Chrome バージョン80以降のお客様の web サイトと Microsoft のサービスおよび製品への影響

注意

以前は、この記事では、Google Chrome ベータバージョン79を参照しています。 Google は、Chrome 安定バージョン80で cookie の動作を解放するようにスケジュールされています。 Chrome では、この変更が2月17日の週に開始する Chrome 80 でロールアウトされることを示すために、ロールアウトのタイムラインが更新されました。 Chrome 80 は2月4日に出荷され、この機能は既定で無効になっています。 この機能は、2月17日から始まる段階的なスケジュールで有効になります。

概要

Google Chrome web ブラウザー (ビルド80、2020年2月4日にリリースされた予定) の安定リリースは、2月17日の週から始まる既定の cookie の動作に対する変更をロールアウトします。 この変更は、悪意のある cookie を追跡して web アプリケーションを保護することを目的としていますが、オープン標準に基づいた多くのアプリケーションやサービスに影響を与えることが予想されます。 これには、Microsoft クラウドサービスが含まれます。

企業のお客様は、変更の準備ができていることを確認し、アプリケーション (カスタム開発または購入したかどうか) をテストすることによって、緩和を実装することをお勧めします。 詳細については、「推奨事項」セクションを参照してください。

Microsoft は、Chrome 80 リリース日より前の製品とサービスにおけるこの変更に対処することを確約しています。 この記事では、製品とライブラリに必要なさまざまな更新プログラムをインストールするための Microsoft および Google のガイダンス、およびテストと準備のガイダンスについて説明します。 ただし、Chrome の動作におけるこの変更に対して独自のアプリケーションをテストし、必要に応じて独自の web アプリケーションを準備することも同じように重要です。

顧客アプリケーションに対する影響

すべての Microsoft クラウドサービスは、Chrome によって作成された新しい要件に準拠するように更新されますが、その他の一部のアプリケーションは依然として影響を受ける可能性があります。 お客様による更新を必要とする一部のサーバー製品については、「おすすめ候補」セクションを確認してください。

この変更の影響を確認するには、Chrome ベータバージョン80を使用してすべてのアプリケーションを完全にテストする必要があります。 この記事に記載されている問題に類似した問題がアプリケーションに影響を与えると考えられます。 これは、他のアプリに埋め込まれているアプリなど、クロスドメイン cookie 共有に依存している web プラットフォームまたはテクノロジを使用するアプリケーションに特に当てはまります。

Chrome バージョン78および79のベータ版では、 SameSite: 甘い属性の強制が2分になるように改善されました。 ただし、これらのバージョンをテストに使用することで、他の問題をマスクできます。 そのため、特定のフラグを有効にすることによって、Chrome バージョン80を使用してテストすることをお勧めします。 これを行うと、少なくとも、最適なプランを決定できるように、その影響を見つけるのに役立ちます。 詳細については、「テストガイドライン」を参照してください。

Microsoft Edge browser on Chromium (バージョン 80) は、これらの SameSite の変更による影響を受けません。 この変更に適応するための現在の計画については、「エッジドキュメント」を参照してください。

推奨事項

Active Directory フェデレーションサービス (AD FS) または Web アプリケーションプロキシを使用している Microsoft のお客様は、次のいずれかの Windows Server 更新プログラムを展開する必要があります。

Product サポート技術情報番号 リリース日
Windows Server 2019 KB 4534273 2020 年 1 月 14 日
Windows Server 2016 KB 4534271 2020 年 1 月 14 日
Windows Server 2012 R2 KB 4534309 2020 年 1 月 14 日

次の Microsoft サーバーまたはクライアント製品も更新する必要があります。 更新プログラムは、利用可能になったときにこの記事に追加されます。 最新の更新プログラムについては、この記事を定期的に再検討することをお勧めします。

Product サポート技術情報番号 リリース日
Exchange Server 2020年3月の累積的な更新プログラム
SharePoint Server 2019 KB 4484259 2020年2月11日
SharePoint Server 2016 2020年3月パブリック更新プログラム
SharePoint Foundation 2013 2020年3月パブリック更新プログラム
SharePoint Server 2013 2020年3月パブリック更新プログラム
SharePoint Foundation 2010 2020年3月パブリック更新プログラム
SharePoint Server 2010 2020年3月パブリック更新プログラム
Skype for Business Server 2019 2020年3月の累積的な更新プログラム (CU 3)
Skype for Business Server 2015 2020年4月の累積的な更新プログラム (CU 11)

次のすべてのシナリオについてアプリケーションをテストし、テストの結果に基づいて適切なプランを決定する必要があります。

  • アプリケーションは、 SameSiteの変更による影響を受けません。 この場合、実行するアクションはありません。
  • アプリケーションに影響がありますが、ソフトウェア開発者はSameSite: None cookie 設定を使用するように時間を変更できます。 この場合は、「テストガイドライン」の「開発者向けのガイダンス」に従って、アプリケーションを変更する必要があります。
  • アプリケーションは影響を受けますが、時間内に変更することはできません。 内部サイトの場合は、 LegacySameSiteCookieBehaviorEnabledForDomainList設定を使用して、Chrome でのSameSite強制動作からアプリケーションを除外できます。

エンタープライズのお客様が、アプリの大部分が影響を受けている場合や、機能の段階的リリースの前にアプリをテストするのに十分な時間がない場合は、管理するコンピューターでSameSiteの動作を無効にすることをお勧めします。 これを行うには、グループポリシー、System Center Configuration Manager、Microsoft Intune (またはその他のモバイルデバイス管理ソフトウェア) を使用します。これにより、新しい動作がアプリの基本的なシナリオに違反しないことが確認されます。

Google は、Chrome でのSameSite強制動作を無効にするために設定できる次のエンタープライズコントロールをリリースしました。

.NET Framework でアプリケーションを開発する企業のお客様は、ライブラリを更新して、cookie の動作の変更によって予期しない結果が発生しないように、 SameSiteの動作を意図的に設定することをお勧めします。 これを行うには、次の Microsoft ASP.NET ブログ記事のガイダンスを参照してください。

ASP.NET および ASP.NET Core での今後の SameSite Cookie の変更

また、この問題に関する開発者向けのガイダンスについては、次の Google Chromium のブログ記事を参照してください。

開発者: 新しい SameSite の準備をします。セキュリティで保護された Cookie の設定

利用者またはエンタープライズポリシーの対象に含まれていないユーザーに影響を与えるサイトを利用しているお客様は、他のブラウザー (エッジ、Firefox、Internet Explorer) を使用するようにユーザーに指示する必要があります。または、これらのユーザーに対して設定を無効にする方法を教えてください。Chrome (次のセクションを参照) は、アプリケーションを修正しています。

テストのガイドライン

Google は、開発者が SameSite の変更を準備するためのガイダンスを公開しています。 また、次の方法を使用して web サイトとアプリをテストすることをお勧めします。

Chrome ベータバージョン80を使用してシナリオをテストします。

  1. Chrome ベータバージョン80をダウンロードします。

  2. 次の追加のコマンドラインフラグを使用して、Chrome を開始します。--enable-features=SameSiteDefaultChecksMethodRigorously

  3. SameSiteフラグを有効にします。 これを行うには、アドレスバーに「 Chrome://flags 」と入力し、 SameSiteを検索して、次のオプションに対して [有効] を選択します。

SameSite の設定を有効にする

詳細情報

Web コミュニティは、 SameSiteという標準を使用して、cookie およびクロスサイト要求偽造の不適切な使用に対処するソリューションを開発しています。

クロムチームは、2019年10月18日に、Chrome バージョン78ベータのリリースから始まる SameSite 機能の既定の動作に関する変更を展開する計画を発表しました。 このロールアウトは、2020年2月4日に Chrome バージョン80リリースに移行されます。 この変更により、web セキュリティが向上します。 ただし、OpenID Connect 標準に基づく認証フローも中断します。 そのため、正しく設定された認証パターンは機能しません。

Chrome バージョンを確認する

ユーザーが Chrome バージョン76または SameSite が有効になっている新しいバージョンを使用している疑いがある場合は、 chrome://settings/helpに移動するか、[Chrome 設定] アイコンを選択して、[Google Chrome に関する****ヘルプ > ] を選択することにより、バージョン番号を確認できます。

Google Chrome での Chrome バージョンの確認

Chrome のバージョンが 77 ~ 79 の場合は、ブラウザーのChrome://flagsをチェックして、フラグが有効になっているかどうかを確認します。 この設定の既定値は、1つの段階リリースの Chrome バージョン80で変更が開始されます。

サードパーティの情報に関する免責事項

この記事に記載されているサードパーティ製品は、Microsoft とは関係のない会社によって製造されています。 Microsoft は、これらの製品のパフォーマンスまたは信頼性に関して、明示または黙示には一切の保証を行いません。

Microsoft では、このトピックに関する追加情報を見つけるのに役立つサードパーティの連絡先情報を提供しています。 この連絡先情報は、予告なしに変更される場合があります。 Microsoft は、サードパーティの連絡先情報の正確性を保証するものではありません。