Active Directoryデスクトップシングルサインオンの既知の問題

新しいデスクトップシングルサインオン（DSSO）構成を実装するとき、または既存のDSSO構成を移行するときの既知の問題は次のとおりです。

• 1人のユーザーが600を超えるセキュリティ・グループのメンバーシップを持っている場合、またはKerberosトークンが大きすぎてOktaが現時点でそれを受け入れられない場合、エージェントレスDSSOは機能しません。大きなKerberosパケットを持つユーザーが、エージェントレスDSSOを実装または移行すると、400の応答が表示され、通常のサインイン・ページにリダイレクトされます。
• 2008以下の機能レベルのWindowsでは、安全性の低い暗号化のRC4が使用されています。最も安全な暗号化アルゴリズムが確実に使用されるように、Windowsの機能レベルを2008以上にアップグレードすることをお勧めします。
• Agentless DSSOを再度有効にする場合は、IDプロバイダー（IDP）のルーティングルールを手動で再アクティブ化する必要があります。
• 代理認証が無効になっていて、［Don't create Okta password（Oktaパスワードを作成しないでください）］が選択されている場合、Agentless DSSOは機能しません。代理認証の詳細については、「代理認証」を参照してください。
• DSSOの自動フェイルオーバーに使用されるデフォルトのサインインページは、HTMLのカスタマイズをサポートしていません。
• IDプロバイダー（IdP）の顧客エラーページとorgのURLが同じ場合、無限のリダイレクトループが発生する可能性があります。
• サービスアカウントのユーザー名とActive Directoryユーザーのアカウント名が一致しない場合、Agentless DSSOが失敗する可能性があります。この場合は、デフォルトのサインインページに戻り、GSS_ERRエラーがSyslogに表示されます。サービスアカウントのユーザー名とActive Directoryユーザーアカウントは、大文字と小文字が区別されており、一致する必要があります。
• RC4_HMAC_MD5暗号化は、ADSSOとOffice 365のサイレントアクティベーションではサポートされていません。ADSSOまたはOffice 365のサイレントアクティベーションを使用する場合、AES 128ビット（AES-128）またはAES 256ビット（AES-256）暗号化の使用を推奨します。AES暗号化の実装時にWindowsイベントビューアーにKDC_ERR_ETYPE_NOTSUPPエラーが表示される場合は、「Kerberos Unsupported etype error」を参照してください。
• Microsoft Edge（レガシー）はサポートされていません。新しいChromiumベースのEdgeがサポートされます。
• Microsoft Teamsバージョン4.0.8.0以降がサポートされます。