AD FS クレーム ルールにて制御している環境にて、Outlook for iOS が突然利用できなくなる問題


* 新しい情報が入り次第本 Blog にてお知らせいたします。

 

こんにちは。日本マイクロソフト Outlook サポート チームです。
2018 年 1 30 日リリース の Outlook for iOS 2.62.0 より、AD FS のクレームにおける User Agent Outlook-iOS から始まる文字列に仕様変更をしております。
AD FS クレーム ルールにて制御を行っておられる環境におきましては、以下のタイミングで Outlook for iOS で突然認証ができず、利用できなくなる問題が発生するため、クレーム ルールの変更をお願い申し上げます。

 

  1. Outlook for iOS で新規アカウント設定時
  2. パスワード変更後
  3. 認証に用いられるトークンの期限が切れた時 (既定では最小 14 日から最大 90 日の間)

 

変更内容

2018 年 1 30 日リリース の Outlook for iOS 2.62.0 より、AD FS のクレームにおける User Agent は以下のような文字列に変更をしております。
) Outlook-iOS/665.29683.prod.iphone (2.62.0)

以前のクレームと異なり、Outlook アプリからのアクセスであることをクレームより判別できるように変更されました。
このクレームには製品の内部的なビルド文字列や製品のバージョン (括弧内の数字) が含まれるため、バージョンが変更となるたびに変更される可能性があります。

- 補足
これまで、Outlook for iOS については iOS 上で動作する Word/Excel/PowerPoint/OneDrive などと共通の以下のクレームが使用されておりました。
Mozilla/5.0 (iPhone; CPU iPhone OS 8_4_1 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Mobile/12H321

この旧来のクレームを前提に AD FS のクレーム ルールを構成している場合、今回の変更の影響を受けます。なお、Outlook for Android は今回の仕様変更でクレームは変更されておらず、今後の予定は現在確認中となります。

影響
User Agent の変更により、従来の AD FS クレームルールでは Outlook for iOS からの接続が拒否されてしまうために、Outlook for iOS の利用が突然できないという問題が発生することを確認しております。

ただし、 iOS に以下の Microsoft Authenticator アプリがインストールされている場合、クレームルールの変更なしで認証可能です。
Microsoft Authenticator がインストールされている場合は、このアプリ自体が Outlook for iOS の代わりに認証処理を行うため、User Agent が従来通りのものとなります。

Title : Microsoft Authenticator
URL : < https://itunes.apple.com/jp/app/microsoft-authenticator/id983156458?mt=8>


回避策
・ 以下のクレーム ルールを追記する。
※ Outlook for iOS 2.62.0 よりも前のバージョンが存在する可能性と、Microsoft Authenticator がインストールされているデバイスが存在する可能性を勘案し、これまでのクレーム ルールに追加する形で運用を行っていただけますようお願いいたします。
--------
exists([Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent", Value =~ "^Outlook-iOS.\b\d{1,3}\.\d{1,5}\b.prod.iphone .\b\d.\d{1,2}.\d\b."])
--------
※追記する際は途中で改行せずに 1 行で追記してください。

もしくは
Microsoft Authenticator アプリをインストールする。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。


Skip to main content