注
以前は、この記事では Google Chrome Beta バージョン 79 を参照しました。 Google は Chrome Stable バージョン 80 で Cookie の動作をリリースする予定です。 Chrome は ロールアウトタイムライン を更新し、この変更が 2 月 17 日の週から Chrome 80 でロールアウトされることを示しました。 Chrome 80 は 2 月 4 日に出荷され、この機能は既定で無効になっています。 この機能は、2 月 17 日から段階的なスケジュールで有効になります。
概要
Google Chrome Web ブラウザーの安定版リリース (ビルド 80、2020 年 2 月 4 日にリリース予定) では、2 月 17 日の週から既定の Cookie 動作に変更がロールアウトされます。 この変更は、悪意のある Cookie の追跡を防ぎ、Web アプリケーションを保護することを目的としていますが、オープン標準に基づく多くのアプリケーションやサービスにも影響することが期待されます。 これには、Microsoft クラウド サービスが含まれます。
エンタープライズのお客様は、変更に備え、アプリケーションをテストして (カスタム開発でも購入でも) 軽減策を実装する準備ができていることを確認することをお勧めします。 詳細については、「推奨事項」セクションを参照してください。
Microsoft は、Chrome 80 リリース日より前の製品およびサービスにおけるこの動作の変化に対処することに取り組んでいます。 この記事では、製品とライブラリに必要なさまざまな更新プログラムをインストールするための Microsoft と Google の両方のガイダンスと、テストと準備のガイダンスについて説明します。 ただし、Chrome の動作のこの変更に対して独自のアプリケーションをテストし、必要に応じて独自の Web サイトと Web アプリケーションを準備することも同様に重要です。
お客様のアプリケーションへの影響
注
Microsoft Learn サンドボックスをアクティブ化しようとしたときにアクセス許可を確認できない場合は、chrome://settings/clearBrowserDataに移動して閲覧データをクリアします。
すべての Microsoft Cloud サービスは、Chrome によって行われた新しい要件に準拠するように更新されますが、他の一部のアプリケーションは引き続き影響を受ける可能性があります。 お客様による更新が必要になる一部のサーバー製品については、「推奨事項」セクションを確認してください。
この変更の影響を確認するには、Chrome Beta バージョン 80 を使用して、すべてのアプリケーションを徹底的にテストする必要があります。 この記事で説明する問題と同様の問題がアプリケーションに影響を与えると予想されます。 これは、他のアプリに埋め込まれているアプリなど、クロスドメイン Cookie 共有に依存する任意の Web プラットフォームまたはテクノロジを使用するアプリケーションに特に当てはまります。
Chrome バージョン 78 および 79 ベータでは、 SameSite:Lax 属性の適用を 2 分間遅延する機能強化が行われました。 ただし、これらのバージョンをテストに使用すると、他の問題が隠される可能性があります。 そのため、特定のフラグを有効にして Chrome バージョン 80 を使用してテストすることをお勧めします。 これにより、少なくとも効果を見つけ出し、最適な計画を決定することができます。 詳細については、「テストガイドライン」セクションを参照してください。
Chromium (バージョン 80) の Microsoft Edge ブラウザーは、これらの SameSite の変更の影響を受けません。 Edge のドキュメントを読んで、この変更を適応するための現在の計画を確認できます。
推奨事項
Active Directory フェデレーション サービス (AD FS) または Web アプリケーション プロキシを使用する Microsoft のお客様は、次のいずれかの Windows Server 更新プログラムを展開する必要があります。
| プロダクト | ナレッジベースの記事 | リリース日 |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 2020 年 1 月 14 日 |
| Windows Server 2016 | KB 4534271 | 2020 年 1 月 14 日 |
| Windows Server 2012 R2 | KB 4534309 | 2020 年 1 月 14 日 |
次の Microsoft サーバーまたはクライアント製品も更新する必要があります。 更新プログラムは、利用可能になるとこの記事に追加されます。 最新の更新プログラムについては、この記事を定期的に見直することをお勧めします。
| プロダクト | ナレッジベースの記事 | リリース日 |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 2020 年 3 月 17 日 |
| Exchange Server 2016 | KB 4537678 | 2020 年 3 月 17 日 |
| Project Server 2013 | KB 4484360 | 2020 年 5 月 12 日 |
| Project Server 2010 | KB 4484388 | 2020 年 5 月 12 日 |
| SharePoint Foundation 2013 |
KB 4484364 (累積的な更新プログラム: KB 4484358)1 |
2020 年 5 月 12 日 |
| SharePoint Foundation 2010 | KB 4484386 | 2020 年 4 月 27 日 |
| SharePoint Server 2019 | KB 4484259 | 2020 年 2 月 11 日 |
| SharePoint Server 2016 | KB 4484272 | 2020 年 3 月 10 日 |
| SharePoint Server 2013 | KB 4484362 | 2020 年 5 月 12 日 |
| SharePoint Server 2010 | KB 4484389 | 2020 年 5 月 12 日 |
| Skype for Business Server 2019 |
KB 4549672 (累積的な更新プログラム: KB 4582629)1 |
2020 年 9 月の累積的な更新プログラム (CU 4) |
| Skype for Business Server 2015 |
KB 4549672 (累積的な更新プログラム: KB 4558387)1 |
2020年5月の累積更新 (CU 11) |
注
1 この累積的な更新プログラムには、SameSite Cookie の問題に対する修正プログラムと、SameSite Cookie の問題に関連しない追加の修正プログラムが含まれています。 Microsoft では、累積的な更新プログラムがリリースされた時点で利用可能なすべての修正プログラムを環境に確実に含めるために、個々の更新プログラムではなく累積的な更新プログラムをインストールすることをお勧めします。
次のすべてのシナリオでアプリケーションをテストし、テストの結果に基づいて適切な計画を決定する必要があります。
- アプリケーションは SameSite の変更の影響を受けません。 この場合、実行するアクションはありません。
- アプリケーションは影響を受けますが、ソフトウェア開発者は SameSite:None Cookie 設定を使用するように時間を変更できます。 この場合は、「テスト ガイドライン」セクションの開発者向けガイダンスに従って、アプリケーションを変更する必要があります。
- アプリケーションは影響を受けますが、時間内に変更することはできません。 内部サイトの場合、 LegacySameSiteCookieBehaviorEnabledForDomainList 設定を使用して、Chrome の SameSite 強制動作からアプリケーションを除外できます。
企業のお客様が、ほとんどのアプリが影響を受ける、または 2 月 18 日から機能が段階的にリリースされる前にアプリをテストするのに十分な時間がない場合は、管理するコンピューターで SameSite の動作を無効にすることをお勧めします。 グループ ポリシー、System Center Configuration Manager、または Microsoft Intune (または任意のモバイル デバイス管理ソフトウェア) を使用して、新しい動作がアプリの基本的なシナリオに影響しないことを確認するまで、これを行うことができます。
Google は、Chrome の SameSite 強制動作を無効にするように設定できる次の エンタープライズ コントロール をリリースしました。
- LegacySameSiteCookieBehaviorEnabled。この変更を有効または無効にします。
- LegacySameSiteCookieBehaviorEnabledForDomainList。これにより、Chrome は特定のドメインでこのポリシーを無効にすることができます。
.NET Framework でアプリケーションを開発する企業のお客様は、Cookie の動作の変更によって発生する予期しない結果を避けるために、ライブラリを更新し、SameSite の動作を意図的に設定することをお勧めします。 これを行うには、次の Microsoft ASP.NET ブログ記事のガイダンスを参照してください。
ASP.NET および ASP.NET Core での今後の SameSite Cookie の変更点
また、この問題に関する開発者向けガイダンスについては、次の Google Chromium ブログ記事を参照してください。
開発者の皆さん: 新しい SameSite=None; セキュアな Cookie 設定の準備を整えましょう
エンタープライズ ポリシーでカバーされていないコンシューマーまたはユーザーに影響を与えるサイトに影響を与えたお客様は、アプリケーションの修正中に、別のブラウザー (Edge、Firefox、Internet Explorer) を使用するか、Chrome の設定を無効にする方法をユーザーに指示する必要があります (次のセクションに示すように)。
テストのガイドライン
この ガイダンス は、開発者が SameSite の変更に備えるために公開されています。 さらに、次の方法を使用して Web サイトとアプリをテストすることをお勧めします。
Chrome Beta バージョン 80 を使用してシナリオをテストします。
Chrome ベータ 版 80 をダウンロードします。
- Windows 64 ビットの場合: Windows 用ベータ チャネル (64 ビット)
- Windows 32 ビットの場合: Windows 用ベータ チャネル (32 ビット)
次の追加のコマンド ライン フラグを使用して Chrome を起動します。
--enable-features=SameSiteDefaultChecksMethodRigorouslySameSite フラグを有効にします。 これを行うには、アドレス バーに 「chrome://flags 」と入力し、SameSite を検索し、[ 有効] を選択して次のオプションを選択します。
詳細情報
Web コミュニティは、 SameSite と呼ばれる標準を通じて、追跡 Cookie とクロスサイト リクエスト フォージェリの不正使用に対処するソリューションに取り組んでいます。
Chrome チームは、2019 年 10 月 18 日に Chrome バージョン 78 ベータ版のリリースから SameSite 機能の 既定の動作の変更 をロールアウトする計画を発表しました。 このロールアウトは、2020 年 2 月 4 日に Chrome バージョン 80 リリースに移行されます。 この変更は、Web セキュリティの向上に役立ちます。 ただし、OpenID Connect 標準に基づく認証フローも中断されます。 そのため、確立された認証パターンは機能しません。
Chrome のバージョンを確認する
ユーザーが SameSite が有効になっている Chrome バージョン 76 以降のバージョンを使用していると思われる場合は、バージョン番号を確認するには、chrome://settings/helpに移動するか、Chrome 設定アイコンを選択して、[ヘルプ] を選択します>Google Chrome について説明します。
77 から 79 バージョンの Chrome の場合は、 chrome://flags に移動して、フラグが有効になっているかどうかを確認します。 Chrome バージョン 80 の既定の設定は、段階的なリリースで変更されます。
サードパーティの情報に関する免責事項
この記事で説明するサード パーティ製品は、Microsoft に依存しない企業によって製造されています。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
サードパーティのお問い合わせ窓口に関する免責事項
Microsoft では、テクニカル サポートを見つけるのに役立つサード パーティの連絡先情報を提供しています。 この連絡先情報は予告なしに変更されることがあります。 マイクロソフトは、この第三者の連絡先情報の正確性を保証しません。