クライアント コンピューターが Active Directory フェデレーション サービス (AD FS) を使用してフェデレーション アプリケーションに正常にアクセスできるように、ブラウザーがアカウントフェデレーション サーバーを信頼できるように、まず各クライアント コンピューターで Internet Explorer の設定を構成する必要があります。 これは、管理設定に応じて、次のいずれかの手順を実行することで、手動で、またはグループ ポリシーを使用して行うことができます。
Internet Explorer の設定を手動で構成する
次の手順を使用して、AD FS を介したフェデレーションをサポートするように各ユーザーの Internet Explorer 設定を手動で構成できます。 複数のユーザーが 1 台のコンピューターを使用する場合は、ユーザー プロファイルごとに 1 回、この手順を複数回実行します。
この手順を実行するには、フェデレーション アプリケーションにアクセスするユーザーとしてログオンします。 これはプロファイル固有の設定です。 そのため、特定のコンピューターに存在するプロファイルごとに、この設定を手動で追加する必要があります。
アカウントフェデレーション サーバーを信頼するようにクライアント コンピューターを手動で構成するには
クライアント コンピューターで、Internet Explorer を起動します。
[ツール] メニューの [インターネット オプション] をクリックします。
[ セキュリティ ] タブで、[ ローカル イントラネット ] アイコンをクリックし、[ サイト] をクリックします。
[ 詳細設定] をクリックし、[ この Web サイトをゾーンに追加する] で、アカウント フェデレーション サーバーの完全なドメイン ネーム システム (DNS) 名 ( https://fs1.fabrikam.com)など) を入力し、[ 追加] をクリックします。
[ OK] を 3 回クリックします。
グループ ポリシーを使用した Internet Explorer 設定の構成
ほとんどの展開では、グループ ポリシーを使用して、適切な Internet Explorer 設定を各クライアント コンピューターにプッシュすることをお勧めします。
この手順を完了するには、 Active Directory Domain Services (AD DS) の Domain Admins または Enterprise Admins または同等のメンバーシップが最低限必要です。 適切なアカウントとグループメンバーシップの使用に関する詳細については、ローカルグループとドメインの既定のグループ (http://go.microsoft.com/fwlink/?LinkId=83477).) を参照してください。
グループ ポリシーを使用してアカウントフェデレーション サーバーを信頼するようにクライアント コンピューターを構成するには
アカウント パートナー組織のフォレスト内のドメイン コントローラーで、 グループ ポリシー管理 スナップインを開始します。
適切なグループ ポリシー オブジェクト (GPO) を見つけて右クリックし、[ 編集] をクリックします。
コンソール ツリーで、[ ユーザーの構成]、[基本設定]、[Windows の設定]、[Internet Explorer のメンテナンス] の順に開き、[ セキュリティ] をクリックします。
詳細ウィンドウで、[ Security Zones and Content Ratings]\(セキュリティ ゾーンとコンテンツの評価\) をダブルクリックします。
[ セキュリティ ゾーンとプライバシー] で、[ 現在のセキュリティ ゾーンとプライバシー設定のインポート] をクリックし、[ 設定の変更] をクリックします。
[ ローカル イントラネット] をクリックし、[ サイト] をクリックします。
[ この Web サイトをゾーンに追加する] で、アカウント フェデレーション サーバーの完全な DNS 名を入力します (たとえば、 https://fs1.fabrikam.com)、[ 追加] をクリックし、[ 閉じる] をクリックします。
[ OK] を 2 回クリックして、これらの変更をグループ ポリシーに適用します。