現在オフラインです。再接続するためにインターネットの接続を待っています

Office 365 ID フェデレーション サービスにおける AD FS の導入シナリオ

概要
この資料は、様々な Active Directory Federation Services (AD FS) トポロジについて、およびMicrosoft 365 ID フェデレーション サービスや Office 365 サポートへの AD FS の適用について説明しています。
詳細
多くの企業向けサービスと互換性のある AD FS フェデレーション サービス (Microsoft Office 365 ID フェデレーション サービスとして使用) は、ビジネス ニーズに応じて様々に実装することができます。以下の AD FS シナリオでは、オンプレミス AD FS フェデレーション サービスをインターネットに公開する方法に焦点を当てています。 

シナリオ 1: AD FS のフル実装

詳細:

AD FS フェデレーション サーバー ファーム サービスの Active Directory クライアントは、シングル サインオン認証を介してリクエストを送信します。(負荷分散された) AD FS フェデレーション サーバーのプロキシは、リクエストを中継してこのようなコア認証サービスをインターネットに公開し、インターネット クライアントと内部 AD FS 環境の間で応答のやりとりをします。 

推奨:

AD FS 実装の最も推奨されるシナリオです。  

サポートの前提:

このシナリオについて、サポート前提はありません。このシナリオは、Office 365 サポートサービスによってサポートされます。

シナリオ 2: ファイアウォールに公開された AD FS

詳細:

AD FS フェデレーション サーバー ファーム サービスの Active Directory クライアントはシングル サインオン認証を介してリクエストします。Internet Security and Acceleration (ISA) /Forefront Threat Management Gateway (TMG) サーバー (またはサーバー ファーム) では、コア認証サービスを、インターネットへリバース プロキシによって公開します。 

制限:

この機能が働くように AD FS フェデレーション サーバー ファーム上の Extended Authentication Protection (認証の拡張保護) は無効化されます。これはシステムのセキュリティ プロファイルを脆弱化します。そのため、セキュリティの観点からこの方法は推奨されません。  

サポート前提:

ISA/TMG ファイアウォールおよびリバース プロキシ ルールは、正常に実装され機能しているとみなします。Office 365 サポート サービスにおいてサポートされるシナリオは、以下の条件に適合する場合に限ります。
  • インターネット クライアントとAD FS サーバー間の HTTPS (ポート 443) トラフィックのリバース プロキシが透過的であること。
  • D FS サーバーは、インターネット クライアントより、信頼のおけるSAMLリクエストのコピーを受領する必要がある。
  • インターネット クライアントは、オンプレミス AD FS サーバーに直接添付するなどして、信頼のおける SAML 反応のコピーを受領する必要がある。

不具合が生じる原因となる構成の一般的な問題については、以下の資料を参照してください。
2535789 「Forefront Threat Management Gateway 2010を使用する際に生じるActive Directory フェデレーション サービス の利用性に関する問題のトラブルシューティング」

シナリオ 3: 非公開 AD FS

詳細:

AD FS フェデレーション サーバー ファーム サービス Active Directory クライアントは、シングル サインオン認証を介してリクエストします。サーバー ファームはインターネットにどのような方法を用いても公開されることはありません。 

制限:

インターネット クライアント (モバイル デバイスを含む) は、Office 365 リソースを使用することはできません。サービス レベルの理由上、この方法は推奨されません。

Outlook リッチ クライアントは、Exchange Online リソースに接続できません。詳細については、以下のMicrosoft Knowledge Base 資料番号をクリックして、資料を参照してください。
2466333 「フェデレーション ユーザーが、Exchange Online メールボックスに接続できない」
サポートの前提:

実装に関して、お客様はこの設定により、Office 365 の ID フェデレーションによってサポートされるすべてのサービス パッケージが提供されるわけではないことを理解しているものとします。 このような状況において、このシナリオは Office 365 サポート サービスでサポートされます。

シナリオ 4: VPN に公開された AD FS

詳細:

AD FS フェデレーション サーバー (または、フェデレーション サーバー ファーム) サービス Active Directory クライアントは、シングル サインオン認証を使用してリクエストします。サーバー、またはサーバー ファームについては、どのような方法を用いてもインターネットへ公開されることはありません。インターネット クライアントは、仮想プライベート ネットワーク (VPN) 接続のみを介してオンプレミスのネットワーク環境に接続し、AD FS に接続および使用します。 

制限:

インターネット クライアント (モバイル デバイスを含む) は、VPNが有効でない場合、Office 365 サービスを使用することはできません。Outlook リッチ クライアント (ActiveSync クライアントを含む) は、Exchange Online リソースへ接続できません。詳細は次の Microsoft Knowledge Base 資料を参照してください。

2466333 「フェデレーションユーザーが Exchange Online メールボックスに接続できない」

サービス レベル上の理由で、この方法は推奨されません。

サポート前提:

実装において、お客様はこの設定により Office 365 の ID フェデレーションによってサポートされるすべてのサービス パッケージ が提供されるわけではないことを理解しているものとします。

VPN は正常に実装され、機能しているとみなします。Office 365 サポート サービスにおいてサポートされるシナリオは、以下の条件に適合する場合に限ります。
  • クライアントは、DNS 名で (ポート 443) を経由してAD FS システムへ接続ができる。
  • クライアントは、適切なポート/プロトコルを使用して DNS 名にて、Office 365 サーバー エンドポイントに接続できる。
  • VPN/インターネット ユーザーのシングル サインオンは、このシナリオに対応するが、サポート外です。

AD FS およびOffice 365 ID フェデレーションの高可用性

各シナリオは、サーバー ファームを使用せず、スタンドアロン AD FS フェデレーション サーバーを使用することにより、状況が異なります。アクセスの損失を軽減するために、すべての重要なインフラストラクチャ サービスについては、高可用性の技術を用いて導入することを、Microsoft ではベスト プラクティスとして推奨しています。 

オンプレミスの AD FS における可用性は、フェデレーション ユーザーの Office 365 サービスに直接影響を及ぼし、そのサービス レベルは、Office 365 のお客様の責任となります。TechNet ライブラリーには、オンプレミス環境における AD FS の計画および展開方法について、広範囲の資料を提供しています。このガイダンスでは、お客様を重要なサブシステムにおける目的のサービス レベルへ導く際にも役立ちます。詳細については、以下の Microsoft TechNet Web サイトを参照してください。 
関連情報
その他トピックは、Office 365 コミュニティ Web サイトを参照してください。または、Azure Active Directory フォーラム Web サイトを参照してください。
プロパティ

文書番号:2510193 - 最終更新日: 12/18/2014 09:22:00 - リビジョン: 13.0

Microsoft Azure cloud services, Microsoft Azure Active Directory, Microsoft Azure Recovery Services, Microsoft Intune, Microsoft Office 365, CRM Online via Office 365 E Plans, Office 365 Identity Management

  • o365 o365e o365a o365m o365022013 KB2510193
フィードバック
html>>dChild(m);