AD FS で Windows 統合認証 (WIA) を使用するようにブラウザーを構成する
既定では、Windows Server 2012 R2 の Active Directory フェデレーション サービス (AD FS) では、認証にブラウザーを使用するアプリケーションの組織の内部ネットワーク (イントラネット) 内で発生する認証要求に対して、Windows 統合認証 (WIA) が有効になっています。
AD FS 2016 には、Windows Phone も (不適切に) キャッチすることなく、Edge ブラウザーが WIA を実行できるようにする、改善された既定の設定が用意されています。
=~Windows\s*NT.*Edg.*
これはつまり、個々のユーザー エージェント文字列が頻繁に更新される場合であっても、一般的な Edge のシナリオをサポートするようにそれらの文字列を構成する必要がなくなったということです。
それ以外のブラウザーの場合は、AD FS のプロパティ WiaSupportedUserAgents を構成して、使用しているブラウザーに基づいて必要な値を追加してください。 次の手順を使用できます。
WIASupportedUserAgent の設定を表示する
WIASupportedUserAgents は、WIA をサポートするユーザー エージェントを定義します。 AD FS は、ブラウザーまたはブラウザー コントロールでログインを実行するときに、ユーザー エージェント文字列を分析します。
現在の設定を表示するには、次の PowerShell の例を使用します。
Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
WIASupportedUserAgent の設定を変更する
既定では、新しい AD FS のインストールには、一連のユーザー エージェント文字列の一致が作成されます。 ただし、これらは、ブラウザーおよびデバイスの変更によって古くなっている可能性があります。 特に、Windows のデバイスには、トークンに多少の違いがあるよく似たユーザー エージェント文字列があります。 次の Windows PowerShell の例では、シームレスな WIA をサポートする現在の市場にある最新のデバイス セットについて、最適なガイダンスを提供しています。
Windows Server 2012 R2 以前で AD FS を利用している場合:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0","MSIPC", "Windows Rights Management Client", "Edg/","Edge/")
Windows Server 2016 以降で AD FS を利用している場合:
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0","Windows NT 10.0; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client", "=~Windows\s*NT.*Edg.*")
上のコマンドは、AD FS が WIA の次のユース ケースのみをカバーするようにします。
| ユーザー エージェント | ユース ケース |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7、イントラネット ゾーンの IE。 "Windows NT" フラグメントは、デスクトップ オペレーティング システムによって送信されます。 |
| MSIE 8.0 | IE 8.0 (これを送信するデバイスはないため、さらに具体的にする必要があります) |
| MSIE 9.0 | IE 9.0 (これを送信するデバイスはないため、これをさらに具体的にする必要はありません) |
| MSIE 10.0; Windows NT 6 | Windows XP 以降のバージョンのデスクトップ オペレーティング システムの IE 10.0Windows Phone 8.0 デバイス (設定がモバイル) は、次を送信するため除外User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Windows 8.1 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Windows 8 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Windows 7 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Edg/ および Edge/ | Windows Server 2012 R2 以前の Microsoft Edge (Chromium) |
| =~Windows\s*NT.*Edg.* | Windows Server 2016 以降の Microsoft Edge (Chromium) |
| MSIPC を右クリックし | Microsoft Information Protection and Control クライアント |
| Windows Rights Management クライアント | Windows Rights Management クライアント |