特定の端末でSSOが有効になりません

Question

Windows10のキッティング作業を行っています。

その際、NEC・HPのノートPCについては、Office365にリダイレクトができSSOでログインができました。

が、HPのデスクトップ(HP ProDesk 400 G4)ではどういうわけか、Office365にリダイレクトできず再度、ID・パスワードが

求められます。どちらも同じGPOが適用されており、IEの設定も同じです。ただし、HPのデスクトップも以下の設定を入れると、

SSOでログインできます。インターネットオプション>詳細設定>拡張保護モードを有効にする、にチェックを入れるとSSOでログインができます。切り分けとしてどのあたりを見ていけばいいのでしょうか、ご教授ください。

Answer 1

NEC のノート PC では「拡張保護モード」の設定はどうなっているのでしょう。またその設定により挙動が変わるでしょうか？

NEC と HP で Windows 10 のエディションやアーキテクチャは同じでしょうか？

HP の PC でクリーンブートしてみるとか、IE をアドオン無しで起動してみるとかも切り分けとしてはありでしょう。

---

Hebikuzure aka Murachi Akira

Answer 2

NECのノートPCでは、「拡張保護モード」にチェックは入っていません。業務上、、「拡張保護モード」にチェックは入れれません。HPにクリーンインストールすると期待通りの動作でした。Sysprepが問題なのでしょうか。ノートPCでは問題なく動作しているのに、デスクトップのみ動作が違うということはあるのでしょうか。

Answer 3

アドオンや常駐アプリケーションの影響を疑っています。

拡張保護モードを有効にすることで Internet Explorer で表示されているページのセキュリティ設定が変わる（強化される）ので、アドオンや常駐アプリケーションがそのページに対して機能しなくなり、SSO が期待通りに動作するというシナリオを想定しています。そのためアドオンなしでの IE の起動や Windows のクリーンブートでの確認をお勧めしました。

HP の PC でもクリーン インストールすれば期待通りの動作になるということは、やはり追加でインストールされているアドオンや常駐アプリケーションの影響の可能性を示唆しています。

> Sysprepが問題なのでしょうか

Sysprep する対象はクリーンインストールした Windows 10 から作成されていないのでしょうか？　もし OEM プリインストールの　Windows に対して Sysprep されているのであれば、そもそもそれは Microsoft がサポートしていない方法になります。

一番良いのは HP の PC にクリーンインストールした Windows から Sysprep でマスター イメージを作成されることだと思います。

---

Hebikuzure aka Murachi Akira

Answer 4

ご返信いただきありがとうございます。

>Sysprep する対象はクリーンインストールした Windows 10 から
>作成されていないのでしょうか？　もし OEM プリインストールの
>Windows に対して Sysprep されていのであれば、そもそもそれは
>Microsoft がサポートしていない方法になります。
OEM プリインストールからはSysprepしているわけではなく、
OEMのプリインストールされている製品をダウンロードして、マスタPC
にインストールしました。
それとは別にお客様からのご要望で20近くのアプリをインストールしています。

>一番良いのは HP の PC にクリーンインストールした Windows から
>Sysprep でマスター イメージを作成されることだと思います。
クリーンインストールしたPCでは問題が出ませんでした。
なので、アプリが原因なのかなと思っています。

あれこれ検証を進めていくと、どうもIEのセッションの受け渡しのところ
で失敗しています。

対象のURLにアクセス→同じ窓で画面を起動→SSO成功
対象のURLにアクセス→別窓で画面を起動→SSO失敗

たとえば、張ったセッションをまったく別のプロセスが奪うことなど
あるのでしょうか。

Answer 5

アクセスした際のタブ/ウィンドウの開き方に相違があるようなら、セキュリティ ゾーンの設定が異ならないか確認する、セキュリティ設定を既定値にリセットしてみる、なども見ておいた方が良いでしょう。

> OEM プリインストールからはSysprepしているわけではなく、
> OEMのプリインストールされている製品をダウンロードして、マスタPC
> にインストールしました

クリーン インストール環境をベースに OEM でプリインストールしているものと同じアプリケーションなどをインストールしている、ということでしょうか？

> お客様からのご要望で20近くのアプリをインストールしています

こちらはどちらの環境でも同じでしょうか？

---

Hebikuzure aka Murachi Akira

Answer 6

チャブーンです。

Office365でのシングルサインオン、ということですが、AD FS(フェデレーションサービス)でシングルサインオンさせているのでしょうか？

その場合、AD FSサインイン用URL(ホスト名)に対して、「信頼済みサイト」に登録されている必要があります。信頼済みサイトの場合、拡張保護モードは無効に設定されると思うのですが、もともと信頼済みサイトに登録されていないか、信頼済みサイトのセキュリティ設定上拡張保護モードが有効になってしまっているか、どちらかではないでしょうか？

---

フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

Answer 7

特にFSは使用していません。サードパーティにWebアクセスし、ADで認証後、SSOでアクセスできる仕組みです。正しい動きとしてWebで認証の際に、ADからの情報をもとに、社内イントラへSSOでアクセスできるのが正解です。

ローカル管理者でログインし、その後、ドメインユーザでWeb認証すれば期待値通りなのですが、ドメインユーザでログインし、その後、ドメインユーザでWeb認証すると、社内イントラへはID・パスワードが求められます。上記の事象からフォルダもしくは、ファイルへの権限まわりに原因があるように思えるのですが、ググっても見当たりませんでした。