Windows 統合認証 (WIA) をサポートしていないデバイスでイントラネットのフォーム ベースの認証を構成する
既定では、Windows サーバーの Active Directory フェデレーション サービス (AD FS) で、認証にブラウザーを使用するアプリケーションの組織の内部ネットワーク (イントラネット) 内で発生する認証要求に対して、Windows 統合認証 (WIA) が有効になっています。 たとえば、アプリケーションは、WS-Federation または SAML プロトコルを使用するブラウザー ベースのものや、OAuth プロトコルを使用するリッチ アプリケーションである可能性があります。 WIA を使用すると、エンド ユーザーは、資格情報を手動で入力しなくても、アプリケーションにシームレスにログオンできます。 ただし、一部のデバイスとブラウザーでは WIA をサポートできないため、これらのデバイスからの認証要求は失敗します。 また、NTLM にネゴシエートする特定のブラウザーのエクスペリエンスは望ましくありません。 推奨される方法は、このようなデバイスやブラウザーに対して、フォーム ベースの認証にフォールバックすることです。
Windows Server 2016 と Windows Server 2012 R2 の AD FS では、フォーム ベースの認証へのフォールバックをサポートするユーザー エージェントの一覧を構成する機能が管理者に提供されます。 フォールバックは、次の 2 つの構成によって可能になります。
Set-ADFSPropertiesコマンドレットの WIASupportedUserAgentStrings プロパティSet-AdfsGlobalAuthenticationPolicyコマンドレットの WindowsIntegratedFallbackEnabled プロパティ
WIASupportedUserAgentStrings は、WIA をサポートするユーザー エージェントを定義します。 AD FS は、ブラウザーまたはブラウザー コントロールでログインを実行するときに、ユーザー エージェント文字列を分析します。 ユーザー エージェント文字列のコンポーネントが WIASupportedUserAgentStrings プロパティで構成されているユーザー エージェント文字列のどのコンポーネントとも一致しない場合、WindowsIntegratedFallbackEnabled フラグが True に設定されていれば、AD FS はフォーム ベースの認証を提供するようにフォールバックします。
既定では、新しい AD FS のインストールには、一連のユーザー エージェント文字列の一致が作成されます。 ただし、これらは、ブラウザーおよびデバイスの変更によって古くなっている可能性があります。 特に、Windows のデバイスには、トークンに多少の違いがあるよく似たユーザー エージェント文字列があります。 次の Windows PowerShell の例では、シームレスな WIA をサポートする現在の市場にある最新のデバイス セットについて、最適なガイダンスを提供しています。
Set-AdfsProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0; Windows NT", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0; Windows NT 6", "Windows NT 6.3; Trident/7.0", "Windows NT 6.3; Win64; x64; Trident/7.0", "Windows NT 6.3; WOW64; Trident/7.0", "Windows NT 6.2; Trident/7.0", "Windows NT 6.2; Win64; x64; Trident/7.0", "Windows NT 6.2; WOW64; Trident/7.0", "Windows NT 6.1; Trident/7.0", "Windows NT 6.1; Win64; x64; Trident/7.0", "Windows NT 6.1; WOW64; Trident/7.0", "MSIPC", "Windows Rights Management Client")
上のコマンドは、AD FS が WIA の次のユース ケースのみをカバーするようにします。
| ユーザー エージェント | ユース ケース |
|---|---|
| MSIE 6.0 | IE 6.0 |
| MSIE 7.0; Windows NT | IE 7、イントラネット ゾーンの IE。 "Windows NT" フラグメントは、デスクトップ オペレーティング システムによって送信されます。 |
| MSIE 8.0 | IE 8.0 (これを送信するデバイスはないため、さらに具体的にする必要があります) |
| MSIE 9.0 | IE 9.0 (これを送信するデバイスはないため、これをさらに具体的にする必要はありません) |
| MSIE 10.0; Windows NT 6 | Windows XP 以降のバージョンのデスクトップ オペレーティング システムの IE 10.0Windows Phone 8.0 デバイス (設定がモバイル) は、次を送信するため除外User-Agent: Mozilla/5.0 (compatible; MSIE 10.0; Windows Phone 8.0; Trident/6.0; IEMobile/10.0; ARM; Touch; NOKIA; Lumia 920) |
| Windows NT 6.3; Trident/7.0Windows NT 6.3; Win64; x64; Trident/7.0Windows NT 6.3; WOW64; Trident/7.0 | Windows 8.1 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.2; Trident/7.0Windows NT 6.2; Win64; x64; Trident/7.0Windows NT 6.2; WOW64; Trident/7.0 | Windows 8 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| Windows NT 6.1; Trident/7.0Windows NT 6.1; Win64; x64; Trident/7.0Windows NT 6.1; WOW64; Trident/7.0 | Windows 7 デスクトップ オペレーティング システム、さまざまなプラットフォーム |
| MSIPC を右クリックし | Microsoft Information Protection and Control クライアント |
| Windows Rights Management クライアント | Windows Rights Management クライアント |
WIASupportedUserAgents 文字列に記載されていないユーザー エージェントに対してフォーム ベース認証へのフォールバックを有効にするには、WindowsIntegratedFallbackEnabled フラグを true に設定します。
Set-AdfsGlobalAuthenticationPolicy -WindowsIntegratedFallbackEnabled $true
また、フォーム ベースの認証がイントラネットで有効になっていることを確認します。
Chrome 用の WIA の構成
Chrome または他のユーザー エージェントを、WIA をサポートする AD FS 構成に追加できます。 これにより、AD FS によって保護されたリソースにアクセスするときに、資格情報を手動で入力しなくても、アプリケーションにシームレスにログオンできるようになります。 Chrome で WIA を有効にするには、次の手順に従います。
AD FS 構成で、Windows ベースのプラットフォームの Chrome 用のユーザー エージェント文字列を追加します。
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Windows NT)"
同様に、Apple macOS の Chrome についても、AD FS の構成に次のユーザー エージェント文字列を追加します。
Set-AdfsProperties -WIASupportedUserAgents (Get-ADFSProperties | Select -ExpandProperty WIASupportedUserAgents) + "Mozilla/5.0 (Macintosh; Intel Mac OS X)"
Chrome のユーザー エージェント文字列が AD FS のプロパティで設定されていることを確認します。
Get-AdfsProperties | Select -ExpandProperty WIASupportedUserAgents
Note
新しいブラウザーとデバイスがリリースされる際は、ユーザー エージェントの機能を調整し、それに応じて AD FS 構成を更新して、上記のブラウザーとデバイスを使用するときのユーザーの認証エクスペリエンスを最適化することをお勧めします。 具体的には、新しいデバイスまたはブラウザーの種類を WIA のサポート マトリックスに追加するときに、AD FS の WIASupportedUserAgents 設定を再評価することをお勧めします。