SlideShare a Scribd company logo
Microsoft IT CAMP

Windows Server 2012 R2
勉強会キット
~ BYOD - Workplace Join 編
はじめに
3
BYOD をより効率的/効果的に
Accessibility

• Workplace Join
• Work Folders
• Web Application Proxy

個人のデバイスを安全に受け
入れ、個人デバイスから社内
リソースへのアクセシビリ
ティを高める

Security

Active Directory
•
•
•
•
•

Federation Service
Device Registration Service
Multi Factor AuthN.
Dynamic Access Control
Rights Management Service

ユーザー、デバイス、ロケー
ションなどの多要素認証によ
り、個人デバイスの社内アク
セスを制限

Manageability

• Windows Intune
• System Center
Configuration Manager

個人デバイスに対し企業内管理
ポリシーを適用
People-Centric IT(PCIT)
ユーザー

デバイス

アプリケーション

管理基盤、セキュリティポリシー、アクセスコントロール

社内データ
People-Centric IT シナリオの全体像
Device Management
Admin
Mobile Device
Management

Desktop
Virtualization
(VDI)

ユーザーはどこからでも、どのデバ
イスからでもアクセス可能

社内リソース

ユーザーとデバイスは
Active Directory によっ
て統合認証される

• DirectAccess
• VPN
3タイプのクライアントとアクセス方法
https

RDP
透過的

https

NEW!!

https/http

2012 R2

IPv6 over IPSec
IPv6 over IPv4 (w/ IPSec)
IPv6 packets on HTTPS

透過的

社内
リソース
個人デバイスから社内リソースの利用
⑤ シングル サインオン
①社内ネットワークに対する認証
• デバイス認証
• ユーザー認証
• その他の認証

② リソースに対する認証
• デバイス認証
• ユーザー認証
• その他の認証
WEB

Gateway

File Server

④ 個人デバイスのセキュリティ
• 社内データの漏えい防止
• 暗号化、リモートワイプ
• パスワードロック

③ ファイルのアクセス権
• 社外秘データの持ち
出し防止
Web Application Proxy
• AD FS Proxy 機能を兼ね備えたリバースプロキシー
 社内 Web Application(外部 https → 内部 http/https)
 社内 フィルサーバー(Work Folder)

• Pre-Authentication(事前認証) 機能
 AD FS 連携
 パススルー(認証なし)

• アプリケーション(URI)単位に認証ポリシーを設定可能

社内リソース

https

https/http
2012 R2
アーキテクチャ - “事前認証=パススルー”の場合
• 単なるリバースプロキシーとして動作
• 事前認証は行われない

Web Application Proxy

Active Directory
Federation Service

Active Directory
Domain Service

事前認証

① HTTPS

パススルー

② HTTP/HTTPS

/

③
認
証
認
可

統合認証が有
効ならば、
ポップアップ
が表示される
アーキテクチャ - “事前認証=AD FS” の場合
• AD FS の認証ポリシーにのっとって事前認証が行われる
• Web Application の認証は、事前認証の後で行われる

Web Application Proxy

事前認証

① HTTPS

AD FS

Active Directory
Federation Service

認証
ポリシー

⑤ HTTP/HTTPS

/

⑥
認
証
認
可

Active Directory
Domain Service

③ いろいろな
やりとり
事前認証=AD FS の場合
• デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御
• クレーム規則言語を使用
• AD FS に対応していないアプリケーションの事前認証も可能!!
AD FS

Web
Application
Proxy
アクセス

AD DS

クレーム処理エンジン
デバイス認証

https

Start

事前認証

事前認証
プロセス

デバイスクレーム

ユーザー認証
ユーザークレーム

追加認証
アクセス可否を判定

Start
AD FS による事前認証ポリシー
Web Application に到達する前に、Web Application Proxy で認証が可能
無効

無効

有効

デバイス認証

Active Directory にデバイスが登
録されているかどうかを確認す
る

有効

プライマリ認証
(ユーザー認証)

マルチファクター認証

Form 認証
Windows 統合
証明書

• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
<認証方式>
• 証明書(Smart Card)
• PhoneFactor
• その他

•
•
•

NG

NO
YES

事前
認証完了

OK

<条件>

NG

OK
Workplace join のアーキテクチャ
① デバイスのローカルユーザー
または Microsoft Account で
サインイン

Start

②「職場のネットワークに参加」
Domain UserID/Password

Start

AD DS
③ 認証

Web
Application
Proxy

⑥ 証明書インストール

⑤デバイス
登録

AD FS
クレーム処理
エンジン

初回認証時に、今後SSOで
使用されるIDとパスワードが
デバイスの属性としてAD に
登録される

デバイス登録
サービス(DRS)

④デバイスクレーム

事前認証
プロセス

アクセス
(復習):AD DS と AD FS の関係
AD DS :ユーザーとデバイスを「認証」する
AD FS :認証されたユーザーとデバイスの“クレーム”を含んだ「トークン」を発行

認証したユーザーを
認可

認証したかどうか

認証したユーザーの
属性情報

認証したかどうか
AD FS

認証したユーザーの
属性情報によって認可

詳しくは 明日のセッションへ!
Windows Server 2012 R2 AD FS 新機能
• 認証ポリシー
• クレーム対応アプリ/非対応アプリ の事前認証として利用
• Web Application Proxy との連携
• 認証方式を選択可能
• エクストラネット認証の方式
• イントラネット認証の方式
• デバイス認証の要否
• マルチファクター認証の要否
• クレームの拡張
• insiderCorporateNetwork :true/false
• X-ms-proxy:プロキシサーバーのコンピューター名
• デバイス クレーム
• AppIdentifier:接続先の web アプリケーション
• x-ms-forwarded-client-ip:クライアントのIPアドレス
• ロケーション クレーム
• X-ms-lient-ip:プロキシーのIPアドレス
• OAuth 2.0 対応
• WS-Federation、SAML 2.0 は既存
AD FS 管理コンソールー認証ポリシー
プライマリ認証

他要素認証

IF

THEN
デバイス認証
• Active Directory にデバイスが登録されているかどうかを確認
• デバイスが正しく登録されていれば“デバイスクレーム”を発行
•
•
•
•
•
•
•

Registrationid
Displayname
Identifier
Ostype
Osversion
isManaged
isRegisteredUser

: デバイスの登録 ID
:コンピューター名
:デバイスのGUID
:OSのタイプ
:OSのバージョン
:MDM 管理対象デバイスかどうか
:デバイスに関連づけられたユーザーかどうか

• 「登録されているデバイス」とは?
• ドメインに参加している Windows PC
• Workplace Join した Windows 8.1 デバイス
• Workplace Join した iOS デバイス
Workplace Join とは
• ドメインに参加していない個人デバイスを AD DS に登録すること
※ デバイスのローカルユーザー単位の設定
• デバイス認証後にデバイスクレームが発行される
ーーーー
独立した
デバイス
Start

BYOD devices

ーーーー

Workplace
Joined

Domain
Joined

Start

安全性

企業

No control

Partial control

Full control

利用者

No access

Partial access

Full access
デバイス レジストレーション サービス(DRS)
(Workplace Join)
• 個人デバイスを Active Directory ドメインに登録する機能(ドメイン参加ではない)
• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレー
ムを使用して制御できるようになる
• 以下のコマンドで有効化する
• Enable-AdfsDeviceRegistration –PrepareActiveDirectory
AD DS
Start

②ユーザー
認証

④デバイス登録
個人デバイス
Start

①「職場のネットワークに参加」
Domain UserID/Password

HTTPS

AD FS
クレーム処理
エンジン

デバイス登録
サービス(DRS)

⑤ 証明書インストール

③デバイスクレーム
登録された個人デバイス

デバイス登録時に使用したユーザーIDと、
Web Proxy の初回ログオン時に入力した
ユーザーID。 SSO に使用されるユーザー
IDは RegisteredUsers 。
ここまでのまとめ
• Workplace Join を使用すると、個人デバイスを AD DS に登録できる
• デバイスを登録すると「デバイス認証」の対象となる
• Web Application Proxy は AD FS を使用して事前認証が可能
• デバイス認証
• ユーザー認証
• その他の認証

Workplace Join した個人デバイスだけに
社内 Web Application へのアクセス権を与えることができる
ファイルサーバーをどう公開するか
Work Folder

ファイルサーバーを HTTPS で公開
ローカルデバイスに「自分のデータのみ」を同期
MDM システムとの連携で企業データのみをリモートワイプ

•
•
•

AD FS

Web
Application
Proxy
事前認証

Work Folder
https://workfolder.contoso.com/

Start

同期

AD DS

File Server
重要データの流出対策
•
•
•

ファイル サーバー リソース マネージャ(FSRM)
• 自動分類、スクリーニング
Rights Management Service(RMS)
• 暗号化、アクセス権限設定
ダイナミック アクセス 制御(DAC)
機密
Data

重要
Data

スクリーニング

FSRM
RMS

参照
期限

暗号化

暗号化

重要
Data

重要
Data

読み
取り

コピペ
禁止

印刷
禁止
保存
禁止

個人
情報

File Server

分類

重要データ保管庫
ダイナミックアクセス制御(DAC)
• ユーザー、デバイス、リソースの属性をベースにアクセスポリシーを作成
• 重要データのアクセスポリシーをグループポリシーで統制する
• ファイルサーバー単位に適用

File
server

AD DS
ユーザークレーム

デバイスクレーム

リソース属性

User.Department = Finance
User.Clearance = High

Device.Department = Finance
Device.Managed = True

Resource.Department = Finance
Resource.Impact = High

アクセスポリシー
DAC のアーキテクチャ
• GPO によりファイルサーバー全体に「アクセルルール」を適用

ユーザークレーム

デバイスクレーム

社内デバイス

AD DS
<IF>
• ユーザー = 経理部
• デバイス = 社内
• リソース = 重要
<Then>
• フルコントロール

Access
Rule

①ルールを登録

②ルールを配信
リソース属性

Access
Rule

ファイルサーバー
BYOD さらなる課題

Accessibility
Security

企業内セキュリティポリシーの個人デバイスへの適用
• スクリーンロック
• パスワードポリシー
• デバイス暗号化
• 構成管理(VPN、Wifi)
• マルウェア対策
• 業務アプリケーション配布(サイドローディング)
• 企業データのワイプ
• デバイスの初期化

Manageability
Mobile Device Management
モバイルデバイスの管理
Windows 8.1/RT
Windows 8/RT,
Windows Phone 8
iOS
Android

Windows Azure
Active Directory

Federation
Web
Application
Proxy

企業内デバイスの管理
Windows Intune Connector

Windows PCs
(x86/64, Intel SoC),
Windows to Go
Windows Embedded
Mac OS X

AD DS & AD FS

統合管理
コンソール

Linux/unix
29
事前準備
構築する環境の全体像

Windows Server 2012 R2

Windows Server 2012 R2

Windows Server 2012 R2

 ドメインコントローラー
 証明書サービス
 フェデレーションサービス
 IIS
 内部DNS サービス
 内部DHCP サービス

 Work Folder

 Web Application
Proxy
 外部 DNS サービス
 外部 DHCP サービス

Windows 8 評価版
環境構築手順 概要
1. ハードウェアとソフトウェアの準備環境の構築
用意するもの
1. ハードウェア
• PC 1台
• Hyper-V をサポートしていること
• メモリ 8 GB (ゲスト OS 全体で 4GB 程度を使用)
• HDD (外付けHDD または SSD 推奨)
• 空き容量 100GB 程度
2. ソフトウェア
• Windows Server 2012 R2 評価版
•

•

http://technet.microsoft.com/ja-jp/evalcenter/dn205286.aspx

Windows 8 Enterprise 評価版
2. Hyper-V ホストの準備
スイッチ名

種類

用途

External

外部

社内

プライベート

• 演習内で「企業内ネットワーク」として使用する

インターネット

プライベート

• 演習内で「外部ネットワーク」として使用する
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
3. ゲスト OS の準備

ゲストOSの
ホスト名

起動
メモリ

動的
メモリ

仮想スイッチ

IPアドレス

DNS

OS

ドメイ
ン参加

DEMO-DC

512MB

使用する

社内

192.168.0.1/24

192.168.0.1

Windows Server 2012 R2 評価版

DC

DEMO-WF

512MB

使用する

社内

192.168.0.2/24

192.168.0.1

Windows Server 2012 R2 評価版

する

DEMO-PROXY

512MB

使用する

社内
インターネット

192.168.0.3/24
172.0.0.1/24

192.168.0.1
192.168.0.1

Windows Server 2012 R2 評価版

する

DEMO-Client

512MB

使用する

インターネット

DHCP

Windows 8.1 評価版

必要な
し
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
最終的なシステム構成

Active Directory Domain - contoso.com
DEMO-PROXY
Web App Proxy
外部 DHCP
外部 DNS

DEMO-DC
AD DS/CS/FS
IIS
内部DNS
内部DHCP

DEMO-WF

Work Folders
ベース環境の構築
ベース環境の構築手順
作業項目

対象サーバー

1

Active Directory ドメインのインストールと構成

DEMO-DC

2

ドメインに参加

DEMO-PROXY, DEMO-WF

3

証明書サービスのインストールと構成

DEMO-DC

4

AD FS のインストールと構成

DEMO-DC

5

サンプルWEBアプリケーションの構築

DEMO-DC

6

ドメインに参加

DEMO-PROXY, DEMO-WF

7

DEMO-PROXY に DNS/DHCP サービスをインストールして構成する

DEMO-PROXY

8

DEMO-DC に DHCP サービスをインストールして構成する

DEMO-DC

9

DEMO-CLIENT の準備

DEMO-CLIENT

10

オンラインレスポンダーの構成

DEMO-DC,DEMO-PROXY
1. Active Directory ドメインの構築
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
2. ドメインに参加
3. 証明書サービスのインストールと構成
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
enterpriseregistration
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
webserv

webserv.contoso.com は小文字で入力し
てください
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
4. AD FS のインストールと構成
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
-ADDeviceRegistration -ServiceAccountName Contoso¥FsGmsa$
Enable-AdfsDeviceRegistration
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
webserv
5. IIS のインストールと構成

(参考)
Windows Server 2012 R2 で新しく
サポートされた「世代2」の仮想マ
シンを使用している場合、既定で
は DVD ドライブが作成されていま
せん。一旦仮想 OS をシャットダウ
ン後、「ハードウェアの追加」で
「SCSIコントローラー」を「追加」
して「DVDドライブ」を作成して
ください。
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
6. サンプルWEBアプリの準備
① インターネットに接続可能なPCを使用して、以下のページから Windows Identity Framework SDK 3.5 をダウン
ロードする

http://www.microsoft.com/ja-jp/download/details.aspx?id=4451
サンプルアプリの準備
① C:¥Inetpub フォルダ配下に、ClaimApp フォルダを作成する
② C:¥program files (x86)
¥Windows Identity Foundation SDK
¥v3.5
¥Samples
¥Quick Start
¥Web Application
¥PassiveRedirectBasedClaimsAwareWebApp
フォルダ配下のファイルを全て、
C:¥Inetpub¥ClaimApp 配下にコピーする
④ 「ExpectedClaims」を検索し、2回目にヒットした IF 文をコメントアウトする
//if ( ExpectedClaims.Contains( claim.ClaimType ) )
//{
WriteClaim( claim, table );
この行だけコメントアウトしない
//}
IIS の設定

① サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス(IIS)マ
ネージャーを起動
② 「DEMO-DC」-「アプリケーション プール」を選択
③ アプリケーションプール一覧で「DefaultAppPool」の「詳細設定」を開く
④ 「ユーザープロファイルの読み込み」を「True」に設定
⑤ 「OK」
⑥ 「DefaultAppPool」の「基本設定」を開く
⑦ .NET CLRバージョンを v2.0.50727 に変更して「OK」
WEBサイトの設定
① 「サイト」-「Default Web Site」を右クリックして
「バインドの編集」を選択
② 「追加」をクリック
③ 「種類」で「HTTPS」を選択、「ポート番号」を「443」、
「SSL証明書」で「 webserv.contoso.com 」を選択して「OK」

④ 「閉じる」
⑤ 「Default Web Site」を右クリックして「アプリケーションの
追加」を選択
⑥ 「エイリアス」に「claimapp 」と指定
⑦ 「物理パス」に「 C:¥inetpub¥ClaimApp 」を設定
⑧ 「OK」
WEB アプリを、インストール済の AD FS と関連づけるための設定を行う
① C:¥Program Files (x86)¥Windows Identity Foundation SDK¥v3.5¥FedUtil.exe を起動
② 「アプリケーション構成の場所」に「C:¥inetpub¥ClaimApp¥web.config 」を指定
③ 「アプリケーション URI」に「 https://webserv.contoso.com/claimapp/ 」を指定

④ 「次へ」
⑤ 「既存の STS を使う」を選択
⑥ 「STS WS-Federation メタデータのドキュメントの場所」に以下のパスを指定する

https://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml
「場所のテスト」を実行して、右のように表示されれば指定したパスは正しい。

⑦ 「次へ」
⑧ 「証明書チェーンの検証を無効にする」を選択して
「次へ」

⑨ 「暗号化しない」を選択して「次へ」

⑩ 「次へ」
⑪ 「完了」
⑫ 「アプリケーションが正常に構成されました」が表示されたら「OK」
AD FS の証明書利用者信頼(RP)に WEB アプリを登録する
① サーバーマネージャーのツールメニューから「AD FS の管理」を起動
② 「AD FS」-「信頼関係」-「証明書利用者信頼」を右クリックして「証明書利用者信頼の追加」を選択

③ 「証明書利用者信頼の追加ウィザード」が起動するので「開始」
④ 「データソースの選択」画面で「オンラインまたはローカル ネットワークで公開...」を選択
⑤ フェデーレーションメタデータのアドレスに ClaimApp の URL を指定して「次へ」

https://webserv.contoso.com/claimapp/
⑥ 「表示名」に「 ClaimApp 」と指定して「次へ」

⑦ 「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択して「次へ」
⑧ 「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択して「次へ」

⑨ 「次へ」
⑩ 「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」をチェックし
て「閉じる」
⑪ 「webserv.contoso.com の要求規則の編集」画面が
表示されたら「発行変換規則」タブを選択し、
「規則の追加」をクリック

⑫ 要求規則テンプレートで「カスタム規則を使用して
要求を送信」を選択して「次へ」
⑬ 「クレーム名」として「All Claims」を指定
⑭ 「カスタム規則」欄に以下を入力

c:[ ]
=> issue(claim = c);

⑮ 「完了」
⑯ 「OK」
⑰ AD FS 管理コンソールには、以下のように ClaimApp が登録される
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
7. DEMO-DC に DHCP サービスをインストール
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
8. DEMO-PROXY に DNS/DHCP/OCSP サービスを
インストールして構成する
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
9. DEMO-CLIENT の準備
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
10.オンラインレスポンダーの構成
機関情報アクセス拡張機能の構成

機関情報アクセス (AIA)」を選択
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
DEMO-PROXY に RootCA 証明書をインストールする
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
demo-proxy.contoso.com は小文字で入力してください
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
Web Application Proxy 1
Web Application Proxy の構築と構成
作業項目

対象サーバー

1

外部 DNS に社内アプリケーションを登録

DEMO-PROXY

2

Web Application Proxy をインストール

DEMO-PROXY

3

adfs1.contoso.com の秘密キー付証明書の発行

DEMO-DC

4

Web Application Proxy を構成する

DEMO-PROXY

5

WebServ 用 サーバー証明書をインストール

DEMO-PROXY

6

WebServ の ClaimApp を Web Application Proxy で公開

DEMO-PROXY

7

クライアントからの接続テスト

DEMO-CLIENT
1. adfs1.contoso.com の秘密キー付証明書の発行とインストール
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
2. WebServ 用 サーバー証明書をインストール

webserv
webserv
3. 外部 DNS に社内アプリケーションを登録
4. Web Application Proxy をインストール
5. Web Application Proxy を構成する
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
6. WebServ の ClaimApp を Web Application Proxy で公開
WebServ の ClaimApp を Web Application Proxy で公開
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
7. クライアントからの接続テスト
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
Workplace Join
1. クライアントにインストールした証明書にOCSP を
設定する
2.
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
(HINT)

うまく登録できない場合には以下をチェックしてください。
• AD FS が起動しているか
• DEMO-PROXY に設定したオンラインレスポンダーが正しく動作しているか
• クライアントにインストールしたRooCA 証明書の OCSP 設定が正しいか
3. 登録されたデバイスを確認する
4. 動作確認
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

More Related Content

勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版