ADSelfService Plus 6.2 リリースノート
作成日:2023年2月7日 | 更新日:2023年3月2日
ADSelfService Plus 6.2 6216 リリースノート
2023年02月07日 リリース
お知らせ
- エンドポイントMFA機能の有償化について
このたび、製品開発元(Zoho Corporation Pvt. Ltd.)のライセンス体系の改定に伴い、標準機能としていたエンドポイントMFA機能を有償オプションとして提供いたします。
既存のユーザー様でエンドポイントMFA機能をご使用中または使用を検討されている場合、以下のページをご参照ください。
https://www.manageengine.jp/purchase/20230207_ADSelfServicePlus_MFAoption.pdf - NTLMv2 SSOの有効化について:ビルド6216以降では、ADSelfService PlusにてNTLMv2 SSOを有効にする場合、Jespa
JARファイルのダウンロードおよびlibフォルダーにファイルを配置する必要があります。詳細は、次のナレッジをご参照ください。
https://www.manageengine.jp/products/ADSelfService_Plus/help/Admin/sso-settings.html
新機能
- ハードウェアトークン(TOTP)のサポート:ProtectimusのハードウェアTOTPトークンや、Deepnet SecurityのハードウェアトークンなどをカスタムTOTP認証として設定できます。
- Windows ユーザーアカウント制御(UAC)に対するMFA:すべてのUAC昇格のプロンプトの表示時(例 : アプリケーションインストール時、レジストリ編集時など)に、MFA認証を設定できます。
- マシンベースのMFA:組織内で重要な端末に対してMFA認証を強制できます。
本人認証の登録ステータス、セルフサービスのポリシーを適用しているメンバー、およびADSelfService Plusサーバーへの接続状況に関係なく、MFA認証に成功時のみ対象端末へのアクセスを許可します。 - モバイルログインのMFA:ADSelfService PlusモバイルアプリへのログインにMFA認証を設定できます。
- パスワードレスログイン:生体認証、プッシュ通知、TOTP認証などによりモバイルアプリへ容易かつセキュアにログインできます。
- 認証の追加:ADSelfService Plusのモバイルアプリのログインおよびセルフサービスの認証として、Zoho OneAuth 認証、カスタムTOTP認証およびバックアップリカバリーコードを追加しました。
- デバイス登録管理:モバイルアプリによる認証(プッシュ通知、生体認証、QRコード認証など)で登録可能なデバイス数を制限するオプションを追加しました。
機能強化
- 製品で使用するjQuery UIのバージョンを1.10.0から1.13.2に更新しました。
- HTTP SMSマクロをサポート:カスタムSMSプロバイダーの設定にて、HTTPメゾットとして以下のマクロを使用できます。
- %uniqueId%:メッセージリクエストごとにランダムな整数を一意のIDとして送信する
- %currentTime%:メッセージリクエストの現在のタイムスタンプを送信する
- %expiryTime%:メッセージリクエストの有効期限が切れる時刻を指定する
- VPNのMFAにSMS認証およびメール認証をサポート:VPNのMFAとして、SMS認証およびメール認証を使用できます。
- 複数ユーザーに対する認証登録:管理者は、複数のエンドユーザーに対して、CSVファイルまたはデータベース取得により、Google Authenticator、Microsoft Authenticator、Zoho OneAuth TOTP 認証、およびカスタム TOTP 認証を一括で登録できます。
- SMS認証およびメール認証中に表示される[携帯電話番号/電子メールアドレスの選択]のドロップダウンをスキップするオプションを追加しました。
- 通知センター:製品のセキュリティを確保するため、管理者宛ての重要アラートを表示する通知センターを追加しました。
- 製品で使用するSpring JARファイルのバージョンを5.3.21に更新しました。
- 製品で使用するCommons Text JARファイルのバージョンを1.10に更新しました。
- ユーザー列挙防止:モバイルアプリにてユーザー列挙による攻撃を防止するオプションを追加しました。
不具合修正
- IPアドレスに基づく管理ポータルの制限が設定されている場合、TORブラウザーで管理者によるログインが失敗する原因となっていた不具合を修正しました。
- パスワードポリシーの不一致が原因でSAP NetWeaverアプリケーションとのパスワード同期が失敗する不具合を修正しました。
- 既存設定と発行者URLのフォーマットの不一致、および対象アプリケーションに送信された無効なキーIDトークン応答が原因で発生したOAuth/OIDCの不具合を修正しました。
- IdP-initiated SSO時にOIDC SSOログインに失敗する不具合を修正しました。
- 指定日およびパスワード有効期限通知のメール編集画面でファイルを添付する際に発生する不具合を修正しました。
- 条件付きアクセスポリシーによりIPアドレス制限を設定した場合、OWAが機能しない不具合を修正しました。
- パスワードのリセットまたは変更後に、管理者/上司(manager)宛へ通知するメール内容にパスワードのマクロを使用しない仕様に変更しました。
- 認証されていないアクセスを許可していたログインエージェントAPIの不具合を修正しました。エージェントをアクセスキーで保護します。
- Linux向けエージェント(Cent OS 7)で確認された不具合を修正しました。
- ADSelfService Plusで一度でもSAML SSOを有効化したことがある場合に脆弱な .jarファイルが原因で発生する重大なRCEセキュリティの脆弱性(CVE-2022-47966)を修正しました。
次のナレッジをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4799 - ログインスクリプト機能を使用した強制登録が、部分的に登録されたユーザーに対して動作しない不具合を修正しました。
- Active Directoryのパスワード同期が双方向で設定されている場合に、パスワード同期ループが発生する不具合を修正しました。
- Have I Been Pwned連携が有効で且つHTTPを設定している場合、ログインエージェントがクラッシュする不具合を修正しました。
- Talkback APIで発生する認証の不具合を修正しました。
- パスワード同期エージェントのバージョン2.0を設定している場合、稀にドメインコントローラーが再起動する原因となっていたメモリリークの不具合を修正しました。
- 同じユーザー名を含む異なるドメインが存在する場合、ライセンス管理の制限ユーザースケジュールで発生する不具合を修正しました。
- 外部のMSSQLデータベースを使用時、レポートで「_(アンダースコア)」を含むユーザー名を検索する際に発生する不具合を修正しました。
- ユーザー名の形式がドメイン名/ユーザー名の場合、VPNログイン中にMFAを要求する際の不具合を修正しました。
- システムのロック解除中にWindows 11マシンでMFAが意図したとおりに機能しない不具合を修正しました。
- iOSデバイスでVoiceOverの機能に関する不具合を修正しました。
ADSelfService Plus 6.2 6206 リリースノート
2022年10月04日 リリース
機能強化
- 登録レポートのカスタマイズ: 登録済みユーザーレポートおよび未登録ユーザーレポートをカスタマイズすることで、アクティブステータス、最終ログオン時刻などの追加のユーザー情報を表示できます。
- 既存ポリシーの複製: 既存のセルフサービスポリシーの設定をコピーすることで、ドメイン全体で複数のポリシーを作成できます。
- 信頼できる期間の設定: ブラウザーおよびクライアントにおけるMFAの信頼できる期間を、分/時/日単位でカスタマイズできます。
- MFAおよびパスワードポリシーの強化の機能について、製品認証を使用する技術者にも適用可能になりました。
- MacOS向けエージェントがmacOS Montereyに対応しました。
- レポートのエクスポート形式として、XLSX形式をサポートします。
- ポータルのセッション有効期限として「1日」のオプションを追加しました。
機能強化
ユーザーの列挙を防止するため、疑似MFAプロセスを開始するオプションを追加しました。CVE-2022-28987の脆弱性を修正しております。詳細は、下記ナレッジをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4698
不具合修正
- 監査レポートで多数の監査レコードが存在する場合、カスタム範囲フィルターが機能しない不具合を修正しました。
- ライセンス管理機能で制限されたユーザーが多数存在する場合、ユーザーの制限を解除する際のパフォーマンスの問題を修正しました。
- ユーザー名に「’」(アポストロフィ)が含まれるライセンスユーザーの削除に関する不具合を修正しました。
- 条件付きアクセス機能の「ルールの割り当て」セクションで発生する可能性があるクロスサイトスクリプティング(XSS)の脆弱性を修正しました。
- ドメイン設定時にドメインのFLAT名が指定された際、パスワード同期エージェントの機能が影響を受ける不具合を修正しました。
- MySQL データベースへ接続時、スーパー管理者によるクイック登録設定で、認証済みのリモートコードが実行される脆弱性を修正しました。
- ADSelfService Plus Mobile App Deployment APIにおけるDoS攻撃の脆弱性 (CVE-2022-34829)を修正しました。
- モバイルアプリケーションまたはモバイルWebブラウザーを介して操作が実行された際、パスワードの変更通知がトリガーされない不具合を修正しました。
- ユーザーレポート、制限付きユーザーレポート、パスワード期限切れ通知、およびユーザー制限なしスケジューラーのパフォーマンス関連の不具合を修正しました。
- 登録プッシュ通知の送信中にデータベースクエリがブロックされる不具合を修正しました。
- MFAとしてプッシュ通知を設定した場合、VPN MFAに関する不具合を修正しました。
ADSelfService Plus 6.2 6200 リリースノート
2022年06月22日 リリース
お知らせ
- パスワード同期エージェントを正常に機能させるため、ビルド6200へアップグレード後、パスワード同期エージェントを再インストールする必要があります。
パスワード同期エージェントのインストールにつきましては、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4512 - カスタムスクリプトを有効化している場合、ビルド6200へアップグレード後に、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4514 - MFAとしてRSA SecurIDを有効化する場合、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4377
機能追加
- ServiceDesk PlusのSAML SSOサポート:ManageEngine ServiceDesk Plus(オンプレミス版)へのシングルサインオン(SSO)をサポートしました。
- OpenID ConnectおよびOAuthアプリケーションのサポート:既存のSAMLサポートに加えて、OpenID
ConnectおよびOAuthのプロトコルをサポートしました。これらのプロトコルに対応するすべてのエンタープライズアプリケーションについてOpenID ConnectおよびOAuthベースのシングルサインオンを設定可能です。 - Azure AD MFAのサポート: Azure AD MFAを、パスワードのリセット/アカウントロックの解除時の本人認証として追加しました。また、ADSelfService
Plusへのログイン、クラウドアプリケーション、各ユーザーのクライアント端末およびOWAログイン時に使用できます。Azure AD MFAは、Webブラウザーおよびモバイルアプリケーションの両方でサポートされています。 - OWA/Exchange Server用のMFA:Outlook on the
WebおよびExchange管理センターのログイン用に、17を超える認証方法を備えた専用の多要素認証(MFA)セットアップを使用して、Exchange環境をより安全に保護します。
機能強化
- サイトベースのDC更新:特定のドメインコントローラー(DC)のセットをOUに割り当てることで、OUに割り当てたDCにより、ユーザーが行ったセルフサービスの変更をより早く更新できるようになりました。
- MDMプロファイルがインストールされている場合、iOS通知を送信し、モバイルアプリケーションをプッシュ通知するために、JavaPNSからPushyライブラリ(v0.14.1)およびNotNoopからPushyライブラリ(v0.14.1)に移行しました。
- [パスワードの同期]タブに、パスワードのリセット、アカウントロックの解除、およびパスワードの変更操作とリンクするすべてのアカウントの選択を解除する機能を追加しました。
- [リセットとロック解除]タブに、エンドユーザーポータル上でドメインの表示名を表示または非表示にするオプションを追加しました。
- IPベースでADSelfService Plusへのログインを制限する機能で、ブラックリストにあるIPアドレスからのオペレーターのログインを制限できるようになりました。
- ユーザーログオンおよび画面ロック解除時にプロンプトが表示されていたWindows MFAは、ユーザーログオン時のみにプロンプトが表示されるようになりました。
- RADIUSの多要素認証でRADUISチャレンジをサポートしました。
- Macエージェントのインストール先としてmacOS Big Surをサポートします。
- ユーザー登録時に特定のメールドメインおよび携帯電話番号の形式をブロックする機能をモバイルアプリでサポートしました。
不具合修正
- プロバイダーとのパスワード同期用のカスタムスクリプトが有効な場合、パスワードのリセットおよびパスワードの変更時におけるリモートコード実行の脆弱性を修正しました。(CVE-2022-28810)
詳細は、次のナレッジベースをご参照ください。 - REST APIを使用することで、非認証の「ユーザーは次回ログオン時にパスワード変更が必要」を実行できる脆弱性を修正しました。(CVE-2021-20147)
- ドメインユーザーがドメインパスワードポリシーのHTMLファイルにアクセスできる脆弱性 を修正しました。(CVE-2021-20148)
- パスワードリセットページ、アカウントロック解除ページおよびユーザーにパスワード変更を要求するページにて、XSS(クロスサイトスクリプティング)の脆弱性を修正しました。(CVE-2022-24681)
- レポートタブにて保存場所をリモートマシン上のパスに設定する際、NTLMハッシュがオペレーターに公開される脆弱性を修正しました。(CVE-2022-29457)
- セキュリティ向上のため、パスワード同期エージェントおよびADSelfService Plusサーバー間の通信にアクセスキーを使用する仕様に変更しました。(CVE-2021-37423)
詳細は次のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/ADSelfService_Plus/?p=4505 - RemcomおよびRemoteExecを使用してログインエージェントをインストールする際に、ADSelfService
Plusサーバーアクセスが侵害された場合に管理者の資格情報が公開されるセキュリティの脆弱性を修正しました。 - [構成済みドメイン]ページでXSSのスクリプトが実行されるセキュリティの脆弱性を修正しました。
- 認証されていない攻撃者がドメインユーザーへメール送信できる承認ワークフローモジュールの脆弱性を修正しました。
- Oracle Databaseの手動アカウントリンク中にBooleanベースのSQLインジェクション攻撃が発生する可能性を排除しました。
- マシンアカウント作成によるアカウント乗っ取りのセキュリティ問題を修正しました。
- 高可用性モジュールに存在するSSRFの脆弱性を修正しました。
- セキュリティ向上のため、Log4j依存を削除しました。
- モバイルアプリを使用してパスワードをリセット/アカウントロックを解除する場合、強制する認証数が反映されない不具合を修正しました。
- ビルド6111のVPNログイン用のMFAで認証がバイパスされる問題を修正しました。
- ビルド6108以降、パスワードにスペースが含まれている場合、ユーザーがログインできない不具合を修正しました。
- アカウントの有効期限の日数に「0」が含まれている場合、パスワードの有効期限の通知がユーザーへ送信されない不具合を修正しました。
- Microsoft 365でシングルサインオンが有効になっている場合、Microsoft 365アプリケーションのアカウントリンク設定が正常に保存されない不具合を修正しました。
- ビルド6111で[パスワードの同期を強制する]オプションが有効な場合、リンクされているすべてのアカウントに対してパスワードの変更が適用されない不具合を修正しました。
- 登録ユーザーレポートでユーザーの携帯電話番号をソートする際の不具合を修正しました。
- サービスパックのインストールに失敗した際、OWAコンテキストがserver.xmlファイルに2回追加される不具合を修正しました。
- モバイルサイトのURLにリソースタイプとして、js、css、image、cewolfが含まれている場合、応答でコンテンツタイプが欠落する不具合を修正しました。
- セキュリティ質問の回答がすべて数字の場合、ユーザーはモバイルアプリケーションを介してパスワードのリセット/アカウントのロック解除時に本人認証できない不具合を修正しました。
- ユーザーが「ユーザー名の最初と最後」にスペースを追加した場合、または「ユーザー名に%が含まれている」場合に発生するログインの不具合を修正しました。
- 名前にスペースが含まれているmacOSマシンへのMFA適用に関連する不具合を修正しました。
- ログインページにログインボタンのみ表示するようにカスタマイズされている場合に発生するドロップダウンリストの不具合を修正しました。
- XML正規化メソッド(コメント付きの排他的正規化)のみサポートされていたことが原因で、カスタムアプリケーションのSAML SSOが失敗する不具合を修正しました。
- メールコンテンツがsyslogファイルに追加される不具合を修正しました。
- パスワードポリシーの強化のテキストに番号を表示する際のドイツロケール固有の不具合を修正しました。
- 従業員検索の機能で、カスタム属性の表示名に「\」または「"」が含まれる場合、検索結果が表示されない不具合を修正しました。
- Ubuntu 18.04.5 LTSにおいてLinuxログインエージェントが正常に動作しない不具合を修正しました。
- ADManager Plusとの連携において、提供された管理者/オペレーターのパスワードに「%」が含まれる場合、ADManager Plusとの連携に失敗する不具合を修正しました。
- ユーザー名にスペースが含まれている場合、正常にログインできない不具合を修正しました。
- [言語のカスタマイズ]タブで行われたテキストのカスタマイズが英語以外の言語で反映されない不具合を修正しました。
- すべてのAPIエンドポイントのセキュリティを強化しました。
- ログインページにおけるユーザー名およびパスワード項目の表示UIを変更しました。
- VPN多要素認証においてNPS拡張機能を使用している際に発生する、メモリリークの不具合を修正しました。
- 制限ユーザーがログインパスワードに特殊文字を使用している場合、モバイルサイトから製品ポータル画面にログインできない不具合を修正しました。
- 制限ユーザーが、アクセス許可されている時間帯にログインできない不具合を修正しました。
- HttpOnlyフラグを有効化することで、すべてのCookieが保護されるようになりました。
- SSO(シングルサインオン)機能を設定している場合、IdP(Identity Provider)認証成功した際にADSelfService
Plusサーバーへ送信されるリクエストURLに、ユーザー名情報が記載される不具合を修正しました。 - 従業員の検索機能にて正常な検索結果が表示されない不具合を修正しました。
- ADSelfService Plusで使用しているSpring Jarをバージョン5.3.18に更新しました。
- ADSelfService PlusがIdP(Identity Provider)として設定している場合、SAML証明書を更新する際に発生する不具合を修正しました。