AD FS のクレーム ルールにおける X-MS-Client-Application が "Microsoft.Exchange.PopImap" に設定されている場合、POP クライアントまたは IMAP クライアント認証に失敗する

適用対象: Exchange OnlineOffice 365 Identity Management

現象


シナリオ説明:
  • POP クライアントおよび IMAP クライアントのアクセス認証に Active Directory フェデレーション サービス (AD FS) 使用しています。
  • X-MS-Client-Application のクレームの種類の値が "Microsoft.Exchange.PopImap" 以外の場合に、アクセスをブロックするようクレーム ルールを設定しています。
以前は上記の設定で正常に機能していましたが、現在は正しいユーザー名とパスワードを入力した場合でも POP クライアントと IMAP クライアントによる認証に失敗します。

さらに、AD FS のアクセス ログを検証すると、以下のようなエントリが表示されます。
[<Date><Time>] "POST /microsoftonline/ws-username HTTP/1.1" 403 ... "Microsoft.Exchange.Imap"
[<Date><Time>] "POST /microsoftonline/ws-username HTTP/1.1" 403 ... "Microsoft.Exchange.Pop"

原因


サービスが変更され、POP と IMAP の認証が分割されました。‶Microsoft.Exchange.PopImap” に代わり、X-MS-Client-Application ヘッダーに送信される値は "Microsoft.Exchange.Imap" または "Microsoft.Exchange.Pop" となりました。

解決方法


既存のクレーム ルールにおいて、X-MS-Client-Application の値を Microsoft.Exchange.PopImap" から "Microsoft.Exchange.Imap" および "Microsoft.Exchange.Pop" に変更してください。

詳細情報