Windows Server 2012 R2 および Windows Server 2012 の Access Control ポリシー AD FSAccess Control Policies in Windows Server 2012 R2 and Windows Server 2012 AD FS

この記事で説明するポリシーでは、2種類の要求を使用します。The policies described in this article make use of two kinds of claims

  1. 要求 AD FS は、AD FS または WAP に直接接続しているクライアントの IP アドレスなど、AD FS および Web アプリケーションプロキシが検査および検証できる情報に基づいて作成されます。Claims AD FS creates based on information the AD FS and Web Application proxy can inspect and verify, such as the IP address of the client connecting directly to AD FS or the WAP.

  2. 要求 AD FS は、HTTP ヘッダーとしてクライアントによって AD FS に転送される情報に基づいて作成されます。Claims AD FS creates based on information forwarded to AD FS by the client as HTTP headers

重要: 以下に記載されているポリシーは、次の追加のエンドポイントへのアクセスを必要とする Windows 10 のドメイン参加およびサインオンのシナリオをブロックします。Important: The policies as documented below will block Windows 10 domain join and sign on scenarios that require access to the following additional endpoints

Windows 10 のドメイン参加とサインオンに必要な AD FS エンドポイントAD FS endpoints required for Windows 10 Domain Join and sign on

  • [フェデレーションサービス名]/adfs/services/trust/2005/windowstransport[federation service name]/adfs/services/trust/2005/windowstransport
  • [フェデレーションサービス名]/adfs/services/trust/13/windowstransport[federation service name]/adfs/services/trust/13/windowstransport
  • [フェデレーションサービス名]/adfs/services/trust/2005/usernamemixed[federation service name]/adfs/services/trust/2005/usernamemixed
  • [フェデレーションサービス名]/adfs/services/trust/13/usernamemixed[federation service name]/adfs/services/trust/13/usernamemixed
  • [フェデレーションサービス名]/adfs/services/trust/2005/certificatemixed[federation service name]/adfs/services/trust/2005/certificatemixed
  • [フェデレーションサービス名]/adfs/services/trust/13/certificatemixed[federation service name]/adfs/services/trust/13/certificatemixed

重要:/adfs/services/trust/2005/windowstransport エンドポイントと/adfs/services/trust/13/windowstransport エンドポイントは、HTTPS で WIA バインドを使用するイントラネットに接続するエンドポイントであるため、イントラネットアクセスに対してのみ有効にする必要があります。Important: /adfs/services/trust/2005/windowstransport and /adfs/services/trust/13/windowstransport endpoints should only be enabled for intranet access as they are meant to be intranet facing endpoints that use WIA binding on HTTPS. それらをエクストラネットに公開すると、これらのエンドポイントに対する要求によってロックアウトの保護がバイパスされる可能性があります。Exposing them to extranet could allow requests against these endpoints to bypass lockout protections. これらのエンドポイントは、(エクストラネットから無効になっている) プロキシで無効にして、AD アカウントのロックアウトを保護する必要があります。These endpoints should be disabled on the proxy (i.e. disabled from extranet) to protect AD account lockout.

解決するには、エンドポイント要求に基づいて拒否されたすべてのポリシーを更新して、上記のエンドポイントで例外を許可します。To resolve, update any policies that deny based on the endpoint claim to allow exception for the endpoints above.

たとえば、次の規則を使用します。For example, the rule below:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");

次のように更新されます。would be updated to:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "(/adfs/ls/)|(/adfs/services/trust/2005/windowstransport)|(/adfs/services/trust/13/windowstransport)|(/adfs/services/trust/2005/usernamemixed)|(/adfs/services/trust/13/usernamemixed)|(/adfs/services/trust/2005/certificatemixed)|(/adfs/services/trust/13/certificatemixed)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");

注意

このカテゴリからの要求は、ネットワークへのアクセスを保護するためのセキュリティポリシーとしてではなく、ビジネスポリシーを実装するためにのみ使用する必要があります。Claims from this category should only be used to implement business policies and not as security policies to protect access to your network. 不正なクライアントが、アクセスを取得する手段として、誤った情報を含むヘッダーを送信する可能性があります。It is possible for unauthorized clients to send headers with false information as a way to gain access.

この記事で説明されているポリシーは、ユーザー名、パスワード、多要素認証など、他の認証方法で常に使用する必要があります。The policies described in this article should always be used with another authentication method, such as username and password or multi factor authentication.

クライアントアクセスポリシーのシナリオClient Access Policies Scenarios

シナリオScenario 説明Description
シナリオ 1: Office 365 への外部アクセスをすべてブロックするScenario 1: Block all external access to Office 365 Office 365 は社内ネットワークのすべてのクライアントからアクセスできますが、外部クライアントからの要求は外部クライアントの IP アドレスに基づいて拒否されます。Office 365 access is allowed from all clients on the internal corporate network, but requests from external clients are denied based on the IP address of the external client.
シナリオ 2: Exchange ActiveSync 以外の Office 365 への外部アクセスをすべてブロックするScenario 2: Block all external access to Office 365 except Exchange ActiveSync Office 365 のアクセスは、社内ネットワーク内のすべてのクライアント、および Exchange ActiveSync を使用する外部クライアントデバイス (スマートフォンなど) から許可されます。Office 365 access is allowed from all clients on the internal corporate network, as well as from any external client devices, such as smart phones, that make use of Exchange ActiveSync. Outlook を使用するような他のすべての外部クライアントはブロックされます。All other external clients, such as those using Outlook, are blocked.
シナリオ 3: ブラウザーベースのアプリケーションを除く Office 365 への外部アクセスをすべてブロックするScenario 3: Block all external access to Office 365 except browser-based applications Outlook Web アクセスや SharePoint Online などのパッシブ (ブラウザーベース) アプリケーションを除き、Office 365 への外部アクセスをブロックします。Blocks external access to Office 365, except for passive (browser-based) applications such as Outlook Web Access or SharePoint Online.
シナリオ 4: 指定された Active Directory グループを除く Office 365 への外部アクセスをすべてブロックするScenario 4: Block all external access to Office 365 except for designated Active Directory groups このシナリオは、クライアントアクセスポリシーの展開をテストおよび検証するために使用されます。This scenario is used for testing and validating client access policy deployment. 1つ以上の Active Directory グループのメンバーに対してのみ、Office 365 への外部アクセスをブロックします。It blocks external access to Office 365 only for members of one or more Active Directory group. また、グループのメンバーに対してのみ外部アクセスを提供するためにも使用できます。It can also be used to provide external access only to members of a group.

クライアントアクセスポリシーを有効にするEnabling Client Access Policy

Windows Server 2012 R2 の AD FS でクライアントアクセスポリシーを有効にするには、Microsoft Office 365 Id プラットフォーム証明書利用者信頼を更新する必要があります。To enable client access policy in AD FS in Windows Server 2012 R2, you must update the Microsoft Office 365 Identity Platform relying party trust. 次のシナリオ例のいずれかを選択して、組織のニーズに最も合った Microsoft Office 365 Id プラットフォーム 証明書利用者信頼の要求規則を構成します。Choose one of the example scenarios below to configure the claim rules on the Microsoft Office 365 Identity Platform relying party trust that best meets the needs of your organization.

シナリオ 1: Office 365 への外部アクセスをすべてブロックするScenario 1: Block all external access to Office 365

このクライアントアクセスポリシーのシナリオでは、すべての内部クライアントからのアクセスを許可し、外部クライアントの IP アドレスに基づいてすべての外部クライアントをブロックします。This client access policy scenario allows access from all internal clients and blocks all external clients based on the IP address of the external client. 次の手順を使用して、適切な発行承認規則を、選択したシナリオの Office 365 証明書利用者信頼に追加できます。You can use the following procedures to add the correct Issuance Authorization rules to the Office 365 relying party trust for your chosen scenario.

Office 365 への外部アクセスをすべてブロックするルールを作成するにはTo create rules to block all external access to Office 365
  1. サーバーマネージャー で、[ツール] をクリックし、[ AD FS の管理] をクリックします。From Server Manager, click Tools, then click AD FS Management.

  2. コンソールツリーの [ AD Fs\ 信頼関係] で、[ 証明書利用者信頼] をクリックし、 Microsoft Office 365 id プラットフォーム 信頼を右クリックして、[ 要求規則の編集] をクリックします。In the console tree, under AD FS\Trust Relationships, click Relying Party Trusts, right-click the Microsoft Office 365 Identity Platform trust, and then click Edit Claim Rules.

  3. [ 要求規則の編集 ] ダイアログボックスで、[ 発行承認規則 ] タブを選択し、[ 規則の追加 ] をクリックして、要求規則ウィザードを開始します。In the Edit Claim Rules dialog box, select the Issuance Authorization Rules tab, and then click Add Rule to start the Claim Rule Wizard.

  4. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  5. [ 規則の構成 ] ページの [ 要求規則名] の下に、この規則の表示名を入力します。たとえば、"目的の範囲外の IP 要求がある場合は拒否する" などです。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is any IP claim outside the desired range, deny”. [ カスタムルール] で、次の要求規則言語構文を入力するか貼り付けます ("x-y-forward-client-ip" の上の値を有効な ip 式に置き換えます)。 c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");Under Custom rule, type or paste the following claim rule language syntax (replace the value above for “x-ms-forwarded-client-ip” with a valid IP expression): c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");

  6. [完了] をクリックします。Click Finish. [発行承認規則] の一覧に新しい規則が表示されていることを確認してから、[ すべてのユーザーへのアクセスを許可 する] 規則に追加します (拒否規則は、一覧の前に表示されている場合でも優先されます)。Verify that the new rule appears in the Issuance Authorization Rules list before to the default Permit Access to All Users rule (the Deny rule will take precedence even though it appears earlier in the list). 既定の許可アクセス規則がない場合は、次のように要求規則言語を使用して、リストの末尾に1つを追加できます。If you do not have the default permit access rule, you can add one at the end of your list using the claim rule language as follows:

    c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");

  7. 新しいルールを保存するには、[ 要求規則の編集 ] ダイアログボックスで [ OK] をクリックします。To save the new rules, in the Edit Claim Rules dialog box, click OK. 結果の一覧は次のようになります。The resulting list should look like the following.

    発行認証ルールIssuance Auth Rules

シナリオ 2: Exchange ActiveSync 以外の Office 365 への外部アクセスをすべてブロックするScenario 2: Block all external access to Office 365 except Exchange ActiveSync

次の例では、Outlook を含む社内クライアントから、Exchange Online を含むすべての Office 365 アプリケーションにアクセスできるようにします。The following example allows access to all Office 365 applications, including Exchange Online, from internal clients including Outlook. クライアントの IP アドレスで示されているように、企業ネットワークの外部に存在するクライアントからのアクセスをブロックします。ただし、スマートフォンなどの Exchange ActiveSync クライアントは除きます。It blocks access from clients residing outside the corporate network, as indicated by the client IP address, except for Exchange ActiveSync clients such as smart phones.

Exchange ActiveSync 以外の Office 365 への外部アクセスをすべてブロックするルールを作成するにはTo create rules to block all external access to Office 365 except Exchange ActiveSync
  1. サーバーマネージャー で、[ツール] をクリックし、[ AD FS の管理] をクリックします。From Server Manager, click Tools, then click AD FS Management.

  2. コンソールツリーの [ AD Fs\ 信頼関係] で、[ 証明書利用者信頼] をクリックし、 Microsoft Office 365 id プラットフォーム 信頼を右クリックして、[ 要求規則の編集] をクリックします。In the console tree, under AD FS\Trust Relationships, click Relying Party Trusts, right-click the Microsoft Office 365 Identity Platform trust, and then click Edit Claim Rules.

  3. [ 要求規則の編集 ] ダイアログボックスで、[ 発行承認規則 ] タブを選択し、[ 規則の追加 ] をクリックして、要求規則ウィザードを開始します。In the Edit Claim Rules dialog box, select the Issuance Authorization Rules tab, and then click Add Rule to start the Claim Rule Wizard.

  4. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  5. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"目的の範囲外の IP 要求がある場合は、ipoutsiderange 要求を発行します" と表示されます。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is any IP claim outside the desired range, issue ipoutsiderange claim”. [ カスタムルール] で、次の要求規則言語構文を入力するか貼り付けます ("x-y-forward-client-ip" の上の値を有効な ip 式に置き換えます)。Under Custom rule, type or paste the following claim rule language syntax (replace the value above for “x-ms-forwarded-client-ip” with a valid IP expression):

    c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");

  6. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  7. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  8. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  9. [ 規則の構成 ] ページの [ 要求規則名] の下に、この規則の表示名を入力します。たとえば、"目的の範囲外の IP があり、非 EAS-Ms-chap 要求がある場合、拒否" と表示されます。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is an IP outside the desired range AND there is a non-EAS x-ms-client-application claim, deny”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます。Under Custom rule, type or paste the following claim rule language syntax:

    c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application", Value != "Microsoft.Exchange.ActiveSync"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
    
  10. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  11. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  12. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート ] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  13. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"アプリケーション要求が存在するかどうかを確認する" などです。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “check if application claim exists”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます。Under Custom rule, type or paste the following claim rule language syntax:

    NOT EXISTS([Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application"]) => add(Type = "http://custom/xmsapplication", Value = "fail");
    
  14. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  15. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  16. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート ] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  17. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"deny users with ipoutsiderange true and application fail" などです。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “deny users with ipoutsiderange true and application fail”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます。Under Custom rule, type or paste the following claim rule language syntax:

    c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/xmsapplication", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
    
  18. [完了] をクリックします。Click Finish. 新しい規則が前の規則のすぐ下に表示され、[発行承認規則] の一覧の [すべてのユーザーにアクセスを許可する] 規則の前に表示されることを確認します (一覧の前に表示されている場合でも、拒否規則は優先されます)。Verify that the new rule appears immediately below the previous rule and before to the default Permit Access to All Users rule in the Issuance Authorization Rules list (the Deny rule will take precedence even though it appears earlier in the list).

    既定の許可アクセス規則がない場合は、次のように要求規則言語を使用して、リストの末尾に1つを追加できます。If you do not have the default permit access rule, you can add one at the end of your list using the claim rule language as follows:

    c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
    
  19. 新しいルールを保存するには、[ 要求規則の編集 ] ダイアログボックスで [OK] をクリックします。To save the new rules, in the Edit Claim Rules dialog box, click OK. 結果の一覧は次のようになります。The resulting list should look like the following.

    発行承認ルール

シナリオ 3: ブラウザーベースのアプリケーションを除く Office 365 への外部アクセスをすべてブロックするScenario 3: Block all external access to Office 365 except browser-based applications

ブラウザーベースのアプリケーションを除く Office 365 への外部アクセスをすべてブロックするルールを作成するにはTo create rules to block all external access to Office 365 except browser-based applications
  1. サーバーマネージャー で、[ツール] をクリックし、[ AD FS の管理] をクリックします。From Server Manager, click Tools, then click AD FS Management.

  2. コンソールツリーの [ AD Fs\ 信頼関係] で、[ 証明書利用者信頼] をクリックし、 Microsoft Office 365 id プラットフォーム 信頼を右クリックして、[ 要求規則の編集] をクリックします。In the console tree, under AD FS\Trust Relationships, click Relying Party Trusts, right-click the Microsoft Office 365 Identity Platform trust, and then click Edit Claim Rules.

  3. [ 要求規則の編集 ] ダイアログボックスで、[ 発行承認規則 ] タブを選択し、[ 規則の追加 ] をクリックして、要求規則ウィザードを開始します。In the Edit Claim Rules dialog box, select the Issuance Authorization Rules tab, and then click Add Rule to start the Claim Rule Wizard.

  4. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  5. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"目的の範囲外の IP 要求がある場合は、ipoutsiderange 要求を発行します" と表示されます。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is any IP claim outside the desired range, issue ipoutsiderange claim”. [ カスタムルール] で、次の要求規則言語構文を入力するか貼り付けます ("x-y-forward-client-ip" の上の値を有効な ip 式に置き換えます)。Under Custom rule, type or paste the following claim rule language syntax(replace the value above for “x-ms-forwarded-client-ip” with a valid IP expression):

c1:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");
  1. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  2. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  3. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート ] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  4. [ 規則の構成 ] ページの [ 要求規則名] の下に、この規則の表示名を入力します。たとえば、"目的の範囲外の IP があり、エンドポイントが/Adfs/ls ではない場合、拒否します。" と表示されます。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is an IP outside the desired range AND the endpoint is not /adfs/ls, deny”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます。Under Custom rule, type or paste the following claim rule language syntax:

    c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value != "/adfs/ls/"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = " DenyUsersWithClaim");`
    
  5. [完了] をクリックします。Click Finish. [発行承認規則] の一覧に新しい規則が表示されていることを確認してから、[ すべてのユーザーへのアクセスを許可 する] 規則に追加します (拒否規則は、一覧の前に表示されている場合でも優先されます)。Verify that the new rule appears in the Issuance Authorization Rules list before to the default Permit Access to All Users rule (the Deny rule will take precedence even though it appears earlier in the list).

    既定の許可アクセス規則がない場合は、次のように要求規則言語を使用して、リストの末尾に1つを追加できます。If you do not have the default permit access rule, you can add one at the end of your list using the claim rule language as follows:

c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");

  1. 新しいルールを保存するには、[ 要求規則の編集 ] ダイアログボックスで [ OK] をクリックします。To save the new rules, in the Edit Claim Rules dialog box, click OK. 結果の一覧は次のようになります。The resulting list should look like the following.

    [要求規則の編集] ダイアログボックスを表示するスクリーンショット。

シナリオ 4: 指定された Active Directory グループを除く Office 365 への外部アクセスをすべてブロックするScenario 4: Block all external access to Office 365 except for designated Active Directory groups

次の例では、IP アドレスに基づいて内部クライアントからのアクセスを有効にします。The following example enables access from internal clients based on IP address. これは、指定された Active Directory グループ内の個人を除き、外部クライアント IP アドレスを持つ企業ネットワークの外部にあるクライアントからのアクセスをブロックします。要求規則ウィザードを使用して、 Microsoft Office 365 Id プラットフォーム 証明書利用者信頼に正しい発行承認規則を追加するには、次の手順を実行します。It blocks access from clients residing outside the corporate network that have an external client IP address, except for those individuals in a specified Active Directory Group.Use the following steps to add the correct Issuance Authorization rules to the Microsoft Office 365 Identity Platform relying party trust using the Claim Rule Wizard:

指定された Active Directory グループを除き、Office 365 への外部アクセスをすべてブロックするルールを作成するにはTo create rules to block all external access to Office 365, except for designated Active Directory groups
  1. サーバーマネージャー で、[ツール] をクリックし、[ AD FS の管理] をクリックします。From Server Manager, click Tools, then click AD FS Management.

  2. コンソールツリーの [ AD Fs\ 信頼関係] で、[ 証明書利用者信頼] をクリックし、 Microsoft Office 365 id プラットフォーム 信頼を右クリックして、[ 要求規則の編集] をクリックします。In the console tree, under AD FS\Trust Relationships, click Relying Party Trusts, right-click the Microsoft Office 365 Identity Platform trust, and then click Edit Claim Rules.

  3. [ 要求規則の編集 ] ダイアログボックスで、[ 発行承認規則 ] タブを選択し、[ 規則の追加 ] をクリックして、要求規則ウィザードを開始します。In the Edit Claim Rules dialog box, select the Issuance Authorization Rules tab, and then click Add Rule to start the Claim Rule Wizard.

  4. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  5. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、「必要な範囲外の IP 要求がある場合は、ipoutsiderange 要求を発行します」と入力します。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “If there is any IP claim outside the desired range, issue ipoutsiderange claim.” [ カスタムルール] で、次の要求規則言語構文を入力するか貼り付けます ("x-y-forward-client-ip" の上の値を有効な ip 式に置き換えます)。Under Custom rule, type or paste the following claim rule language syntax(replace the value above for “x-ms-forwarded-client-ip” with a valid IP expression):

    `c1:[Type == "https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip", Value =~ "^(?!192\.168\.1\.77|10\.83\.118\.23)"] && c2:[Type == "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"] => issue(Type = "http://custom/ipoutsiderange", Value = "true");`
    
  6. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  7. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  8. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート ] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  9. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"check group SID" のように指定します。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “check group SID”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます ("groupsid" は、使用している AD グループの実際の sid に置き換えます)。Under Custom rule, type or paste the following claim rule language syntax (replace "groupsid" with the actual SID of the AD group you are using):

    NOT EXISTS([Type == "https://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid", Value == "S-1-5-32-100"]) => add(Type = "http://custom/groupsid", Value = "fail");
    
  10. [完了] をクリックします。Click Finish. [ 発行承認規則 ] の一覧に新しい規則が表示されていることを確認します。Verify that the new rule appears in the Issuance Authorization Rules list.

  11. 次に、[ 要求規則の編集 ] ダイアログボックスの [ 発行承認規則 ] タブで、[ 規則の追加 ] をクリックして、要求規則ウィザードを再び開始します。Next, in the Edit Claim Rules dialog box, on the Issuance Authorization Rules tab, click Add Rule to start the Claim Rule Wizard again.

  12. [ 規則テンプレートの選択 ] ページの [ 要求規則テンプレート ] で、[ カスタム規則を使用して要求を送信 する] を選択し、[ 次へ] をクリックします。On the Select Rule Template page, under Claim rule template, select Send Claims Using a Custom Rule, and then click Next.

  13. [ 規則の構成 ] ページの [ 要求規則名] に、この規則の表示名を入力します。たとえば、"deny users with ipoutsiderange true and groupsid fail" のように指定します。On the Configure Rule page, under Claim rule name, type the display name for this rule, for example “deny users with ipoutsiderange true and groupsid fail”. [ カスタム規則] で、次の要求規則言語構文を入力するか貼り付けます。Under Custom rule, type or paste the following claim rule language syntax:

c1:[Type == "http://custom/ipoutsiderange", Value == "true"] && c2:[Type == "http://custom/groupsid", Value == "fail"] => issue(Type = "https://schemas.microsoft.com/authorization/claims/deny", Value = "DenyUsersWithClaim");
  1. [完了] をクリックします。Click Finish. 新しい規則が前の規則のすぐ下に表示され、[発行承認規則] の一覧の [すべてのユーザーにアクセスを許可する] 規則の前に表示されることを確認します (一覧の前に表示されている場合でも、拒否規則は優先されます)。Verify that the new rule appears immediately below the previous rule and before to the default Permit Access to All Users rule in the Issuance Authorization Rules list (the Deny rule will take precedence even though it appears earlier in the list).

    既定の許可アクセス規則がない場合は、次のように要求規則言語を使用して、リストの末尾に1つを追加できます。If you do not have the default permit access rule, you can add one at the end of your list using the claim rule language as follows:
c:[] => issue(Type = "https://schemas.microsoft.com/authorization/claims/permit", Value = "true");
  1. 新しいルールを保存するには、[ 要求規則の編集 ] ダイアログボックスで [OK] をクリックします。To save the new rules, in the Edit Claim Rules dialog box, click OK. 結果の一覧は次のようになります。The resulting list should look like the following.

    発行

IP アドレス範囲の作成Building the IP address range expression

HTTP ヘッダーは、現在 Exchange Online によってのみ設定されています。これにより、認証要求を AD FS に渡すときにヘッダーが設定されます。The x-ms-forwarded-client-ip claim is populated from an HTTP header that is currently set only by Exchange Online, which populates the header when passing the authentication request to AD FS. 要求の値には、次のいずれかを指定できます。The value of the claim may be one of the following:

注意

現在、Exchange Online では IPV6 以外の IPV4 アドレスのみがサポートされています。Exchange Online currently supports only IPV4 and not IPV6 addresses.

  • 単一の IP アドレス: Exchange Online に直接接続されているクライアントの IP アドレスA single IP address: The IP address of the client that is directly connected to Exchange Online

注意

  • 企業ネットワーク上のクライアントの IP アドレスは、組織の送信プロキシまたはゲートウェイの外部インターフェイス IP アドレスとして表示されます。The IP address of a client on the corporate network will appear as the external interface IP address of the organization's outbound proxy or gateway.
  • VPN または Microsoft DirectAccess (DA) によって企業ネットワークに接続されているクライアントは、VPN または DA の構成に応じて、内部の企業クライアントとして、または外部クライアントとして表示されることがあります。Clients that are connected to the corporate network by a VPN or by Microsoft DirectAccess (DA) may appear as internal corporate clients or as external clients depending upon the configuration of VPN or DA.
  • 1つまたは複数の IP アドレス: Exchange Online が接続しているクライアントの IP アドレスを特定できない場合、HTTP ベースの要求に含めることができ、多くのクライアント、ロードバランサー、および市場のプロキシでサポートされる、非標準のヘッダーの値に基づいて値が設定されます。One or more IP addresses: When Exchange Online cannot determine the IP address of the connecting client, it will set the value based on the value of the x-forwarded-for header, a non-standard header that can be included in HTTP-based requests and is supported by many clients, load balancers, and proxies on the market.

注意

  1. クライアント IP アドレスと、要求を受けた各プロキシのアドレスを示す複数の IP アドレスは、コンマで区切られます。Multiple IP addresses, indicating the client IP address and the address of each proxy that passed the request, will be separated by a comma.
  2. Exchange Online インフラストラクチャに関連する IP アドレスは、一覧に表示されません。IP addresses related to Exchange Online infrastructure will not on the list.

[正規表現]Regular Expressions

IP アドレスの範囲を一致させる必要がある場合は、比較を実行するために正規表現を作成する必要があります。When you have to match a range of IP addresses, it becomes necessary to construct a regular expression to perform the comparison. 次の一連の手順では、次のアドレス範囲に一致するような式を作成する方法の例を示します (パブリック IP の範囲に合わせてこれらの例を変更する必要があります)。In the next series of steps, we will provide examples for how to construct such an expression to match the following address ranges (note that you will have to change these examples to match your public IP range):

  • 192.168.1.1 –192.168.1.25192.168.1.1 – 192.168.1.25

  • 10.0.0.1 –10.0.0.1410.0.0.1 – 10.0.0.14

    まず、1つの IP アドレスに一致する基本的なパターンは次のようになります。 \b # # # \ . # # # \ . # # # \ . # # # \bFirst, the basic pattern that will match a single IP address is as follows: \b###\.###\.###\.###\b

    これを拡張すると、2つの異なる IP アドレスを OR 式と一致させることができます。 \b # # # \ . # # # \ . # # # \ . # # # \b| \b # # #. # # \ # \ . \ # # #. # # # \bExtending this, we can match two different IP addresses with an OR expression as follows: \b###\.###\.###\.###\b|\b###\.###\.###\.###\b

    そのため、2つのアドレス (192.168.1.1、10.0.0.1 など) のみを照合する例は次のようになります。 \b192 \ . 168 \ .1 \ .1 \ b| \b10 \ .0 \ . 0 \ ..1So, an example to match just two addresses (such as 192.168.1.1 or 10.0.0.1) would be: \b192\.168\.1\.1\b|\b10\.0\.0\.1\b

    これにより、任意の数のアドレスを入力できるようになります。This gives you the technique by which you can enter any number of addresses. アドレスの範囲を許可する必要がある場合 (例: 192.168.1.1 – 192.168.1.25)、文字によって一致する必要があります: 168 \b192. \ \ 1 \ . ([1-9] |1 [0-9] |2 [0-5]) \bWhere a range of address need to be allowed, for example 192.168.1.1 – 192.168.1.25, the matching must be done character by character: \b192\.168\.1\.([1-9]|1[0-9]|2[0-5])\b

    以下の点に注意してください。Please note the following:

  • IP アドレスは、数値ではなく文字列として扱われます。The IP address is treated as string and not a number.

  • ルールは次のように分類されます。 168 \b192. \ \ 1. \The rule is broken down as follows: \b192\.168\.1\.

  • これは、192.168.1 から始まる任意の値と一致します。This matches any value beginning with 192.168.1.

  • 次の例では、最後の小数点の後のアドレス部分に必要な範囲に一致します。The following matches the ranges required for the portion of the address after the final decimal point:

    • ([1-9] は、1-9 で終了するアドレスと一致します([1-9] Matches addresses ending in 1-9

    • |1 [0-9] は、10-19 で終わるアドレスと一致します|1[0-9] Matches addresses ending in 10-19

    • |2 [0-5]) は、20-25 で終わるアドレスと一致します|2[0-5]) Matches addresses ending in 20-25

  • かっこは、IP アドレスの他の部分との照合を開始しないように、正しく配置されている必要があることに注意してください。Note that the parentheses must be correctly positioned, so that you don't start matching other portions of IP addresses.

  • 192ブロックが一致すると、10個のブロックに対して同様の式を記述できます。 \b10 \ .0 \ . 0 \ . ([1-9] |1 [0-4]) \bWith the 192 block matched, we can write a similar expression for the 10 block: \b10\.0\.0\.([1-9]|1[0-4])\b

  • これらをまとめると、次の式は、"192.168.1.1 ~ 25" および "10.0.0.1 ~ 14" のすべてのアドレスと一致する必要があります: 168 \b192. \ \ 1 \ . ([1-9] |1 [0-9] |2 [0-5]) \b| \b10 \ .0 \ . 0 \ . ([1-9] |1 [0-4]) \bAnd putting them together, the following expression should match all the addresses for “192.168.1.1~25” and “10.0.0.1~14”: \b192\.168\.1\.([1-9]|1[0-9]|2[0-5])\b|\b10\.0\.0\.([1-9]|1[0-4])\b

式のテストTesting the Expression

Regex 式は非常に複雑になる可能性があるため、regex 検証ツールを使用することを強くお勧めします。Regex expressions can become quite tricky, so we highly recommend using a regex verification tool. "オンライン正規表現ビルダー" のインターネット検索を実行すると、サンプルデータに対して式を試すことができる便利なオンラインユーティリティがいくつか用意されています。If you do an internet search for “online regex expression builder”, you will find several good online utilities that will allow you to try out your expressions against sample data.

式をテストするときは、どのようなものを一致させる必要があるかを理解することが重要です。When testing the expression, it's important that you understand what to expect to have to match. Exchange online システムは、コンマで区切られた多数の IP アドレスを送信する場合があります。The Exchange online system may send many IP addresses, separated by commas. 上記の式は、このに対して機能します。The expressions provided above will work for this. ただし、regex 式をテストするときは、この点を考慮することが重要です。However, it's important to think about this when testing your regex expressions. たとえば、次のサンプル入力を使用して上記の例を確認できます。For example, one might use the following sample input to verify the examples above:

192.168.1.1、192.168.1.2、192.169.1.1。192.168.1.1, 192.168.1.2, 192.169.1.1. 192.168.12.1、192.168.1.10、192.168.1.25、192.168.1.26、192.168.1.30、1192.168.1.20192.168.12.1, 192.168.1.10, 192.168.1.25, 192.168.1.26, 192.168.1.30, 1192.168.1.20

10.0.0.1、10.0.0.5、10.0.0.10、10.0.1.0、10.0.1.1、110.0.0.1、10.0.0.14、10.0.0.15、10.0.0.10、10、0.0.110.0.0.1, 10.0.0.5, 10.0.0.10, 10.0.1.0, 10.0.1.1, 110.0.0.1, 10.0.0.14, 10.0.0.15, 10.0.0.10, 10,0.0.1

信頼性情報の種類Claim Types

Windows Server 2012 R2 の AD FS では、次の要求の種類を使用して要求コンテキスト情報を提供します。AD FS in Windows Server 2012 R2 provides request context information using the following claim types:

X-ミリ秒-クライアント-IPX-MS-Forwarded-Client-IP

要求の種類: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ipClaim type: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip

この AD FS 要求は、要求を行っているユーザー (Outlook クライアントなど) の IP アドレスを突き止めるに "最適な試行" を表します。This AD FS claim represents a “best attempt” at ascertaining the IP address of the user (for example, the Outlook client) making the request. この要求には、要求を転送したすべてのプロキシのアドレスを含む、複数の IP アドレスを含めることができます。This claim can contain multiple IP addresses, including the address of every proxy that forwarded the request. この要求は、HTTP から設定されます。This claim is populated from an HTTP. 要求の値には、次のいずれかを指定できます。The value of the claim can be one of the following:

  • 単一の IP アドレス-Exchange Online に直接接続されているクライアントの IP アドレスA single IP address - The IP address of the client that is directly connected to Exchange Online

注意

企業ネットワーク上のクライアントの IP アドレスは、組織の送信プロキシまたはゲートウェイの外部インターフェイス IP アドレスとして表示されます。The IP address of a client on the corporate network will appear as the external interface IP address of the organization's outbound proxy or gateway.

  • 1つ以上の IP アドレスOne or more IP addresses

    • 接続しているクライアントの IP アドレスを Exchange Online が特定できない場合は、HTTP ベースの要求に含めることができ、多くのクライアント、ロードバランサー、および市場のプロキシによってサポートされる、非標準のヘッダーの値に基づいて値が設定されます。If Exchange Online cannot determine the IP address of the connecting client, it will set the value based on the value of the x-forwarded-for header, a non-standard header that can be included in HTTP based requests and is supported by many clients, load balancers, and proxies on the market.

    • クライアント IP アドレスを示す複数の IP アドレスと、要求に合格した各プロキシのアドレスは、コンマで区切られます。Multiple IP addresses indicating the client IP address and the address of each proxy that passed the request will be separated by a comma.

注意

Exchange Online インフラストラクチャに関連する IP アドレスは、一覧に表示されません。IP addresses related to Exchange Online infrastructure will not be present in the list.

警告

現在、Exchange Online は IPV4 アドレスのみをサポートしています。IPV6 アドレスはサポートされていません。Exchange Online currently supports only IPV4 addresses; it does not support IPV6 addresses.

X-MS-クライアント-アプリケーションX-MS-Client-Application

要求の種類: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-applicationClaim type: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

この AD FS 要求は、エンドクライアントが使用するプロトコルを表します。このプロトコルは、使用されているアプリケーションに対して弱くなります。This AD FS claim represents the protocol used by the end client, which corresponds loosely to the application being used. この要求は、現在 Exchange Online によって設定されている HTTP ヘッダーから作成されます。これは、認証要求を AD FS に渡すときに、ヘッダーを入力します。This claim is populated from an HTTP header that is currently only set by Exchange Online, which populates the header when passing the authentication request to AD FS. アプリケーションによっては、この要求の値は次のいずれかになります。Depending on the application, the value of this claim will be one of the following:

  • Exchange Active Sync を使用するデバイスの場合、値は "Microsoft. Exchange. ActiveSync" になります。In the case of devices that use Exchange Active Sync, the value is Microsoft.Exchange.ActiveSync.

  • Microsoft Outlook クライアントを使用すると、次のいずれかの値が返される場合があります。Use of the Microsoft Outlook client may result in any of the following values:

    • Microsoft. Exchange. 自動検出Microsoft.Exchange.Autodiscover

    • OfflineAddressBookMicrosoft.Exchange.OfflineAddressBook

    • Microsoft. Exchange. Exchange...Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices

    • Microsoft. Exchange. Exchange...Microsoft.Exchange.RPCMicrosoft.Exchange.WebServices

  • このヘッダーには、次のような値を指定できます。Other possible values for this header include the following:

    • Microsoft. Exchange. PowershellMicrosoft.Exchange.Powershell

    • Microsoft. Exchange. SMTPMicrosoft.Exchange.SMTP

    • Microsoft. Exchange. PopMicrosoft.Exchange.Pop

    • Microsoft. Exchange. ImapMicrosoft.Exchange.Imap

X-MS-クライアント-ユーザーエージェントX-MS-Client-User-Agent

要求の種類: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agentClaim type: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent

この AD FS 要求は、クライアントがサービスにアクセスするために使用しているデバイスの種類を表す文字列を提供します。This AD FS claim provides a string to represent the device type that the client is using to access the service. これは、特定のデバイス (特定の種類のスマートフォンなど) へのアクセスをユーザーが禁止する場合に使用できます。This can be used when customers would like to prevent access for certain devices (such as particular types of smart phones). この要求の値の例には、以下の値が含まれます (ただし、これらに限定されません)。Example values for this claim include (but are not limited to) the values below.

次に示すのは、x-ms クライアントアプリケーションが "Microsoft. Exchange. ActiveSync" であるクライアントに対して、ユーザーエージェントの値に含まれる可能性のある例です。The below are examples of what the x-ms-user-agent value might contain for a client whose x-ms-client-application is “Microsoft.Exchange.ActiveSync”

  • 渦/1.0Vortex/1.0

  • IPad1C1/812.1Apple-iPad1C1/812.1

  • IPhone3C1/811.2Apple-iPhone3C1/811.2

  • Apple iPhone/704.11Apple-iPhone/704.11

  • Moto-DROID2/4.5.1Moto-DROID2/4.5.1

  • SAMSUNGSPHD700/100.202SAMSUNGSPHD700/100.202

  • Android/0.3Android/0.3

    この値が空である可能性もあります。It is also possible that this value is empty.

X-MS-プロキシX-MS-Proxy

要求の種類: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxyClaim type: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy

この AD FS 要求は、要求が Web アプリケーションプロキシを経由して渡されたことを示します。This AD FS claim indicates that the request has passed through the Web Application proxy. この要求は、Web アプリケーションプロキシによって作成されます。これにより、バックエンドフェデレーションサービスに認証要求を渡すときにヘッダーが設定されます。This claim is populated by the Web Application proxy, which populates the header when passing the authentication request to the back end Federation Service. AD FS は、それをクレームに変換します。AD FS then converts it to a claim.

要求の値は、要求を受けた Web アプリケーションプロキシの DNS 名です。The value of the claim is the DNS name of the Web Application proxy that passed the request.

InsideCorporateNetworkInsideCorporateNetwork

要求の種類: https://schemas.microsoft.com/ws/2012/01/insidecorporatenetworkClaim type: https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork

上記のように、この要求の種類は、要求が web アプリケーションプロキシを経由して渡されたかどうかを示します。Similar to the above x-ms-proxy claim type, this claim type indicates whether the request has passed through the web application proxy. Insidecorporatenetwork とは異なり、このブール値は True で、企業ネットワーク内からフェデレーションサービスに直接要求を示します。Unlike x-ms-proxy, insidecorporatenetwork is a boolean value with True indicating a request directly to the federation service from inside the corporate network.

X-MS-エンドポイント-絶対パス (アクティブとパッシブ)X-MS-Endpoint-Absolute-Path (Active vs Passive)

要求の種類: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-pathClaim type: https://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path

この要求の種類を使用して、"アクティブ" (リッチ) クライアントと "パッシブ" (web ブラウザーベース) クライアントからの要求を特定できます。This claim type can be used for determining requests originating from “active” (rich) clients versus “passive” (web-browser-based) clients. これにより、Outlook Web アクセス、SharePoint Online、Office 365 ポータルなどのブラウザーベースのアプリケーションからの外部要求が許可されますが、Microsoft Outlook などのリッチクライアントからの要求はブロックされます。This enables external requests from browser-based applications such as the Outlook Web Access, SharePoint Online, or the Office 365 portal to be allowed while requests originating from rich clients such as Microsoft Outlook are blocked.

要求の値は、要求を受信した AD FS サービスの名前です。The value of the claim is the name of the AD FS service that received the request.

参照See Also

AD FS の運用AD FS Operations