Office Online Server を計画するPlan Office Online Server

概要: HTTPS、証明書、仮想化、負荷分散、トポロジ、セキュリティなど、Office Online Server の要件と前提条件について説明します。Summary: Describes Office Online Server requirements and prerequisites, including HTTPS, certificates, virtualization, load balancing, topologies, and security.

対象ユーザー: IT 担当者Audience: IT Professionals

Office Online Server は、Office アプリケーションのブラウザー ベースのバージョンを社内環境に提供することにより、ユーザーの柔軟性を向上させ、グループ作業の機会を増やします。この記事では、Office Online Server を組織にインストールするために必要な要件と手順について説明します。Office Online Server delivers browser-based versions of Office apps in an on-premises environment, giving users more flexibility and collaboration opportunities. This article describes the requirements and steps you need to take to install Office Online Server in your organization.

SharePoint Server や Exchange Server などのすべてのホストが Office Online Server と通信できるように慎重に計画することが重要です。It's important to carefully plan so that all hosts, such as SharePoint Server and Exchange Server can communicate with Office Online Server.

Office Online Server バージョン間の互換性リストを確認し、利用中のホストに互換性があることを確認してください。Check the Office Online Server version compatibility list to ensure that your hosts are compatible.

Office Online Server のソフトウェア、ハードウェア、構成要件Software, hardware, and configuration requirements for Office Online Server

Office Online Server を単一サーバー ファーム、もしくは複数サーバー負荷分散ファームとしてインストールできます。物理サーバーもしくは仮想マシンを使用できます。You can install Office Online Server as a single-server farm, or as a multi-server, load-balanced farm. You can use physical servers or virtual machines.

実際のユーザー データを含む環境では、常に、証明書を取得する必要がある HTTPS を使用することをお勧めします。ファームで複数のサーバーを使用する場合は、ハードウェアまたはソフトウェアの負荷分散ソリューションを構成する必要があります。このようなシナリオの詳細について以降のセクションで説明します。In environments that contain actual user data, we always recommend that you use HTTPS, for which you have to obtain a certificate. If you're using multiple servers in your farm, you have to configure a hardware or software load-balancing solution. You can learn more about these scenarios in the following sections.

Office Online Server のハードウェアの要件Hardware requirements for Office Online Server

Office Online Server には SharePoint Server 2016 と同様のハードウェアの最小要件が適用されます。Office Online Server uses the same minimum hardware requirements as SharePoint Server 2016.

Office Online Server でサポートされるオペレーティング システムSupported operating systems for Office Online Server

Office Online Server は以下のオペレーティング システムで実行できます。You can run Office Online Server on the following operating systems:

  • 64 ビット版の Windows Server 2012 R2The 64-bit edition of Windows Server 2012 R2

  • Windows Server 2016 の 64 ビット版 (2017 年 4 月以降の Office Online Server が必要)The 64-bit edition of Windows Server 2016 (Office Online Server April 2017 or later required)

注意

Office Online Server では、Windows Server 2016 の「デスクトップ エクスペリエンス搭載サーバー 」インストール オプションのみをサポートしています。SharePoint Server 2016 only supports the "Server with Desktop Experience" installation option of Windows Server 2016. Windows Server 製品に関する追加の情報については、「Windows Server の半期チャネルの概要」を参照してください。For additional information about Windows Server offerings, see Windows Server Semi-annual Channel Overview

注意

Office Online Server は、Windows Server 2019 をサポートしていません。Office Online Server does not support Windows Server 2019.

Office Online Server のドメイン要件Domain requirements for Office Online Server

Office Online Server ファーム内のすべてのサーバーは、ドメインの一部である必要があります。同じドメイン内か (推奨)、同じフォレスト内のドメイン内に配置できます。All servers in the Office Online Server farm must be part of a domain. They can be in the same domain (recommended) or in domains that are in the same forest.

外部データアクセス (データ モデル、パワー ピボット、パワー ビューなど) を利用する Excel Online の機能のいずれかを使う場合、Office Online Server はユーザーや Windows ベースの認証を使ってアクセス予定のどの外部データ ソースとも同じ Active Directory フォレストにある必要があります。If you plan to use any Excel Online features that utilize external data access (such as Data Models, Power Pivot, or Power View), Office Online Server must reside in the same Active Directory forest as its users as well as any external data sources that you plan to access using Windows-based authentication.

スケジュールとアップグレードの要件をサポートします。Support schedule and upgrade requirements

リリース新しいビルドOffice Online Serverの 6 か月ごとなど。新しいビルドがリリースされると、以前のビルドでは、不要になった重要な更新プログラムを作成します。新しいビルドがリリースされると、 Office Online Serverのファームを更新することを強くお勧めします。詳細については、 Office Online Server のリリース スケジュールを参照してください。Microsoft releases a new build of Office Online Server every six months or so. Once a new build has been released, critical updates are no longer produced for the previous build. We highly recommend that you update your Office Online Server farm as new builds are released. For more information, see Office Online Server release schedule.

他のワークロードやサービスとの互換性Compatibility with other workloads and services

以下は、Office Online Server をインストールする際の注意事項を示します。Here are a few things to be aware of when you install Office Online Server.

  • Office Online Server を実行しているサーバーに、他のサーバー アプリケーションをインストールしないでください。これには、Exchange Server、SharePoint Server、Skype for Business Server、SQL Server が含まれます。サーバーの台数が不足している場合は、いずれかのサーバーの仮想マシンで Office Online Server を実行することを検討してください。Don't install any other server applications on the server that's running Office Online Server. This includes Exchange Server, SharePoint Server, Skype for Business Server, and SQL Server. If you have a shortage of servers, consider running Office Online Server in a virtual machine on one of the servers you have.

  • ポート 80、443、または 809 の Web サーバー (IIS) の役割を利用するサービスまたは役割をインストールしないでください。 これは、Office Online Server によって、これらのポートの Web アプリケーションが定期的に削除されるためです。Don't install any services or roles that depend on the Web Server (IIS) role on port 80, 443, or 809 because Office Online Server periodically removes web applications on these ports.

  • どのバージョンの Office もインストールしないでください。すでにインストールされている場合は、Office Online Server をインストールする前にアンインストールする必要があります。Don't install any version of Office. If it's already installed, you'll need to uninstall it before you install Office Online Server.

  • Office Online Server をドメイン コントローラーにインストールしないでください。Active Directory ドメイン サービス (AD DS) を実行しているサーバーでは動作しない可能性があります。Don't install Office Online Server on a domain controller. It won't run on a server with Active Directory Domain Services (AD DS).

Office Online Server の仮想化のサポートSupport for virtualizing Office Online Server

Office Online Server がサポートされるのは、オンプレミスのデータ センターで Windows ServerHyper-V やその他の仮想化テクノロジを使用して展開した場合です。Office Online Server を仮想化する予定がある場合は、以下のガイドラインに従います。Office Online Server is supported when you deploy it using Windows Server Hyper-V or other virtualization technology in your on-premises datacenter. If you plan to virtualize Office Online Server, follow these guidelines:

  • Office Online Server を専用の仮想マシンにインストールします。この仮想マシンには、SharePoint Server などの他のサーバー アプリケーションをインストールしないでください。Install Office Online Server in its own virtual machine. Don't install any other server applications, such as SharePoint Server, in this virtual machine.

  • 複数サーバーの Office Online Server ファームに Hyper-V を使う場合は、各仮想マシンを別々の仮想マシン ホストに配置する必要があります。こうすることで、いずれかのホストで障害が発生しても Office Online Server ファームはまだ利用できます。When using Hyper-V for multi-server Office Online Server farms, each virtual machine should be on a separate virtual machine host. This way, the Office Online Server farm will still be available if one of the hosts fails.

Office Online Server のファイアウォール要件Firewall requirements for Office Online Server

Web ブラウザー、Office Online Server を実行しているサーバー、SharePoint Server を実行しているサーバー間の通信がファイアウォールによってブロックされるという問題が発生する可能性があります。サーバーがネットワークのさまざまな部分に存在する場合は、このような問題がより複雑になります。Firewalls can cause problems by blocking communication between the web browser, the servers that run Office Online Server, and the servers that run SharePoint Server. These problems can be more complicated when the servers are in different parts of a network.

Office Online Server を実行しているサーバーまたはロード バランサー上の以下のポートがファイアウォールによってブロックされないようにしてください。Make sure the following ports aren't blocked by firewalls on either the server that runs Office Online Server or the load balancer:

  • ポート 443 (HTTPS トラフィック用)Port 443 for HTTPS traffic

  • ポート 80 (HTTP トラフィック用)Port 80 for HTTP traffic

  • ポート 809 Office Online Server を実行するサーバー間のプライベート トラフィック用) (複数サーバー ファームを設定する場合)Port 809 for private traffic between the servers that run Office Online Server (if you're setting up a multi-server farm)

Office Online Server のロード バランサー要件Load balancer requirements for Office Online Server

複数のサーバーで Office Online Server を実行している場合は、負荷分散ソリューションをお勧めします。ほぼすべての負荷分散ソリューションを使用できます。これには、Web サーバー (IIS) の役割 (アプリケーション要求ルーティング処理 (ARR) を行う) を実行しているサーバーが含まれます。実際、Office Online Server を実行しているサーバーの 1 つで ARR を実行できます。We recommend a load balancing solution when you run Office Online Server on two or more servers. Just about any load balancing solution will work, including a server that runs the Web Server (IIS) role running Application Request Routing (ARR). In fact, you can run ARR on one of the servers that runs Office Online Server.

可能であれば、以下の機能がサポートされている負荷分散ソリューションを探してください。Ideally, try to find a load balancing solution that supports the following features:

  • Layer 7 ルーティングLayer 7 routing

  • クライアント アフィニティまたはフロントエンド アフィニティの有効化Enabling client affinity or front-end affinity

ロード バランサーを使用する場合は、「 HTTPS を使用した Office Online Server の通信の保護」で説明されているように、証明書をロード バランサーにインストールする必要があります。If you use a load balancer, you'll need to install the certificate on the load balancer as described under Securing Office Online Server communications by using HTTPS .

Office Online Server の DNS 要件DNS requirements for Office Online Server

HTTPS と負荷分散を使用する環境では、DNS を更新して、証明書の完全修飾ドメイン名 (FQDN) が Office Online Server を実行しているサーバーの IP アドレス、または、Office Online Server ファームのロード バランサーに割り当てられた IP アドレスに解決されるようにする必要があります。In environments that use HTTPS and load balancing, you have to update DNS so that the fully qualified domain name (FQDN) of the certificate resolves to either the IP address of the server that runs Office Online Server or to the IP address assigned to the load balancer for the Office Online Server farm.

Office Online Server の言語パックの計画Planning language packs for Office Online Server

Office Online Server 言語パックを使用すると、SharePoint Server ドキュメント ライブラリ、Outlook Web App (添付ファイルのプレビューとして)、Skype for Business Server (PowerPoint ブロードキャストとして) において、Web ベースの Office ファイルを複数の言語で表示できます。ただし、これはホストで構成されている言語に依存します。複数の言語のホストからの Web ベースの Office ファイルを表示するには、以下の条件が満たされる必要があります。Office Online Server Language Packs enable users to view web-based Office files in multiple languages from SharePoint Server document libraries, Outlook Web App (as attachment previews), and Skype for Business Server (as PowerPoint broadcasts). But, this depends on the languages that are configured on the host. To view web-based Office files from hosts in multiple languages, you must have the following in place:

  • ホスト (SharePoint Server や Exchange Server) が、アプリケーションを追加の言語で実行するように構成されていること。ホストでの言語パックのインストールと構成のプロセスは、Office Online Server ファームでの言語パックのインストールとは無関係です。The host (such as SharePoint Server or Exchange Server) is configured to run applications in additional languages. The process of installing and configuring language packs on the host is independent of installing a language pack on the Office Online Server farm.

  • Office Online Server ファームのすべてのサーバーに言語がインストールされていて、使用可能であること。The languages are installed and are available on all servers in the Office Online Server farm.

Office Web Apps Server の言語パックはからダウンロードしてください。Here's where to download the language packs for Office Web Apps Server.

Office Online Server のトポロジ計画Topology planning for Office Online Server

最低でも、Office Online Server トポロジには、Office Online Server を実行している 1 つの物理または仮想マシンと 1 つ以上のホスト (たとえば、Exchange Server または SharePoint Server を実行中のサーバーなど) が含まれます。もちろん、ホストのいずれかに接続して機能を使用するためにはクライアント PC またはデバイスが必要です。この最小トポロジから、組織のニーズに合わせて、新しいホストや新しいサーバーを Office Online Server ファームに追加できます。At a minimum, an Office Online Server topology will include one physical or virtual machine running Office Online Server, and at least one host (for example, a server running Exchange Server or SharePoint Server). And of course, you'll need a client PC or device to connect to one of the hosts and use the functionality. From that minimal topology, you can add more hosts and more servers to your Office Online Server farm as required to suit the needs of your organization.

Office Online Server トポロジがより複雑になった場合に留意すべき推奨事項の一覧を以下に示します。The following is a list of recommendations that you should keep in mind as your Office Online Server topology gets more complex.

  • 冗長性を計画します。 仮想マシンを使用する場合は、冗長性のためにそれぞれ別の仮想マシン ホストに配置してください。Plan for redundancy. If you use virtual machines, make sure you put them on separate virtual machine hosts for redundancy.

  • 1 つのデータ センターを使用する。 Office Online Server ファーム内のサーバーは、同じデータ センター内に配置する必要があります。地理的に離れた場所に分散させないでください。Office Online Server ファームが存在するネットワークを分離しなければならないようなセキュリティ要件がないかぎり、1 つのファームだけで十分です。Stick to one data center. Servers in an Office Online Server farm must be in the same data center. Don't distribute them geographically. Generally you need only one farm, unless you have security needs that require an isolated network that has its own Office Online Server farm.

  • ホストに近いほど良い。 Office Online Server ファームは、そのホストと同じデータ センター内に配置する必要はありませんが、編集の頻度が高い場合は、Office Online Server ファームをできるだけホストのそばに配置することをお勧めします。このことは、Office Online を主に Office ファイルの表示に使用している組織にとってはそれほど重要ではありません。The closer the hosts, the better. The Office Online Server farm doesn't have to be in the same data center as the hosts it serves, but for heavy editing usage, we recommend you put the Office Online Server farm as close to the hosts as possible. This is less important for organizations that use Office Online primarily for viewing Office files.

  • 接続を計画する。 Office Online Server ファーム内のすべてのサーバーだけを相互に接続します。より広いネットワークに接続するには、リバース プロキシ ロード バランサー ファイアウォール経由で接続します。Plan your connections. Connect all servers in the Office Online Server farm only to one another. To connect them to a broader network, do so through a reverse proxy load balancer firewall.

  • HTTP または HTTPS 要求用にファイアウォールを構成する。 ファイアウォールが Office Online Server を実行しているサーバーでホストへの HTTP または HTTPS 要求を初期化できるように構成されていることを確認します。Configure the firewall for HTTP or HTTPS requests. Make sure the firewall allows servers running Office Online Server to initiate HTTP or HTTPS requests to hosts.

  • 着信と発信を計画する。 インターネットに接続する展開では、すべての発信を NAT デバイス経由でルーティングします。マルチサーバー ファームでは、すべての着信をロード バランサーを使用して処理します。Plan for incoming and outgoing communications. In an Internet-facing deployment, route all outgoing communications through a NAT device. In a multi-server farm, handle all incoming communications with a load balancer.

  • \*\*Office Online Server ファーム内のすべてのサーバーが 1 つのドメインに参加しており、同じ組織単位 (OU) の一部になっていることを確認する。\*\* この OU に含まれない他のサーバーがファームに参加することを防ぐには、 [New-OfficeWebAppsFarm](https://docs.microsoft.com/ja-JP/powershell/module/officewebapps/new-officewebappsfarm?view=officewebapps-ps) コマンドレットの \*\*FarmOU\*\* パラメーターを使用します。**Make sure all servers in the Office Online Server farm are joined to a domain and are part of the same organizational unit (OU).** Use the **FarmOU** parameter in the [New-OfficeWebAppsFarm](https://docs.microsoft.com/en-us/powershell/module/officewebapps/new-officewebappsfarm?view=officewebapps-ps) cmdlet to prevent other servers that are not in this OU from joining the farm.
  • すべての着信要求にハイパーテキスト転送プロトコル セキュア (HTTPS) を使用する。Use Hypertext Transfer Protocol Secure (HTTPS) for all incoming requests.

  • ネットワークに IPsec が展開されている場合は、それをサーバー間のトラフィックの暗号化に使用する。If you have IPsec deployed in the network, use it to encrypt traffic among the servers.

  • インターネットを使用する Office 機能を計画する。 クリップ アートや翻訳サービスなどの機能が必要であり、ファーム内のサーバーがインターネットへの要求を開始できない場合、Office Online Server ファーム用のプロキシ サーバーを構成する必要があります。これにより、外部サイトへの HTTP 要求が許可されます。Plan for Office features that use the Internet. If features such as clip art and translation services are needed, and the servers in the farm can't initiate requests to the Internet, you'll need to configure a proxy server for the Office Online Server farm. This will allow HTTP requests to external sites.

Excel Online の外部データ接続を計画します。Plan Excel Online external data connectivity

Excel Online には SharePoint Server 2013 の Excel Services にある機能のような外部データ接続、およびデータ更新機能が含まれます。Excel Services は SharePoint Server 2016 で SharePoint から削除されました。代わりに Excel Online を使用します。Excel Online includes external data connectivity and data refresh features similar to those found in Excel Services in SharePoint Server 2013. Excel Services has been removed from SharePoint in SharePoint Server 2016 - you use Excel Online instead.

埋め込みデータ接続のデータの更新は、標準 Office Online Server インストールで動作します。ただし、Office データ接続 (ODC) ファイルのサポートや、IT 管理ダッシュボード (SharePoint 用 SQL Server の電源ピボットの一部) などのより高度な機能を使うなら、 Office Online Server と SharePoint Server 2016 の間のサーバー間認証を構成する必要があります。Data refresh for embedded data connections works with a standard Office Online Server installation. However, more advanced features, including Office Data Connection (ODC) file support and the IT Management Dashboard (part of SQL Server Power Pivot for SharePoint) require that you configure server-to-server authentication between Office Online Server and SharePoint Server 2016.

Office Online Server のセキュリティ計画Security planning for Office Online Server

以下に、Office Online Server のセキュリティ ガイダンスを示します。The following information introduces security guidance for Office Online Server.

HTTPS を使用した Office Online Server の通信の保護Securing Office Online Server communications by using HTTPS

Office Online Serverは、SharePoint Server、Skype for Business Server、およびExchange Serverと HTTPS プロトコルを使用して通信できます。運用環境では HTTPS の使用を強く推奨します。Office Online Serverを実行するサーバー (単一サーバーを使用する場合)、またはロード バランサー (Office Online Serverを実行する複数サーバーを使用する場合) に割り当てられる Internet Server 証明書をインストールする必要があります 。Office Online Server can communicate with SharePoint Server, Skype for Business Server, and Exchange Server by using the HTTPS protocol. In production environments, we strongly recommend that you use HTTPS. You'll have to install an Internet Server certificate that can be assigned to the server that runs Office Online Server (if you are using a single server) or to the load balancer (if you are using multiple servers that run Office Online Server).

ユーザー データを含まないテスト環境では、SharePoint ServerとExchange Serverに HTTP を使用することができ、証明書の要件は省略できます。Skype for Business Serverでは HTTPS しかサポートされません。In test environments that contain no user data, you can use HTTP for SharePoint Server and Exchange Server and skip the certificate requirement. Skype for Business Server supports only HTTPS.

Office Online Server が使用する証明書は、次の要件を満たす必要があります。Certificates used by Office Online Server need to meet the following requirements:

  • 証明書は、信頼できる証明機関から発行され、Office Online Server ファームの完全修飾ドメイン名 (FQDN) を SAN (サブジェクトの別名) フィールドに含んでいる必要があります (FQDN が SAN に含まれない場合、その証明書を使用しようとすると、ブラウザーによってセキュリティ警告が表示されるか、応答が処理されません)。The certificate must come from a trusted Certificate Authority and include the fully qualified domain name (FQDN) of your Office Online Server farm in the SAN (Subject Alternative Name) field. (If the FQDN is not in the SAN when you try to use the certificate, the browser will either show security warnings or won't process the response.)

  • 証明書は、エクスポート可能な秘密キーを含む必要があります。単一サーバーのファームでは、インターネット インフォメーション サービス (IIS) マネージャー スナップインを使用して証明書をインポートするとき、既定ではこのオプションが選択されています。The certificate must have an exportable private key. On single-server farms, this option is selected by default when you use the Internet Information Services (IIS) Manager snap-in to import the certificate.

  • フレンドリ名フィールドは、信頼できるルート証明書機関のストア内で一意であることが必要です。複数の証明書でフレンドリ名フィールドが共有されている場合、New-OfficeWebAppsFarm コマンドレットは使用する証明書を特定できず、ファーム作成が失敗します。The Friendly name field must be unique within the Trusted Root Certificate Authorities store. If you have multiple certificates that share a Friendly Name field, farm creation will fail because the New-OfficeWebAppsFarm cmdlet won't know which of those certificates to use.

  • Office Online Server では特定の証明書のプロパティや拡張子は必要ありません。たとえば、クライアントの拡張キー使用法 (EKU) 拡張子やサーバーの EKU 拡張子は必要ありません。Office Online Server doesn't require any special certificate properties or extensions. For example, Client Enhanced Key Usage (EKU) extensions or Server EKU extensions are not required.

  • Windows Server では、Windows Communication Foundation (WCF) HTTP アクティベーション機能をインストールする必要があります。You must install the "Allow HTTP Activation" Windows Communication Foundation (WCF) feature on Windows Server.

証明書は次のとおりインポートする必要があります。The certificate must be imported as follows:

  • 単一サーバーのファームOffice Online Server を実行しているサーバーに直接証明書をインポートする必要があります。証明書を手動でバインドしないでください。後から実行する New-OfficeWebAppsFarm コマンドレットによってこの処理が行われます。手動でバインドした証明書は、サーバーが再起動するたびに削除されます。For single-server farms You must import the certificate directly on the server that runs Office Online Server. Don't bind the certificate manually. The New-OfficeWebAppsFarm cmdlet you run later will do this for you. If you bind the certificate manually, it'll be deleted every time the server restarts.

  • 負荷分散されたファーム SSL をオフロードしている場合、証明書はハードウェア ロード バランサーにインポートする必要があります。SSL をオフロードしていない場合は、Office Online Server ファーム内の各サーバーに証明書をインストールする必要があります。For load-balanced farms If you're offloading SSL, the certificate must be imported on the hardware load balancer. If you're not offloading SSL, you'll need to install the certificate on each server in the Office Online Server farm.

注意

重要でないテスト環境以外では、自己署名証明書を使用しないでください。Don't use self-signed certificates except in non-critical test environments.

ハードウェア ロード バランサーに SSL オフロードを使用するUsing SSL offloading for hardware load balancers

新しい Office Online Server ファームをセットアップすると、SSL オフロードが既定でオフに設定されます。ハードウェア ロード バランサーを使用している場合は、ファーム内の各 Office Online Server が HTTP を使用してロード バランサーと通信できるように SSL オフロードをオンに設定することをお勧めします。そうすれば、次のようなメリットも得られます。When you set up a new Office Online Server farm, SSL offloading is set to Off by default. If you're using a hardware load balancer, we recommend you set SSL offloading to On so that each Office Online Server in the farm can communicate with the load balancer by using HTTP. Setting SSL offloading to On also provides the following advantages:

  • 証明書管理の簡素化Simplified certificates management

  • 改良型ソフト アフィニティImproved soft affinity

  • 改良型パフォーマンスImproved performance

注意

HTTP を使用している場合は、ロード バランサーから Office Online Server を実行しているサーバーへのトラフィックが暗号化されないため、ネットワーク自体が安全であることを確認する必要があります。プライベート サブネットの使用により、トラフィックを保護することができます。When you use HTTP, traffic from the load balancer to the servers that run Office Online Server isn't encrypted, so you need to make sure the network itself is secure. Use of a private subnet can help protect traffic.

Office Online Server ファームに参加できるサーバーを OU メンバーシップに基づいて制限するRestrict which servers can join an Office Online Server farm based on OU membership

対象サーバーの組織単位を作成してから、ファームを作成するときに FarmOU パラメーターを指定することで、無許可のサーバーが Office Online Server ファームに参加するのを防ぐことができます。FarmOU パラメーターの詳細については、「 New-OfficeWebAppsFarm」を参照してください。You can prevent unauthorized servers from joining an Office Online Server farm by creating an organizational unit for those servers and then specifying the FarmOU parameter when you create the farm. For more information about the FarmOU parameter, see New-OfficeWebAppsFarm.

許可リストを使用して Office Online Server のホスト アクセスを制限するLimit host access for Office Online Server by using the Allow List

許可リストは、不要なホストが Office Online Server ファームに接続して、同意なしにファームを使用してファイルを処理するのを防ぐセキュリティ機能です。承認されたホストを含むドメインを許可リストに追加することで、Office Online Server がファイル処理要求 (ファイルの取得、メタデータの取得、ファイルの変更など) を許可するホストを制限できます。The Allow List is a security feature that prevents unwanted hosts from connecting to an Office Online Server farm and using it for file operations without your consent. By adding the domains that contain approved hosts to the Allow List, you can limit the hosts to which Office Online Server allows file operations requests, such as file retrieval, metadata retrieval, and file changes.

Office Online Server ファームを作成した後で許可リストにドメインを追加できます。許可リストにドメインを追加する方法については、「 New-OfficeWebAppsHost」を参照してください。You can add domains to the Allow List after you've created the Office Online Server farm. To learn how to add domains to the Allow List, see New-OfficeWebAppsHost.

重要

ドメインを許可リストに追加しないと、Office Online Server はすべてのドメイン内のホストにファイル要求を許可します。Office Online Server ファームがインターネットからアクセスできる場合には、このリストを空にしないでください。空にしておくと、誰でも Office Online Server ファームを使用してコンテンツを表示および編集できます。If you do not add domains to the Allow List, Office Online Server allows file requests to hosts in any domain. Don't leave this list blank if your Office Online Server farm can be accessed from the Internet. Otherwise, anyone can use your Office Online Server farm to view and edit content.

Office Online Server を使用したオンライン ビューアーの計画Planning for Online Viewers with Office Online Server

既定では、Office Online Server のインストール後にオンライン ビューアー機能が有効になります。組織でオンライン ビューアーの使用を計画している場合は、以下のガイドラインを確認してください。場合によっては、オンライン ビューアーの一部の機能を無効にすることをお勧めします。これらのガイドラインで参照するパラメーターは、Microsoft PowerShell のコマンドレット New-OfficeWebAppsFarmSet-OfficeWebAppsFarm を使用して設定されます。By default, Online Viewers functionality is enabled after you install Office Online Server. Review the following guidelines if you're planning to use Online Viewers in your organization. In some cases, you might want to disable some features within Online Viewers. These guidelines refer to parameters that are set by using the Microsoft PowerShell cmdlets New-OfficeWebAppsFarm and Set-OfficeWebAppsFarm.

オンライン ビューアーのセキュリティの考慮事項Security considerations for Online Viewers

オンライン ビューアーを使用して Web ブラウザーで表示するためのファイルは、認証が要らないようにする必要があります。つまり、ファイルを公開する必要があります。これは、オンライン ビューアーがファイルの取得時に認証を実行できないためです。オンライン ビューアーで使用する Office Online Server ファームは、イントラネットとインターネットのどちらか一方のみ (両方ではなく) にアクセスできるようにすることを強くお勧めします。Office Online Server は、イントラネット URL とインターネット URL の要求を区別しないためです。たとえば、インターネット上の誰かがイントラネット URL を要求できると、内部文書が表示された場合に情報漏れが発生する可能性があります。Files that are intended to be viewed through a web browser by using Online Viewers must not require authentication. In other words, the files must be available publicly because Online Viewers can't perform authentication when it is retrieving files. We strongly recommend that the Office Online Server farm that you use for Online Viewers is only able to access either the intranet or the Internet, but not both. This is because Office Online Server doesn't differentiate between requests for intranet and Internet URLs. Somebody on the Internet could request an intranet URL, for example, causing a security leak if an internal document is viewed.

同じ理由から、Office Online Server をインターネットのみに接続するように設定した場合は、オンライン ビューアーの UNC サポートを無効にすることを強くお勧めします。UNC サポートを無効にするには、Microsoft PowerShell のコマンドレット New-OfficeWebAppsFarm (新規ファーム用) または Set-OfficeWebAppsFarm (既存ファーム用) を使用して OpenFromUncEnabled パラメーターを False に設定します。For the same reason, if you have set up the Office Online Server to connect only to the Internet, we strongly recommend that you disable UNC support in Online Viewers. To disable UNC support, set the OpenFromUncEnabled parameter to False by using the Microsoft PowerShell cmdlets New-OfficeWebAppsFarm (for new farms) or Set-OfficeWebAppsFarm (for existing farms).

追加のセキュリティ上の理由から、オンライン ビューアーでの表示は、10 MB 以下の Office ファイルに制限されます。As an additional security precaution, Online Viewers are limited to viewing Office files that are 10 MB or less.

オンライン ビューアーの構成オプションConfiguration options for Online Viewers

Microsoft PowerShell の以下のパラメーターを New-OfficeWebAppsFarm (新規ファーム用) または Set-OfficeWebAppsFarm (既存ファーム用) で使用して、オンライン ビューアーを構成できます。You can configure Online Viewers by using the following Microsoft PowerShell parameters in New-OfficeWebAppsFarm (for new farms) or Set-OfficeWebAppsFarm (for existing farms).

  • OpenFromUrlEnabled オンライン ビューアーのオンとオフを切り替えます。このパラメーターは、URL および UNC パスを持つファイルに関してオンライン ビューアーを制御します。新しい Office Online Server ファームを作成したとき、既定ではこのパラメーターは False (無効) に設定されています。OpenFromUrlEnabled Turns the Online Viewers on or off. This parameter controls Online Viewers for files that have URL and UNC paths. By default, this parameter is set to False (disabled) when you create a new Office Online Server farm.

  • OpenFromUncEnabled オンライン ビューアーがオンになっているとき (OpenFromUrlEnabled を使用して True に設定)、このパラメーターは、オンライン ビューアーで UNC パス内のファイルを表示できるかどうかを切り替えます。既定では、このパラメーターが True に設定されますが、OpenFromUrlEnabled も True に設定されていることを確認してから、UNC パスからファイルを開けるようにします。前述したように、Office Online Server がインターネットに接続するように設定した場合は、このパラメーターを False に設定することをお勧めします。OpenFromUncEnabled When Online Viewers are turned on (set to True by using OpenFromUrlEnabled), this parameter turns on or off the ability for Online Viewers to display files in UNC paths. By default, this parameter is set to True, but make sure OpenFromUrlEnabled is also set to True before you enable opening files from UNC paths. As described earlier, we recommend you set this parameter to False if you have set up Office Online Server to connect to the Internet.

  • OpenFromUrlThrottlingEnabled 一定期間に所定のサーバーから送られてくる "URL から開く" 要求の回数を調整します。既定の調整値 (構成不可) では、Office Online Server ファームがコンテンツをオンライン ビューアーで表示するための要求を多数送信して 1 つのサーバーに負荷がかかりすぎないようにします。OpenFromUrlThrottlingEnabled Throttles the number of "open from URL" requests from any given server in a time period. The default throttling values, which are not configurable, make sure that an Office Online Server farm does not overwhelm a single server by sending requests for content to be viewed in the Online Viewers.

Office Online Server の更新プログラムの計画Planning updates for Office Online Server

Office Online Server を展開する前に、組織の Office Online Server ファームへのソフトウェア更新プログラムを管理する方法を決定する必要があります。ソフトウェア更新プログラムは、サーバーのセキュリティ、パフォーマンス、および信頼性の向上に役立ちますが、更新プログラムを不適切にインストールすると、Office Online Server で問題が発生する場合があります。Before deploying Office Online Server, you need to decide how your organization will manage software updates to your Office Online Server farm. Although software updates help improve server security, performance, and reliability, installing updates incorrectly can cause issues with the Office Online Server.

Office Online Server では、Microsoft 自動更新プロセスを使用して Office Online Server の更新プログラムを適用することはできません。Office Online Server への更新プログラムは、「 Office Online Server へのソフトウェアの更新プログラムの適用」で説明されているとおり、特定の方法で適用する必要があります。Office Online Server の更新プログラムが自動的に適用されると、ユーザーが Office Online のドキュメントの表示や編集ができなくなる場合があります。その場合は、Office Online Server ファームの再構築が必要になります。Applying Office Online Server updates by using the Microsoft automatic updates process isn't supported with Office Online Server. Updates to an Office Online Server must be applied in a specific way, as described in Apply software updates to Office Online Server. If Office Online Server updates are applied automatically, users might be unable to view or edit documents in Office Online. If this happens, you have to rebuild your Office Online Server farm.

更新プログラムは、Windows Server Update Services (WSUS) か、WSUS を使用する System Center 構成マネージャー を使用して管理することをお勧めします。WSUS を使用すると、Office Online Server ファーム内の各サーバーに Microsoft Update 経由でリリースされる更新プログラムの配布を完全に管理できます。WSUS の使用により、サーバー ファームに自動的に適用できる更新プログラムと、Office Online Server の更新プログラムのように手動の適用が必要な更新プログラムを指定できます。WSUS の詳細については、「 Windows Server Update Services」を参照してください。We recommend that you manage updates by using Windows Server Update Services (WSUS) or by using System Center Configuration Manager, which uses WSUS. WSUS allows you to fully manage the distribution of updates that are released through Microsoft Update for each server in the Office Online Server farm. By using WSUS, you can decide which updates can be automatically applied to the server farm and which updates, such as Office Online Server updates, have to be manually applied. For more information about WSUS, see Windows Server Update Services.

WSUS または System Center 構成マネージャー を使用しない場合は、Office Online Server ファーム内の各サーバーで Microsoft 自動更新を [ 自動的にダウンロードするが、インストールをユーザーに通知する] に設定します。Office Online Server の更新プログラムの通知を受けたら、「 Office Online Server へのソフトウェアの更新プログラムの適用」の手順を実行します。Windows の更新プログラムを適用してサーバーのセキュリティを保つには、更新プログラムが入手可能になったことを通知されたときに、Windows の更新プログラムを受け入れます。If you do not use WSUS or System Center Configuration Manager, set Microsoft automatic updates on each server in the Office Online Server farm to Automatically download but notify user for install. When you're notified of an Office Online Server update, follow the steps in Apply software updates to Office Online Server. To have Windows updates applied and keep your servers secure, accept the Windows updates when you're notified that updates are available.

2018 年の更新プログラムから変更される ULS ログULS Logs Changes from 2018 Update

Office Online Server の 2018 年の更新プログラムでは、ULS ログの形式がいくらか変更されます。詳細は以下のとおりです。The 2018 update of Office Online Server will see a few changes on the format of ULS logs, detailed below:

Column 変更内容Changes
TimestampUtcTimestampUtc
  • 並べ替えをより自然にするために、MM/dd/yyyy から yyyy-MM-dd へ日付の形式が変更Date format changed for MM/dd/yyyy to yyyy-MM-dd to make sorting more natural
  • 時間は常に UTC で記述Time is now always written in UTC
  • 列名が Timestamp から TimestampUtc に変更Column name changed from Timestamp to TimestampUtc
  • 後続の ' ' や継続を示す '*' はタイムスタンプに含まれない (メッセージの列を参照)Timestamps no longer have a trailing ' ' or '*' indicating continuations (see Message column below)
プロセスProcess
  • プロセス名は 32 文字以上でも可能Process name is no longer truncated to 32 characters
  • ProxyTraceTag は、プロキシ化されたトレースを送信したプロセス ID を追加しないProxyTraceTag no longer appends the process ID that sent the proxied trace
  • IIS W3WP プロセスに AppPool ID が追加される (例: w3wp.exe#StatusViewer-status-MSOSP80 (0x631C))IIS W3WP processes get the AppPool ID appended. Ex: w3wp.exe#StatusViewer-status-MSOSP80 (0x631C)
ThreadIdThreadId
  • 列名が TID から ThreadId に変更Column name changed from TID to ThreadId
項目Area
  • 項目は 32 文字以上でも可能Area is no longer truncated to 32 characters
カテゴリCategory
  • カテゴリは 32 文字以上でも可能Category is no longer truncated to 32 characters
EventIdEventId
  • 列名が EventID から EventId に変更Column name changed from EventID to EventId
レベルLevel (変更なし)(no changes)
メッセージMessage
  • メッセージの長さが 800 文字から 31000 文字に拡大Message length has been expanded from 800 to 31000 characters in size
  • 31000 文字を超えるメッセージは切り詰められ、2 番目のメッセージに続かないMessages over 31000 characters are truncated, not continued in a second message
  • メッセージは続かないため、'...' は含まれないSince messages don't continue, there are no '...'s
関連付けCorrelation
  • 関連付けでは新しい積み重ねを使用し、適切なプッシュ、ポップ、最大化を行うCorrelations use a new stack that pushes/pops/peeks appropriately
  • 関連付けの積み重ねの深度は 32 以上でも可能Correlation Stack no longer has a max depth of 32
  • 関連付けは、スレッド間のタスクをフォローし、AppDomain の境界を越えての実施が可能Correlations can follow Tasks across threads, and cross AppDomain boundaries

関連項目See also

Office Online Server 概要Office Online Server overview

Office Online Server を展開するDeploy Office Online Server