Office 365 ID フェデレーション サービスにおける AD FS の導入シナリオ

文書翻訳 文書翻訳
文書番号: 2510193 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

この資料は、様々な Active Directory Federation Services (AD FS) トポロジについて、およびMicrosoft 365 ID フェデレーション サービスや Office 365 サポートへの AD FS の適用について説明しています。

詳細

多くの企業向けサービスと互換性のある AD FS フェデレーション サービス (Microsoft Office 365 ID フェデレーション サービスとして使用) は、ビジネス ニーズに応じて様々に実装することができます。以下の AD FS シナリオでは、オンプレミス AD FS フェデレーション サービスをインターネットに公開する方法に焦点を当てています。?

シナリオ 1: AD FS のフル実装

詳細:

AD FS フェデレーション サーバー ファーム サービスの Active Directory クライアントは、シングル サインオン認証を介してリクエストを送信します。(負荷分散された) AD FS フェデレーション サーバーのプロキシは、リクエストを中継してこのようなコア認証サービスをインターネットに公開し、インターネット クライアントと内部 AD FS 環境の間で応答のやりとりをします。?

推奨:

AD FS 実装の最も推奨されるシナリオです。??

サポートの前提:

このシナリオについて、サポート前提はありません。このシナリオは、Office 365 サポートサービスによってサポートされます。

シナリオ 2: ファイアウォールに公開された AD FS

詳細:

AD FS?フェデレーション サーバー ファーム サービスの Active Directory クライアントはシングル サインオン認証を介してリクエストします。Internet Security and Acceleration (ISA) /Forefront Threat Management Gateway (TMG) サーバー (またはサーバー ファーム) では、コア認証サービスを、インターネットへリバース プロキシによって公開します。?

制限:

この機能が働くように AD FS フェデレーション サーバー ファーム上の Extended Authentication Protection (認証の拡張保護) は無効化されます。これはシステムのセキュリティ プロファイルを脆弱化します。そのため、セキュリティの観点からこの方法は推奨されません。 ?

サポート前提:

ISA/TMG ファイアウォールおよびリバース プロキシ ルールは、正常に実装され機能しているとみなします。Office 365 サポート サービスにおいてサポートされるシナリオは、以下の条件に適合する場合に限ります。
  • インターネット クライアントとAD FS サーバー間の HTTPS (ポート 443) トラフィックのリバース プロキシが透過的であること。
  • D FS サーバーは、インターネット クライアントより、信頼のおけるSAMLリクエストのコピーを受領する必要がある。
  • インターネット クライアントは、オンプレミス AD FS サーバーに直接添付するなどして、信頼のおける SAML 反応のコピーを受領する必要がある。

不具合が生じる原因となる構成の一般的な問題については、以下の資料を参照してください。
2535789 「Forefront Threat Management Gateway 2010を使用する際に生じるActive Directory フェデレーション サービス の利用性に関する問題のトラブルシューティング」

シナリオ 3: 非公開 AD FS

詳細:

AD FS フェデレーション サーバー ファーム サービス Active Directory クライアントは、シングル サインオン認証を介してリクエストします。サーバー ファームはインターネットにどのような方法を用いても公開されることはありません。?

制限:

インターネット クライアント (モバイル デバイスを含む) は、Office 365 リソースを使用することはできません。サービス レベルの理由上、この方法は推奨されません。

Outlook リッチ クライアントは、Exchange Online リソースに接続できません。詳細については、以下のMicrosoft Knowledge Base 資料番号をクリックして、資料を参照してください。
2466333 「フェデレーション ユーザーが、Exchange Online メールボックスに接続できない」
サポートの前提:

実装に関して、お客様はこの設定により、Office 365 の ID フェデレーションによってサポートされるすべてのサービス パッケージが提供されるわけではないことを理解しているものとします。 このような状況において、このシナリオは Office 365 サポート サービスでサポートされます。

シナリオ 4: VPN に公開された AD FS

詳細:

AD FS フェデレーション サーバー (または、フェデレーション サーバー ファーム) サービス Active Directory クライアントは、シングル サインオン認証を使用してリクエストします。サーバー、またはサーバー ファームについては、どのような方法を用いてもインターネットへ公開されることはありません。インターネット クライアントは、仮想プライベート ネットワーク (VPN) 接続のみを介してオンプレミスのネットワーク環境に接続し、AD FS に接続および使用します。?

制限:

インターネット クライアント (モバイル デバイスを含む) は、VPNが有効でない場合、Office 365 サービスを使用することはできません。Outlook リッチ クライアント (ActiveSync クライアントを含む) は、Exchange Online リソースへ接続できません。詳細は次の Microsoft Knowledge Base 資料を参照してください。

2466333 「フェデレーションユーザーが Exchange Online メールボックスに接続できない」

サービス レベル上の理由で、この方法は推奨されません。

サポート前提:

実装において、お客様はこの設定により Office 365 の ID フェデレーションによってサポートされるすべてのサービス パッケージ が提供されるわけではないことを理解しているものとします。

VPN は正常に実装され、機能しているとみなします。Office 365 サポート サービスにおいてサポートされるシナリオは、以下の条件に適合する場合に限ります。
  • クライアントは、DNS 名で (ポート 443) を経由してAD FS システムへ接続ができる。
  • クライアントは、適切なポート/プロトコルを使用して DNS 名にて、Office 365 サーバー エンドポイントに接続できる。
  • VPN/インターネット ユーザーのシングル サインオンは、このシナリオに対応するが、サポート外です。

AD FS およびOffice 365 ID フェデレーションの高可用性

各シナリオは、サーバー ファームを使用せず、スタンドアロン AD FS フェデレーション サーバーを使用することにより、状況が異なります。アクセスの損失を軽減するために、すべての重要なインフラストラクチャ サービスについては、高可用性の技術を用いて導入することを、Microsoft ではベスト プラクティスとして推奨しています。?

オンプレミスの AD FS における可用性は、フェデレーション ユーザーの Office 365 サービスに直接影響を及ぼし、そのサービス レベルは、Office 365 のお客様の責任となります。TechNet ライブラリーには、オンプレミス環境における AD FS の計画および展開方法について、広範囲の資料を提供しています。このガイダンスでは、お客様を重要なサブシステムにおける目的のサービス レベルへ導く際にも役立ちます。詳細については、以下の Microsoft TechNet Web サイトを参照してください。?
http://technet.microsoft.com/ja-jp/library/adfs2(WS.10).aspx

関連情報

その他トピックは、Office 365 コミュニティ?Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。

プロパティ

文書番号: 2510193 - 最終更新日: 2014年6月23日 - リビジョン: 11.0
この資料は以下の製品について記述したものです。
  • Microsoft Office 365 for enterprises (pre-upgrade)
  • Microsoft Office 365 for education? (pre-upgrade)
  • Microsoft Azure
  • Microsoft Azure Recovery Services
  • Microsoft Office 365
  • CRM Online via Office 365 E Plans
  • Office 365 Identity Management
キーワード:?
o365 o365e o365a o365062011 pre-upgrade o365m o365022013 after upgrade KB2510193
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com