ADFS 3.0 または 4.0 で統合 Windows 認証を有効にする

Active Directory Federation Services (ADFS) 3.0 または 4.0 で統合 Windows 認証 (IWA) を有効にするには、このタスクを完了します。

手順

  1. ADFS サーバーで、管理者として PowerShell を実行します。
  2. 以下の PowerShell コマンドを使用して、現在の ADFS 設定を表示します。 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  3. Notes クライアントや Chrome ブラウザのユーザーが存在する場合は、以下の PowerShell コマンドを使用して認証に対する拡張保護をオフにします。 
    Set-ADFSProperties –ExtendedProtectionTokenCheck None
  4. 次の PowerShell コマンドを使用して、IWA に参加できるユーザーエージェント (クライアントおよびブラウザー) を指定します。
    1. 現在使用されているユーザーエージェントを判別します。 
      Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
      コマンドからの出力に注意してください。
    2. IWA に参加できるユーザーエージェントを指定します。 
      Set-ADFSProperties -WIASupportedUserAgents @("<user_agent>", "<user_agent>","<user_agent>")
      ここで "<user_agent>" は、前の手順の出力で示された各ユーザーエージェントです。
      注: Notes 統合ログイン用に IWA を構成する場合、Notes クライアントに組み込まれているブラウザーを指定する必要もあります。Notes V10 以前のクライアントの場合は、Mozilla/4.0 を指定します。Notes V11 以降のクライアントの場合は、Mozilla/5.0 を指定します。
      以下に例を示します。 
      Set-ADFSProperties -WIASupportedUserAgents @("MSIE 6.0", "MSIE 7.0", "MSIE 8.0", "MSIE 9.0", "MSIE 10.0", "Trident/7.0", "MSIPC", "Windows Rights Management Client","MS_WorkFoldersClient" ,"=~Windows\s*NT.*Edge", "Firefox/25.0", "Firefox/47.0", "Mozilla/4.0", "Mozilla/5.0")
    3. 前の手順で指定したユーザーエージェントが構成されていることを確認します。 
      Get-AdfsProperties | select -ExpandProperty WiaSupportedUserAgents
  5. 以下の PowerShell コマンドを再度使用して、設定の変更を確認します。 
    $FormatEnumerationLimit=-1
Get-ADFSProperties
  6. 以下の手順を完了して、IWA を使用するように ADFS を設定します。
    • ADFS 4.0 の場合:
      1. ADFS Management を開きます。
      2. [サービス] > [認証方法] をクリックします。
      3. [プライマリ認証方法の編集] をクリックします。
      4. [プライマリ認証] タブのイントラネットセクションで、[Windows 認証] を選択します。オプションで、[フォーム認証] を選択します。[フォーム認証] を使用すると、Linux ユーザーや Mac ユーザーなど IWA を使用できないユーザーが SAML で認証できるようになります。
    • ADFS 3.0 の場合:
      1. ADFS Management を開きます。
      2. [認証ポリシー] をクリックします。
      3. [グローバル プライマリ認証の編集] をクリックします。
      4. [プライマリ認証]、[グローバル設定]、[認証方法] で、[編集] をクリックします。
      5. イントラネットセクションで、[Windows 認証] を選択します。オプションで、[フォーム認証] を選択します。[フォーム認証] を使用すると、Linux ユーザーや Mac ユーザーなど IWA を使用できないユーザーが SAML で認証できるようになります。
  7. ADFS サービスを再開します。