[Skype for Business Online] AD FS サーバーへ認証チケットの取得をおこなう際に問題が発生し資格情報の入力を求める画面が表示されることがある

  • Article

Japan Lync/Skype Support チームです。

 

AD FS サーバーによる認証を用いた Skype for Business Online への SSO  (シングル サイン オン) をご利用いただく環境で発生する可能性のある問題について案内いたします。

 

 

自動構成 (WPAD/PAC) や手動構成、ならびに各設定を併用により、プロキシ サーバーを介した Skype for Business Online への接続において、AD FS サーバーへのアクセスは除外する設定が一般的となります。

除外リストや PAC でその様に定義しているにも関わらず、AD FS サーバーへ認証チケットの取得が発生するタイミングで、想定外にプロキシーサーバーを経由してしまうケースがございます。

 

詳細を説明いたします。

 

既定の状態では、Microsoft オンライン サービス サインイン アシスタント (MOS SIA) ユーザーのクライアント ランタイム ライブラリ (IDCRL) が利用するプロキシ サーバーは、SIP/TLS のプロセスで取得した設定情報を引き継いで利用します。この際、手動構成や PAC で設定されているプロキシ サーバーの除外設定が正しく引き継がれないケースが発生し、AD FS をはじめとする、MOS SIA がアクセスする一部の宛先が、意図せずプロキシ サーバーを経由して接続する場合があります。

このとき、内部の AD FS サーバーに対して直接認証のリクエストが送信されず、プロキシ サーバー経由により外部から AD FS プロキシーサーバー (Web Application Proxy Server) を介した接続となるため、クレームルールにより認証が通らず、結果的に資格情報の入力を求められます。

この動作はすべての認証プロセスで必ず発生する問題ではなく、特に、サインイン後のアドレス帳検索時にAD FS サーバーへ認証チケットの取得が発生するタイミングで発生する可能性が高いことがわかっています。

 

 

本問題は、Skype for Business 2016, Skype for Business 2015, Lync 2013 クライアントで発生する可能性がございます。

すべての構成において本問題が発生するわけではないため、基本的な実装の変更はしておらず、また、現時点では実装を変更する予定もありません。 環境への依存度が高い問題であることより、個々のケースに対応するために新たな実装を有効化するためのレジストリ値が追加されました。

問題が確認された場合の対処策といたしまして、以下レジストリの設定を実施いただくようご案内しております。

 

 

<Skype for Business 2016 の場合>

キーのパス (以下のいずれか) :

HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Lync

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\16.0\Lync

 

値の名前   : HttpProxyControlFlags  (※既定では存在しないため、作成する必要があります)

値の種類   : REG_DWORD

値のデータ : 7

 

<Skype for Business 2015 および Lync 2013 の場合>

 

キーのパス (以下のいずれか): HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\15.0\Lync HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\15.0\Lync

値の名前   : HttpProxyControlFlags  (※既定では存在しないため、作成する必要があります)

値の種類   : REG_DWORD

値のデータ : 7
値は DWORD で登録いたしますが、ビット毎に意味を持つパラメーターとなり、その内容は以下のとおりとなります。

 

1 ビット : Internet Explorer のプロキシサーバー設定 (手動構成) を MOS SIA に引き継ぐか (0=引き継ぐ、1=プロセス毎に取得)

2 ビット : Internet Explorer のプロキシサーバー設定 (PAC による自動構成) を MOS SIA に引き継ぐか (0=引き継ぐ、1=プロセス毎に取得)

3 ビット : 認証プロキシサーバー時における、資格情報を MOS SIA に引き継ぐか (0=引き継ぐ、1=引き継がない)

 

どの様な環境であってもプロセス毎に設定を取得し、想定される問題が回避できる 111=7 を設定いただくことを、広く推奨として案内させていただいております。動作ロジック上からも本設定により他の問題が発生することは想定されず、また、これまで実施いただいたお客様におかれましても本設定による問題は報告されておりません。

 

参考情報:

TITLE: レジストリに新しい HttpProxyControlFlags の GPO の設定の説明

URL: https://support.microsoft.com/ja-jp/kb/3123662

お困りになられている点がある場合には、まず、コミュニティサポートに聞いてみましょう。
Office 365 をご利用のお客様: https://answers.microsoft.com/ja-jp/
Office 365 をご利用のお客様 (Skype for Business): https://answers.microsoft.com/ja-jp/msoffice/forum/msoffice_sfb