アプリケーションへの企業アクセスのトラブルシューティング

  • [アーティクル]

この記事では、Microsoft Entra アプリケーション プロキシ アプリケーションで This corporate app can't be accessed というエラーが表示される一般的な問題をトラブルシューティングする方法について説明します。

概要

このエラーが発生したら、エラー ページのステータス コードを検索します。 状態コードは、次のいずれかの状態コードです。

  • ゲートウェイ タイムアウト: アプリケーション プロキシ サービスがコネクタに到達できません。 このエラーは通常、コネクタの割り当て、コネクタ自体、またはコネクタ周りのネットワーク規則に関する問題を示しています。
  • 無効なゲートウェイ:コネクタがバックエンド アプリケーションに到達できません。 このエラーは、アプリケーションの誤った構成を示している可能性があります。
  • 許可されていません: ユーザーがアプリケーションへのアクセスを許可されていません。 このエラーは、ユーザーが Microsoft Entra ID でアプリケーションに割り当てられていない場合に発生する可能性があります。 このエラーは、ユーザーがバックエンド上のアプリケーションにアクセスするアクセス許可を持っていない場合にも発生する可能性があります。

このコードを見つけるには、エラー メッセージの左下にあるテキストの Status Code フィールドを調べます。

例:ゲートウェイ タイムアウト エラー

ゲートウェイ タイムアウト エラー

ゲートウェイ タイムアウトは、サービスがコネクタに到達しようとしたが、タイムアウト ウィンドウ内に失敗した場合に発生します。 このエラーは、動作しているコネクタがないコネクタ グループにアプリケーションが割り当てられた場合に発生します。 このエラーは、必要なポートが開いていない場合にも発生します。

無効なゲートウェイのエラー

無効なゲートウェイのエラーは、コネクタがバックエンド アプリケーションに到達できないことを示します。 このエラーの原因となる一般的な間違いは以下の通りです。

  • 内部 URL への入力ミスまたは間違い
  • アプリケーションのルートが発行されていない。 たとえば、http://expenses/reimbursement を公開しているが、http://expenses にアクセスしようとしている。
  • Kerberos の制約付き委任 (KCD) の構成に関する問題
  • バックエンド アプリケーションに関する問題

許可されていないというエラー

許可されていないというエラーが表示された場合は、ユーザーがアプリケーションに割り当てられていません。 このエラーは、Microsoft Entra ID またはバックエンド アプリケーションのどちらかで発生することがあります。

ユーザーを Azure 内のアプリケーションに割り当てる方法については、構成ドキュメントを参照してください。

アプリケーションの内部 URL を確認する

最初のクイック ステップとして、[エンタープライズ アプリケーション] からアプリケーションを開き、次に [アプリケーション プロキシ] メニューを選択することにより、内部 URL を二重にチェックして修正します。 アプリケーション内部の URL が、オンプレミス ネットワークから使用される URL であることを確認します。

アプリケーションが動作するコネクタ グループに割り当てられていることを確認する

アプリケーションが動作するコネクタ グループに割り当てられていることを確認する必要があります。 詳細については、「チュートリアル: Microsoft Entra ID のアプリケーション プロキシを使用してリモート アクセスするためのオンプレミス アプリケーションを追加する」を参照してください。

必要なすべてのポートが開いていることを確認する

必要なすべてのポートが開いていることを確認します。 必要なポートについては、「チュートリアル: Microsoft Entra ID のアプリケーション プロキシを使用してリモート アクセスするためのオンプレミス アプリケーションを追加する」の「ポートを開く」セクションを参照してください。 必要なすべてのポートが開いている場合は、次のセクションに移動します。

その他のコネクタ エラーを確認する

コネクタ自体に問題やエラーがないか調べてください。 一般的なエラーの詳細については、「アプリケーション プロキシのトラブルシューティング」を参照してください。

コネクタのログを直接確認して、エラーを識別します。 多くのエラー メッセージは、解決策のためのより具体的な推奨事項を共有しています。 ログを表示するには、プライベート ネットワーク コネクタに関するページを参照してください。

一般的な解決方法

アプリケーションが統合 Windows 認証 (IWA) を使用するように構成されている場合は、シングル サインオンなしでアプリケーションをテストします。 シングル サインオンなしでアプリケーションを確認するには、 [エンタープライズ アプリケーション] からアプリケーションを開き、 [シングル サインオン] メニューに移動します。 ドロップダウンを [統合 Windows 認証] から [Microsoft Entra シングル サインオンが無効] に変更します。

ここでブラウザーを開き、再度アプリケーションへのアクセスを試みます。 認証が求められ、アプリケーションが表示されます。 認証できる場合、問題はシングル サインオンを有効にする Kerberos の制約付き委任 (KCD) 構成に関係しています。

引き続きエラーが表示される場合は、コネクタがインストールされているマシンに移動してブラウザーを開き、アプリケーションに使用されている内部 URL への到達を試みます。 コネクタは、同じマシンの別のクライアントのように動作します。 アプリケーションに到達できない場合は、そのマシンがアプリケーションに到達できない原因を調査するか、またはアプリケーションにアクセスできるサーバー上のコネクタを使用します。

次のステップ