Microsoft Edgeを利用したOffice 365のシングルサインオン

皆さん、こんにちは。国井です。

Windows 10の登場とともに新しいブラウザーMicrosoft Edgeが使えるようになりましたね。
企業内でのWindows 10の利用、ましてやMicrosoft Edgeの利用となると、
まだまだ先の話だと思います。しかし、今後、Microsoft Edgeブラウザーを利用して
Office 365のシングルサインオン(SSO)を行う機会が出てきた時のために
どのように利用すべきか、確認しておきましょう。

■ ■ ■

まずはデフォルトの状態でのMicrosoft EdgeでのSSOの動きを確認しておきましょう。
Office 365のポータルサイトのURL(https://portal.office.com)にアクセスし、
SSOで使用するユーザー名を入力して、Enterキーを押すと

image

このように別の認証画面が表示されます。
(条件によって表示されたり、されなかったりするのですが、ここでは割愛します)

image

ところが、パスワードを入力してサインインすると、下の画面が表示されます。
これは何でしょう??

image

見た目にはよくわかりませんが、認証自体は完了しているようです。
その証に、URL欄にmail.office365.comと入力してアクセスすると、OWAに
(あらためて認証することなく)アクセスできることがわかります。

image

しかし、これではSSOではありませんし、そもそもURLをもう一度入れなおすなんて、運用的にはNGじゃないかと思うのです。
そこで、これをきちんとSSOアクセスできるように設定していきましょう。

MVP渡辺さんのブログ「IE以外でADFSにSSOする(2012R2編)」でも紹介しているように、Windows Server 2012 R2のADFSは(Get-AdfsProperties).wiasupporteduseragentsコマンドレットで定義されている、HTTPヘッダーのUser-Agent文字列と同じ文字列のみSSOできるように構成されています。Microsoft Edgeに記載されるUser-Agent文字列はデフォルトで設定されているUser-Agent文字列に含まれないので、Microsoft EdgeのUser-Agent文字列を追加してあげます。ちなみにUser-Agent文字列は

"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.71 Safari/537.36 Edge/12.0"

なので、いずれかを追加してあげれば、SSOのためのADFSサーバー側の設定が整います。
(Microsoft EdgeのUser-Agent文字列って、なんでもアリな文字列ですね)
そのため、渡辺さんが紹介しているWindows PowerShellコマンドレットをそのまま実行すればOKです。

$old=(Get-AdfsProperties).WIASupportedUserAgents
$new=$old+”Mozilla/5.0″
Set-ADFSProperties -WIASupportedUserAgents $new

2017年1月19日追記
Mozilla系ブラウザーすべてではなく、Microsoft Edgeだけ許可したい場合は
Edge/12.0を追加します。ちなみに、Windows 10 Version 1607のEdgeは
Edge/14.14393です。14393ってVersion 1607のビルド番号なので、
今後ビルド番号が上がるたびにUser-Agentが変わる可能性があります。
そんなの面倒なので、そういうときは$new=$old+”Edge/14″と登録しましょう。
そうすれば、14.xxxxすべて対応します。

これでアクセスすると、SSOになるかと思いきや
今度は認証ダイアログが出てきてしまいました。

image

このようなダイアログが表示される場合、Internet Explorerのときには、ローカルイントラネットゾーンにADFSサーバーのフェデレーションサービス名を含むURLを指定してSSOできるように構成することで解決していました。しかし、Microsoft Edgeにはゾーン設定がそもそもありません。

ところが、Windows 10のInternet Explorerから設定したローカルイントラネットゾーンの設定はMicrosoft Edgeでも利用できるので、Windows 10のInternet Explorerからローカルイントラネットゾーンにフェデレーションサービス名を含むURLを設定して、

image

Microsoft Edgeブラウザーからユーザー名を入力してEnterキーを押すと、

image

そのままサイトにアクセスできることが確認できます。

image

なお、外出先からサインインするときやドメイン参加していないPCからサインインするときは
以上の設定を行っても、今まで通り認証画面が表示され、サインインしてからOffice365サイトにアクセスできるようになります。