Active Directory フェデレーション サービス (AD FS) と Web アプリケーション プロキシ (WAP) の必須更新プログラム
2016 年 10 月現在、Windows Server のすべてのコンポーネントに対するすべての更新プログラムは Windows Update (WU) を介してのみリリースされます。 追加の修正プログラムや個別のダウンロードはありません。 これは、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、および Windows Server 2008 R2 SP1 に当てはまります。
このページでは、AD FS と WAP の特定の目的のロールアップ パッケージと、AD FS および WAP に推奨される修正プログラムの履歴リストを一覧表示しています。
Windows Server 2016 の AD FS と WAP の更新プログラム
Windows Server 2016 の更新プログラムは、Windows Update を介して毎月配信され、累積されます。 次に示す更新パッケージは、すべての AD FS および WAP 2016 サーバーで推奨されており、最新の修正プログラムに加えて、これまでのすべての必須更新プログラムが含まれています。
| KB 番号 | 説明 | リリース日 |
|---|---|---|
| 4534271 | Google Chrome のリリース 80 で、新しい SameSite cookie ポリシーを既定でサポートすることに原因がある AD FS chrome エラーの可能性に対処します。 詳細については、ここを参照してください。 | 2020 年 1 月 |
| CVE-2019-1126 | このセキュリティ更新プログラムは、攻撃者がエクストラネット ロックアウト ポリシーをバイパスできる可能性がある Active Directory フェデレーション サービス (AD FS) の脆弱性に対処します。 | 2019 年 7 月 |
| 4489889 (OS ビルド 14393.2879) | AD FS 管理コンソールに重複した証明書利用者信頼が表示される Active Directory フェデレーションサービス (AD FS) の問題に対処します。 これは、AD FS 管理コンソールを使用して証明書利用者信頼を作成または表示する場合に発生します。 AD FS 2016 でエクストラネット スマート ロックアウト (ESL) が有効になっている場合に発生する、Active Directory フェデレーション サービス (AD FS) の Web アプリケーション プロキシ (WAP) の待機時間が長い問題 (10,000 ミリ秒以上) に対処します。 このセキュリティ更新プログラムは、CVE-2018-16794 に記述されている脆弱性に対処します。 | 2019 年 3 月 |
| 4487006 (OS ビルド 14393.2828) | PowerShell または Active Directory フェデレーション サービス (AD FS) 管理コンソールを使用しているときに、証明書利用者信頼の更新が失敗する原因となっている問題に対処します。 この問題は、複数の PassiveRequestorEndpoint を発行するオンライン メタデータ URL を使用するように証明書利用者信頼を構成した場合に発生します。 このエラーは、"MSIS7615: 証明書利用者信頼に指定された信頼されたエンドポイントは、その証明書利用者信頼で一意である必要があります" です。Azure パスワード保護ポリシーにより、外部の複雑なパスワード変更について特定のエラー メッセージが表示される問題に対処します。 | 2019 年 2 月 |
| 4462928 (OS ビルド 14393.2580) | Active Directory フェデレーション サービス (AD FS) のエクストラネット スマート ロックアウト (ESL) と代替ログイン ID 間の相互運用の問題に対処します。 代替ログイン ID が有効になっている場合、AD FS PowerShell コマンドレット Get-AdfsAccountActivity および Reset-AdfsAccountLockout の呼び出しで、"アカウントが見つかりません" エラーが返されます。 Set-AdfsAccountActivity が呼び出されると、既存のエントリを編集する代わりに新しいエントリが追加されます。 | 2018 年 10 月 |
| 4343884 (OS ビルド 14393.2457) | カスタム カルチャ定義を使用するモバイル デバイスで、多要素認証が正しく機能しない Active Directory フェデレーション サービス (AD FS) の問題に対処します。 新しいユーザーの登録で大幅な遅延 (15 秒) が発生する Windows Hello for Business の問題に対処します。 この問題は、ハードウェア セキュリティ モジュールを使用して AD FS 登録機関 (RA) 証明書を格納している場合に発生します。 | 2018 年 8 月 |
| 4338822 (OS ビルド 14393.2395) | コンソールから証明書利用者信頼を作成または表示すると、AD FS 管理コンソールに重複する証明書利用者信頼が表示される AD FS の問題に対処します。Windows Hello for Business が失敗する原因となる AD FS の問題に対処します。 この問題は、2 つの要求プロバイダーがある場合に発生します。 PIN の登録が、"400 内部サーバー エラー: デバイス識別子を取得できません" で失敗します。 終了しない非アクティブな接続に関連する WAP の問題に対処します。 これにより、システム リソースのリーク (メモリ リークなど) が発生し、WAP サービスが応答しなくなります。 ユーザーの別のログイン オプションの選択を妨げる AD FS の問題に対処します。 これは、ユーザーが証明書ベースの認証を使用してログインするように選択したが、それが構成されていない場合に発生します。 さらに、ユーザーが証明書ベースの認証を選択し、さらに別のログイン オプションを選択しようとした場合にも発生します。 これが発生すると、ユーザーはブラウザーを閉じるまで、証明書ベースの認証ページにリダイレクトされます。 | 2018 年 7 月 |
| 4103720 (OS ビルド 14393.2273) | PreventTokenReplays が有効になっている場合に、IdP によって開始された SAML 証明書利用者へのログインが失敗する AD FS の問題に対処します。 デバイスまたはブラウザー アプリケーションから OAUTH が認証されるときに発生する AD FS の問題に対処します。 ユーザー パスワードの変更によってエラーが発生し、ユーザーはログインするためにアプリまたはブラウザーを終了する必要があります。 UTC + 1 以上 (ヨーロッパおよびアジア) でエクストラネット スマート ロックアウトの有効化が機能しなかった問題に対処します。 さらに、それによって通常のエクストラネット ロックアウトが、次のエラーで失敗します。AdfsAccountActivity: UTC への変換時、DateTime.MaxValue より大きい DateTime 値、または DateTime.MinValue より小さい DateTime 値は、JSON にシリアル化することはできません。新しいユーザーが PIN をプロビジョニングできない AD FS Windows Hello for Business の問題に対処します。 これは、MFA プロバイダーが構成されていない場合に発生します。 | 2018 年 5 月 |
| 4093120 (OS ビルド 14393.2214) | 未処理の更新トークンの検証の問題に対処します。 次のエラーが生成されます。"Microsoft.IdentityServer.Web.Protocols.OAuth.Exceptions.OAuthInvalidRefreshTokenException: MSIS9312: 無効な OAuth 更新トークンを受信しました。 更新トークンは、トークンで許可されている時間よりも前に受信されました。" | 2018 年 4 月 |
| 4077525 (OS ビルド 14393.2097) | AD FS ファームに Windows Internal Database (WID) を使用する 2 台以上のサーバーがある場合に HTTP 500 エラーが発生する問題に対処します。 このシナリオでは、Web アプリケーション プロキシ (WAP) サーバーでの HTTP 基本事前認証が、一部のユーザーの認証に失敗します。 このエラーが発生すると、WAP イベント ログに Microsoft Windows Web アプリケーション プロキシの警告イベント ID 13039 が表示されることもあります。 この説明は、"Web アプリケーション プロキシがユーザーを認証できませんでした。 事前認証は、'AD FS For Rich Clients' です。 指定されたユーザーには、指定された証明書利用者へのアクセスが許可されていません。 ターゲット証明書利用者または WAP 証明書利用者の認可規則を変更する必要があります" になります。認証時に AD FS が prompt = login を無視しなくなる可能性がある問題に対処します。 パスワード認証が使用されないシナリオをサポートするために、[無効] オプションが追加されました。 詳細については、「Windows Server 2016 RTM での認証時に AD FS が "prompt = login" パラメーターを無視する」を参照してください。 認証オプションとして証明書を選択した、認可されたお客様 (および証明書利用者) が接続に失敗する AD FS の問題に対処します。 Windows 統合認証 (WIA) が有効になっていて、要求で WIA を実行できる場合、prompt = login を使用するとエラーが発生します。ID プロバイダー (IDP) が OAuth グループ内の証明書利用者 (RP) に関連付けられている場合に、AD FS でホーム領域検出 (HRD) ページが正しく表示されない問題に対処します。 OAuth グループ内の RP に複数の IDP が関連付けられていない限り、ユーザーに HRD ページが表示されません。 代わりに、ユーザーは、認証用に関連付けられている IDP に直接移動します。 | 2018 年 2 月 |
| 4041688 (OS ビルド 14393.1794) | この修正プログラムは、不正なキャッシュ動作のために、AD 機関の要求が、間違った ID プロバイダーに断続的に誤って導かれる問題に対処します。 これは、多要素認証などの認証機能に影響する可能性があります。 Microsoft Entra Connect Health が、WS2012R2 AD FS と WS2016 AD FS が混在したファームで正しい忠実さで (詳細監査を使用して)、AD FS サーバーの正常性を報告する機能が追加されました。2012 R2 AD FS ファームを AD FS 2016 にアップグレードするときに、証明書利用者信頼が多いと、ファームの動作レベルを引き上げる PowerShell コマンドレットがタイムアウトで失敗する問題を修正しました。他のセキュリティ トークン サーバー (STS) への要求のフェデレーション中の wct パラメーター値の変更によって、AD FS で認証エラーが発生する問題に対処しました。 | 2017 年 10 月 |
| 4038801 (OS ビルド 14393.1737) | フェデレーション LDP を使用した OIDC ログアウトのサポートが追加されました。 これにより、LDP とのフェデレーションがある単一のデバイスに複数のユーザーが連続してログインする可能性がある "キオスク シナリオ" が可能になります。CEP/CES ベースの証明書が gMSA アカウントで機能しない WinHello の問題を修正しました。外部キーの制約のため、Windows Server 2016 AD FS サーバー上の Windows Internal Database (WID) が一部の設定 (IdentityServerPolicy.Scopes および IdentityServerPolicy.Clients テーブルの ApplicationGroupId 列など) の同期に失敗する問題を修正します。 このような同期エラーにより、プライマリとセカンダリの AD FS サーバー間で異なる要求、要求プロバイダー、およびアプリケーション エクスペリエンスが発生する可能性があります。 また、WID プライマリ ロールがセカンダリ ノードに移動された場合、アプリケーション グループは、AD FS 管理 UX で管理できなくなります。この更新プログラムは、カスタム カルチャ定義を使用するモバイル デバイスで、多要素認証が正しく機能しない問題を修正します | 2017 年 9 月 |
| 4034661 (OS ビルド 14393.1613) | "成功の監査" と "失敗の監査" を有効にした後でも、AD FS 4.0\Windows Server 2016 RS1 AD FS サーバーのセキュリティ イベント ログに、411 イベントによって呼び出し元の IP アドレスが記録されない問題を修正します。この修正プログラムは、ADFX サーバーが HTTP プロキシを使用するように構成されている場合の Azure Multi-factor Authentication (MFA) に関する問題に対処します。"期限切れまたは失効した証明書を AD FS プロキシ サーバーに提示しても、ユーザーにエラーが返されない問題に対処しました。" | 2017 年 8 月 |
| 4034658 (OS ビルド 14393.1593) | オンプレミスのデプロイで Windows Hello for Business の MFA 証明書登録をサポートするための 2016 AD FS サーバーの修正プログラム | 2017 年 8 月 |
| 4025334 (OS ビルド 14393.1532) | PkeyAuth 要求に正しくないデータが含まれている場合に、PkeyAuth トークン ハンドラーが認証に失敗する可能性がある問題に対処しました。 認証は、デバイス認証を実行せずに続行されます | 2017 年 7 月 |
| 4022723 (OS ビルド 14393.1378) | [Web アプリケーション プロキシ] DisableHttpOnlyCookieProtection 構成プロパティの値が、2012R2/2016 混在デプロイで、WAP 2016 によって選択されません[Web アプリケーション プロキシ] EAS 事前認証シナリオで AD FS からユーザー アクセス トークンを取得できません。AD FS 2016: WSFED サインアウトにより、例外が発生する | 2017 年 6 月 |
| 3213986 | x64 ベースのシステム用 Windows Server 2016 の累積的な更新プログラム (KB3213986) | 2017 年 1 月 |
Windows Server 2012 R2 での AD FS と WAP の更新プログラム
Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) 用にリリースされた修正プログラムおよび更新ロールアップの一覧を次に示します。
| KB 番号 | 説明 | リリース日 |
|---|---|---|
| 4534309 | Google Chrome のリリース 80 で、新しい SameSite cookie ポリシーを既定でサポートすることに原因がある AD FS chrome エラーの可能性に対処します。 詳細については、ここを参照してください。 | 2020 年 1 月 |
| 4507448 | このセキュリティ更新プログラムは、攻撃者がエクストラネット ロックアウト ポリシーをバイパスできる可能性がある Active Directory フェデレーション サービス (AD FS) の脆弱性に対処します。 | 2019 年 7 月 |
| 4041685 | 要求ヘッダーの MSISConext Cookie によって、最終的にヘッダー サイズ制限をオーバーフローし、HTTP 状態コード 400 "不正な要求です - ヘッダーが長すぎます" で、認証の失敗が発生する可能性がある AD FS の問題に対処しました。認証時に AD FS が "prompt=login" を無視しなくなる可能性がある問題を修正しました。 パスワード以外の認証が使用されているシナリオを復元するために、[無効] オプションが追加されました。 | 2017 年 10 月の更新プログラムのロールアップのプレビュー |
| 4019217 | サーバー 2012 R2 AD FS サーバーを使用しているときに、トークン ブローカーを使用しているワーク フォルダー クライアントが機能しない | 2017 年 5 月の更新プログラムのロールアップのプレビュー |
| 4015550 | 外部ユーザーを認証せず、AD FS WAP がランダムに要求の転送に失敗する AD FS の問題を修正しました | 2017 年 4 月の更新プログラムのロールアップ |
| 4015547 | 外部ユーザーを認証せず、AD FS WAP がランダムに要求の転送に失敗する AD FS の問題を修正しました | 2017 年 4 月のセキュリティ更新プログラム |
| 4012216 | MS17-019 このセキュリティ更新プログラムは、Active Directory フェデレーション サービス (AD FS) の脆弱性を解決します。 攻撃者が特別に作成した要求を AD FS サーバーに送信し、攻撃者がターゲット システムに関する機密情報を読み取ることができる場合、脆弱性によって情報漏えいが発生する可能性がありました。 | 2017 年 3 月の更新プログラムのロールアップ |
| 3179574 | AD FS エクストラネット パスワード更新の問題を修正しました。 | 2016 年 8 月の更新プログラムのロールアップ |
| 3172614 | prompt=login サポートを導入し、AD FS 管理コンソールと AlwaysRequireAuthentication 設定の問題を修正しました。 | 2016 年 7 月の更新プログラムのロールアップ |
| Active Directory フェデレーション サービス (AD FS) 3.0 は、接続文字列で Secure Sockets Layer (SSL) ポート 636 または 3269 を使用するように構成されているライトウェイト ディレクトリ アクセス プロトコル (LDAP) 属性ストアに接続できません。 | 2016 年 6 月の更新プログラムのロールアップ | |
| 3148533 | Windows Server 2012 R2 で AD FS プロキシ経由の MFA フォールバック認証が失敗する | 2016 年 5 月 |
| 3134787 | AD FS ログに、Windows Server 2012 R2 でのアカウント ロックアウト シナリオのクライアント IP アドレスが含まれていない | 2016 年 2 月 |
| 3134222 | MS16-020: サービス拒否に対処するための Active Directory フェデレーション サービス (AD FS) のセキュリティ更新プログラム: 2016 年 2 月 9 日 | 2016 年 2 月 |
| 3105881 | Windows Server 2012 R2 ベースの AD FS サーバーでデバイス認証が有効になっていると、アプリケーションにアクセスできない | 2015 年 10 月 |
| 3092003 | ユーザーが Windows Server 2012 R2 AD FS で MFA を使用すると、ページが繰り返し読み込まれ、認証が失敗する | 2015 年 8 月 |
| 3080778 | Windows Server 2012 R2 で MFA アダプターが例外をスローしたときに、AD FS が OnError を呼び出さない | 2015 年 7 月 |
| 3075610 | Windows Server 2012 R2 で要求プロバイダーを追加または削除した後に、セカンダリ AD FS サーバーで信頼関係が失われる | 2015 年 7 月 |
| 3070080 | 要求対応でない証明書利用者信頼に対して、ホーム領域検出が正しく機能しない | 2015 年 6 月 |
| 3052122 | 更新プログラムによって、Windows Server 2012 R2 の AD FS トークンに複合 ID 要求のサポートが追加される | 2015 年 5 月 |
| 3045711 | MS15-040: Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こることがある | 2015 年 4 月 |
| 3042127 | Windows Server 2012 R2 で WAP 経由で共有メールボックスを開いたときの "HTTP 400 - 不正な要求です" エラー | 2015 年 3 月 |
| 3042121 | Windows Server 2012 R2 での Web アプリケーション プロキシ認証トークンに対する AD FS トークン リプレイ保護 | 2015 年 3 月 |
| 3035025 | Windows Server 2012 R2 でユーザーが登録されたデバイスを使用する必要がないようにするパスワードの更新機能の修正プログラム | 2015 年 1 月 |
| 3033917 | Windows Server 2012 R2 で AD FS が SAML 応答を処理できない | 2015 年 1 月 |
| 3025080 | Windows Server 2012 R2 で Web アプリケーション プロキシ経由で Office ファイルを保存しようとすると操作が失敗する | 2015 年 1 月 |
| 3025078 | 正しくないユーザー名を使用して Windows Server 2012 R2 にログオンしても、ユーザー名の再入力を求められない | 2015 年 1 月 |
| 3020813 | Windows Server 2012 R2 AD FS で Web アプリケーションを実行するときに認証の入力が求められる | 2015 年 1 月 |
| 3020773 | Windows Server 2012 R2 でデバイス登録サービスを最初にデプロイした後のタイムアウト エラー | 2015 年 1 月 |
| 3018886 | イントラネットから Windows Server 2012 R2 AD FS サーバーにアクセスすると、ユーザー名とパスワードを 2 回入力するように求められる | 2015 年 1 月 |
| 3013769 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 12 月 |
| 3000850 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 11 月 |
| 2975719 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 8 月 |
| 2967917 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 7 月 |
| 2962409 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 6 月 |
| 2955164 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 5 月 |
| 2919355 | Windows Server 2012 R2 更新プログラムのロールアップ | 2014 年 4 月 |
Windows Server 2012 の AD FS (AD FS 2.1) および AD FS 2.0 の更新プログラム
AD FS 2.0 および 2.1 用にリリースされた修正プログラムおよび更新プログラムのロールアップの一覧を次に示します。
| KB 番号 | 説明 | リリース日 | 適用先: |
|---|---|---|---|
| 3197878 | Windows Server 2012 でプロキシ経由の認証が失敗する (これは修正プログラム 3094446 の一般向けリリースです) | 2016 年 11 月の品質ロールアップ | AD FS 2.1 |
| 3197869 | Windows Server 2008 R2 SP1 でプロキシ経由の認証が失敗する (これは修正プログラム 3094446 の一般向けリリースです) | 2016 年 11 月の品質ロールアップ | AD FS 2.0 |
| 3094446 | Windows Server 2012 または Windows Server 2008 R2 SP1 でプロキシ経由の認証が失敗する | 2015 年 9 月 | AD FS 2.0 および 2.1 |
| 3070078 | Windows Server 2012 で暗号化証明書に対して認証を行った場合に、AD FS 2.1 が例外をスローする | 2015 年 7 月 | AD FS 2.1 |
| 3062577 | MS15-062: Active Directory フェデレーション サービス (AD FS) の脆弱性により、特権の昇格を許可してしまう可能性がある | 2015 年 6 月 | AD FS 2.0/2.1 |
| 3003381 | MS14-077: Active Directory フェデレーション サービスの脆弱性により、情報漏えいが発生する可能性がある: 2015 年 4 月 14 日 | 2014 年 11 月 | AD FS 2.0/2.1 |
| 2987843 | Windows Server 2012 で多くのユーザーが Web アプリケーションにログオンすると、AD FS フェデレーション サーバーのメモリ使用率が増え続ける | 2014 年 7 月 | AD FS 2.1 |
| 2957619 | AD FS に対して委任されたトークンの要求が行われたときに、AD FS の証明書利用者信頼が停止する | 2014 年 5 月 | AD FS 2.1 |
| 2926658 | SQL アクセス許可を持ってない場合、AD FS SQL ファームのデプロイが失敗する | 2014 年 10 月 | AD FS 2.1 |
| 2896713 または 2989956 | AD FS サーバーにセキュリティ更新プログラム 2843638 をインストールした後に、複数の問題を修正するために更新プログラムを使用できる | 2013 年 11 月2014 年 9 月 | AD FS 2.0/2.1 |
| 2877424 | 更新プログラムにより、AD FS 2.1 ファームで複数の証明書利用者信頼に 1 つの証明書を使用できる | 2013 年 10 月 | AD FS 2.1 |
| 2873168 | 修正: サード パーティの CSP と HSM を使用し、Windows Server 2008 R2 Service Pack 1 の AD FS 2.0 に対する更新プログラム ロールアップ 3 の要求プロバイダー信頼を構成すると、エラーが発生する | 2013 年 9 月 | AD FS 2.0 |
| 暗号化証明書のサブジェクト名のコンマによって、Windows Server 2008 R2 SP1 で例外が発生する | 2013 年 8 月 | AD FS 2.0 | |
| 2843639 | [セキュリティ] Active Directory フェデレーション サービスの脆弱性により、情報漏えいが起こることがある | 2013 年 11 月 | AD FS 2.1 |
| 2843638 | MS13-066: Active Directory フェデレーション サービス (AD FS) 2.0 のセキュリティ更新プログラムの説明: 2013 年 8 月 13 日 | 2013 年 8 月 | AD FS 2.0 |
| 2827748 | Federationmetadata.xml ファイルに、Windows Server 2012 の WS-Trust エンドポイントと WS-Federation エンドポイントの MEX エンドポイント情報が含まれない | 2013 年 5 月 | AD FS 2.1 |
| 2790338 | Active Directory フェデレーション サービス (AD FS) 2.0 の更新プログラムのロールアップ 3 の説明 | 2013 年 3 月 | AD FS 2.0 |