2016 年 10 月の時点で、Windows Server のすべてのコンポーネントに対するすべての更新プログラムは、Windows Update (WU) 経由でのみリリースされます。 それ以上の修正プログラムや個々のダウンロードはありません。 これは、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、および Windows Server 2008 R2 SP1 に適用されます。
このページには、AD FS と WAP に特に関心のあるロールアップ パッケージと、AD FS および WAP に推奨される修正プログラム更新プログラムの履歴の一覧が一覧表示されます。
Windows Server 2016 での AD FS と WAP の更新プログラム
Windows Server 2016 の更新プログラムは、Windows Update 経由で毎月配信され、累積的です。 以下に示す更新プログラム パッケージは、すべての AD FS および WAP 2016 サーバーに推奨され、以前に必要なすべての更新プログラムと最新の修正プログラムが含まれています。
| KB# | 説明 | リリース日 |
|---|---|---|
| 4534271 | Google Chrome のリリース 80 で既定で新しい SameSite Cookie ポリシーがサポートされているため、AD FS クロムエラーの可能性に対処します。 詳しくはこちらをご覧 ください。 | 2020 年 1 月 |
| CVE-2019-1126 | このセキュリティ更新プログラムは、攻撃者がエクストラネット ロックアウト ポリシーをバイパスする可能性がある Active Directory フェデレーション サービス (AD FS) の脆弱性に対処します。 | 2019 年 7 月 |
| 4489889 (OS ビルド 14393.2879) | Active Directory フェデレーション サービス (AD FS) で、重複する証明書利用者信頼が AD FS 管理コンソールに表示される問題に対処します。 これは、AD FS 管理コンソールを使用して証明書利用者信頼を作成または表示するときに発生します。 AD FS 2016 でエクストラネット スマート ロックアウト (ESL) が有効になっている間に発生する Active Directory フェデレーション サービス (AD FS) Web アプリケーション プロキシ (WAP) の待機時間の問題 (10,000 ミリ秒以上) に対処します。 このセキュリティ更新プログラムは 、CVE-2018-16794 で説明されている脆弱性を解決します。 |
2019 年 3 月 |
| 4487006 (OS ビルド 14393.2828) | PowerShell または Active Directory フェデレーション サービス (AD FS) 管理コンソールを使用すると、証明書利用者信頼の更新が失敗する問題に対処します。 この問題は、複数の PassiveRequestorEndpoint を発行するオンライン メタデータ URL を使用するように証明書利用者信頼を構成する場合に発生します。 "MSIS7615: 証明書利用者信頼で指定された信頼されたエンドポイントは、その証明書利用者信頼に対して一意である必要があります" というエラー Azure パスワード保護ポリシーによる外部の複雑さのパスワード変更に関する特定のエラー メッセージを表示する問題に対処します。 |
2019 年 2 月 |
| 4462928 (OS ビルド 14393.2580) | Active Directory フェデレーション サービス (AD FS) エクストラネット スマート ロックアウト (ESL) と代替ログイン ID の間の相互運用の問題に対処します。 代替ログイン ID が有効になっている場合、AD FS PowerShell コマンドレット、Get-AdfsAccountActivity、Reset-AdfsAccountLockout を呼び出すと、"アカウントが見つかりません" というエラーが返されます。 Set-AdfsAccountActivity が呼び出されると、既存のエントリを編集する代わりに新しいエントリが追加されます。 | 2018 年 10 月 |
| 4343884 (OS ビルド 14393.2457) | カスタム カルチャ定義を使用するモバイル デバイスで Multi-Factor Authentication が正しく機能しない Active Directory フェデレーション サービス (AD FS) の問題に対処します。 Windows Hello for Business で、新しいユーザー登録で大幅な遅延 (15 秒) が発生する問題に対処します。 この問題は、ハードウェア セキュリティ モジュールを使用して AD FS 登録機関 (RA) 証明書を格納するときに発生します。 |
2018 年 8 月 |
| 4338822 (OS ビルド 14393.2395) | コンソールから証明書利用者信頼を作成または表示するときに、AD FS 管理コンソールに重複する証明書利用者信頼が表示される AD FS の問題に対処します。 Windows Hello for Business が失敗する原因となる AD FS の問題に対処します。 この問題は、2 つのクレーム プロバイダーがある場合に発生します。 PIN の登録は、"400 内部サーバー エラー: デバイス識別子を取得できません"で失敗します。 終了しない非アクティブな接続に関連する WAP の問題に対処します。 これにより、システム リソース リーク (メモリ リークなど) と、応答しなくなった WAP サービスが発生します。 ユーザーが別のログイン オプションを選択できなくなる AD FS の問題に対処します。 これは、ユーザーが証明書ベースの認証を使用してログインすることを選択したが、構成されていない場合に発生します。 これは、ユーザーが [証明書ベースの認証] を選択し、別のログイン オプションを選択しようとした場合にも発生します。 この場合、ユーザーはブラウザーを閉じるまで証明書ベースの認証ページにリダイレクトされます。 |
2018 年 7 月 |
| 4103720 (OS ビルド 14393.2273) | PreventTokenReplays が有効になっている場合に、IdP によって開始された SAML 証明書利用者へのログインが失敗する AD FS の問題に対処します。 OAUTH がデバイスまたはブラウザー アプリケーションから認証されるときに発生する AD FS の問題に対処します。 ユーザー パスワードの変更によってエラーが発生し、ユーザーはアプリまたはブラウザーを終了してログインする必要があります。 UTC +1 以降 (ヨーロッパおよびアジア) でエクストラネット スマート ロックアウトを有効にできない問題に対処します。 さらに、このエラーにより通常のエクストラネット ロックアウトが失敗します。エラー内容は、次のとおりです: Get-AdfsAccountActivity: DateTime.MaxValue より大きいか、UTC に変換されたときに DateTime.MinValue より小さい DateTime 値を JSON にシリアル化できません。 新しいユーザーが PIN をプロビジョニングできない AD FS Windows Hello for Business の問題を解決します。 これは、MFA プロバイダーが構成されていない場合に発生します。 |
2018 年 5 月 |
| 4093120 (OS ビルド 14393.2214) | 未処理の更新トークンの検証の問題に対処します。 それは次のエラーを生成します: "Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: 無効な OAuth リフレッシュ トークンを受信しました。 更新トークンは、トークン内の許可された時間よりも前に受信されました。 | 2018 年 4 月 |
| 4077525 (OS ビルド 14393.2097) | AD FS ファームに Windows 内部データベース (WID) を使用するサーバーが少なくとも 2 つある場合に HTTP 500 エラーが発生する問題に対処します。 このシナリオでは、Web アプリケーション プロキシ (WAP) サーバー上の HTTP 基本事前認証が一部のユーザーの認証に失敗します。 エラーが発生すると、WAP イベント ログに Microsoft Windows Web アプリケーション プロキシ警告イベント ID 13039 が表示される場合もあります。 説明には、「Web アプリケーション プロキシがユーザーの認証に失敗しました。 事前認証は「リッチ クライアント向けの AD FS」です。 指定されたユーザーは、指定された証明書利用者へのアクセスを許可されていません。 ターゲット証明書利用者または WAP 証明書利用者の承認規則を変更する必要があります。" 認証中に AD FS が prompt=login を無視できなくなる問題に対処します。 パスワード認証が使用されないシナリオをサポートするために、[無効] オプションが追加されました。 詳細については、「AD FS は Windows Server 2016 RTM 認証時に「prompt=login」パラメーターを無視します」を参照してください。認証オプションとして証明書を選択した承認された顧客(および信頼済みの当事者)が接続に失敗する AD FS の問題を解決します。 Windows 統合認証 (WIA) が有効になっていて、要求で WIA を実行できる場合、prompt = login を使用するとエラーが発生します。 ID プロバイダー (IDP) が OAuth グループ内の証明書利用者 (RP) に関連付けられている場合に、AD FS でホーム領域検出 (HRD) ページが正しく表示されない問題に対処します。 OAuth グループ内の RP に複数の IDP が関連付けられていない限り、ユーザーには HRD ページは表示されません。 代わりに、ユーザーは認証のために関連付けられている IDP に直接移動します。 |
2018 年 2 月 |
| 4041688 (OS ビルド 14393.1794) | この修正プログラムは、不適切なキャッシュ動作が原因で間違った ID プロバイダーに対する AD 機関要求を断続的に誤って送信する問題に対処します。 これは、Multi Factor Authentication などの認証機能に影響を与える可能性があります。 Microsoft Entra Connect Health が、混合WS2012R2と WS2016 AD FS ファームでの正しい忠実性 (詳細監査を使用) で AD FS サーバーの正常性を報告する機能を追加しました。 2012 R2 AD FS ファームを AD FS 2016 にアップグレードするときに、ファームの動作レベルを上げる PowerShell コマンドレットが、証明書利用者の信頼が多数ある場合にタイムアウトで失敗する問題を修正しました 要求を他のセキュリティ トークン サーバー (STS) にフェデレーションするときに wct パラメーター値を変更することで、AD FS によって認証エラーが発生する問題に対処しました。 |
2017 年 10 月 |
| 4038801 (OS ビルド 14393.1737) | フェデレーション LDP を使用した OIDC ログアウトのサポートが追加されました。 これにより、「キオスク シナリオ」を実現できます。このシナリオでは、複数のユーザーが LDP とフェデレーションされた 1 つのデバイスに連続してログインする可能性があります。 CEP/CES ベースの証明書が gMSA アカウントで機能しない WinHello の問題を修正しました。 Windows Server 2016 AD FS サーバー上の Windows 内部データベース (WID) が、外部キー制約のために IdentityServerPolicy.Scopes の ApplicationGroupId 列および IdentityServerPolicy.Clients の設定を含む一部の設定の同期に失敗する問題を修正します。 このような同期エラーにより、プライマリからセカンダリの AD FS サーバー間で異なる要求、要求プロバイダー、アプリケーション エクスペリエンスが発生する可能性があります。 また、WID プライマリ ロールがセカンダリ ノードに移動された場合、アプリケーション グループは AD FS 管理 UX. で管理できなくなります。この更新プログラムは、カスタム カルチャ定義を使用するモバイル デバイスで Multi Factor Authentication が正しく動作しない問題を修正します |
2017 年 9 月 |
| 4034661 (OS ビルド 14393.1613) | "成功監査" と "失敗監査" を有効にした後でも、AD FS 4.0 \ Windows Server 2016 RS1 AD FS サーバーのセキュリティ イベント ログに呼び出し元 IP アドレスが 411 イベントによってログに記録されない問題を修正します この修正プログラムは、ADFX サーバーが HTTP Proxy. を使用するように構成されている場合の Azure Multi Factor Authentication (MFA) に関する問題に対処します。期限切れまたは失効した証明書を AD FS プロキシ サーバーに提示してもユーザーにエラーが返されない問題に対処しました。" |
2017 年 8 月 |
| 4034658 (OS ビルド 14393.1593) | オンプレミス展開用の Windows Hello For Business の MFA 証明書登録をサポートするための 2016 AD FS サーバーの修正 | 2017 年 8 月 |
| 4025334 (OS ビルド 14393.1532) | pkeyAuth 要求に正しくないデータが含まれていると、PkeyAuth トークン ハンドラーが認証に失敗する可能性がある問題に対処しました。 デバイス認証を実行せずに認証を続行する必要がある | 2017 年 7 月 |
| 4022723 (OS ビルド 14393.1378) | [Web アプリケーション プロキシ]DisableHttpOnlyCookieProtection 構成プロパティの値は、2012R2/2016 混合展開 WAP 2016 によって取得されません[Web アプリケーション プロキシ] EAS 事前認証シナリオで AD FS からユーザー アクセス トークンを取得できません。 AD FS 2016: WSFED サインアウトによって例外が発生する |
2017 年 6 月 |
| 3213986 | x64 ベース システム用 Windows Server 2016 の累積的な更新プログラム (KB3213986) | 2017 年 1 月 |
Windows Server 2012 R2 の AD FS と WAP の更新プログラム
Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) 用にリリースされた修正プログラムと更新プログラムのロールアップの一覧を次に示します。
| KB# | 説明 | リリース日 |
|---|---|---|
| 4534309 | Google Chrome のリリース 80 で既定で新しい SameSite Cookie ポリシーがサポートされているため、AD FS クロムエラーの可能性に対処します。 詳しくはこちらをご覧 ください。 | 2020 年 1 月 |
| 4507448 | このセキュリティ更新プログラムは、攻撃者がエクストラネット ロックアウト ポリシーをバイパスする可能性がある Active Directory フェデレーション サービス (AD FS) の脆弱性に対処します。 | 2019 年 7 月 |
| 4041685 | 要求ヘッダー内の MSISConext Cookie が最終的にヘッダー サイズの制限をオーバーフローし、HTTP 状態コード 400 "Bad Request - Header Too Long" で認証に失敗する可能性がある AD FS の問題に対処しました 認証中に AD FS が "prompt=login" を無視できなくなる問題を修正しました。 パスワード以外の認証が使用されるシナリオを復元するために、"無効" オプションが追加されました。 |
2017 年 10 月の更新プログラムロールアップのプレビュー |
| 4019217 | Server 2012 R2 AD FS サーバーを使用している場合、トークン ブローカーを使用するワーク フォルダー クライアントが機能しない | 2017 年 5 月の更新プログラムのロールアップのプレビュー |
| 4015550 | AD FS が外部ユーザーを認証せず、AD FS WAP がランダムに要求の転送に失敗する問題を修正しました | 2017 年 4 月の更新プログラムのロールアップ |
| 4015547 | AD FS が外部ユーザーを認証せず、AD FS WAP がランダムに要求の転送に失敗する問題を修正しました | 2017 年 4 月のセキュリティ更新プログラム |
| 4012216 | MS17-019 このセキュリティ更新プログラムは、Active Directory フェデレーション サービス (AD FS) の脆弱性を解決します。 この脆弱性により、攻撃者が特別に細工された要求を AD FS サーバーに送信し、攻撃者がターゲット システムに関する機密情報を読み取ることができる場合、情報漏えいが起こる可能性があります。 | 2017 年 3 月の更新プログラムのロールアップ |
| 3179574 | AD FS エクストラネット パスワードの更新に関する問題を修正しました。 | 2016 年 8 月の更新まとめ |
| 3172614 | prompt=login のサポートが導入されました。AD FS 管理コンソールと AlwaysRequireAuthentication 設定に関する問題が修正されました。 | 2016 年 7 月の更新プログラムのロールアップ |
| Active Directory フェデレーション サービス (AD FS) 3.0 は、接続文字列で Secure Sockets Layer (SSL) ポート 636 または 3269 を使用するように構成されているライトウェイト ディレクトリ アクセス プロトコル (LDAP) 属性ストアに接続できません。 | 2016 年 6 月の更新プログラムのロールアップ | |
| 3148533 | Windows Server 2012 R2 の AD FS プロキシを介して MFA フォールバック認証が失敗する | 2016 年 5 月 |
| 3134787 | AD FS ログに、Windows Server 2012 R2 のアカウント ロックアウト シナリオのクライアント IP アドレスが含まれていない | 2016 年 2 月 |
| 3134222 | MS16-020: サービス拒否に対処するための Active Directory フェデレーション サービスのセキュリティ更新プログラム: 2016 年 2 月 9 日 | 2016 年 2 月 |
| 3105881 | Windows Server 2012 R2 ベースの AD FS サーバーでデバイス認証が有効になっている場合、アプリケーションにアクセスできない | 2015 年 10 月 |
| 3092003 | ユーザーが Windows Server 2012 R2 AD FS で MFA を使用すると、ページが繰り返し読み込まれると認証が失敗する | 2015 年 8 月 |
| 3080778 | MFA アダプターが Windows Server 2012 R2 で例外をスローしたときに AD FS が OnError を呼び出さない | 2015 年 7 月 |
| 3075610 | Windows Server 2012 R2 でクレーム プロバイダーを追加または削除した後、セカンダリ AD FS サーバーで信頼関係が失われる | 2015 年 7 月 |
| 3070080 | 要求対応でない証明書利用者信頼に対して、ホーム領域検出が正しく機能しない | 2015 年 6 月 |
| 3052122 | 更新プログラムは、Windows Server 2012 R2 の AD FS トークンの複合 ID 要求のサポートを追加します。 | 2015 年 5 月 |
| 3045711 | MS15-040: Active Directory フェデレーション サービスの脆弱性により、情報漏えいが発生する | 2015 年 4 月 |
| 3042127 | Windows Server 2012 R2 で WAP を使用して共有メールボックスを開くと、"HTTP 400 - 無効な要求" エラーが発生する | 2015 年 3 月 |
| 3042121 | Windows Server 2012 R2 での Web アプリケーション プロキシ認証トークンの AD FS トークン再生保護 | 2015 年 3 月 |
| 3035025 | ユーザーが Windows Server 2012 R2 で登録済みデバイスを使用する必要がないようにするための更新プログラムパスワード機能の修正プログラム | 2015 年 1 月 |
| 3033917 | AD FS で Windows Server 2012 R2 で SAML 応答を処理できない | 2015 年 1 月 |
| 3025080 | Windows Server 2012 R2 で Web アプリケーション プロキシを使用して Office ファイルを保存しようとすると、操作が失敗する | 2015 年 1 月 |
| 3025078 | 正しくないユーザー名を使用して Windows Server 2012 R2 にログオンしても、ユーザー名の入力を求められません | 2015 年 1 月 |
| 3020813 | Windows Server 2012 R2 AD FS で Web アプリケーションを実行すると、認証を求められます | 2015 年 1 月 |
| 3020773 | Windows Server 2012 R2 でのデバイス登録サービスの初期展開後のタイムアウト エラー | 2015 年 1 月 |
| 3018886 | イントラネットから Windows Server 2012 R2 AD FS サーバーにアクセスするときに、ユーザー名とパスワードの入力を 2 回求められます | 2015 年 1 月 |
| 3013769 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 12 月 |
| 3000850 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 11 月 |
| 2975719 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 8 月 |
| 2967917 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 7 月 |
| 2962409 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 6 月 |
| 2955164 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 5 月 |
| 2919355 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 4 月 |
Windows Server 2012 (AD FS 2.1) および AD FS 2.0 の AD FS の更新プログラム
AD FS 2.0 および 2.1 用にリリースされた修正プログラムと更新プログラムのロールアップの一覧を次に示します。
| KB# | 説明 | リリース日 | 適用対象: |
|---|---|---|---|
| 3197878 | Windows Server 2012 でプロキシ経由の認証が失敗する (これは修正プログラム 3094446の一般的なリリースです) | 2016 年 11 月の品質ロールアップ | AD FS 2.1 |
| 3197869 | Windows Server 2008 R2 SP1 でプロキシ経由の認証が失敗する (これは修正プログラム 3094446の一般的なリリースです) | 2016 年 11 月の品質ロールアップ | AD FS 2.0 |
| 3094446 | Windows Server 2012 または Windows Server 2008 R2 SP1 でプロキシ経由の認証が失敗する | 2015 年 9 月 | AD FS 2.0 および 2.1 |
| 3070078 | Windows Server 2012 で暗号化証明書に対して認証を行うと、AD FS 2.1 が例外をスローする | 2015 年 7 月 | AD FS 2.1 |
| 3062577 | MS15-062: Active Directory フェデレーション サービスの脆弱性により、特権が昇格される可能性がある | 2015 年 6 月 | AD FS 2.0 / 2.1 |
| 3003381 | MS14-077: Active Directory フェデレーション サービスの脆弱性により、情報漏えいが発生する可能性があります:2015 年 4 月 14 日 | 2014 年 11 月 | AD FS 2.0 / 2.1 |
| 2987843 | 多くのユーザーが Windows Server 2012 で Web アプリケーションにログオンすると、AD FS フェデレーション サーバーのメモリ使用量が増加し続ける | 2014 年 7 月 | AD FS 2.1 |
| 2957619 | 委任されたトークンに対する AD FS への要求が行われると、AD FS の証明書利用者信頼が停止する | 2014 年 5 月 | AD FS 2.1 |
| 2926658 | SQL アクセス許可がない場合、AD FS SQL ファームの展開が失敗する | 2014 年 10 月 | AD FS 2.1 |
| 2896713 または 2989956 | AD FS サーバーにセキュリティ更新プログラムの2843638をインストールした後、更新プログラムを使用していくつかの問題を解決できます | 2013 年 11 月 2014 年 11 月 |
AD FS 2.0 / 2.1 |
| 2877424 | 更新プログラムを使用すると、AD FS 2.1 ファーム内の複数の証明書利用者信頼に 1 つの証明書を使用できます | 2013 年 10 月 | AD FS 2.1 |
| 2873168 | 修正: サード パーティの CSP と HSM を使用し、Windows Server 2008 R2 Service Pack 1 の AD FS 2.0 の更新プログラムのロールアップ 3 でクレーム プロバイダーの信頼を構成するときにエラーが発生します。 | 2013 年 9 月 | AD FS 2.0 |
| 暗号化証明書のサブジェクト名にコンマを指定すると、Windows Server 2008 R2 SP1 で例外が発生します | 2013 年 8 月 | AD FS 2.0 | |
| 2843639 | [セキュリティ]Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こる | 2013 年 11 月 | AD FS 2.1 |
| 2843638 | MS13-066: Active Directory フェデレーション サービス 2.0 のセキュリティ更新プログラムの説明: 2013 年 8 月 13 日 | 2013 年 8 月 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml ファイルには、Windows Server 2012 の WS-Trust および WS-Federation エンドポイントの MEX エンドポイント情報が含まれません | 2013 年 5 月 | AD FS 2.1 |
| 2790338 | Active Directory フェデレーション サービス (AD FS) 2.0 の更新プログラムロールアップ 3 の説明 | 2013 年 3 月 | AD FS 2.0 |