AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 2、AD FS の構成後の作業
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
このトピックでは、Active Directory フェデレーション サービス (AD FS) と Web アプリケーション プロキシを使用して、ワーク フォルダーを展開する 2 番目の手順について説明します。 このプロセスの他の手順は、次のトピックで確認できます。
AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 1: AD FS のセットアップ
AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 3: ワーク フォルダーのセットアップ
AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 4: Web アプリケーション プロキシのセットアップ
AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 5: クライアントのセットアップ
注意
このセクションで説明する手順は、Windows Server 2019 または Windows Server 2016 環境を想定したものです。 Windows Server 2012 R2 を使用している場合には、Windows Server 2012 R2 の手順 に従います。
手順 1 では、AD FS のインストールと構成を行いました。 次に、AD FS の構成に続いて、次の手順を実行する必要があります。
DNS エントリの構成
AD FS のために DNS エントリを 2 つ作成する必要があります。 これらは、インストール前の手順で、サブジェクト代替名 (SAN) の証明書を作成するときに使用されていたものと同じ 2 つのエントリです。
DNS エントリの形式は次のとおりです。
AD FS サービス名.ドメイン
enterpriseregistration.ドメイン
AD FS サーバー名.ドメイン (DNS エントリが既に存在している必要があります。例: 2016-ADFS.contoso.com)
テストの例では、値は以下のようになります。
blueadfs.contoso.com
enterpriseregistration.contoso.com
AD FS の A レコードと CNAME レコードの作成
AD FS の A レコードと CNAME レコードを作成するには、次の手順を実行します。
ドメイン コントローラーで、[DNS マネージャー] を開きます。
[前方参照ゾーン] フォルダーを展開し、ドメインで右クリックして、[新しいホスト (A)] を選択します。
[新しいホスト] ウィンドウが開きます。 [名前] フィールドに、AD FS サービス名のエイリアスを入力します。 このテストの例では、「blueadfs」とします。
エイリアスは、AD FS で使用した証明書のサブジェクトと同じである必要があります。 たとえば、サブジェクトが adfs.contoso.com であった場合、ここで入力するエイリアスは「adfs」となります。
重要
Windows PowerShell ではなく、Windows Server のユーザー インターフェイス (UI) を使用して、AD FS をセットアップする場合には、AD FS の CNAME レコードではなく A レコードを作成する必要があります。 これは、UI を使って作成されたサービス プリンシパル名 (SPN) には、ホストとしての AD FS サービスをセットアップするために使用されたエイリアスのみが含まれているためです。
[IP アドレス] で、AD FS サーバーの IP アドレスを入力します。 このテストの例では、「192.168.0.160」とします。 [ホストの追加] をクリックします。
[前方参照ゾーン] フォルダーで、再度ドメインで右クリックし、[新しいエイリアス (CNAME)] を選択します。
[新しいリソース レコード] ウィンドウで、エイリアス名「enterpriseregistration」を追加し、AD FS サーバーの FQDN を入力します。 このエイリアスはデバイスの参加に使用され、enterpriseregistration が呼び出される必要があります。
[OK] をクリックします。
Windows PowerShell で同等の手順を実行するには、次のコマンドを使用します。 コマンドは、ドメイン コントローラーで実行する必要があります。
Add-DnsServerResourceRecord -ZoneName "contoso.com" -Name blueadfs -A -IPv4Address 192.168.0.160
Add-DnsServerResourceRecord -ZoneName "contoso.com" -Name enterpriseregistration -CName -HostNameAlias 2016-ADFS.contoso.com
ワーク フォルダーのための AD FS の証明書利用者信頼のセットアップ
ワーク フォルダーをセットアップする前でも、ワーク フォルダーの証明書利用者信頼をセットアップして構成できます。 AD FS を使ってワーク フォルダーを有効にするには、証明書利用者信頼を設定する必要があります。 ここでは AD FS をセットアップしているので、このタイミングで証明書利用者信頼をセットアップすると、作業をスムーズに行うことができます。
証明書利用者信頼をセットアップするには:
[サーバー マネージャー] を開き、[ツール] メニューで [AD FS管理] を選択します。
右側のウィンドウで、[アクション] の [証明書利用者信頼の追加] をクリックします。
[ようこそ] ページで、[要求に対応する] を選択し、[開始] をクリックします。
[データ ソースの選択] ページで、[証明書利用者についてのデータを手動で入力する] を選択し、[次へ] をクリックします。
[表示名] フィールドで、「WorkFolders」と入力して、[次へ] をクリックします。
[証明書の構成] ページで、[次へ] をクリックします。 トークン暗号化証明書はオプションです。テスト構成には必要ありません。
[URL の構成] ページで、[次へ] をクリックします。
[識別子の構成] ページで、次の識別子を追加します:
https://windows-server-work-folders/V1
。 この識別子はワーク フォルダーで使われるハードコード値であり、AD FS を使って通信するときに、ワーク フォルダー サービスによって送信されます。 [次へ] をクリックします。[アクセス制御ポリシーの選択] ページで、[すべてのユーザーを許可] を選択し、[次へ] をクリックします。
[信頼の追加の準備完了] ページで、[次へ] をクリックします。
構成が完了すると、ウィザードの最後のページで構成が成功したことが表示されます。 要求規則の編集のチェックボックスを選択し、[閉じる] をクリックします。
AD FS スナップインで、WorkFolders の証明書利用者信頼を選択し、[アクション] の [要求発行ポリシーの編集] をクリックします。
[WorkFolders の要求発行ポリシーの編集] ウィンドウが開きます。 [ルールの追加] をクリックします。
[要求規則テンプレート] ドロップダウン リストで、[LDAP 属性を要求として送信] を選択して、[次へ] をクリックします。
[要求規則の構成] ページで、[要求規則名] フィールドに「WorkFolders」と入力します。
[属性ストア] ドロップダウン リストで、「Active Directory」を選択します。
マッピング テーブルに、次の値を入力します。
ユーザー プリンシパル名: UPN
表示名: 名前
姓: 姓
名: 名
[完了] をクリックします。 [発行変換規則] タブに WorkFolders 規則が表示されます。[OK] をクリックします。
証明書利用者信頼のオプションの設定
AD FS の証明書利用者信頼をセットアップした後で、Windows PowerShell で 5 つのコマンドを実行して構成を完了する必要があります。 これらのコマンドは、ワーク フォルダーが AD FS と正常に通信を行うために必要なオプションで、UI から設定できないオプションを設定します。 オプションは次のとおりです。
JSON Web トークン (JWT) の使用を有効にする
暗号化された要求を無効にする
自動更新を有効にする
OAuth 更新トークンの発行をすべてのデバイスに設定する
証明書利用者信頼へのクライアント アクセスを許可する
これらのオプションを設定するには、次のコマンドを使用します。
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -EnableJWT $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -Encryptclaims $false
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -AutoupdateEnabled $true
Set-ADFSRelyingPartyTrust -TargetIdentifier "https://windows-server-work-folders/V1" -IssueOAuthRefreshTokensTo AllDevices
Grant-AdfsApplicationPermission -ServerRoleIdentifier "https://windows-server-work-folders/V1" -AllowAllRegisteredClients -ScopeNames openid,profile
Workplace Join を有効にする
Workplace Join の有効化はオプションですが、ユーザーが個人のデバイスを使用して職場のリソースにアクセスできるようにするために役立ちます。
デバイスの Workplace Join への登録を有効化するには、次の Windows PowerShell コマンドを実行して、デバイスの登録を構成し、グローバル認証ポリシーを設定する必要があります。
Initialize-ADDeviceRegistration -ServiceAccountName <your AD FS service account>
Example: Initialize-ADDeviceRegistration -ServiceAccountName contoso\adfsservice$
Set-ADFSGlobalAuthenticationPolicy -DeviceAuthenticationEnabled $true
AD FS 証明書のエクスポート
次に、テスト環境で以下のコンピューターにインストールできるように、自己署名の AD FS 証明書をエクスポートします。
ワーク フォルダー用に使われるサーバー
Web アプリケーション プロキシに使用するサーバー
ドメインに参加している Windows クライアント
ドメインに参加していない Windows クライアント
証明書をエクスポートするには、以下の手順を実行します。
[スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックします。
「MMC」と入力します。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[利用できるスナップイン] の一覧で、[証明書]、[追加] の順に選択します。 証明書スナップイン ウィザードが開始されます。
[コンピューター アカウント] を選択し、[次へ] をクリックします。
[ローカル コンピュータ (このコンソールを実行しているコンピュータ)] を選択し、次に [完了] をクリックします。
[OK] をクリックします。
[コンソール ルート]\[証明書 (ローカル コンピューター)]\[個人]\[証明書] フォルダーを展開します。
[AD FS 証明書] を右クリックし、[すべてのタスク]、[エクスポート] の順にクリックします。
証明書のエクスポート ウィザードが開きます。 [はい、秘密キーをエクスポートします]を選択します。
[エクスポートファイルの形式] ページでは、既定のオプションを選択して、[次へ] をクリックします。
証明書のパスワードを作成します。 これは、後で他のデバイスに証明書をインポートするときに使用するパスワードです。 [次へ] をクリックします。
場所と証明書の名前を入力して、[完了] をクリックします。
証明書のインストールについては、展開の手順の後半で説明します。
秘密キーの設定の管理
AD FS サービス アカウントに、新しい証明書の秘密キーにアクセスするためのアクセス許可を与える必要があります。 通信証明書の期限が切れた後に通信証明書を交換するときには、再度このアクセス許可を付与する必要があります。 アクセス許可を付与するには、次の手順に従います。
[スタート] ボタンをクリックし、 [ファイル名を指定して実行] をクリックします。
「MMC」と入力します。
[ファイル] メニューの [スナップインの追加と削除] をクリックします。
[利用できるスナップイン] の一覧で、[証明書]、[追加] の順に選択します。 証明書スナップイン ウィザードが開始されます。
[コンピューター アカウント] を選択し、[次へ] をクリックします。
[ローカル コンピュータ (このコンソールを実行しているコンピュータ)] を選択し、次に [完了] をクリックします。
[OK] をクリックします。
[コンソール ルート]\[証明書 (ローカル コンピューター)]\[個人]\[証明書] フォルダーを展開します。
[AD FS 証明書] を右クリックし、[すべてのタスク] をクリックして、[秘密キーの管理] をクリックします。
[アクセス許可] ウィンドウで、[追加] をクリックします。
[オブジェクトの種類] ウィンドウで、[サービス アカウント] を選択し、[OK] をクリックします。
AD FS を実行しているアカウント名を入力します。 このテストの例では、「ADFSService」です。 [OK] をクリックします。
[アクセス許可] ウィンドウで、少なくとも読み取りアクセス許可をアカウントに付与して、[OK] をクリックします。
秘密キーを管理するためのオプションがない場合には、次のコマンドを実行する必要がある場合があります: certutil -repairstore my *
AD FS が動作していることを確認する
AD FS が動作していることを確認するには、ブラウザー ウィンドウを開いて https://blueadfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
に移動し、環境に合わせて URL を変更します。
ブラウザー ウィンドウには、フェデレーション サーバーのメタデータが書式設定なしで表示されます。 SSL のエラーや警告なしでデータが表示された場合、フェデレーション サーバーは動作しています。
次の手順: AD FS と Web アプリケーション プロキシを使ったワーク フォルダーの展開: 手順 3: ワーク フォルダーのセットアップ