ワーク フォルダーの展開Deploying Work Folders

適用対象: Windows Server (半期チャネル)、Windows Server 2016、Windows Server 2012 R2、Windows 10、Windows 8.1、Windows 7Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10, Windows 8.1, Windows 7

このトピックでは、ワーク フォルダーを展開するために必要な手順について説明します。This topic discusses the steps needed to deploy Work Folders. 既に「ワーク フォルダーの展開の計画」を読んでいることを前提としています。It assumes that you've already read Planning a Work Folders deployment.

複数のサーバーとテクノロジが関連する可能性のあるプロセスである、ワーク フォルダーを展開するには、以下の手順を使用します。To deploy Work Folders, a process that can involve multiple servers and technologies, use the following steps.

ヒント

最もシンプルなワーク フォルダーの展開は、インターネットを介した同期をサポートしない単一のファイル サーバー (通常は同期サーバーと呼ばれています) です。これは、テスト ラボや、ドメインに参加しているクライアント コンピューターの同期ソリューションとして有益な展開となることがあります。The simplest Work Folders deployment is a single file server (often called a sync server) without support for syncing over the Internet, which can be a useful deployment for a test lab or as a sync solution for domain-joined client computers. 単純な展開を作成するための最小限の手順は次のとおりです。To create a simple deployment, these are minimum steps to follow:

  • 手順 1: SSL 証明書を取得するStep 1: Obtain SSL certificates
  • 手順 2: DNS レコードを作成するStep 2: Create DNS records
  • 手順 3: ファイル サーバーにワーク フォルダーをインストールするStep 3: Install Work Folders on file servers
  • 手順 4: 同期サーバーで SSL 証明書をバインドするStep 4: Binding the SSL certificate on the sync servers
  • 手順 5: ワーク フォルダーのセキュリティ グループを作成するStep 5: Create security groups for Work Folders
  • 手順 7: ユーザー データの同期共有を作成するStep 7: Create sync shares for user data

手順 1: SSL 証明書を取得するStep 1: Obtain SSL certificates

ワーク フォルダーでは、ワーク フォルダー クライアントとワーク フォルダー サーバーの間を HTTPS によって安全に同期する必要があります。Work Folders uses HTTPS to securely synchronize files between the Work Folders clients and the Work Folders server. ワーク フォルダーで使用される SSL 証明書の要件は次のとおりです。The requirements for SSL certificates used by Work Folders are as follows:

  • 証明書は信頼された証明機関によって発行されている必要があります。The certificate must be issued by a trusted certification authority. 証明書は、ドメインに参加していないインターネット ベースのデバイスによって使用されるため、ほとんどのワーク フォルダーの実装では、公的に信頼された CA を使用することをお勧めします。For most Work Folders implementations, a publicly trusted CA is recommended, since certificates will be used by non-domain-joined, Internet-based devices.

  • 証明書は有効である必要があります。The certificate must be valid.

  • 証明書の秘密キーは、(複数のサーバーに証明書をインストールする必要があるため) エクスポートできる必要があります。The private key of the certificate must be exportable (as you will need to install the certificate on multiple servers).

  • 証明書のサブジェクト名には、インターネット経由でワーク フォルダー サービスを検出するために使用されるパブリック ワーク フォルダー URL が含まれている必要があります。これは workfolders. <domain_name> の形式である必要があります。The subject name of the certificate must contain the public Work Folders URL used for discovering the Work Folders service from across the Internet – this must be in the format of workfolders.<domain_name>.

  • 使用されている各同期サーバーのサーバー名を一覧表示する証明書に、サブジェクト代替名 (SAN) が存在している必要があります。Subject alternative names (SANs) must be present on the certificate listing the server name for each sync server in use.

    ワーク フォルダーの証明書管理のブログは、ワーク フォルダーでの証明書の使用に関する追加情報を提供します。The Work Folders Certificate Management blog provides additional information on using certificates with Work Folders.

手順 2: DNS レコードを作成するStep 2: Create DNS records

ユーザーがインターネット経由で同期できるようにするには、パブリック DNS にホスト (A) レコードを作成して、インターネット クライアントがワーク フォルダー URL を解決できるようにする必要があります。To allow users to sync across the Internet, you must create a Host (A) record in public DNS to allow Internet clients to resolve your Work Folders URL. この DNS レコードは、リバース プロキシ サーバーの外部インターフェイスに解決される必要があります。This DNS record should resolve to the external interface of the reverse proxy server.

内部ネットワーク上で、workfolders という名前で DNS の CNAME レコードを作成します。これはサーバー ワーク フォルダーの FDQN に解決されます。On your internal network, create a CNAME record in DNS named workfolders which resolves to the FDQN of a Work Folders server. ワークフォルダークライアントが自動検出を使用する場合、ワークフォルダーサーバーを検出するために使用される URL は https://workfolders.domain.com です。When Work Folders clients use auto discovery, the URL used to discover the Work Folders server is https://workfolders.domain.com. 自動検出を使用する場合は、workfolders CNAME レコードが DNS 内に存在する必要があります。If you plan to use auto discovery, the workfolders CNAME record must exist in DNS.

手順 3: ファイル サーバーにワーク フォルダーをインストールするStep 3: Install Work Folders on file servers

ワーク フォルダーは、ドメインに参加しているサーバーに、サーバー マネージャーまたは Windows PowerShell を使用して、ローカルまたはネットワーク経由でリモートからインストールできます。You can install Work Folders on a domain-joined server by using Server Manager or by using Windows PowerShell, locally or remotely across a network. これは、ネットワーク経由で複数の同期サーバーを構成している場合に役立ちます。This is useful if you are configuring multiple sync servers across your network.

サーバー マネージャーで役割を展開するには、次の操作を行います。To deploy the role in Server Manager, do the following:

  1. 役割と機能の追加ウィザードを開始します。Start the Add Roles and Features Wizard.

  2. [インストールの種類の選択] ページで [役割ベースまたは機能ベースのインストール] を選択します。On the Select installation type page, choose Role-based or feature-based deployment.

  3. [対象サーバーの選択] ページで、ワーク フォルダーのインストール先のサーバーを選択します。On the Select destination server page, select the server on which you want to install Work Folders.

  4. [サーバーの役割の選択] ページで、 [ファイル サービスおよび記憶域サービス][ファイル サービスおよび iSCSI サービス] の順に展開し、 [ワーク フォルダー] を選択します。On the Select server roles page, expand File and Storage Services, expand File and iSCSI Services, and then select Work Folders.

  5. [IIS ホスト可能な Web コア] をインストールするかどうかを確認するメッセージが表示されたら、 [OK] をクリックしてインターネット インフォメーション サービス (IIS) の最小バージョンをインストールします。When asked if you want to install IIS Hostable Web Core, click Ok to install the minimal version of Internet Information Services (IIS) required by Work Folders.

  6. ウィザードが完了するまで [次へ] をクリックします。Click Next until you have completed the wizard.

Windows PowerShell を使用してこの役割を展開するには、次のコマンドレットを使用します。To deploy the role by using Windows PowerShell, use the following cmdlet:

Add-WindowsFeature FS-SyncShareService  

手順 4: 同期サーバーで SSL 証明書をバインドするStep 4: Binding the SSL certificate on the sync servers

ワーク フォルダーでは、IIS ホスト可能な Web コアがインストールされます。これは、IIS をフル インストールすることなく、Web サービスを有効にするように設計された IIS コンポーネントです。Work Folders installs the IIS Hostable Web Core, which is an IIS component designed to enable web services without requiring a full installation of IIS. IIS ホスト可能な Web コアをインストールした後、ファイル サーバーの既定の Web サイトにサーバーの SSL 証明書をバインドする必要があります。After installing the IIS Hostable Web Core, you should bind the SSL certificate for the server to the Default Web Site on the file server. ただし、IIS ホスト可能な Web コアでは、IIS 管理コンソールはインストールされません。However, the IIS Hostable Web Core does not install the IIS Management console.

証明書を既定の Web インターフェイスにバインドするには、2 つのオプションがあります。There are two options for binding the certificate to the Default Web Interface. いずれのオプションを使用する場合も、コンピューターの個人用ストアに証明書の秘密キーをインストールしておく必要があります。To use either option you must have installed the private key for the certificate into the computer's personal store.

  • IIS 管理コンソールがインストールされているサーバーで IIS 管理コンソールを使用します。Utilize the IIS management console on a server that has it installed. コンソール内から、管理するファイル サーバーに接続し、そのサーバーの既定の Web サイトを選択します。From within the console, connect to the file server you want to manage, and then select the Default Web Site for that server. 既定の Web サイトは無効として表示されますが、サイトのバインドを編集し、証明書を選択してその Web サイトにバインドすることはできます。The Default Web Site will appear disabled, but you can still edit the bindings for the site and select the certificate to bind it to that web site.

  • netsh コマンドを使用して証明書を既定の Web サイトの https インターフェイスにバインドします。Use the netsh command to bind the certificate to the Default Web Site https interface. コマンドは次のとおりです。The command is as follows:

    netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY
    

手順 5: ワーク フォルダーのセキュリティ グループを作成するStep 5: Create security groups for Work Folders

同期共有を作成する前に、Domain Admins グループまたは Enterprise Admins グループのメンバーが Active Directory Domain Services (AD DS) にワーク フォルダー用のセキュリティ グループをいくつか作成する必要があります (手順 6 で説明されているように、特定のコントロールの委任も必要になる場合があります)。Before creating sync shares, a member of the Domain Admins or Enterprise Admins groups needs to create some security groups in Active Directory Domain Services (AD DS) for Work Folders (they might also want to delegate some control as described in Step 6). 必要なグループは次のとおりです。Here are the groups you need:

  • 同期共有との同期が許可されているユーザーを指定するために、同期共有ごとに 1 つのグループ。One group per sync share to specify which users are allowed to sync with the sync share

  • ワーク フォルダー管理者が、(複数の同期サーバーを使用する場合に) ユーザーを適切な同期サーバーにリンクする各ユーザー オブジェクトの属性を編集できるように、すべてのワーク フォルダー管理者用に 1 つのグループ。One group for all Work Folders administrators so that they can edit an attribute on each user object that links the user to the correct sync server (if you're going to use multiple sync servers)

    他のセキュリティ要件との潜在的な競合を回避できるように、グループは標準的な命名規則に従い、ワーク フォルダーについてのみ使用してください。Groups should follow a standard naming convention and should be used only for Work Folders to avoid potential conflicts with other security requirements.

    適切なセキュリティ グループを作成するには、次の手順を複数回実行します。各同期共有について 1 回、必要に応じてファイル サーバー管理者のグループを作成するために 1 回実行します。To create the appropriate security groups, use the following procedure multiple times – once for each sync share, and once to optionally create a group for file server administrators.

ワーク フォルダーのセキュリティ グループを作成するにはTo create security groups for Work Folders

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。Open Server Manager on a Windows Server 2012 R2 or Windows Server 2016 computer with Active Directory Administration Center installed.

  2. [ツール] メニューの [Active Directory 管理センター] をクリックします。On the Tools menu, click Active Directory Administration Center. Active Directory 管理センターが表示されます。Active Directory Administration Center appears.

  3. 新しいグループを作成するコンテナー (たとえば、適切なドメインまたは OU のユーザー コンテナー) を右クリックし、 [新規][グループ] の順にクリックします。Right-click the container where you want to create the new group (for example, the Users container of the appropriate domain or OU), click New, and then click Group.

  4. [グループの作成] ウィンドウの [グループ] で、次の設定を指定します。In the Create Group window, in the Group section, specify the following settings:

    • [グループ名] で、セキュリティ グループの名前を入力します。たとえば、「人事部の同期共有ユーザー」、「ワーク フォルダー管理者」のように入力します。In Group name, type the name of the security group, for example: HR Sync Share Users, or Work Folders Administrators.

    • [グループのスコープ] で、 [セキュリティ][グローバル] の順にクリックします。In Group scope, click Security, and then click Global.

  5. [メンバー] セクションの [追加] をクリックします。In the Members section, click Add. [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが表示されます。The Select Users, Contacts, Computers, Service Accounts or Groups dialog box appears.

  6. 特定の同期共有へのアクセスを許可するユーザーまたはグループの名前を入力する (同期共有へのアクセスを制御するグループを作成している場合) か、ワーク フォルダー管理者の名前を入力して (適切な同期サーバーを自動的に検出するようにユーザー アカウントを構成している場合)、 [OK] をクリックし、もう一度 [OK] をクリックします。Type the names of the users or groups to which you grant access to a particular sync share (if you're creating a group to control access to a sync share), or type the names of the Work Folders administrators (if you're going to configure user accounts to automatically discover the appropriate sync server), click OK, and then click OK again.

Windows PowerShell を使用してセキュリティ グループを作成するには、次のコマンドレットを使用します。To create a security group by using Windows PowerShell, use the following cmdlets:

$GroupName = "Work Folders Administrators"  
$DC = "DC1.contoso.com"  
$ADGroupPath = "CN=Users,DC=contoso,DC=com"  
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"  
  
New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC  
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

手順 6: 必要に応じてユーザー属性の制御をワーク フォルダー管理者に委任するStep 6: Optionally delegate user attribute control to Work Folders administrators

複数の同期サーバーを展開し、適切な同期サーバーに自動的にユーザーを誘導する場合、AD DS で各ユーザー アカウントの属性を更新する必要があります。If you are deploying multiple sync servers and want to automatically direct users to the correct sync server, you'll need to update an attribute on each user account in AD DS. ただし、通常、この属性を更新するには、Domain Admins グループまたは Enterprise Admins グループのメンバーになる必要がありますが、頻繁にユーザーを追加したり、同期サーバー間でユーザーを移動したりする必要がある場合、これは面倒な作業になる可能性があります。However, this normally requires getting a member of the Domain Admins or Enterprise Admins groups to update the attributes, which can quickly become tiresome if you need to frequently add users or move them between sync servers.

そのため、Domain Admins グループまたは Enterprise Admins グループのメンバーは、次の手順で説明するように、ユーザー オブジェクトの msDS-SyncServerURL プロパティを変更する権限を、手順 5. で作成したワーク フォルダー管理者グループに委任する場合があります。For this reason, a member of the Domain Admins or Enterprise Admins groups might want to delegate the ability to modify the msDS-SyncServerURL property of user objects to the Work Folders Administrators group you created in Step 5, as described in the following procedure.

AD DS でユーザー オブジェクトの msDS-SyncServerURL プロパティを編集する権限を委任するDelegate the ability to edit the msDS-SyncServerURL property on user objects in AD DS

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory ユーザーとコンピューターがインストールされているコンピューターで、サーバー マネージャーを開きます。Open Server Manager on a Windows Server 2012 R2 or Windows Server 2016 computer with Active Directory Users and Computers installed.

  2. [ツール] メニューの [Active Directory ユーザーとコンピューター] をクリックします。On the Tools menu, click Active Directory Users and Computers. Active Directory ユーザーとコンピューターが表示されます。Active Directory Users and Computers appears.

  3. ワーク フォルダーのすべてのユーザー オブジェクトが含まれている OU を右クリック (ユーザーが複数の OU またはドメインに格納されている場合は、すべてのユーザーに共通のコンテナーを右クリック) し、 [制御の委任] をクリックします。Right-click the OU under which all user objects exist for Work Folders (if users are stored in multiple OUs or domains, right-click the container that is common to all of the users), and then click Delegate Control…. オブジェクト制御の委任ウィザードが表示されます。The Delegation of Control Wizard appears.

  4. [ユーザーまたはグループ] ページで [追加] をクリックし、On the Users or Groups page, click Add… ワーク フォルダー管理者用に作成したグループ (たとえば、ワーク フォルダー管理者) を指定します。and then specify the group you created for Work Folders administrators (for example, Work Folders Administrators).

  5. [委任するタスク] ページで、 [委任するカスタム タスクを作成する] をクリックします。On the Tasks to Delegate page, click Create a custom task to delegate.

  6. [Active Directory オブジェクトの種類] ページで、 [フォルダー内の次のオブジェクトのみ] をクリックし、 [ユーザー オブジェクト] チェック ボックスをオンにします。On the Active Directory Object Type page, click Only the following objects in the folder, and then select the User objects checkbox.

  7. [アクセス許可] ページで、 [全般] チェック ボックスをオフにし、 [プロパティ固有] チェック ボックスをオンにします。次に、 [msDS-SyncServerUrl の読み取り] チェック ボックスと [msDS-SyncServerUrl の書き込み] チェック ボックスをオンにします。On the Permissions page, clear the General checkbox, select the Property-specific checkbox, and then select the Read msDS-SyncServerUrl, and Write msDS-SyncServerUrl checkboxes.

Windows PowerShell を使用してユーザー オブジェクトの msDS-SyncServerURL のプロパティを編集する権限を委任するには、DsAcls コマンドを利用する次のサンプル スクリプトを使用します。To delegate the ability to edit the msDS-SyncServerURL property on user objects by using Windows PowerShell, use the following example script that makes use of the DsAcls command.

$GroupName = "Contoso\Work Folders Administrators"  
$ADGroupPath = "CN=Users,dc=contoso,dc=com"  
  
DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"  

注意

ユーザー数の多いドメインでは、委任操作に時間がかかる場合があります。The delegation operation might take a while to run in domains with a large number of users.

手順 7: ユーザー データの同期共有を作成するStep 7: Create sync shares for user data

この時点で、ユーザーのファイルを格納する同期サーバー上のフォルダーを指定する準備ができました。At this point, you're ready to designate a folder on the sync server to store your user's files. このフォルダーは同期共有と呼ばれ、1 つの同期共有を作成するには、次の手順を実行します。This folder is called a sync share, and you can use the following procedure to create one.

  1. 同期共有と同期共有に格納されるユーザー ファイル用の空き領域がある NTFS ボリュームがない場合は、新しいボリュームを作成し、NTFS ファイル システムでフォーマットします。If you don't already have an NTFS volume with free space for the sync share and the user files it will contain, create a new volume and format it with the NTFS file system.

  2. サーバー マネージャーで、 [ファイル サービスおよび記憶域サービス] をクリックし、 [ワーク フォルダー] をクリックします。In Server Manager, click File and Storage Services, and then click Work Folders.

  3. 既存の同期共有の一覧が詳細ウィンドウの上部に表示されます。A list of any existing sync shares is visible at the top of the details pane. 新しい同期共有を作成するには、 [タスク] メニューの [新しい同期共有] をクリックします。To create a new sync share, from the Tasks menu choose New Sync Share…. 新しい同期共有ウィザードが表示されます。The New Sync Share Wizard appears.

  4. [サーバーとパスの選択] ページで、同期共有を格納する場所を指定します。On the Select the server and path page, specify where to store the sync share. このユーザー データに対して作成されたファイル共有がある場合は、その共有を選択できます。If you already have a file share created for this user data, you can choose that share. 新しいフォルダーを作成することもできます。Alternatively you can create a new folder.

    注意

    (既存のファイル共有を選択しない場合) 既定では、ファイル共有によって同期共有に直接アクセスすることはできません。By default, sync shares aren't directly accessible via a file share (unless you pick an existing file share). 同期共有をファイル共有からアクセスできるようにする場合は、サーバー マネージャーの [共有] タイルを使用するか、New-SmbShare コマンドレットを使用して (可能であればアクセス ベースの列挙が有効な) ファイル共有を作成します。If you want to make a sync share accessible via a file share, use the Shares tile of Server Manager or the New-SmbShare cmdlet to create a file share, preferably with access-based enumeration enabled.

  5. [ユーザー フォルダーの構造の指定] ページで、同期共有内のユーザー フォルダーの命名規則を選択します。On the Specify the structure for user folders page, choose a naming convention for user folders within the sync share. 2 つのオプションを使用できます。There are two options available:

    • [ユーザーのエイリアス] では、ドメイン名が含まれないユーザー フォルダーが作成されます。User alias creates user folders that don't include a domain name. 既にフォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用している場合は、この命名規則を選択します。If you are using a file share that is already in use with Folder Redirection or another user data solution, select this naming convention. 必要に応じて、 [次のサブフォルダーのみ同期] チェック ボックスをオンにして、ドキュメント フォルダーなど、特定のサブフォルダーのみを同期できます。You can optionally select the Sync only the following subfolder checkbox to sync only a specific subfolder, such as the Documents folder.

    • alias@domain [ユーザー エイリアス@ドメイン] では、ドメイン名が含まれるユーザー フォルダーが作成されます。User alias@domain creates user folders that include a domain name. フォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用しない場合、この命名規則を選択すると、共有の複数のユーザーのエイリアスが同じである場合にフォルダー名の競合を回避できます (複数のユーザーが異なるドメインに属する場合に、このような競合が発生することがあります)。If you aren't using a file share already in use with Folder Redirection or another user data solution, select this naming convention to eliminate folder naming conflicts when multiple users of the share have identical aliases (which can happen if the users belong to different domains).

  6. [同期共有名を入力します] ページで、同期共有の名前と説明を指定します。On the Enter the sync share name page, specify a name and a description for the sync share. これはネットワークでアドバタイズされませんが、サーバー マネージャーや Windows PowerShell で表示されるため、同期共有を互いに区別するのに役立ちます。This is not advertised on the network but is visible in Server Manager and Windows Powershell to help distinguish sync shares from each other.

  7. [グループへの同期アクセスの許可] ページで、この同期共有の使用を許可されたユーザーの一覧を表示する、作成済みのグループを指定します。On the Grant sync access to groups page, specify the group that you created that lists the users allowed to use this sync share.

    重要

    パフォーマンスとセキュリティを向上させるには、個々のユーザーではなくグループにアクセスを許可し、Authenticated Users や Domain Users などの一般的なグループを避けてできるだけ具体的に指定します。To improve performance and security, grant access to groups instead of individual users and be as specific as possible, avoiding generic groups such as Authenticated Users and Domain Users. ユーザー数の多いグループにアクセスを許可すると、ワーク フォルダーが AD DS に照会するのにかかる時間が長くなります。Granting access to groups with large numbers of users increases the time it takes Work Folders to query AD DS. ユーザー数が多い場合は、複数の同期共有を作成すると負荷を分散させるのに役立ちます。If you have a large number of users, create multiple sync shares to help disperse the load.

  8. [デバイス ポリシーの指定] ページで、クライアント PC やデバイスのセキュリティの制限を要求するかどうかを指定します。On the Specify device policies page, specify whether to request any security restrictions on client PCs and devices. 個別に選択できる 2 つのデバイス ポリシーがあります:There are two device policies that can be individually selected:

    • [ワーク フォルダーを暗号化する] : クライアント PC やデバイスでワーク フォルダーを暗号化することを要求します。Encrypt Work Folders Requests that Work Folders be encrypted on client PCs and devices

    • [自動的に画面をロックする (パスワードが必要] : クライアント PC やデバイスが 15 分後に自動的に画面をロックし、画面のロックを解除するときに 6 文字以上の長いパスワードを要求します。また、再試行が 10 回失敗すると、デバイス ロックアウト モードをアクティブ化します。Automatically lock screen, and require a password Requests that client PCs and devices automatically lock their screens after 15 minutes, require a six-character or longer password to unlock the screen, and activate a device lockout mode after 10 failed retries

      重要

      Windows 7 PC と、ドメインに参加している PC 上の非管理者に対してパスワード ポリシーを適用するには、コンピューター ドメインに対してグループ ポリシーのパスワード ポリシーを使用し、ワーク フォルダー パスワード ポリシーから対象のドメインを除外します。To enforce password policies for Windows 7 PCs and for non-administrators on domain-joined PCs, use Group Policy password policies for the computer domains and exclude these domains from the Work Folders password policies. 同期共有を作成した後、Set-Syncshare -PasswordAutoExcludeDomain コマンドレットを使用することによってドメインを除外できます。You can exclude domains by using the Set-Syncshare -PasswordAutoExcludeDomain cmdlet after creating the sync share. グループ ポリシーのパスワード ポリシーの設定については、「パスワード ポリシー」を参照してください。For information about setting Group Policy password policies, see Password Policy.

  9. 選択内容を確認し、ウィザードを完了して同期共有を作成します。Review your selections and complete the wizard to create the sync share.

Windows PowerShell を使用して同期共有を作成するには、New-SyncShare コマンドレットを使用します。You can create sync shares using Windows PowerShell by using the New-SyncShare cmdlet. この方法の例を次に示します。Below is an example of this method:

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"  

上の例では、パス K:\Share-1 を指定して新しい同期共有 Share01 を作成し、HR Sync Share Users という名前のグループにアクセスを許可しています。The example above creates a new sync share named Share01 with the path K:\Share-1, and access granted to the group named HR Sync Share Users

ヒント

同期共有を作成すると、ファイル サーバー リソース マネージャーの機能を使用して、共有内のデータを管理できます。After you create sync shares you can use File Server Resource Manager functionality to manage the data in the shares. たとえば、サーバー マネージャーのワーク フォルダー ページ内の [クォータ] のタイルを使用して、ユーザー フォルダーのクォータを設定できます。For example, you can use the Quota tile inside the Work Folders page in Server Manager to set quotas on the user folders. また、ファイル スクリーンの管理を使用して、ワーク フォルダーで同期するファイルの種類を制御できます。さらに高度なファイルの分類タスクについては「ダイナミック アクセス制御」で説明されているシナリオを使用できます。You can also use File Screening Management to control the types of files that Work Folders will sync, or you can use the scenarios described in Dynamic Access Control for more sophisticated file classification tasks.

手順 8: 必要に応じてテクニカル サポートの電子メール アドレスを指定するStep 8: Optionally specify a tech support email address

ファイル サーバーにワーク フォルダーをインストールした後、必要に応じて、サーバーの管理部門の連絡先電子メール アドレスを指定できます。After installing Work Folders on a file server, you probably want to specify an administrative contact email address for the server. 電子メール アドレスを追加するには、次の手順に従います。To add an email address, use the following procedure:

管理部門の連絡先メール アドレスを指定するSpecifying an administrative contact email

  1. サーバー マネージャーで、 [ファイル サービスおよび記憶域サービス] をクリックし、 [サーバー] をクリックします。In Server Manager, click File and Storage Services, and then click Servers.

  2. 同期サーバーを右クリックし、 [ワーク フォルダーの設定] をクリックします。Right-click the sync server, and then click Work Folders Settings. [ワーク フォルダーの設定] ウィンドウが表示されます。The Work Folders Settings window appears.

  3. ナビゲーション ウィンドウで、 [サポート用電子メール] をクリックし、ユーザーがワーク フォルダーに関する問い合わせのメールを送信する際に使用する電子メール アドレスを入力します。In the navigation pane, click Support Email and then type the email address or addresses that users should use when emailing for help with Work Folders. 完了したら [OK] をクリックします。Click OK when you're finished.

    ワーク フォルダーのユーザーは、コントロール パネルの [ワーク フォルダー] 項目にあるリンクをクリックすることによって、ここで指定したアドレスに、クライアント PC の診断情報を含む電子メールを送信できます。Work Folders users can click a link in the Work Folders Control Panel item that sends an email containing diagnostic information about the client PC to the address(es) you specify here.

手順 9: 必要に応じてサーバー自動検出をセットアップするStep 9: Optionally set up server automatic discovery

環境で複数の同期サーバーをホストしている場合、AD DS のユーザー アカウントで msDS-SyncServerURL プロパティを設定して、サーバー自動検出を構成してください。If you are hosting multiple sync servers in your environment, you should configure server automatic discovery by populating the msDS-SyncServerURL property on user accounts in AD DS.

注意

Active Directory の msDS-SyncServerURL プロパティは、Web アプリケーション プロキシや Azure AD アプリケーション プロキシなどのプロキシ ソリューションを介してワーク フォルダーにアクセスするリモート ユーザーに対して定義しないでください。The msDS-SyncServerURL property in Active Directory should not be defined for remote users that are accessing Work Folders through a reverse proxy solution such as Web Application Proxy or Azure AD Application Proxy. "-SyncServerURL" プロパティが定義されている場合、ワークフォルダークライアントは、リバースプロキシソリューションを介してアクセスできない内部 URL にアクセスしようとします。If the msDS-SyncServerURL property is defined, the Work Folders client will try to access an internal URL that's not accessible through the reverse proxy solution. Web アプリケーション プロキシまたは Azure AD アプリケーション プロキシを使用する場合は、ワーク フォルダー サーバーごとに固有のプロキシ アプリケーションを作成する必要があります。When using Web Application Proxy or Azure AD Application Proxy, you need to create unique proxy applications for each Work Folders server. 詳細については、「AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 概要」または「Azure AD アプリケーション プロキシを使ったワーク フォルダーの展開」を参照してください。For more details, see Deploying Work Folders with AD FS and Web Application Proxy: Overview or Deploying Work Folders with Azure AD Application Proxy.

この作業を行う前に、Windows Server 2012 R2 のドメイン コントローラーをインストールするか、Adprep /forestprep コマンドと Adprep /domainprep コマンドを使用して、フォレストとドメインのスキーマを更新する必要があります。Before you can do so, you must install a Windows Server 2012 R2 domain controller or update the forest and domain schemas by using the Adprep /forestprep and Adprep /domainprep commands. これらのコマンドを安全に実行する方法については、「Adprep.exe の実行」を参照してください。For information on how to safely run these commands, see Running Adprep.

手順 5. と手順 6. で説明したように、ファイル サーバー管理者のセキュリティ グループを作成し、この特定のユーザーの属性を変更するためのアクセス許可を委任することもできます。You probably also want to create a security group for file server administrators and give them delegated permissions to modify this particular user attribute, as described in Step 5 and Step 6. これらの手順を実行していない場合、Domain Admins グループまたは Enterprise Admins グループのメンバーになり、各ユーザーの自動検出を構成する必要があります。Without these steps you would need to get a member of the Domain Admins or Enterprise Admins group to configure automatic discovery for each user.

ユーザーの同期サーバーを指定するにはTo specify the sync server for users

  1. Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。Open Server Manager on a computer with Active Directory Administration Tools installed.

  2. [ツール] メニューの [Active Directory 管理センター] をクリックします。On the Tools menu, click Active Directory Administration Center. Active Directory 管理センターが表示されます。Active Directory Administration Center appears.

  3. 適切なドメインの [ユーザー] コンテナーに移動し、同期共有に割り当てるユーザーを右クリックして [プロパティ] をクリックします。Navigate to the Users container in the appropriate domain, right-click the user you want to assign to a sync share, and then click Properties.

  4. ナビゲーション ウィンドウで、 [拡張機能] をクリックします。In the Navigation pane, click Extensions.

  5. [属性エディター] タブをクリックし、 [msDS-SyncServerUrl] を選択して [編集] をクリックします。Click the Attribute Editor tab, select msDS-SyncServerUrl and then click Edit. [複数値の文字列エディター] ダイアログ ボックスが表示されます。The Multi-valued String Editor dialog box appears.

  6. [追加する値] ボックスで、このユーザーに同期を許可する同期サーバーの URL を入力し、 [追加] をクリックします。次に、 [OK] をクリックし、もう一度 [OK] をクリックします。In the Value to add box, type the URL of the sync server with which you want this user to sync, click Add, click OK, and then click OK again.

    注意

    同期サーバーの URL は、単純に https:// または http:// (セキュリティで保護された接続が必要であるかどうかに依存する) の後に、同期サーバーの完全修飾ドメイン名を続けたものです。The sync server URL is simply https:// or http:// (depending on whether you want to require a secure connection) followed by the fully qualified domain name of the sync server. たとえば、 https://sync1.contoso.com のようになります。For example, https://sync1.contoso.com.

複数のユーザーの属性にデータを挿入するには、Active Directory PowerShell を使用します。To populate the attribute for multiple users, use Active Directory PowerShell. 手順 5. で説明した HR Sync Share Users グループのすべてのメンバーに対して属性を設定する例を次に示します。Below is an example that populates the attribute for all members of the HR Sync Share Users group, discussed in Step 5.

$SyncServerURL = "https://sync1.contoso.com"  
$GroupName = "HR Sync Share Users"  
  
Get-ADGroupMember -Identity $GroupName |  
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}  
  

手順 10: 必要に応じて、Web アプリケーション プロキシ、Azure AD アプリケーション プロキシ、またはその他のリバース プロキシを構成するStep 10: Optionally configure Web Application Proxy, Azure AD Application Proxy, or another reverse proxy

リモート ユーザーが自分のファイルにアクセスできる環境を整えるためには、リバース プロキシによってワーク フォルダーを公開して、外部のインターネットからワーク フォルダーを利用できるように構成する必要があります。To enable remote users to access their files, you need to publish the Work Folders server through a reverse proxy, making Work Folders available externally on the Internet. これには Web アプリケーション プロキシ、Azure Active Directory アプリケーション プロキシ、または別のリバース プロキシ ソリューションを使用できます。You can use Web Application Proxy, Azure Active Directory Application Proxy, or another reverse proxy solution.

AD FS と Web アプリケーション プロキシを使ってワーク フォルダーのアクセスを構成する手順については、「AD FS と Web アプリケーション プロキシ (WAP) を使ったワーク フォルダーの展開」をご覧ください。To configure Work Folders access using AD FS and Web Application Proxy, see Deploying Work Folders with AD FS and Web Application Proxy (WAP). Web アプリケーション プロキシの背景情報については、「Windows Server 2016 の Web アプリケーション プロキシ」を参照してください。For background information about Web Application Proxy, see Web Application Proxy in Windows Server 2016. ワーク フォルダーなどのアプリケーションの、Web アプリケーション プロキシを使用したインターネット上への公開について詳しくは、「AD FS の事前認証を使用してアプリケーションを公開する」をご覧ください。For details on publishing applications such as Work Folders on the Internet using Web Application Proxy, see Publishing Applications using AD FS Preauthentication.

Azure Active Directory アプリケーション プロキシを使って、ワーク フォルダーのアクセスを構成する手順については、「Azure Active Directory アプリケーション プロキシを使って、ワーク フォルダーへのリモート アクセスを有効にする」をご覧ください。To configure Work Folders access using Azure Active Directory Application Proxy, see Enable remote access to Work Folders using Azure Active Directory Application Proxy

手順 11: 必要に応じてグループ ポリシーを使用してドメインに参加している PC を構成するStep 11: Optionally use Group Policy to configure domain-joined PCs

ワーク フォルダーを展開する対象の、ドメインに参加している PC の数が多い場合は、グループ ポリシーを使用して、次のクライアント PC の構成タスクを実行できます。If you have a large number of domain-joined PCs to which you want to deploy Work Folders, you can use Group Policy to do the following client PC configuration tasks:

  • ユーザーが同期する同期サーバーを指定するSpecify which sync server users should sync with

  • 既定の設定を使用して、自動的にワーク フォルダーをセットアップする (この作業を行う前に「ワーク フォルダーの実装の設計」のグループ ポリシーに関する説明を参照してください)。Force Work Folders to be set up automatically, using default settings (review the Group Policy discussion in Designing a Work Folders Implementation before doing this)

    これらの設定を制御するには、ワーク フォルダー用の新しいグループ ポリシー オブジェクト (GPO) を作成し、必要に応じて次のグループ ポリシー設定を構成します。To control these settings, create a new Group Policy object (GPO) for Work Folders and then configure the following Group Policy settings as appropriate:

  • "ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "Work Folders の設定を指定する" ポリシー設定"Specify Work Folders settings" policy setting in User Configuration\Policies\Administrative Templates\Windows Components\WorkFolders

  • "コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "すべてのユーザーに自動セットアップを強制する" ポリシー設定"Force automatic setup for all users" policy setting in Computer Configuration\Policies\Administrative Templates\Windows Components\WorkFolders

注意

これらのポリシー設定は、Windows 8.1 または Windows Server 2012 R2 以降でグループ ポリシーの管理を実行しているコンピューターからグループ ポリシーを編集する場合にのみ利用できます。These policy settings are available only when editing Group Policy from a computer running Group Policy Management on Windows 8.1, Windows Server 2012 R2 or later. 以前のオペレーティング システムに含まれるバージョンのグループ ポリシーの管理では、この設定は利用できません。Versions of Group Policy Management from earlier operating systems do not have this setting available. これらのポリシー設定は、Windows 7 のワーク フォルダー アプリがインストールされている Windows 7 PC に適用されます。These policy settings do apply to Windows 7 PCs on which the Work Folders for Windows 7 app has been installed.

その他の関連情報については、次の情報を参照してください。For additional related information, see the following resources.

コンテンツの種類Content type 参考資料References
正しくUnderstanding ワークフォルダーの - - Work Folders
計画Planning ワークフォルダーの実装の設計- - Designing a Work Folders Implementation
展開Deployment AD FS と Web アプリケーションプロキシ (WAP) を使用したワークフォルダーの展開- - Deploying Work Folders with AD FS and Web Application Proxy (WAP)
ワークフォルダーのテストラボの展開の - (ブログの投稿)- Work Folders Test Lab Deployment (blog post)
ワークフォルダーサーバーの Url の新しいユーザー属性を - します (ブログの投稿)- A new user attribute for Work Folders server Url (blog post)
テクニカル リファレンスTechnical Reference - 対話型ログオン: コンピューターアカウントのロックアウトのしきい値- Interactive logon: Machine account lockout threshold
同期共有のコマンドレットを - - Sync Share Cmdlets