Effekt på kundwebbplatser och Microsoft-tjänster och produkter i Chrome version 80 eller senare

  • Artikel
  • Gäller för:
    Microsoft 365, Azure Active Directory, Azure

Obs!

Tidigare hänvisade den här artikeln till Google Chrome Beta version 79. Google är planerat att släppa ett cookiebeteende i Chrome Stable version 80. Chrome har uppdaterat sin distributionstidslinje för att indikera att denna ändring kommer att distribueras i Chrome 80 från och med vecka 7. Chrome 80 skickas den 4 februari och har den här funktionen inaktiverad som standard. Funktionen kommer att aktiveras på ett graderat schema som börjar den 17 februari.

Sammanfattning

Den stabila utgåvan av webbläsaren Google Chrome (version 80, planerad att släppas 4 februari 2020) kommer att distribuera en ändring av standardcookie-beteendet från och med vecka med 17 februari. Även om ändringen är avsedd att avskräcka från skadlig cookiespårning och skydda webbapplikationer förväntas den också påverka många applikationer och tjänster som är baserade på öppna standarder. Detta inkluderar Microsofts molntjänster.

Företagskunder uppmuntras att se till att de är beredda på förändringen och är redo att genomföra mildringar genom att testa sina applikationer (oavsett om de är specialutvecklade eller köpta). Mer information finns i avsnittet "Rekommendationer".

Microsoft förbinder sig att ta itu med denna förändring av beteende i sina produkter och tjänster innan Chrome 80-släppdatum. Den här artikeln diskuterar vägledningen från både Microsoft och Google för installation av olika uppdateringar som krävs för produkter och bibliotek, och vägledning för testning och förberedelse. Det är dock lika viktigt att du testar dina egna applikationer mot denna förändring i Chrome-beteende och förbereder dina egna webbplatser och webbapplikationer efter behov.

Effekt på kundapplikationer

Obs!

Om du inte kan granska behörigheter när du försöker aktivera ett begränsat läge av Microsoft Learn, rensa webbhistorik genom att navigera till chrome://settings/clearBrowserData.

Alla Microsoft Cloud-tjänster uppdateras för att uppfylla de nya kraven från Chrome, men vissa andra applikationer kan fortfarande påverkas. Kontrollera avsnittet "Rekommendationer" för vissa serverprodukter som kräver uppdatering av kunder.

Du bör testa noggrant alla applikationer genom att använda version 80 av Chrome Beta för att verifiera effekten av denna ändring. Vi förväntar oss att problem som liknar de problem som den här artikeln beskriver kommer att påverka dina applikationer. Detta gäller särskilt för applikationer som använder vilken webbplattform eller teknik som helst som bygger på cookiedelning över domäner, som till exempel appar som är inbäddade i andra appar.

Betaversionerna 78 och 79 av Chrome har en förbättring som försenar SameSite:Laxattributhanteringen i två minuter. Att använda dessa versioner för testning kan dock dölja andra problem. Därför rekommenderar vi att du testar genom att använda version 80 av Chrome genom att aktivera specifika flaggor. Att göra detta kan åtminstone hjälpa dig att upptäcka effekten så att du kan bestämma din bästa plan. Mer information finns i avsnittet "Testriktlinjer".

Microsoft Edge-webbläsaren på Chromium (version 80) påverkas inte av dessa SameSite-ändringar. Du kan läsa Edge-dokumentationen för att se den nuvarande planen för att anpassa denna förändring.

Rekommendationer

Microsoft-kunder som använder Active Directory Federation Services (AD FS) eller Web Application Proxy måste distribuera en av följande Windows Server-uppdateringar:

Produkt KB-artikel Utgivningsdatum
Windows Server 2019 KB 4534273 14 januari 2020
Windows Server 2016 KB 4534271 14 januari 2020
Windows Server 2012 R2 KB 4534309 14 januari 2020

Följande Microsoft-server eller klientprodukter måste också uppdateras. Uppdateringarna läggs till i den här artikeln när de är tillgängliga. Vi rekommenderar att du regelbundet besöker den här artikeln för de senaste uppdateringarna.

Produkt KB-artikel Utgivningsdatum
Exchange Server 2019 KB 4537677 17 mars 2020
Exchange Server 2016 KB 4537678 17 mars 2020
Project Server 2013 KB 4484360 12 maj 2020
Project Server 2010 KB 4484388 12 maj 2020
SharePoint Foundation 2013 KB 4484364
(Kumulativ uppdatering: KB 4484358)1		 12 maj 2020
SharePoint Foundation 2010 KB 4484386 27 april 2020
SharePoint Server 2019 KB 4484259 11 februari 2020
SharePoint Server 2016 KB 4484272 10 mars 2020
SharePoint Server 2013 KB 4484362 12 maj 2020
SharePoint Server 2010 KB 4484389 12 maj 2020
Skype för företag Server 2019 KB 4549672
(Kumulativ uppdatering: KB 4582629)1		 Kumulativ uppdatering (CU 4) för september 2020
Skype för företag Server 2015 KB 4549672
(Kumulativ uppdatering: KB 4558387)1		 Kumulativ uppdatering (CU 11) för maj 2020

Obs!

1 Den här kumulativa uppdateringen innehåller korrigeringen för cookieproblemet SameSite plus ytterligare korrigeringar som inte är relaterade till cookieproblemet SameSite. Microsoft rekommenderar att du installerar den kumulativa uppdateringen snarare än den enskilda uppdateringen för att säkerställa att din miljö har alla korrigeringar tillgängliga när den kumulativa uppdateringen släpptes.

Du måste testa dina program för alla följande scenarier och bestämma lämplig plan baserat på resultatet av testerna:

  • Din ansökan påverkas inte av SameSite-ändringarna. I det här fallet finns det inga åtgärder att vidta.
  • Ditt program påverkas, men dina programutvecklare kan göra ändringen i tid för att använda cookieinställningarna SameSite:None. I det här fallet bör du ändra ditt program genom att följa utvecklarhandledningen i avsnittet "Testriktlinjer".
  • Ditt program påverkas men kan inte ändras i tid. För interna webbplatser kan applikationen uteslutas från verkställighetsbeteendet SameSite i Chrome genom att använda inställningen LegacySameSiteCookieBehaviorEnabledForDomainList.

Företagskunder uppmuntras att inaktivera SameSite-beteendet på de datorerna de styr om de får veta att de flesta av deras appar påverkas, eller om de inte har tillräckligt med tid för att testa sina appar innan den gradvisa utgivningen av funktionen som börjar den 18 februari. De kan göra detta genom att använda Grupprincip, System Center Configuration Manager eller Microsoft Intune (eller någon annan mobil enhetshanteringsprogramvara) tills de kan verifiera att det nya beteendet inte bryter grundläggande scenarier i deras appar.

Google har släppt följande företagskontroller som kan ställas in för att inaktivera verkställighetsbeteendet SameSite i Chrome:

För företagskunder som utvecklar sina applikationer på .NET Framework rekommenderar vi att de uppdaterar bibliotek och ställer in beteendet SameSite med avsikt för att undvika oförutsägbara resultat som orsakas av förändringen av cookiebeteendet. Mer information finns i följande artikel av Microsoft ASP.NET Blog:

Kommande SameSite-cookieändringar i ASP.NET och ASP.NET Core

Se även följande bloggartikel av Google Chromium för utvecklarvägledning om detta problem:

Utvecklare: Gör dig redo för ny SameSite=None; säkra cookieinställningar

Kunder som har påverkade webbplatser som påverkar konsumenter eller användare som inte omfattas av företagspolicyn måste instruera användarna att använda en annan webbläsare (Edge, Firefox, Internet Explorer) eller gå igenom med dessa användare hur man inaktiverar inställningarna i Chrome (som visas i nästa avsnitt) medan de fixar sina applikationer.

Testriktlinjer

Google har publicerat denna vägledning för utvecklare att förbereda sig för SameSite-ändringarna. Dessutom rekommenderar vi att du testar dina webbplatser och appar med följande metod.

Använd version 80 av Chrome Beta för att testa scenarierna:

  1. Ladda ner version 80 av Chrome Beta:

  2. Starta Chrome genom att använda följande extra kommandoradsflagga: --enable-features=SameSiteDefaultChecksMethodRigorously

  3. Aktivera SameSite-flaggorna. För att göra detta, skriv chrome://flags i adressfältet, sök efter SameSite och välj sedan Aktiverad för följande alternativ.

Skärmdump för att aktivera SameSite-inställningarna i Chrome.

Mer information

Webbcommunityn arbetar med en lösning för att hantera missbruk av spårningscookies och förfalskning på begäran över en webbplats genom en standard som är SameSite.

Chrome-teamet hade meddelat planer på att lansera en förändring av standardbeteendet av SameSite-funktionalitet med början i en ny version av Chrome version 78 beta den 18 oktober 2019. Denna lansering flyttas till släppningen av version 80 av Chrome den 4 februari 2020. Denna förändring hjälper till att förbättra webbsäkerheten. Den bryter dock också autentiseringsflöden som baseras på OpenID Connect-standarden. Därför fungerar inte väletablerade verifieringsmönster.

Kontrollerar Chrome-versionen

Om du misstänker att dina användare använder versionen 76 av Chrome eller en senare version som har SameSite aktiverat kan du kontrollera versionsnumret genom att navigera till chrome://settings/helpeller genom att välja Chrome-inställningsikonen och sedan välja Hjälp>Om Google Chrome.

Skärmdumpen visar stegen för att kontrollera Chrome-versionen.

För versionerna 77–79 av Chrome, navigera till chrome://flagsför att se om de har flaggorna aktiverade. Standardinställningen kommer att börja ändras i version 80 av Chrome på en gradvis frisläppning.

Ansvarsfriskrivning för information från tredje part

De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.

Ansvarsfriskrivning för tredje part

Kontaktinformationen för andra företag i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontaktinformationen är korrekt.