシーが [有効] に設定されている場合は、[ オプション] で実行ポリシーが [ ローカル スクリプトとリモート署名済みスクリプトを許可 する] または [すべてのスクリプトを許可する] に設定されていることを確認します。 |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
このエラーは、Microsoft Entra ID とバックエンド アプリケーション サーバーの構成が正しくないか、両方のコンピューターで時刻と日付の構成に問題があることを示します。 バックエンド サーバーは、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認します。 Microsoft Entra ID とバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。 |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
セキュリティ トークン サービス (STS) の構成に問題があります。 STS のユーザー プリンシパル名 (UPN) 要求構成を修正します。 |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
このイベントは、Microsoft Entra ID とドメイン コントローラー サーバーの間の正しくない構成、または両方のコンピューターでの時刻と日付の構成の問題を示します。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバー 、特にサービス プリンシパル名 (SPN) の構成が正しく構成されていることを確認します。 ドメイン コントローラーが Microsoft Entra ID との信頼を確立していることを確認します。 どちらも同じドメインを使用する必要があります。 Microsoft Entra ID とドメイン コントローラーの時刻と日付の構成が同期されていることを確認します。 |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
このイベントは、Microsoft Entra ID とドメイン コントローラー サーバーの間の正しくない構成、または両方のコンピューターでの時刻と日付の構成の問題を示します。 ドメイン コントローラーが、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバー (特に SPN 構成) が正しく構成されていることを確認します。 ドメイン コントローラーが Microsoft Entra ID との信頼を確立していることを確認します。 どちらも同じドメインを使用する必要があります。 Microsoft Entra ID とドメイン コントローラーの日付と時刻の構成が同期されていることを確認してください。 |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
このイベントは、Microsoft Entra ID とバックエンド アプリケーション サーバーの間の構成が正しくないか、両方のマシンで時刻と日付の構成に問題があることを示します。 バックエンド サーバーは、Microsoft Entra ID によって作成された Kerberos チケットを拒否しました。 Microsoft Entra ID とバックエンド アプリケーション サーバーが正しく構成されていることを確認します。 Microsoft Entra ID とバックエンド アプリケーション サーバーの時刻と日付の構成が同期されていることを確認します。 詳細については、「 アプリケーション プロキシの Kerberos の制約付き委任構成のトラブルシューティング」を参照してください。 |
アプリ のユーザー エラー
次の表は、アプリ ユーザーがアプリケーション プロキシ アプリにアクセスしようとしたときに発生する可能性があるエラーを示しています。
| エラー | 説明と手順 |
|---|---|
The website cannot display the page. |
発行した統合 Windows 認証 (IWA) アプリにアクセスしようとすると、ユーザーにエラーが表示されます。 アプリケーションに対して定義されている SPN が正しくありません。 アプリケーションの SPN が正しいことを確認します。 |
The website cannot display the page. |
発行した Outlook Web アプリケーション (OWA) アプリにアクセスしようとすると、ユーザーにエラーが表示されます。 問題の結果は次のとおりです。 - アプリケーションに対して定義された SPN が正しくありません。 アプリケーションの SPN が正しいことを確認します。 - アプリケーションにアクセスしようとしたユーザーが、サインインに会社のアカウントではなく Microsoft アカウントを使用しているか、ユーザーがゲスト ユーザーです。 発行されたアプリケーションのドメインと一致する企業アカウントを使用してユーザーがサインインしていることを確認します。 Microsoft アカウントのユーザーとゲストは IWA アプリケーションにアクセスできません。 - アプリケーションにアクセスしようとしたユーザーが、オンプレミス構成のアプリケーションに対して適切に定義されていません。 ユーザーがバックエンド アプリケーションにアクセスするために必要なオンプレミスのアクセス許可を持っていることを確認します。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
このエラーは、ユーザーが Microsoft アカウントまたはゲスト ユーザーを使用してアプリにアクセスしようとしたときに発生します。 Microsoft アカウントのユーザーとゲストは IWA アプリケーションにアクセスできません。 ユーザーがアプリのドメインに一致する企業アカウントでサインインしていることを確認します。 この問題を解決するには、[ アプリケーション ] タブの [ ユーザーとグループ] に移動し、ユーザーまたはグループをアプリに割り当てます。 |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
アプリケーションにアクセスしようとしたユーザーが、オンプレミス構成のアプリケーションに対して適切に定義されていません。 ユーザーがバックエンド アプリケーションにアクセスするために必要なオンプレミスのアクセス許可を持っていることを確認します。 |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
サブスクライバーの管理者によって Premium ライセンスが明示的に割り当てられない場合、発行したアプリにアクセスしようとすると、ユーザーにエラーが表示されます。 サブスクライバーの [Microsoft Entra ID ライセンス ] タブで、ユーザーまたはユーザー グループに Premium ライセンスが割り当てられていることを確認します。 |
A server with the specified host name could not be found. |
発行したアプリにアクセスしようとして、アプリケーションのカスタム ドメインが正しく構成されていない場合、ユーザーにエラーが表示されます。 ドメインの証明書を確認し、ドメイン ネーム システム (DNS) レコードを正しく構成します。 詳細については、「 Microsoft Entra アプリケーション プロキシでのカスタム ドメインの操作」を参照してください。 |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
この問題は、認証情報へのアクセスに関する問題である可能性があります。 詳細については、(https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information) を参照してください。 このエラーを解決するには、プライベート ネットワーク コネクタ マシン アカウントを Windows 承認アクセス グループの組み込みドメイン グループに追加します。 |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
コネクタでは、クライアント証明書を使用して、Microsoft Entra アプリケーション プロキシ クラウド サービス エンドポイントへの送信接続をセキュリティで保護します。 このエラーは、クライアント証明書がエンドポイントに到達できない場合に発生します。 たとえば、ネットワーク デバイスがトランスポート層セキュリティ (TLS) 検査を実行したり、TLS 接続を切断したりしたときに発生することがあります。 このエラーを解決するには、送信 TLS 通信のインライン検査と終了を避けてください。 Microsoft Entra プライベート ネットワーク コネクタと Microsoft Entra アプリケーション プロキシ クラウド サービスの間で検査と終了を行う必要はありません。 |