Office365 Outlookの認証時に画面が真っ白になる現象について

Outlookの先進認証を利用したログイン時に表示される画面が真っ白になる、という問い合わせを多く受けております。

ブラウザでは現象が再現せず、Outlookの先進認証時にのみ発生しているようで、いろいろ調べると海外のフォーラムでも同じ現象で困っている人の投稿がありました。Outlook、あるいはWindows10の認証機能のバグの可能性が高いようです。

【O365 Outlook 2016 blank authentication window】
https://community.spiceworks.com/topic/2184199-o365-outlook-2016-blank-authentication-window

現象の回避方法ですが、フォーラムによると以下の方法で回避できることがあるようです。

1. OS、Officeアプリケーションを最新状態に更新する。
2. 「OSの資格情報」を削除する。
3. 「Windows 10設定」-「アカウント」-「 メールとアカウント」または「職場または学校にアクセスする」にあるO365に関連するすべてのアカウントを削除する。その後、「 メールとアカウント」に手動でOutlookで利用するアカウントを登録し、Outlookを起動する。

実際のところ「3」で回避できたお客様が多かった気がします。ただ、全部試しても改善されないお客さんもいました。そうなったらもうマイクロソフトさんに頑張ってもらうしかないでしょう。。。日本のMSさんに問い合わせましたが「現在そのような事例はあがってきてません。」という回答でした。

Office365関連の問題は以下のサイトでもいろいろ情報があがっていますので、参考になるかも知れません。

【Office 365 管理のトラブルシューティング】
https://docs.microsoft.com/ja-jp/office365/troubleshoot/admin
※画面左メニューからナレッジが見れます。

 

個人的には「Web Account Manager（WAM）」の不具合じゃないかな・・・と思ってます。

Office365 Outlookで何度も認証を求められる現象について

どうやら特定のバージョンで発生する「既知の問題」だそうです。マイクロソフト社より、パッチも出ているようです。この現象に遭遇しているユーザさん、多いみたいなので共有しておきます。

—————————————————————————————————————————————
Windows 10 バージョン1703 以降で、Office 2016 ( 月次チャンネル 16.0.7967 以降 ) を使用すると、OfficeはWebアカウントマネージャ（WAM）機能を利用します。

上記バージョン以上の組み合わせの利用を開始してから、Outlookにて何度も認証を求められるようになった場合、WAM機能が原因となっている可能性が高いとしてレジストリでのWAM機能を無効化する方法にて現象が回避できたという情報があります。

WAM機能には既知の問題があり、Windows10 バージョン 1703 につきましては2018年4月17日(US 時 間) に修正プログラムをリースしております。

■情報
April 17, 2018—KB4093117 (OS Build 15063.1058)
URL：https://support.microsoft.com/en-us/help/4093117/windows-10-update-kb4093117

■パッチダウンロード
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4093117
（2020年5月追記：パッチ提供は終了。通常のOffice Updateの中に含まれているようです。）

■修正プログラムの適用が難しい場合、レジストリ操作でOfficeのみWAM機能を無効化
レジストリ : HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity\
種類：REGDword
名前：DisableADALatopWAMOverride
値：１

■DisableADALatopWAMOverride を設定する影響について
【レジストリの影響】
Office 製品で WAM を使用しないという従来のADAL での認証動作に戻すためのレジストリとなります。そのため、Office 製品以外がこのレジストリ設定の影響を受けるとはありません。

【WAM について について】
Webアカウントマネージャー(WAM）は、新しい認証フレームワークのことです。
Windows10バージョン1703以降で、Office 2016（月次チャンネル 16.0.7967以降) を使用する場合、既定ではWindowsOSのWAM機能を利用して認証行います。

上記バージョンの組み合わせではない環境においてはWAM機能は有効化されていないため、従来のADALでの認証となります。
—————————————————————————————————————————————

Office365 端末制御の方法について

Office365はクラウドWebアプリケーションなのですが、接続側はブラウザだけではなく、Outlookやアプリケーションが豊富です。そのため、特定の端末（会社配布のPCなど）からアクセスを許可したいという要望を実現することが、ほぼ不可能だと思っています。

でも自宅からのアクセスはさせたくない、インターネットカフェからアクセスさせたくない・・・などの要望が本当に多いんですよね。

端末を特定するには、その端末を一意に判別するIDなどを生成して、認証時にそのIDを認証サーバに渡さないとダメですよね。ブラウザアクセスなら、URLに情報を付加することが可能ですが、Outlookなどのリッチクライアントからの認証シーケンスに情報を付加することは出来ないと思います。

マイクロソフト社がActive Directory Authentication Library（ADAL）なるライブラリを提供し始めてますが、これを利用するとリッチクライアントアプリケーションの認証時、いったんブラウザが起動し、認証処理を任せて、認証完了後、アプリが認証トークンを取得するような流れを作ることができます。現在のところOffice365関連のアプリ全てが対応はしていないようですが、今後、認証方式が統一されることでしょう。

で、問題はこの方式になったところで、結局端末を一意に判別する情報を埋め込めないということです。アプリがブラウザを起動するので、割り込めないですね。※自社でアプリを一から作るのなら別ですが。

もう最終的には証明書認証方式しか特定の端末からの、という要件は満たせないのではないかな。。。Outlookとか証明書を利用できたと思うし、最近のスマートフォンは証明書に対応しているし。。。でもApple WatchのOutlookアプリとかあるし、もうカオスですね。MDMで管理とか、VPN接続してからアクセスを許可するとか、幾つか対応策はありそうですが・・・面倒ですね。

あと、ActiveSync接続はOffice365の「Exchange 管理センター」の「モバイルデバイスアクセス」機能があるので、ここで許可したスマートフォンのみ利用可能にできます。

それと、社内からのみアクセスを許可、外部からのアクセスは遮断するような場合、認証サーバでIPアドレス制御を行いますが、Outlookなどのリッチクライアントは認証情報をキャッシュする（資格情報の保存など）ので、例えば社内で認証済みのPCを社外に持ち出してもそのまま利用できてしまいます。これも注意事項です。

クラウドなんだし、何時でもどこからでも利用できる！っていうのはダメなんですかね。。。情報が漏えいするのはいつも内部の犯行だったりするし。。。

今度、FIDO認証（U2F/UAF）について書きますが、この規格のコンセプトもいつでもどこからでも、っていうものなんですよね。。。

—–2017年3月追記—–

Active Directory Authentication Library（ADAL）から先進認証（Modern Auth）に名称変更。
2017年3月現在ではかなりのネイティブアプリが先進認証に対応している。
以下の記事に書きましたので、参照。

https://sharedtechv.wordpress.com/2017/01/23/office365-%e5%85%88%e9%80%b2%e8%aa%8d%e8%a8%bc%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6%e3%81%ae%e6%a4%9c%e8%a8%bc/