入力方向の要求に基づいてユーザーを許可または拒否する規則を作成する

Windows Server 2016 では、アクセス制御ポリシーを使用して、入力方向の要求に基づいてユーザーを許可または拒否する規則を作成できます。 Windows Server 2012 R2 で、Active Directory フェデレーション サービス (AD FS) の [入力方向の要求に基づくユーザーを許可または拒否] 規則テンプレートを使用して、入力方向の要求の種類と値に基づいて、証明書利用者へのユーザーのアクセスを許可または拒否する承認規則を作成できます。

たとえば、この規則テンプレートを使用して、Domain Admins という値が含まれるグループ要求を持つユーザーのみを証明者利用者へのアクセスに許可する規則を作成できます。 すべてのユーザーに証明書利用者へのアクセスを許可する場合は、使用している Windows サーバーのバージョンに応じて Permit Everyone アクセス制御ポリシーまたは Permit All Users 規則テンプレートを使用します。 ユーザーは、フェデレーション サービスから証明書利用者へのアクセスが許可されても、証明書利用者によってサービスが拒否される場合があります。

次の手順を使用して、AD FS 管理スナップインを使用して要求規則を作成できます。

この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。

Windows Server 2016 の入力方向の要求に基づいてユーザーを許可する規則を作成するには

1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

2. コンソールツリーの [AD FS] で [アクセス制御ポリシー] をクリックします。

3. 右クリックして [アクセス制御ポリシーの追加] を選択します。

4. 名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。

5. ルールエディターの [ユーザー] で、[要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。

6. [要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類]、[オペレーター]、および [要求の値] を選択し、[OK] をクリックします。

7. ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。

8. AD FS 管理コンソールツリーで、[AD FS] の [証明書利用者の信頼] をクリックします。

9. アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。

10. [アクセス制御ポリシー] で、ポリシーを選択して、[適用] と [OK] をクリックします。

Windows Server 2016 の入力方向の要求に基づいてユーザーを拒否する規則を作成するには

1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

2. コンソールツリーの [AD FS] で [アクセス制御ポリシー] をクリックします。

3. 右クリックして [アクセス制御ポリシーの追加] を選択します。

4. 名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。

5. ルールエディターで [全員] が選択されていることを確認し、[例外] で [要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。

6. [要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類]、[オペレーター]、および [要求の値] を選択し、[OK] をクリックします。

7. ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。

8. AD FS 管理コンソールツリーで、[AD FS] の [証明書利用者の信頼] をクリックします。

9. アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。

10. [アクセス制御ポリシー] で、ポリシーを選択して、[適用] と [OK] をクリックします。

Windows Server 2012 R2 の入力方向の要求に基づいてユーザーを許可または拒否する規則を作成するには

1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

2. コンソール ツリーで、[AD FS\信頼関係\証明書利用者信頼] の順に選択し、この規則を作成する特定の信頼を一覧からクリックします。

3. 選択した信頼を右クリックし、[要求規則の編集] をクリックします。

4. [要求規則の編集] ダイアログ ボックスで、[発行承認規則] タブまたは [委任承認規則] タブをクリックします (必要な承認規則の種類に基づきます)。次に、[規則の追加] をクリックして、[承認要求規則の追加ウィザード] を開始します。

5. [規則テンプレートの選択] ページの [要求規則テンプレート] で、一覧から [入力方向の要求に基づくユーザーの許可または拒否] を選択し、[次へ] をクリックします。

6. [規則の構成] ページの [要求規則名] にこの規則の表示名を入力し、[入力方向の要求の種類] で一覧から要求の種類を選択し、[入力方向の要求の値] で値を入力するか、[参照] (使用可能な場合) をクリックして値を選択し、組織のニーズに応じて次のいずれかのオプションを選択します。

   • この入力方向の要求を行ったユーザーのアクセスを許可

   • この入力方向の要求を行ったユーザーのアクセスを拒否

7. [完了] をクリックします。

8. [要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。

その他の参照情報

要求規則を構成する

チェックリスト:証明書利用者信頼の要求規則の作成

承認要求規則を使用するタイミング

要求の役割

要求規則の役割