既定では、Windows Server の Active Directory フェデレーション サービス (AD FS) では、認証にブラウザーを使用するアプリケーションに対して組織の内部ネットワーク (イントラネット) 内で発生する認証要求に対して、Windows 統合認証 (WIA) が有効になっています。 たとえば、WS-Federation または SAML プロトコルを使用するブラウザー ベースのアプリケーションや、OAuth プロトコルを使用するリッチ アプリケーションなどです。 WIA を使用すると、エンド ユーザーは資格情報を手動で入力しなくても、アプリケーションにシームレスにログオンできます。 ただし、一部のデバイスとブラウザーでは WIA をサポートできず、その結果、これらのデバイスからの認証要求は失敗します。 また、NTLM にネゴシエートする特定のブラウザーでのエクスペリエンスは望ましくありません。 推奨される方法は、このようなデバイスやブラウザーのフォーム ベースの認証にフォールバックすることです。
Windows Server 2016 および Windows Server 2012 R2 の AD FS は、フォーム ベースの認証へのフォールバックをサポートするユーザー エージェントの一覧を構成する機能を管理者に提供します。 フォールバックは、次の 2 つの構成によって可能になります。
-
コマンドレットの
Set-ADFSPropertiesプロパティ -
コマンドレットの
Set-AdfsGlobalAuthenticationPolicyプロパティ
WIASupportedUserAgentStrings は、WIA をサポートするユーザー エージェントを定義します。 AD FS は、ブラウザーまたはブラウザー コントロールでログインを実行するときに、ユーザー エージェント文字列を分析します。 ユーザー エージェント文字列のコンポーネントが 、WIASupportedUserAgentStrings プロパティで構成されているユーザー エージェント文字列のどのコンポーネントとも一致しない場合、 WINDOWSIntegratedFallbackEnabled フラグが True に設定されている場合、AD FS はフォーム ベースの認証を提供するためにフォールバックします。
既定では、新しい AD FS のインストールには、一連のユーザー エージェント文字列の一致が作成されます。 ただし、ブラウザーやデバイスの変更に基づいて、これらが最新ではない可能性があります。 特に、Windows デバイスには、トークンのバリエーションが少ない類似したユーザー エージェント文字列があります。 次の Windows PowerShell の例は、シームレス WIA をサポートする現在市場に出回っているデバイスの現在のセットに最適なガイダンスを提供します。
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
上記のコマンドにより、AD FS では WIA の次のユース ケースのみが対象となります。
| ユーザー エージェント | 活用事例 |
|---|---|
| MSIE 6.0 の場合 | IEの6.0 |
| MSIE 7.0;Windows NT | IE 7 とイントラネットゾーン内の IE。 "Windows NT" フラグメントは、デスクトップ操作システムによって送信されます。 |
| MSIE 8.0 の場合 | IE 8.0 (デバイスはこれを送信しないため、より具体的にする必要があります) |
| MSIE 9.0 の場合 | IE 9.0 (デバイスはこれを送信しないため、これをより具体的にする必要はありません) |
| MSIE 10.0;Windows NT 6 | Windows XP 以降のバージョンのデスクトップ オペレーティング システムの IE 10.0 Windows Phone 8.0 デバイス (設定がモバイル) は、次を送信するため除外 User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3;Trident/7.0 Windows NT 6.3;Win64;x64;Trident/7.0 Windows NT 6.3;WOW64;Trident/7.0 |
Windows 8.1 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.2;Trident/7.0 Windows NT 6.2;Win64;x64;Trident/7.0 Windows NT 6.2;WOW64;Trident/7.0 |
Windows 8 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.1;Trident/7.0 Windows NT 6.1;Win64;x64;Trident/7.0 Windows NT 6.1;WOW64;Trident/7.0 |
Windows 7 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| MSIPC を右クリックし | Microsoft Information Protection and Control クライアント |
| Windows Rights Management クライアント | Windows Rights Management クライアント |
WIASupportedUserAgents 文字列に記載されているもの以外のユーザー エージェントに対してフォーム ベースの認証へのフォールバックを有効にするには、WindowsIntegratedFallbackEnabled フラグを true に設定します。
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
また、イントラネットに対してフォーム ベースの認証が有効になっていることを確認します。
Chrome 用 WIA の構成
CHROME またはその他のユーザー エージェントを、WIA をサポートする AD FS 構成に追加できます。 これにより、AD FS によって保護されているリソースにアクセスするときに資格情報を手動で入力しなくても、アプリケーションへのシームレスなログオンが可能になります。 Chrome で WIA を有効にするには、次の手順に従います。
AD FS 構成で、Windows ベースのプラットフォームで Chrome 用のユーザー エージェント文字列を追加します。
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
同様に、Apple macOS の Chrome の場合は、AD FS 構成に次のユーザー エージェント文字列を追加します。
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Chrome のユーザー エージェント文字列が AD FS プロパティに設定されていることを確認します。
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
注
新しいブラウザーとデバイスがリリースされたら、それらのユーザー エージェントの機能を調整し、それに応じて AD FS 構成を更新して、そのブラウザーとデバイスを使用するときのユーザーの認証エクスペリエンスを最適化することをお勧めします。 具体的には、新しいデバイスまたはブラウザーの種類を WIA のサポート マトリックスに追加するときに、AD FS の WIASupportedUserAgents 設定を再評価することをお勧めします。