SharePoint Server の代替アクセス マッピングを計画するPlan alternate access mappings for SharePoint Server

適用対象:はい2013 yes2016 yes2019 SharePointOnline なしAPPLIES TO: yes2013 yes2016 yes2019 noSharePoint Online

代替アクセス マッピングは、SharePoint Server 2016 との対話中 (たとえば、SharePoint Server 2016 Web サイトのホームページの参照中) に、ユーザーを適切な URL に接続します。Alternate access mappings direct users to the correct URLs during their interaction with SharePoint Server 2016 (while browsing to the home page of a SharePoint Server 2016 website, for example). 代替アクセスマッピングでは、SharePoint Server が web 要求を適切な web アプリケーションおよびサイトにマップし、SharePoint Server が正しいコンテンツをユーザーに提供できるようにします。Alternate access mappings enable SharePoint Server to map web requests to the correct web applications and sites, and they enable SharePoint Server to serve the correct content back to the user.

代替アクセス マッピングの機能は廃止される可能性があるため、ホスト名付きサイト コレクションを代替アクセス マッピングよりも優先して使用することをお勧めします。Because the features of alternate access mapping are deprecated, we recommend that you use host-named site collections over alternate access mappings.

ホスト名付きサイト コレクションを計画する方法の詳細については、「ホスト名付きサイト コレクションのアーキテクチャと展開 (SharePoint 2013)」を参照してください。For additional information about how to plan for host-named site collections, see Host-named site collection architecture and deployment (SharePoint 2013).

一般的なインターネットの展開シナリオでは、インターネット インフォメーション サービス (IIS) が受信する Web 要求の URL は、ユーザーが入力した URL とは異なる場合があります。このような理由から、代替アクセス マッピングが実装されました。このケースは、リバース プロキシと負荷分散を含む展開シナリオで最もよく起こります。Alternate access mappings were implemented because there are common Internet deployment scenarios in which the URL of a web request received by Internet Information Services (IIS) differs from the URL that was typed by a user. This is most likely to occur in deployment scenarios that include reverse proxy publishing and load balancing.


代替アクセス マッピングは、通常、ホスト ヘッダー サイト コレクションには適用されませんが、負荷分散のために構成する必要があります。既定領域のパブリック URL は、すべてのユーザーにとって適切なドメイン URL に設定する必要があります。設定しないと、Web サーバーの名前や IP アドレスが、 SharePoint Server 2016 内のページ間で渡されるパラメーターに表示される場合があります。Alternate access mappings must be configured for load balancing, even though it generally does not apply to host header site collections. The default zone public URL should be set to a domain URL that is appropriate for all users to see. Unless you do this, the names of web servers or their IP addresses might be displayed in parameters that were passed between pages within SharePoint Server 2016.

代替アクセス マッピングについてAbout alternate access mappings

代替アクセス マッピングを使うと、Web アプリケーションが 5 つの領域のいずれかで内部 URL の要求を受信したとき、その領域のパブリック URL のリンクを含むページを返すことができます。Alternate access mappings enable a web application that receives a request for an internal URL in one of the five zones to return pages that contain links to the public URL for the zone. 内部 URL とパブリック URL のマッピング コレクションを使って、Web アプリケーションを関連付けることができます。You can associate a web application by using a collection of mappings between internal and public URLs. Internal は、SharePoint Server によって受信される web 要求の URL を参照します。Internal refers to the URL of a web request as it is received by SharePoint Server. パブリック URL では、要求が当該領域のいずれかの内部 URL に一致する場合、応答の際に SharePoint により対応するリンクが形成されます。Public refers to the URL by which SharePoint will format links that correspond to requests that match one of the internal URLs on that zone when it returns a response. パブリック URL は、SharePoint Server が返すページで使用するベース URL です。The public URL is the base URL that SharePoint Server uses in the pages that it returns. リバース プロキシ デバイスによって内部 URL が変更された場合、内部 URL とパブリック URL は異なることがあります。If the internal URL was changed by a reverse proxy device, it can differ from the public URL.


ホスト名付きサイト コレクションでは、代替アクセス マッピングを使用できません。ホスト名付きサイト コレクションは、既定の領域に含まれると自動的に見なされ、要求の URL をユーザーとサーバーの間で変更することはできません。Host-named site collections can't use alternate access mappings. Host-named site collections are automatically considered in the Default zone, and the URL of the request must not be changed between the user and the server.

1 つのパブリック URL に複数の内部 URL を関連付けることができます。マッピング コレクションに最大 5 つの認証領域を含めることができますが、各領域はパブリック URL を 1 つだけ持つことができます。マッピング コレクションは、以下の認証領域に対応します。Multiple internal URLs can be associated with a single public URL. Mapping collections can contain up to five authentication zones. But each zone can have only a single public URL. Mapping collections correspond to the following authentication zones:

  • 既定Default

  • イントラネットIntranet

  • インターネットInternet

  • カスタムCustom

  • エクストラネットExtranet

リバース プロキシの公開Reverse proxy publishing

リバース プロキシは、ユーザーと Web サーバー間に存在するデバイスです。Web サーバーへのすべての要求は、最初にリバース プロキシ デバイスによって受信され、要求がプロキシのセキュリティ フィルターを通過すると、プロキシにより要求が Web サーバーに転送されます。A reverse proxy is a device that sits between users and your web server. All requests to your web server are first received by the reverse proxy device and, if those requests pass the proxy's security filtering, the proxy forwards the requests to your web server.

代替アクセス マッピングと認証プロバイダーの統合Alternate access mapping integration with authentication providers

代替アクセス マッピングでは、最大で 5 つの異なる領域に Web アプリケーションを公開することができ、各領域には異なる IIS Web サイトを配置できます。Alternate access mappings allow you to expose a web application in as many as five different zones, with a different IIS website backing each zone.


一部のユーザーは、これを誤って認識し、最大で 5 つの異なる Web アプリケーションが同じコンテンツ データベースを共有することになると考える場合があります。実際には、Web アプリケーションは 1 つだけです。Some people mistakenly refer to this as having up to five different web applications sharing the same content databases. In reality, there is just one web application.

これらの領域では、複数の URL を使って同じ Web アプリケーションにアクセスできます。また、複数の認証プロバイダーを使って同じ Web アプリケーションにアクセスすることもできます。Not only do these zones allow you to use multiple URLs to access the same web application, they also allow you to use multiple authentication providers to access the same web application.

Web アプリケーションを領域に拡張するときは、IIS により提供される Windows 認証を使う必要があります。Web アプリケーションを領域に拡張した後、異なる種類の認証を使用するように領域を変更できます。When extending a web application into a zone, you have to use Windows authentication provided by IIS. After the web application has extended into the zone, you can change the zone to use a different type of authentication.

領域の認証構成を変更するには、次の手順を使用します。Use the following procedure to change the authentication configuration for a zone.

領域の認証の種類を変更するにはTo change the authentication type for a zone

  1. [ 管理ツール] で、サーバーの全体管理 を開きます。From Administrative Tools, open Central Administration.

  2. サーバーの全体管理 ホーム ページで、[ アプリケーション構成の管理] をクリックします。On the Central Administration home page, click Application Management.

  3. [ アプリケーション構成の管理] ページの [ アプリケーション セキュリティ] セクションで、[ 認証プロバイダー] をクリックします。On the Application Management page, in the Application Security section, click Authentication providers.

  4. [ 認証プロバイダー] ページで、[ Web アプリケーション] ボックスの一覧から目的の Web アプリケーションを選択します。On the Authentication Providers page, select your web application, which is listed in the Web Application box.

  5. 認証構成を変更する領域の名前をクリックします。Click the name of the zone whose authentication configuration you want to change.


    対応する IIS Web サイトが配置されている領域のみを選択できます。これらの領域には、「既存の Web アプリケーションの拡張」手順の実行中に IIS Web サイトが割り当てられています。You'll be able to select only from among zones that have a backing IIS website. These zones were assigned an IIS website during the "Extend an existing web application" procedure.

  6. [ 認証の編集] ページの [ クレーム認証の種類] セクションで、この領域に使う認証の種類を選びます。On the Edit Authentication page, in the Claims Authentication Types section, select the authentication type that you want to use for this zone:

  • [ Windows 認証 (既定値)]Windows authentication (default value)

  • [ 基本認証]Basic authentication

  • [ フォーム ベース認証 (FBA)]Forms based authentication (FBA)

  • [ 信頼できる ID プロバイダー]Trusted Identity provider

  1. 他の認証構成の設定を変更する場合はそれらを変更した後、[ 保存] をクリックします。Change any other authentication configuration settings that you want to change, and click Save.

この時点で、他の領域の認証構成の設定を変更できます。同じコンテンツにアクセスする異なる領域に、完全に独立した認証構成を設定できます。たとえば、一部のコンテンツを匿名で利用できるように構成し、その他のコンテンツでは資格情報が必要となるように構成できます。また、ある領域で匿名アクセスを有効にし、他のすべての種類の認証を無効にして、匿名コンテンツだけを利用可能にすることもできます。同時に、別の領域では、匿名アクセスを無効にし、NTLM 認証を有効にして、認証されたアクセスだけを許可することもできます。さらに、種類の異なるアカウントが同じコンテンツにアクセスするように設定できます。たとえば、ある領域は Windows の Active Directory アカウントを使用するように構成し、別の領域は ASP .NET フォームベース認証を使用する非 Active Directory アカウントを使用するように構成できます。At this point, you can change authentication configuration settings for any other zone. You can configure completely independent authentication settings for different zones accessing the same content. For example, you might configure some content to be anonymously available while other content requires credentials. You could configure one zone to have anonymous access enabled and all other forms of authentication disabled, guaranteeing that only the anonymous content will be available. At the same time, another zone can have anonymous access disabled while NTLM authentication is enabled, guaranteeing that only authenticated access will be enabled. In addition, you can have different types of accounts to access the same content: one zone can be configured to use Active Directory accounts in Windows while another zone can be configured to use non-Active Directory accounts that use ASP.NET forms-based authentication.

代替アクセス マッピングと Web アプリケーション ポリシーの統合Alternate access mapping integration with web application policies

Web アプリケーション ポリシーを使うと、管理者は、領域を通じて公開されているすべてのサイトについて、アカウントやセキュリティ グループのアクセスを許可または拒否できます。これは、多くのシナリオで役立ちます。Web application policies allow administrators to grant or deny access to accounts and security groups for all sites exposed through a zone. This can be useful for many scenarios.

たとえば、SharePoint Server 検索クローラーは、他のユーザーと同じ認証インフラストラクチャを使用する必要があります。アクセスできるコンテンツのみをクロールできます。For example, the SharePoint Server search crawler must undergo the same authorization infrastructure as any other user: it can only crawl content that it has access to. しかし、制限付きのコンテンツを検索でクロールし、認証されたユーザーが検索結果でそのコンテンツを確認できるようにしたいと考えるユーザーもいます。But users would still like search to crawl restricted content so that authorized users can find that content in search results. 検索サービスでは、Web アプリケーションに対する「すべて読み取り」ポリシーを使って、その Web アプリケーションのすべてのコンテンツに対する読み取りアクセス許可をクローラーに与えることができます。The search service uses a Full Read policy on the web applications to give its crawler permission to read all content on that web application. これにより、検索クローラーは、サイト管理者がアクセス許可を明示的に与えていないコンテンツも含め、すべての既存コンテンツおよび将来追加されるコンテンツをクロールし、インデックスを作成できるようになります。That way, it can crawl and index all existing and future content, even content to which the site administrator had not explicitly given it access.

別の例としては、ユーザーを支援できるように、SharePoint Server サイトへの管理アクセスを必要とするヘルプデスク担当者がいます。Another example would be helpdesk personnel who need administrative access to SharePoint Server sites so that they can help users. この場合は、ヘルプデスク担当者のアカウントにフル コントロールのアクセス許可を与える Web アプリケーション ポリシーを作成すれば、ヘルプデスク担当者は Web アプリケーションのすべての既存サイトおよび将来追加されるサイトに完全な管理者権限でアクセスできます。To do this, you can create a web application policy that grants the helpdesk staff accounts Full Control permission so that they have full administrative access to all current and future sites on the web application.

ポリシーは、Web アプリケーションとその領域の両方に結び付けられるため、ある領域にポリシーを適用したとき、その影響が他の領域に及ぶことはありません。このため、企業ネットワークとインターネットの両方にコンテンツを公開している場合、ポリシーを使うと便利です。たとえば、ヘルプデスク担当者のアカウントに、企業ネットワークに割り当てられた Web アプリケーションの領域に対するフル コントロールのアクセス許可を与える場合があります。このとき、他のユーザーがそのアカウントを使って、インターネットを通じてサイトにアクセスしようとしても、URL の領域が異なると判断され、フル コントロールのポリシーは適用されません。したがって、サイトに対する管理者のアクセス権限がアカウントに自動的に付与されることはありません。Because policies are tied to both web applications and their zones, you can guarantee that the policy that you have applied to one zone does not affect other zones. This can be useful if you have content exposed both on the corporate network and to the Internet. For example, suppose that you have given a helpdesk staff account Full Control permission over a web application's zone that is assigned to the corporate network. If someone were to try to use that account to access the site over the Internet, that Full Control policy wouldn't apply because it would recognize that the URL is in a different zone. Therefore, the account wouldn't automatically be given administrative access to the site.

代替アクセス マッピングと外部リソースのマッピングAlternate access mapping and external resource mapping

SharePoint Server では、代替アクセスマッピング機能を、SharePoint Server ファーム内でホストされていないコンテンツに拡張できます。SharePoint Server allows you to extend the alternate access mapping functionality to content that is not hosted within the SharePoint Server farm. この機能を構成するには、[代替アクセスマッピング] ページを参照し、[外部リソースへのマップ] をクリックします。To configure this functionality, browse to the Alternate Access Mappings page, and then click Map to External Resource. その後、外部リソースのエントリを作成するように求められます。これは、別の web アプリケーションと考えることができます。You'll then be asked to create an entry for an external resource, which you can think of as another web application. 外部リソースを取得した後は、web アプリケーションの場合と同じ方法で、別の Url とゾーンを割り当てることができます。After you have an external resource, you can assign different URLs and zones to it in the same manner that you do for web applications. この機能は SharePoint Server では使用されませんが、SharePoint Server 上に構築されたサードパーティ製品で使用できます。This feature is not used in SharePoint Server, but third-party products that build onto SharePoint Server can use it.

たとえば、SharePoint Server の検索技術では、ファイル共有や web サイトなど、ファーム外部のコンテンツをクロールできます。For example, the search technology in SharePoint Server can crawl content external to the farm, such as file shares and websites. 異なるネットワークの異なる URL を使ってそのコンテンツにアクセスできる場合、ユーザーの現在のネットワークで該当する URL を使って、検索結果を返すようにしたいと考えます。If that content is available at different URLs on different networks, you would want search to return results by using the appropriate URLs for the user's current network. 代替アクセス マッピングの外部リソース マッピング技術を使うと、ユーザーの領域に合わせて、検索結果の外部 URL を再マップできます。By using alternate access mapping's external resource mapping technology, search can remap the external URLs in its results to match the user's zone.

関連項目See also


SharePoint 2013 の代替アクセス マッピングを構成するConfigure alternate access mappings for SharePoint 2013