Chrome バージョン 80 以降の顧客向け Web サイトおよび Microsoft サービスと製品への影響
注:
以前は、この記事では Google Chrome Beta バージョン 79 を参照しました。 Google は Chrome Stable バージョン 80 で Cookie の動作をリリースする予定です。 Chrome はロールアウトのタイムラインを更新し、この変更が 2 月 17 日の週から Chrome 80 で展開される予定です。 Chrome 80 は 2 月 4 日に出荷され、この機能は既定で無効になっています。 この機能は、2 月 17 日から段階的なスケジュールで有効になります。
概要
Google Chrome Web ブラウザーの Stable リリース (ビルド 80、2020 年 2 月 4 日にリリース予定) は、2 月 17 日の週から既定の Cookie 動作に変更を展開します。 この変更は、悪意のある Cookie の追跡を阻止し、Web アプリケーションを保護することを目的としますが、オープン標準に基づく多くのアプリケーションやサービスにも影響を与える可能性があります。 これには、Microsoft クラウド サービスが含まれます。
エンタープライズのお客様は、変更に備えて、アプリケーション (カスタム開発または購入) をテストして軽減策を実装する準備ができていることを確認してください。 詳細については、「推奨事項」セクションを参照してください。
Microsoft は、Chrome 80 のリリース日より前に、製品とサービスの動作の変化に対処します。 この記事では、製品とライブラリに必要なさまざまな更新プログラムをインストールする際の Microsoft と Google の両方からのガイダンスと、テストと準備のガイダンスについて説明します。 ただし、Chrome 動作のこの変更に対して独自のアプリケーションをテストし、必要に応じて独自の Web サイトと Web アプリケーションを準備するのも同様に重要です。
顧客アプリケーションへの影響
注:
Microsoft Learn サンドボックスをアクティブ化しようとしたときにアクセス許可を確認できない場合は、chrome://settings/clearBrowserData に移動して閲覧データをクリアします。
すべての Microsoft Cloud サービスは、Chrome によって行われた新しい要件に準拠するよう更新されますが、他の一部のアプリケーションは影響を受ける可能性があります。 顧客による更新が必要な一部のサーバー製品については、「推奨事項」セクションを確認してください。
この変更の影響を確認するには、Chrome Beta バージョン 80 を使用してすべてのアプリケーションを徹底的にテストする必要があります。 この記事で説明する問題と同様の問題は、アプリケーションに影響を与える可能性があります。 これは、他のアプリに埋め込まれているアプリなど、クロスドメイン Cookie 共有に依存する Web プラットフォームまたはテクノロジを使用するアプリケーションに特に当てはまります。
Chrome バージョン 78 と 79 のベータ版では、SameSite:Lax 属性の適用を 2 分間遅くする機能が改善されています。 ただし、テストにこれらのバージョンを使用すると、他の問題がマスクされる場合があります。 そのため、特定のフラグを有効にすることで、Chrome バージョン 80 を使用してテストすることをお勧めします。 これを行う場合は、少なくとも、最適な計画を決定するために効果を発見するのに役立ちます。 詳細については、「テスト ガイドライン」セクションを参照してください。
Chromium (バージョン 80) の Microsoft Edge ブラウザーは、これらの SameSite の変更の影響を受けません。 Edge の ドキュメントを参照して、 この変更を適応する現在の計画を確認できます。
推奨事項
Active Directory フェデレーション サービス (AD FS) または Web アプリケーション プロキシを使用する Microsoft のお客様は、次のいずれかの Windows Server 更新プログラムを展開する必要があります。
| 製品 | サポート技術情報の文書番号 | リリース日 |
|---|---|---|
| Windows Server 2019 | KB 4534273 | 2020 年 1 月 14 日 |
| Windows Server 2016 | KB 4534271 | 2020 年 1 月 14 日 |
| Windows Server 2012 R2 | KB 4534309 | 2020 年 1 月 14 日 |
次の Microsoft サーバーまたはクライアント製品も更新する必要があります。 更新プログラムは、利用可能なときにこの記事に追加されます。 最新の更新プログラムについては、定期的にこの記事を再訪することをお勧めします。
| 製品 | サポート技術情報の文書番号 | リリース日 |
|---|---|---|
| Exchange Server 2019 | KB 4537677 | 2020 年 3 月 17 日 |
| Exchange Server 2016 | KB 4537678 | 2020 年 3 月 17 日 |
| Project Server 2013 | KB 4484360 | 2020 年 5 月 13 日 |
| Project Server 2010 | KB 4484388 | 2020 年 5 月 13 日 |
| SharePoint Foundation 2013 |
KB 4484364 (累積的な更新プログラム: KB 4484358)1 |
2020 年 5 月 13 日 |
| SharePoint Foundation 2010 | KB 4484386 | 2020 年 4 月 27 日 |
| SharePoint Server 2019 | KB 4484259 | 2020 年 2 月 11 日 |
| SharePoint Server 2016 | KB 4484272 | 2020 年 3 月 10 日 |
| SharePoint Server 2013 | KB 4484362 | 2020 年 5 月 13 日 |
| SharePoint Server 2010 | KB 4484389 | 2020 年 5 月 13 日 |
| Skype for Business Server 2019 |
KB 4549672 (累積的な更新プログラム: KB 4582629)1 |
2020 年 9 月の累積的な更新プログラム (CU 4) |
| Skype for Business Server 2015 |
KB 4549672 (累積的な更新プログラム: KB 4558387)1 |
2020 年 5 月の累積的な更新プログラム (CU 11) |
注:
1 この累積的な更新プログラムには、SameSite Cookie の問題に対する修正プログラムと、SameSite Cookie の問題とは無関係の追加の修正プログラムが含まれています。 Microsoft では、累積的な更新プログラムがリリースされた時点で環境に利用可能なすべての修正プログラムが含まれているか確認するために、個々の更新プログラムではなく累積的な更新プログラムをインストールしてください。
次のすべてのシナリオについてアプリケーションをテストし、テストの結果に基づいて適切な計画を決定する必要があります。
- アプリケーションは、SameSiteの変更による影響を受けません。 この場合、実行するアクションはありません。
- アプリケーションが影響を受けるが、ソフトウェア開発者は SameSite:None Cookie 設定を使用する時間内に変更を加える可能性があります。 この場合は、「テスト ガイドライン」セクションの開発者向けガイダンスに従ってアプリケーションを変更する必要があります。
- アプリケーションは影響を受けるが、時間内に変更することはできません。 内部サイトの場合、LegacySameSiteCookieBehaviorEnabledForDomainList 設定を使用して、アプリケーションを Chrome の SameSite 強制動作から除外できます。
企業のお客様は、ほとんどのアプリが影響を受けたことを知った場合や、2 月 18 日から機能が段階的にリリースされる前にアプリをテストする時間が足りない場合は、管理するコンピューターで SameSite の動作を無効にしてください。 これを行うには、グループ ポリシー、System Center Configuration Manager、または Microsoft Intune (または任意のモバイル デバイス管理ソフトウェア) を使用して、新しい動作がアプリの基本的なシナリオを壊すのを確認できます。
Google は、Chrome で SameSite 強制動作を無効に設定できる次のエンタープライズ コントロールをリリースしました。
- LegacySameSiteCookieBehaviorEnabled。この変更を有効または無効にします。
- LegacySameSiteCookieBehaviorEnabledForDomainList。これにより、Chrome は特定のドメインでこのポリシーを無効にできます。
.NET Framework でアプリケーションを開発する企業のお客様は、ライブラリを更新し、Cookie 動作の変化によって予期しない結果が発生しないように、意図的に SameSite 動作を設定することをお勧めします。 これを行うには、次の Microsoft ASP.NET のブログ記事のガイダンスを参照してください。
ASP.NET および ASP.NET Core での今後の SameSite Cookie の変更点
また、この問題に関する開発者向けガイダンスについては、次の Google Chromium ブログの記事を参照してください。
Developers: Get Ready for New SameSite=None; Secure Cookie Settings
ユーザーまたはエンタープライズ ポリシーの対象ではないユーザーに影響を与えるサイトに影響を与えたお客様は、アプリケーションの修正中に、別のブラウザー (Edge、Firefox、Internet Explorer) を使用するか、Chrome の設定を無効にする方法 (次のセクションに示すように) を実行するようにユーザーに指示する必要があります。
テスト ガイドライン
Google は、SameSite の変更に備える開発者向けのこのガイダンスを公開しました。 さらに、次の方法を使用して Web サイトとアプリをテストすることをお勧めします。
Chrome Beta バージョン 80 を使用してシナリオをテストします。
Chrome Beta バージョン 80 をダウンロードします。
- Windows 64 ビットの場合: Windows 用ベータ チャネル (64 ビット)
- Windows 32 ビットの場合: Windows 用ベータ チャネル (32 ビット)
次の追加のコマンド ライン フラグを使用して Chrome を起動します。
--enable-features=SameSiteDefaultChecksMethodRigorouslySameSite フラグを有効にします。 これを行うには、アドレス バーに「chrome://flags」と入力し、SameSite を検索して、次のオプションで [有効] を選択します。
詳細情報
Web コミュニティは、SameSite と呼ばれる標準を通じて、トラッキング Cookie とクロスサイト リクエスト フォージェリの不正使用に対処するソリューションに取り組んでいます。
Chrome チームは、2019 年 10 月 18 日にリリースされた Chrome バージョン 78 Beta から、SameSite 機能の既定の動作に変更を展開する計画を発表しました。 このロールアウトは、2020 年 2 月 4 日に Chrome バージョン 80 リリースに移行されます。 この変更は、Web セキュリティの向上に役立ちます。 ただし、OpenID Connect 標準に基づく認証フローも壊れます。 したがって、認証の確立されたパターンは機能しません。
Chrome バージョンの確認
ユーザーが SameSite を有効にした Chrome バージョン 76 以降のバージョンを使用していると思われる場合は、chrome://settings/help に移動するか、Chrome 設定アイコンを選択してから [ヘルプ] >[Google Chrome について] の順に選択することでバージョン番号を確認できます。
Chrome の 77 ~ 79 バージョンの場合は、chrome://flags に移動して、フラグが有効になっているかどうかを確認します。 既定の設定は、Chrome バージョン 80 では、段階的なリリースで変更され始めます。
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
サードパーティのお問い合わせ窓口に関する免責事項
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。