Effekt på kundenettsteder og Microsoft-tjenester og produkter i Chrome versjon 80 eller nyere

  • Artikkel
  • Gjelder for:
    Microsoft 365, Azure Active Directory, Azure

Obs!

Tidligere refererte denne artikkelen til Google Chrome Beta versjon 79. Google har planlagt å gi ut informasjonskapselatferd i Chrome Stable versjon 80. Chrome har oppdatert sine lanseringstidslinje for å indikere at denne endringen vil bli rullet ut i Chrome 80, fra og med uken 17. februar. Chrome 80 sendes ut 4. februar og har denne funksjonen deaktivert som standard. Funksjonen blir aktivert etter en gradert plan som starter 17. februar.

Sammendrag

Den stabile utgivelsen av Google Chrome-nettleseren (build 80, planlagt for utgivelse 4. februar 2020) vil lansere en endring av standard informasjonskapseloppførsel fra og med uken 17. februar. Selv om endringen er ment å motvirke sporing av skadelig informasjonskapsel og beskytte webapplikasjoner, forventes det også å påvirke mange applikasjoner og tjenester som er basert på åpne standarder. Dette inkluderer skytjenester fra Microsoft.

Bedriftskunder oppfordres til å sørge for at de er forberedt på endringen, og være klare til å implementere skadebegrensninger ved å teste applikasjonene (enten spesialutviklede eller kjøpt). Hvis du vil ha mer informasjon, kan du se delen med "Anbefalinger".

Microsoft er forpliktet til å håndtere denne atferdsendringen i sine produkter og tjenester før utgivelsesdatoen for Chrome 80. Denne artikkelen gjennomgår veiledninger fra både Microsoft og Google, for å installere de forskjellige oppdateringene som kreves for produkter og biblioteker, samt veiledningen for testing og forberedelse. Det er imidlertid like viktig at du tester dine egne applikasjoner mot denne endringen i Chrome-atferd, og forbereder dine egne nettsteder og webapplikasjoner etter behov.

Effekt på kundeapplikajsoner

Obs!

Hvis du ikke kan se gjennom tillatelser når du prøver å aktivere en Microsoft Learn-sandkasse, tømmes nettleserdata ved å navigere til chrome://settings/clearBrowserData.

Alle Microsoft Cloud-tjenester er oppdatert for å overholde de nye kravene fra Chrome, men noen andre applikasjoner kan fortsatt bli berørt. Undersøk delen med "Anbefalinger" for noen serverprodukter som krever oppdatering hos kundene.

Du bør teste alle applikasjoner nøye ved å bruke Chrome Beta versjon 80, for å bekrefte effekten av denne endringen. Vi forventer at problemer som ligner på problemene beskrevet i denne artikkelen, vil påvirke applikasjonene dine. Dette gjelder spesielt applikasjoner som bruker hvilken som helst webplattform eller teknologi som er avhengig av deling av informasjonskapsler på tvers av domener, for eksempel apper som er innebygd i andre apper.

Chrome versjoner 78 og 79 betas har en forbedring som forsinker SameSite:Laxattributthåndhevelse i to minutter. Bruk av disse versjonene for testing kan imidlertid skjule andre problemer. Derfor anbefaler vi at du tester ved å bruke Chrome versjon 80 ved å ha spesifikke flagg aktivert. Ved å gjøre dette, får du i det minste hjelp til å oppdage effekten slik at du kan bestemme tiltakene dine. Hvis du vil ha mer informasjon, kan du se delen "Testveiledninger".

Microsoft Edge-nettleser på Chromium (versjon 80) påvirkes ikke av disse SameSite-endringene. Du kan lese Edge-dokumentasjonen å se gjeldende plan for tilpasning av denne endringen.

Anbefalinger

Microsoft-kunder som bruker Active Directory Federation Services (AD FS) eller Web Application Proxy, må distribuere en av følgende Windows Server-oppdateringer:

Produkt KB-artikkel Utgivelsesdato
Windows Server 2019 KB 4534273 tirsdag 14. januar 2020
Windows Server 2016 KB 4534271 tirsdag 14. januar 2020
Windows Server 2012 R2 KB 4534309 tirsdag 14. januar 2020

Følgende Microsoft-server eller klientprodukter må også oppdateres. Oppdateringene vil bli lagt til i denne artikkelen når de er tilgjengelige. Vi anbefaler at du besøker denne artikkelen regelmessig for de siste oppdateringene.

Produkt KB-artikkel Utgivelsesdato
Exchange Server 2019 KB 4537677 tirsdag 17. mars 2020
Exchange Server 2016 KB 4537678 tirsdag 17. mars 2020
Exchange Server 2013 KB 4484360 tirsdag 12. mai 2020
Exchange Server 2010 KB 4484388 tirsdag 12. mai 2020
SharePoint Foundation 2013 KB 4484364
(Kumulativ oppdatering: KB 4484358)1		 tirsdag 12. mai 2020
SharePoint Foundation 2010 KB 4484386 mandag 27. april 2020
SharePoint Server 2019 KB 4484259 tirsdag 11. februar 2020
SharePoint Server 2016 KB 4484272 tirsdag 10. mars 2020
SharePoint Server 2013 KB 4484362 tirsdag 12. mai 2020
SharePoint Server 2010 KB 4484389 tirsdag 12. mai 2020
Skype for Business Basic 2019 KB 4549672
(Kumulativ oppdatering: KB 4582629)1		 September 2020 kumulativ oppdatering (CU 4)
Skype for Business Basic 2015 KB 4549672
(Kumulativ oppdatering: KB 4558387)1		 Mai 2020 kumulativ oppdatering (CU 11)

Obs!

1 Denne kumulative oppdateringen inneholder løsningen for SameSite-informasjonskapselproblemet, pluss tilleggsrettinger som ikke er relatert til problemet med SameSite-informasjonskapsler. Microsoft anbefaler at du installerer den kumulative oppdateringen i stedet for den individuelle oppdateringen, for å sikre at miljøet ditt har alle løsningene tilgjengelige på tidspunktet for utgivelsen av den kumulative oppdateringen.

Du må teste applikasjonene dine for alle følgende scenarier, og bestemme riktig plan basert på resultatet av testene:

  • Applikasjonen din påvirkes ikke av SameSite-endringene. I dette tilfellet er det ingen tiltak som skal gjøres.
  • Applikasjonen din er berørt, men programvareutviklerne kan gjøre endringen i tide til å bruke SameSite:Non-informasjonskapselinnstillinger. I dette tilfellet bør du endre applikasjonen din ved å følge utviklerveiledningen i delen med "Retningslinjer for testing".
  • Applikasjonen din er berørt, men kan ikke endres i tide. For interne nettsteder kan applikasjonen ekskluderes fra SameSite-håndhevelsesadferd i Chrome ved å bruke LegacySameSiteCookieBehaviorEnabledForDomainList-innstillingen.

Hvis bedriftskunder får vite at de fleste av appene deres er berørt, eller hvis de ikke har nok tid til å teste appene sine før den gradvise utgivelsen av funksjonen starter 18. februar, oppfordres de til å deaktivere SameSite-atferden på datamaskiner de styrer. De kan gjøre dette ved å bruke gruppepolicy, System Center Configuration Manager eller Microsoft Intune (eller hvilken som helst mobil enhetsadministrasjonsprogramvare) til de kan bekrefte at den nye atferden ikke bryter med grunnleggende scenarier i appene sine.

Google har gitt ut følgende bedriftskontroller som kan settes til å deaktivere SameSite-håndhevelsesadferd i Chrome:

For bedriftskunder som utvikler applikasjonene sine på .NET Framework, anbefaler vi at de oppdaterer biblioteker og angir SameSite-atferd med vilje for å unngå uforutsigbare resultater som er forårsaket av endringen i informasjonskapselens atferd. Forå gjøre dette, ser du veiledningen i følgende artikkel i Microsoft ASP.NET Blog:

Kommende SameSite Cookie-endringer i ASP.NET og ASP.NET Core

Se også følgende Google Chromium Blog-artikkel for veiledning til utviklere om dette problemet:

Utviklere: Gjør deg klar for nytt SameSite=None; sikre informasjonskapselinnstillinger

Kunder som har påvirkede nettsteder som påvirker forbrukere eller brukere som ikke er dekket av Enterprise-retningslinjene, må instruere brukerne om å bruke en annen nettleser (Edge, Firefox, Internet Explorer) eller gi brukerne opplæring hvordan deaktiverer innstillingene i Chrome (som vist i neste avsnitt) mens de korrigerer applikasjonene sine.

Retningslinjer for testing

Google har publisert denne veiledningen slik at utviklere kan forberede seg på SameSite-endringene. I tillegg anbefaler vi at du tester nettsteder og apper ved å bruke følgende tilnærming.

Bruk Chrome Beta versjon 80 for å teste scenariene:

  1. Last ned Chrome Beta versjon 80:

  2. Start Chrome ved å bruke følgende ekstra kommandolinjeflagg: --enable-features=SameSiteDefaultChecksMethodRigorously

  3. Aktiver SameSite-flaggene. For å gjøre dette, skriv chrome://flags i adressefeltet, søk etter SameSite og velg deretter Aktivert for følgende alternativer.

Skjermbilde for å aktivere SameSite-innstillingene i Chrome.

Mer informasjon

Nettsamfunnet jobber med en løsning for å håndtere den voldelige bruken av sporings-informasjonskapsler og forfalskning på tvers av nettsteder, gjennom en standard som er kjent som SameSite.

Chrome-teamet hadde kunngjort planer om å rulle ut en endring i standardadferd av SameSite-funksjonaliteten som startet i en versjon av Chrome versjon 78 Beta 18. oktober 2019. Denne lanseringen flyttes til Chrome versjon 80-utgivelsen 4. februar 2020. Denne endringen bidrar til å forbedre websikkerheten. Imidlertid bryter den også autentiseringsflyter som er basert på OpenID Connect-standarden. Derfor fungerer ikke veletablerte autentiseringsmønstre.

Kontrollerer Chrome-versjonen

Hvis du mistenker at brukerne bruker en Chrome-versjon 76 eller en nyere versjon som har SameSite aktivert, kan du sjekke versjonsnummeret ved å navigere til chrome://settings/helpeller ved å velge Chrome-innstillingsikonet og deretter velge Hjelp>Om Google Chrome.

Skjermbilde viser trinn for å sjekke Chrome-versjonen.

Naviger til for 77–79 versjoner av Chrome chrome://flagsfor å se om de har flaggene aktivert. Standardinnstillingen begynner å endres i Chrome versjon 80 på en gradert utgivelse.

Ansvarsfraskrivelse for informasjon fra tredjeparter

Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, implisitt eller på annen måte, om disse produktenes ytelse eller pålitelighet.

Ansvarsfraskrivelse for informasjon fra tredjeparter

Microsoft tilbyr kontaktopplysninger for tredjeparter for å hjelpe deg å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten forvarsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene for tredjeparter.