以下は Microsoft 365 管理センターに届いていたメッセージです。
管理者以外では知らない方もいらっしゃると思うので、一部補足も含め下記に記載しておきます。
==================================
2020年2月4日にリリース予定のChrome 80 安定リリース では、Cookie 処理方法が変更されます。悪意のある Cookie の追跡を防ぐことを目的にしているとのこと。新しい処理方法は 2020年2月17日週から順次展開される予定のようです。
この話は基本的にWeb開発者が把握しておくべき話です(が、対応によってはユーザーにも影響がでます)。クロスサイト Cookie を管理している場合に注意しなくてはいけません。具体的にはSameSite値が宣言されていない Cookie は SameSite=Lax として扱われ、SameSite=None;Sucure 設定がされているものだけが外部サイトにアクセスできるようになるとのこと。
詳細は下記の情報を参照してください。
[関連情報]
- Developers: Get Ready for New SameSite=None; Secure Cookie Settings
- [日本語] 新しい Cookie 設定 SameSite=None; Secure の準備を始めましょう
ということで、Chrome は既定のWebサイトとクッキーの動作方法を変更するため、これに先駆けてMicrosoft は Microsoft 3 65 スイート(Office Online, Power BI など)を更新するそうです。2020年2月4日までに製品およびサービスに対してこの変更に対処するとのこと。
Microsoft 365 側は対処するとのことですが、自社開発アプリなども例外ではなく、事前準備せずにいる場合に遭遇する可能性がある問題は次の通り。
- アプリケーション内の認証が失敗する、もしくはループする可能性
- クロスドメイン Cookie に依存する基幹系アプリケーションが壊れる可能性
- 他の組織が実行する組織内のSaaSアプリを使っている場合に動作が停止してしまう可能性
そこで、Microsoft 社は書くアプリを検証して問題があれば修正する時間をとることを推奨しています。
- Chrome のベータをダウンロードし、SameSite フラグを有効にして検証する
- 必要に応じてSameSite=None フラグを設定するように更新すること
また、グループポリシーを使って、確実な動作が担保できるまで Chrome 内の変更を無効化することも考慮に入れておきましょう、とのこと。
ADFS またはWebアプリケーションプロキシを使用している方は Windows の更新プログラムの展開が必要であり、今後、オンプレミスのExchange Server, SharePoint Server, Skype for Business クライアントも更新プログラムが提供されるようです。
システム管理者の方は下記のリンク先を一読することをお勧めします。
コメント