Active Directoryデスクトップ・シングル・サインオンの既知の問題

新しいデスクトップ・シングル・サインオン(DSSO)構成を実装するとき、または既存のDSSO構成を移行するときの既知の問題は次のとおりです。

  • 1人のユーザーが600を超えるセキュリティー・グループのメンバーシップを持っている場合、エージェントレスDSSOは機能しません。セキュリティー・グループが600を超えるユーザーが、エージェントレスDSSOを実装または移行すると、400の応答が表示され、通常のサインイン・ページにリダイレクトされます。
  • 2008以下の機能レベルのWindowsでは、安全性の低い暗号化のRC4が使用されています。最も安全な暗号化アルゴリズムが確実に使用されるように、Windowsの機能レベルを2008以上にアップグレードすることをお勧めします。
  • エージェントレスDSSOを再度有効にする場合は、IDプロバイダー(IDP)のルーティング・ルールを手動で再アクティブ化する必要があります。
  • 委任認証が無効になっていて、[Oktaパスワードを作成しないでください]が選択されている場合、エージェントレスDSSOは機能しません。委任認証の詳細については、「委任認証」を参照してください。
  • DSSOの自動フェイルオーバーに使用されるデフォルトのサインイン・ページは、HTMLのカスタマイズをサポートしていません。
  • IDプロバイダー(IdP)の顧客エラー・ページと組織のURLが同じ場合、無限のリダイレクト・ループが発生する可能性があります。
  • サービス・アカウントのユーザー名とActive Directoryユーザーのアカウント名が一致しない場合、エージェントレスDSSOが失敗する可能性があります。この場合は、デフォルトのサインイン・ページに戻り、GSS_ERRエラーがSyslogに表示されます。サービス・アカウントのユーザー名とActive Directoryユーザー・アカウントは、大文字と小文字が区別されており、一致する必要があります。
  • RC4_HMAC_MD5暗号化は、ADSSOとOffice 365のサイレント・アクティベーションではサポートされていません。ADのSSO、またはOffice 365のサイレント・アクティベーションを使用する場合、AES 128ビット(AES-128)またはAES 256ビット(AES-256)暗号化の使用を推奨します。AES暗号化の実装時にWindowsイベント・ビューアーにKDC_ERR_ETYPE_NOTSUPPエラーが表示される場合は、「Kerberos Unsupported etype error」を参照してください。
  • Microsoft Edge(レガシー)はサポートされていません。新しいChromiumベースのEdgeがサポートされます。
  • Microsoft Teamsバージョン4.0.8.0以降がサポートされています。