【お知らせ】docomo business RINK IDaaS/ Windows UpdateによるデスクトップSSOへの影響について

平素は弊社サービスをご利用いただき、誠にありがとうございます。

2026年4月リリースの特定のWindows Updateの適用後に、
デスクトップSSOによる認証が不可となるケースがあるとお客様より事象の報告を受けております。

■ 対象
デスクトップSSOをご利用で、下記条件のActive Directoryサーバーをお使いのお客様
・KB5082123を適用したWindows Server 2019
・KB5082142を適用したWindows Server 2022
※AD連携のみご利用の場合には影響はございません。

■ 影響
デスクトップSSOによる認証を実行後、「ログインしてください。」というメッセージが表示され、
アカウントの選択画面に戻ってしまう。

■ 原因
上記のWindows Updateによって、Key Distribution Center（KDC）の既定値が変更されたため、
マニュアルに記載のコマンドで作成したKey Tableファイルでは不整合が生じるようになりました。
参考URL：CVE-2026-20833 に関連するサービス アカウント チケット発行の変更に対する RC4 の Kerberos KDC 使用量を管理する方法 – Microsoft サポート

■ 対処方法
Key Tableファイルを再作成いただきます。ADサーバーで以下の作業を実施ください。
※本作業中はデスクトップSSOが利用できなくなるため、業務時間外にご対応ください。
－－－－－－－－－－－－－－－－
1．デスクトップSSOの設定作業用のAD ユーザーをご用意ください。
※このユーザーはデスクトップSSOの設定をするドメインに属している必要があります。
※このユーザーは本機能で認証する度に利用しますので削除しないでください。
※このユーザーは Domain Admins グループに所属している必要があります。
権限が不足している場合、SPN登録やkeytab生成に失敗します。

2．setspnコマンドでサービスプリンシパルネームを解除します。
> setspn -D HTTP/portal.trustlogin.com [ADドメイン名]\[手順1で用意したADユーザー名]

3．setspnコマンドでサービスプリンシパルネームを再登録します。
> setspn -S HTTP/portal.trustlogin.com [手順1で用意したADユーザー名]

4．keytabコマンドでKey Tableファイルを再生成します。
> ktpass /out c:\[任意のKeyTab名].keytab /princ HTTP/portal.trustlogin.com@[ADドメイン名(大文字)] /mapuser [手順1で用意したADユーザー名]@[ADドメイン名(大文字)] /pass [手順1で用意したADユーザーパスワード] /ptype KRB5_NT_PRINCIPAL /crypto AES256-SHA1 /kvno 0

5．Key Tableファイルをトラスト・ログインに再アップロードします。
管理ページ＞設定メニュー＞デスクトップSSO で既存の設定を編集し、手順4で生成したファイルをアップロードしてください。
－－－－－－－－－－－－－－－－

今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、引き続きご愛顧下さいますよう何卒宜しくお願い致します。