Microsoft IT CAMP Windows Server 2012 R2 Preview 勉強会キット ～ People-Centric IT 編 2013年 8月 26日 第 1 版.

Presentation on theme: "Microsoft IT CAMP Windows Server 2012 R2 Preview 勉強会キット ～ People-Centric IT 編 2013年 8月 26日 第 1 版."— Presentation transcript:

1 Microsoft IT CAMP Windows Server 2012 R2 Preview 勉強会キット ～ People-Centric IT 編
2013年 8月 26日 第 1 版

2 はじめに この勉強会キットでは、Windows Server 2012 R2 と Windows 8.1 により実現する People-Centric IT シナリオを学習します。 この勉強会キットに含まれている演習では、以下のサービスの構築手順を学習することができます。 Active Directory Domain Service Active Directory Federation Service ＋ Device Registration Service Active Directory Certificate Service Web Application Proxy また、上記のサービスを使用して、以下の新機能を確認することができます。 社内 WEB アプリケーションの外部公開 Workplace Join とデバイス認証 People-Centric IT には、この他にも多くの便利なシナリオが提供されています。それらについては、本勉強会キットの 第 2 版 以降にて解説します。 エバンジェリスト 安納 順一

3 解説編

4 BYOD をより効率的/効果的に Accessibility Security Manageability Windows Intune
Workplace Join Work Folders Web Application Proxy Active Directory Federation Service Device Registration Service Multi Factor AuthN. Dynamic Access Control Rights Management Service Windows Intune System Center Configuration Manager 個人のデバイスを安全に受け入れ、個人デバイスから社内リソースへのアクセシビリティを高める ユーザー、デバイス、ロケーションなどの多要素認証により、個人デバイスの社内アクセスを制限 個人デバイスに対し企業内管理ポリシーを適用

5 People-Centric IT（PCIT）
ユーザー デバイス アプリケーション 社内データ 管理基盤、セキュリティポリシー、アクセスコントロール

6 People-Centric IT シナリオの全体像
Device Management Admin Mobile Device Management Desktop Virtualization （VDI） RDS Gateway ユーザーはどこからでも、どのデバ イスからでもアクセス可能 VDI Session host 社内リソース Web Application Proxy LOB Apps Web Apps DirectAccess VPN ユーザーとデバイスは Active Directory によっ て統合認証される Active Directory Remote Access File Server

7 3タイプのクライアントとアクセス方法 RDP https https https/http Web Application Proxy
Unmanaged Device https RDP 社内 リソース 透過的 RDS Gateway VDI Session host Workplace Device https NEW!! https/http 2012 R2 なぜ、あえてリバースプロキシーを提供したのか？リバプロと言わずに、なぜ Web Application Proxy という名前にしているのか？ Web Application Proxy Domain Device （Managed） IPv6 over IPSec 透過的 IPv6 over IPv4 (w/ IPSec) IPv6 packets on HTTPS Remote Access

8 個人デバイスから社内リソースの利用 ⑤ シングル サインオン ①社内ネットワークに対する認証 ② リソースに対する認証 デバイス認証
ユーザー認証 その他の認証 ② リソースに対する認証 デバイス認証 ユーザー認証 その他の認証 WEB 個人 デバイス Gateway File Server ③ ファイルのアクセス権 社外秘データの持ち出し防止 ④ 個人デバイスのセキュリティ 社内データの漏えい防止 暗号化、リモートワイプ パスワードロック

9 Web Application Proxy 社内リソース https https/http Web Application Proxy
AD FS Proxy 機能を兼ね備えたリバースプロキシー 社内 Web Application（外部 https → 内部 http/https） 社内 フィルサーバー（Work Folder） Pre-Authentication（事前認証） 機能 AD FS 連携 パススルー（認証なし） アプリケーション（URI）単位に認証ポリシーを設定可能 AD FS による 事前認証 社内リソース 個人Device AD DSではなく、「AD FSによる」ってところがミソ!!! https https/http 2012 R2 Web Application Proxy

10 アーキテクチャ － “事前認証=パススルー”の場合
単なるリバースプロキシーとして動作 事前認証は行われない Active Directory Federation Service Active Directory Domain Service Web Application Proxy 事前認証 パススルー ③ 認証/認可 Web Application ① HTTPS ② HTTP/HTTPS 統合認証が有効ならば、ポップアップが表示される

11 アーキテクチャ － “事前認証=AD FS” の場合
Web Application の認証は、事前認証の後で行われる Active Directory Federation Service Active Directory Domain Service Web Application Proxy 認証 ポリシー ③ いろいろ なやりとり 事前認証 ② 302 Redirect AD FS ④事前認証OK ① HTTPS ⑥ 認証/認可 Web Application ⑤ HTTP/HTTPS

12 事前認証＝AD FS の場合 デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御 クレーム規則言語を使用
Web Application Proxy Web Application AD FS AD DS クレーム処理エンジン アクセス デバイス認証 Start 事前認証プロセス デバイスクレーム Start https 事前認証 ユーザー認証 ユーザークレーム 追加認証 アクセス可否を判定

13 AD FS による事前認証ポリシー Web Application に到達する前に、Web Application Proxy で認証が可能
デバイス認証 無効 MFA 無効 事前 認証完了 有効 有効 デバイス認証 Active Directory にデバイスが登 録されているかどうかを確認す る プライマリ認証 （ユーザー認証） Form 認証 Windows 統合 証明書 マルチファクター認証 <条件> ユーザー/グループ 登録/非登録デバイス 外部/内部ネットワーク <認証方式> 証明書（Smart Card） PhoneFactor その他 登録済み デバイス 認証 NG NO YES OK 認証 デバイスクレーム 発行 ユーザークレーム 発行 NG OK ERROR ERROR ERROR

14 Workplace join のアーキテクチャ
Start AD DS ① デバイスのローカルユーザー または Microsoft Account で サインイン ③ 認証 ⑤デバイス 登録 Web Application Proxy AD FS ②「職場のネットワークに参加」 クレーム処理 エンジン デバイス登録 サービス（DRS） Start Domain UserID/Password ⑥ 証明書インストール 事前認証 初回認証時に、今後SSOで使用されるIDとパスワードがデバイスの属性としてAD に登録される ④デバイスクレーム 事前認証プロセス Web Application アクセス

15 （復習）：AD DS と AD FS の関係 詳しくは 明日のセッションへ！ AD DS ：ユーザーとデバイスを「認証」する
クレーム”非”対応 Web App 認証したユーザーを認可 AD DS 認証したかどうか クレーム対応 Web App 認証したユーザーの 属性情報 従来のADFSはクレーム対応アプリだけのものだった AD FS AD DS 認証したかどうか 認証したユーザーの 属性情報によって認可 詳しくは 明日のセッションへ！

16 Windows Server 2012 R2 AD FS 新機能
認証ポリシー クレーム対応アプリ/非対応アプリ の事前認証として利用 Web Application Proxy との連携 認証方式を選択可能 エクストラネット認証の方式 イントラネット認証の方式 デバイス認証の要否 マルチファクター認証の要否 クレームの拡張 デバイス クレーム ロケーション クレーム OAuth 2.0 対応 WS-Federation、SAML 2.0 は既存 insiderCorporateNetwork ：true/false X-ms-proxy：プロキシサーバーのコンピューター名 AppIdentifier：接続先の web アプリケーション x-ms-forwarded-client-ip：クライアントのIPアドレス X-ms-lient-ip：プロキシーのIPアドレス

17 AD FS 管理コンソールー認証ポリシー プライマリ認証 他要素認証 IF THEN

18 デバイス認証 Active Directory にデバイスが登録されているかどうかを確認
デバイスが正しく登録されていれば“デバイスクレーム”を発行 Registrationid : デバイスの登録 ID Displayname ：コンピューター名 Identifier ：デバイスのGUID Ostype ：OSのタイプ Osversion ：OSのバージョン isManaged ：MDM 管理対象デバイスかどうか isRegisteredUser ：デバイスに関連づけられたユーザーかどうか 「登録されているデバイス」とは？ ドメインに参加している Windows PC Workplace Join した Windows 8.1 デバイス Workplace Join した iOS デバイス

19 Workplace Join とは ドメインに参加していない個人デバイスを AD DS に登録すること ※ デバイスのローカルユーザー単位の設定 デバイス認証後にデバイスクレームが発行される ーーーー BYOD devices ーーーー 独立した デバイス Workplace Joined Domain Joined Start Start リスク 安全性 企業 No control Partial control Full control 利用者 No access Partial access Full access

20 デバイス レジストレーション サービス（DRS） （Workplace Join）
個人デバイスを Active Directory ドメインに登録する機能（ドメイン参加ではない） デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレームを使用して制御できるようになる 以下のコマンドで有効化する Enable-AdfsDeviceRegistration –PrepareActiveDirectory AD DS Start ②ユーザー 認証 ④デバイス登録 AD FS 個人デバイス ①「職場のネットワークに参加」 Domain UserID/Password クレーム処理 エンジン デバイス登録 サービス（DRS） Start HTTPS ⑤ 証明書インストール ③デバイスクレーム

21 デバイス登録時に使用したユーザーIDと、Web Proxy の初回ログオン時に入力したユーザーID。 SSO に使用されるユーザーIDは RegisteredUsers 。
登録された個人デバイス

22 ここまでのまとめ Workplace Join した個人デバイスだけに
Workplace Join を使用すると、個人デバイスを AD DS に登録できる デバイスを登録すると「デバイス認証」の対象となる Web Application Proxy は AD FS を使用して事前認証が可能 デバイス認証 ユーザー認証 その他の認証 Workplace Join した個人デバイスだけに 社内 Web Application へのアクセス権を与えることができる

23 ファイルサーバーをどう公開するか Work Folder Work Folder File Server
ファイルサーバーを HTTPS で公開 ローカルデバイスに「自分のデータのみ」を同期 MDM システムとの連携で企業データのみをリモートワイプ Web Application Proxy AD FS AD DS 事前認証 Work Folder File Server Start 同期

24 重要データの流出対策 FSRM RMS File Server ファイル サーバー リソース マネージャ（FSRM）
自動分類、スクリーニング Rights Management Service（RMS） 暗号化、アクセス権限設定 ダイナミック アクセス 制御（DAC） 機密 Data 重要Data スクリーニング FSRM RMS 参照期限 暗号化 暗号化 重要Data 重要Data 個人情報 分類 読み取り 印刷禁止 コピペ禁止 保存禁止 重要データ保管庫 File Server

25 ダイナミックアクセス制御（DAC） Resource.Department = Finance アクセスポリシー File server
3/10/2017 ダイナミックアクセス制御（DAC） ユーザー、デバイス、リソースの属性をベースにアクセスポリシーを作成 重要データのアクセスポリシーをグループポリシーで統制する ファイルサーバー単位に適用 File server AD DS ユーザークレーム User.Department = Finance User.Clearance = High デバイスクレーム Device.Department = Finance Device.Managed = True リソース属性 Resource.Department = Finance Resource.Impact = High アクセスポリシー

26 DAC のアーキテクチャ GPO によりファイルサーバー全体に「アクセルルール」を適用 AD DS Access Rule
ユーザークレーム デバイスクレーム 経理部 社内デバイス AD DS Access Rule ①ルールを登録 <IF> ユーザー = 経理部 デバイス = 社内 リソース = 重要 <Then> フルコントロール グループ ポリシー ②ルールを配信 リソース属性 重要 Access Rule ファイルサーバー

27 BYOD さらなる課題 企業内セキュリティポリシーの個人デバイスへの適用 スクリーンロック パスワードポリシー デバイス暗号化
Accessibility BYOD さらなる課題 Security 企業内セキュリティポリシーの個人デバイスへの適用 スクリーンロック パスワードポリシー デバイス暗号化 構成管理（VPN、Wifi） マルウェア対策 業務アプリケーション配布（サイドローディング） 企業データのワイプ デバイスの初期化 Manageability

28 Mobile Device Management
モバイルデバイスの管理 Windows 8.1/RT Windows 8/RT, Windows Phone 8 iOS Android Windows Azure Active Directory Federation 企業内デバイスの管理 Windows Intune Connector Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X Linux/unix Web Application Proxy AD DS & AD FS 統合管理 コンソール

29 演習編

30 事前準備

31 構築する環境の全体像 Windows Server 2012 R2 Preview HyperｰV
この構築手順書では、1台の Hyper-V ホスト上に 4 台のゲストOSを構築します。 Windows Server 2012 R2 ドメインコントローラー 証明書サービス フェデレーションサービス IIS 内部DNS サービス 内部DHCP サービス Windows Server 2012 R2 Work Folder Windows Server 2012 R2 Web Application Proxy 外部 DNS ｻｰﾋﾞｽ 外部 DHCP ｻｰﾋﾞｽ Windows 8 Preview Windows Server 2012 R2 Preview HyperｰV ※ Work Folder は 勉強会キット People-Centric IT 編 第2版 にて対応します

32 環境構築手順 概要 ハードウェアとソフトウェアの準備 Hyper-V ホストの準備 Hyper-V 役割のインストール 仮想スイッチの作成
ゲストOSの準備 Guest1 認証サーバー （Windows Server 2012 R2 Preview） Guest2 ファイルサーバー（Windows Server 2012 R2 Preview） Guest3 プロキシサーバー（Windows Server 2012 R2 Preview） Guest4 BYOD クライアント（Windows 8.1 Preview）

33 1. ハードウェアとソフトウェアの準備環境の構築
用意するもの ハードウェア PC 1台 Hyper-V をサポートしていること メモリ 8 GB （ゲストOSで 4GB 程度を使用） HDD （外付けHDD または SSD 推奨） 空き容量 100GB 程度 ソフトウェア Windows Server 2012 R2 Preview 版 Windows 8 Enterprise Preview 版

34 2. Hyper-V ホストの準備 Hyper-V 役割のインストール
デモンストレーション環境は、すべて仮想環境上に構築します。 よって、事前に以下のいずれかの OS を使用して Hyper-V ホストを構築します。 Windows 8 Enterprise（評価版でも可） Windows 8.１ Enterprise Preview Windows Server 2012（評価版でも可） Windows Server 2012 R2 Preview 本手順書では、Windows Server 2012 R2 Preview 版 Hyper-V を使用しています。 Hyper-V 役割のインストール Hyper-V ホストに、Windows Server 2012 R2 Preview 版をインストール Windows Update を実行して、最新の修正プログラムを適用 サーバーマネージャーを起動し、画面右上の「管理」メニューから「役割の追加」を選択 「役割と機能の追加ウィザード」が起動するので、「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 自分自身のコンピューターが選択されていることを確認して「次へ」 「サーバーの役割の選択」画面で「Hyper-V」を選択して「次へ」 「機能の選択」では何も選択せずに「次へ」 「必要に応じて対象サーバーを自動的に再起動する」をチェックして「インストール」 自動的に再起動される

35 ここでは、以下の 3 つの仮想スイッチを作成します
仮想スイッチの作成 ここでは、以下の 3 つの仮想スイッチを作成します Hyper-V マネージャーを起動 「操作」ペインで「仮想スイッチマネージャー」をクリック 「新しい仮想ネットワークスイッチ」を選択後、仮想スイッチの種類として「外部」を選択 「仮想スイッチの作成」をクリック 「名前」に「External」と入力 「外部ネットワーク」で選択されているネットワークアダプターが正しいことを確認 「適用」 スイッチ名 種類 用途 External 外部 インターネットに接続可能な仮想スイッチ 仮想マシンに最新の更新ファイルを適用（Windows Update に接続）するために使用する 社内 プライベート 演習内で「企業内ネットワーク」として使用する インターネット 演習内で「外部ネットワーク」として使用する

36 Windows Server 2012 R2 Preview Hyper-V
再度「新しい仮想ネットワークスイッチ」を選択後、仮想スイッチの種類として「プライベート」を選択 「仮想スイッチの作成」をクリック 「名前」に「社内」と入力 「適用」 「名前」に「インターネット」と入力 ここまでの操作で以下のような環境ができあがりました。 外部仮想ｽｲｯﾁ ﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ ﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ External 社内 インターネット Windows Server 2012 R2 Preview Hyper-V PC NIC Internet へ

37 3. ゲスト OS の準備 作成した Hyper-V ホスト上に、以下に示す 4 つのゲスト OS をインストールします
細かな環境設定は、後の手順で実施するので、ここでは OS のインストール ホスト名の設定 IP アドレスと DNS の設定 を行ってください。 ゲストOSの ホスト名 起動 メモリ 動的 仮想スイッチ IPアドレス DNS OS ドメイン参加 DEMO-DC 512MB 使用する 社内 /24 Windows Server 2012 R2 Preview DC DEMO-WF /24 ○ DEMO-PROXY インターネット /24 /24 DEMO-Client DHCP Windows 8.1 Preview

38 Windows Server 2012 R2 Preview Hyper-V
ここまでの準備で、以下のような環境ができあがりました。 演習を進める前に、一度 外部仮想スイッチ「External」に接続して Windows Update を実行し、最新の更新プログラムを適用しておいてください。 WS2012 R2 Preview DEMO-DC WS2012 R2 Preview DEMO-WF WS2012 R2 Preview DEMO-PROXY Windows 8.1 DEMO-CLIENT 外部仮想ｽｲｯﾁ ﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ ﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ External 社内 インターネット Windows Server 2012 R2 Preview Hyper-V PC NIC Internet へ

39 （注意）Preview版でのお願い 全ての仮想マシンのタイムゾーンを （UTC-08:00）太平洋標準時（米国およびカナダ） に設定してください 日本時間に設定している場合、Workplace Join が正しく動作しないことがあります。

40 Active Directory Domain - contoso.com
最終的なシステム構成 Hyper-V Virtual Switch Windows 8.1 Windows Server 2012 R2 Internet INTRANET(社内) Active Directory Domain - contoso.com インターネット DEMO-CLIENT DEMO-PROXY Web App Proxy 外部 DHCP 外部 DNS DEMO-DC AD DS/CS/FS IIS 内部DNS 内部DHCP 仮想スイッチ（社内） DHCP DEMO-WF Work Folders File Share

41 ベース環境の構築

42 ベース環境の構築手順 はじめに、ベースとなるインフラストラクチャーを構築します。 作業項目 対象サーバー 1
Active Directory ドメインのインストールと構成 DEMO-DC 2 ドメインに参加 DEMO-PROXY, DEMO-WF 3 証明書サービスのインストールと構成 4 AD FS のインストールと構成 5 サンプルWEBアプリケーションの構築 6 7 DEMO-PROXY に DNS/DHCP サービスをインストールして構成する DEMO-PROXY 8 DEMO-DC に DHCP サービスをインストールして構成する 9 DEMO-CLIENT の準備 DEMO-CLIENT 10 オンラインレスポンダーの構成 DEMO-DC,DEMO-PROXY

43 1. Active Directory ドメインの構築
DEMO-DC 1. Active Directory ドメインの構築 Active Directory ドメインサービスのインストール DEMO-DC にサインインする サーバーマネージャーを起動し、「管理」メニューから「役割の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「対象サーバーの選択」画面で DEMO-DC が選択されていることを確認して「次へ」 役割の一覧から以下の役割を選択して「次へ」 Active Directory ドメイン サービス DNS サーバー 機能一覧では何も選択せずに「次へ」 「次へ」「次へ」 「インストール」 インストールが完了したら「閉じる」

44 DEMO-DC ドメインコントローラーに昇格 サーバーマネージャーの右上にある「通知」フラグから「このサーバーをドメインコントローラーに昇格する」を選択 ウィザードが起動するので、「新しいフォレストを追加する」を選択 ルートドメイン名に「contoso.com」と入力して「次へ」 「ドメインコントローラーオプション」画面が表示されるので、パスワードを指定して「次へ」 「DNSオプション」画面が表示されるので「次へ」 「追加オプション」画面で「Netbiosドメイン名」が「CONTOSO」であることを確認して「次へ」 「パス」画面では、そのまま「次へ」 「オプションの確認」画面で「次へ」 「前提条件のチェック」画面で、特に問題がでていないことを確認し「インストール」をクリック。 昇格が完了したら再起動する

45 DEMO-DC ドメインコントローラーにテストアカウントを作成する サーバーマネージャーの右上にある「ツール」メニューから「Active Directory ユーザーとコンピューター」を起動 左側のノードペインから「contoso.com」を展開し、「Users」を選択 「Users」を右クリックして「新規作成」-「ユーザー」を選択 「testuser」というユーザーを作成し、パスワードを無期限に設定する

46 DEMO-DC ドメインコントローラーに ADFS 用 GMSA（Group Managed Service Account）を作成する PowerShell コンソールを管理者モードで起動する 以下のコマンドレットを実行する。 「adfs1」は後から登録するホスト名なので、間違えているわけではありません。 Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

47 2. ドメインに参加 DEMO-PROXY と DEMO-WF をドメインに参加させる
（注意）DEMO-Client は個人デバイスとして取り扱うのでドメインには参加させない

48 3. 証明書サービスのインストールと構成 DEMO-DC Active Directory 証明書サービスのインストール
サーバーマネージャーを起動し、「管理」メニューから「役割の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「対象サーバーの選択」画面で DEMO-DC が選択されていることを確認して「次へ」 役割の一覧から以下の役割を選択して「次へ」 Active Directory 証明書 サービス 機能一覧では何も選択せずに「次へ」 「Active Directory 証明書サービス」の役割サービスインストールウィザードが起動するので、「次へ」 「役割サービスの選択画面」で「証明機関」が選択されていることを確認 「オンライン レスポンダー」を選択 「オンライン レスポンター」に必要な機能を追加しますか？」と表示されたら「機能を追加」をクリック 「次へ」 「Web サーバーの役割（IIS）」の役割サービスインストールウィザードが起動するので「次へ」 「役割サービスの選択」画面では何も選択せずに「次へ」 「インストール」 インストールが完了したら「閉じる」

49 DEMO-DC Active Directory 証明書サービスの構成 サーバーマネージャーの「通知」フラグをクリックし、「対象サーバーに Active Directory 証明書サービスを構成する」をクリック 「資格情報」画面が起動するので、資格情報欄に CONTOSO\Administrator が指定されていることを 確認して「次へ」 「役割サービス」画面で「証明機関」と 「オンラインレスポンダー」をチェックして 「次へ」 「セットアップの種類」で「エンラープライズ」を 選択して「次へ」 「CA の種類」で「ルート CA」を選択して「次へ」 「秘密キー」で「新しい秘密キーを作成する」を選択して「次へ」 「CA の暗号化」ではそのまま「次へ」 「CA の名前」で以下の通り指定する この CA の共通名 contoso-DEMO-DC-CA 識別名のサフィックス DC=contoso,DC=com 識別名のプレビュー CN=contoso-DEMO-DC-CA,DC=contoso,DC=com 「有効期間」はそのまま「次へ」 「CA データベース」はそのまま「次へ」

50 DEMO-DC 「確認」画面で「構成」をクリック 構成が完了したら「閉じる」 証明書テンプレートを作成する サーバーマネージャーのツールメニューから「証明機関」を起動 contoso-DEMO-DC-CA を展開して「証明書テンプレート」を選択

51 DEMO-DC サーバーマネージャーのツールメニューから「証明機関」を起動 contoso-DEMO-DC-CA を展開して「証明書テンプレート」を選択 「証明書テンプレート」を右クリックして「管理」を選択 「Web サーバー」テンプレートを右クリックして「テンプレートの複製」を選択

52 DEMO-DC 新しいレンプレートのプロパティ画面が開いたら「全般」タブを開く テンプレートの表示名の「SSL Certificate」と指定 「要求処理」タブを開いて「秘密キーのエクスポートを許可する」をチェック 「サブジェクト名」タブでは「要求に含まれる」が選択されていることを確認する。ここで「Active Directory の情報から構築する」が選択されると、ドメインに登録されているホスト名をサブジェクトとして登録する必要があり、今回の演習に失敗します。 「セキュリティ」タブを開く 「追加」ボタンをクリック 「オブジェクトの種類」をクリックして、「コンピューター」を選択し 「OK」 「選択するオブジェクト名」に証明書発行を依頼するコンピューター を指定する。今回は「DEMO-DC」「DEMO-PROXY」「DEMO-WF」 を指定する。 DEMO-DC、DEMO-PROXY、 DEMO-WF に「登録」権限を追加 「OK] 証明書テンプレートコンソールを 閉じる

53 証明書テンプレートを公開する 「証明機関」の「証明書テンプレート」を右クリックして「新規作成」-「発行する証明書テンプレート」を選択 「証明書テンプレートの選択」画面で「SSL Certificate」を選択して「OK」 証明書テンプレートの一覧に「SSL Certificate」が表示されていることを確認する

54 DEMO-DC AD FS 用 サーバー証明書を発行する 「ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択 「証明書の登録」ウィザードが起動するので「次へ」 「Active Directory 登録ポリシー」を選択して「次へ」 「SSL Certificate」を選択し、「この証明書を登録する には情報が不足しています。」をクリック。

55 adfs1.contoso.com, enterpriseregistration.contoso.com は全て小文字で入力してください
DEMO-DC 「サブジェクト」タブを開く 「サブジェクト名」欄の「種類」で「共通名」を選択 「値」に「 adfs1.contoso.com 」を入力して「追加」 「別名」欄の種類で「DNS」を選択し、「値」に「 adfs1.contoso.com 」を入力して「追加」 「別名」欄の種類で「DNS」を選択し、「値」に「 enterpriseregistration.contoso.com 」を入力して「追加」 「OK」 「登録」 完了したら「完了」 （注意） adfs1.contoso.com, enterpriseregistration.contoso.com は全て小文字で入力してください

56 webserv.contoso.com は小文字で入力してください
「証明書スナップイン」が起動していない場合には、再度「ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択 「証明書の登録」ウィザードが起動するので「次へ」 「Active Directory 登録ポリシー」を選択して「次へ」 「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。 「サブジェクト」タブを開く 「サブジェクト名」欄の「種類」で「共通名」を選択 「値」に「 webserv.contoso.com 」を入力して「追加」 「登録」 「完了」 webserv.contoso.com は小文字で入力してください

57 DEMO-DC 証明書の確認 サーバーマネージャーの「ツール」メニューから「インターネット インフォメーション サービス（IIS）マネージャー」を起動 DEMO-DC を選択して、中央のペインで「サーバー証明書」をダブルクリックして開く 「サーバー証明書」一覧で「adfs1.contoso.com」をダブルクリックして開く 「詳細」タブを開き、「サブジェクト」と「サブジェクト代替名」の値を確認する。 設定が間違えている場合には証明書を一旦削除して証明書の作成をやり直す

58 4. AD FS のインストールと構成 DEMO-DC AD FS のインストール
サーバーマネージャーの「管理」メニューで「役割と機能の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 DEMO-DC.contoso.com が選択されていることを確認して「次へ」 役割の一覧から「Active Directory Federation Service」を選択して「次へ」 機能の一覧では何も選択せずに「次へ」 「次へ」 「インストール」 インストールが完了したら「閉じる」

59 DEMO-DC AD FS の構成 サーバーマネージャーの「通知」フラグを クリックして開き「このサーバーにフェデレー ションサービスを構成します」をクリック 「Active Directory フェデレーション サービス構成ウィザード」が起動するので、「フェデレーション サーバー ファームに最初のフェデレーションサーバーを作成します」を選択して「次へ」 「Active Directory ドメインサービスへの接続」画面で、選択されているユーザーが「 Contoso\Administrator」であることを確認して「次へ」 「サービスのプロパティの指定」画面で、SSL 証明書として「adfs1.contoso.com」を選択 「フェデレーション サービスの表示名」として「Contoso Corporation」を指定して「次へ」 「サービスアカウントの指定」画面で「グループ管理サービス アカウントを作成します」を選択し、アカウント名に「 Contoso\fsgmsa 」を指定して「次へ」 「データベースの指定」画面で「Windows Internal Database を使用してサーバーにデータベースを作成します」を選択して「次へ」 「オプションの確認」で「次へ」 「前提条件の確認」で問題が無ければ「構成」をクリック 構成が正常に完了したら「閉じる」

60 DEMO-DC デバイス登録サービス有効化 タスクバーの PowerShll アイコンを右クリックして、PowerShell コンソールを管理者権限で開く 以下のコマンドを実行して デバイス登録サービス のために AD スキーマを拡張する Enable-AdfsDeviceRegistration -PrepareActiveDirector ServiceAccuntName の入力を求められたら contoso\fsgmsa$ を指定 以下のコマンドを実行して、デバイス登録サービスを有効化する Enable-AdfsDeviceRegistration

61 デバイス認証を有効化 AD FS 管理コンソールを開く 「AD FS」-「認証ポリシー」を選択 中央のペインから「プライマリ認証」の 「編集」をクリック 「デバイス認証を有効にする」をチェック して「OK」

62 DEMO-DC DNS にAD FSで使用するホスト名を登録する サーバーマネージャーの「ツール」メニューから DNS マネージャーを起動 「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択 「名前」に「 adfs1 」と入力 「IP アドレス」に「 」と入力して「ホストの追加」 再度「前方参照ゾーン」-「contoso.com」を右クリックして、「新しいエイリアス（CNAME）」を選択 「エイリアス名」に「enterpriseregistration」を指定 ターゲットホスト用の完全修飾ドメイン名に「adfs1.contoso.com」を指定して「OK」 DNS に WEBサーバー のホスト名を登録する サーバーマネージャーの「ツール」メニューから DNS マネージャーを起動 「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択 「名前」に「 webserv 」と入力 「IP アドレス」に「 」と入力して「ホストの追加」

63 5. IIS のインストールと構成 DEMO-DC ISO ファイルをマウントする
Hyper-V ホストで Hyper-V マネージャーを起動し、DEMO-DC を右クリックして「設定」を開く DVDドライブに Windows Server 2012 R2 Preview の ISO ファイルをマウントする （参考） 世代2 の仮想マシンを作成した場合、既定ではDVDドライブが作成されていません。一旦仮想OSをシャットダウン後、「ハードウェアの追加」で「SCSIコントローラー」を「追加」して「DVDドライブ」を作成してください。

64 DEMO-DC IIS , .NET Framework 3.5, WIF 3.5 をインストールする サーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「DEMO-DC.contoso.com」が選択されていることを確認して「次へ」 「役割」の一覧で「Webサーバー」を展開し、以下を選択する 「次へ」 「機能」の一覧で以下を選択する 「代替ソース パスの指定」をクリックして「パス」に「D:\Sources\Sxs」を指定して「OK」 「インストール」 セキュリティ アプリケーションの開発 要求フィルター .NET 拡張機能 3.5 Windows 認証 ASP.NET 3.5 ISAPI フィルター ISAPI 拡張 .NET Framework 3.5 Features Windows Identity Framework 3.5 .NET Framework 3.5 .NET Framework 4.5 Features ASP.NET 4.5

65 6. サンプルWEBアプリの準備 DEMO-DC Windows Identity Framework SDK 3.5 をインストール
DEMO-DC に 仮想スイッチ EXTERNAL をマウントしてからインターネットに接続 Hyper-V ホストが Windows Server 2012 R2 Preview または Window 8.1 Enterprise の場合には、インターネットに接続可能な PC でダウンロードし、DEMO-DC のデスクトップにコピー&ペーストすることができます インターネットに接続可能なPCでダウンロード後、シャットダウンしたDEMO-DCの仮想ハードディスクを Hyper-V ホストにマウントしてコピーする。 サンプルアプリの準備 C:\Inetpub フォルダ配下に、ClaimApp フォルダを作成する C:\program files (x86)\Windows Identity Foundation SDK\v3.5\Samples\ Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp フォルダ配下のファイルを全て、 C:\Inetpub\ClaimApp 配下にコピーする C:\Inetpub\ClaimApp\Default.aspx.cs をメモ帳で開く

66 この行だけコメントアウトしない DEMO-DC
「ExpectedClaims」を検索し、2回目にヒットした IF 文をコメントアウトする //if ( ExpectedClaims.Contains( claim.ClaimType ) ) //{ WriteClaim( claim, table ); //} Default.aspx.c を上書き保存する C:\Inetpub\ClaimApp\web.config をメモ帳で開く 「 <microsoft.identityModel> 」を検索し、</microsoft.identityModel > までを削除 保存 この行だけコメントアウトしない

67 DEMO-DC IIS の設定 サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス（IIS）マネージャーを起動 「DEMO-DC」-「アプリケーション プール」を選択 アプリケーションプール一覧で「DefaultAppPool」の「詳細設定」を開く 「ユーザープロファイルの読み込み」を「True」に設定 「OK」 「DefaultAppPool」の「基本設定」を開く .NET CLRバージョンを v に変更して「OK」

68 DEMO-DC WEBサイトの設定 「サイト」-「Default Web Site」を右クリックして「バインドの編集」を選択 「追加」をクリック 「種類」で「HTTPS」を選択、「ポート番号」を「443」、「SSL証明書」で「 webserv.contoso.com 」を選択して「OK」 「閉じる」 「Default Web Site」を右クリックして「アプリケーションの追加」を選択 「エイリアス」に「claimapp 」を指定 「物理パス」に「 C:\inetpub\ClaimApp 」を設定 「OK」

69 DEMO-DC WEB アプリをクレーム対応に変更 C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\FedUtil.exe を起動 「アプリケーション構成の場所」に「C:\inetpub\ClaimApp\web.config 」を指定 「アプリケーション URI」に「 」を指定 「次へ」 「既存の STS を使う」を選択 「STS WS-Federation メタデータのドキュメントの場所」に以下のパスを指定する 「証明書チェーンの検証を無効にする」を選択して「次へ」 「暗号化しない」を選択して「次へ」 「完了」 「アプリケーションが正常に構成されました」が表示されたら「OK」

70 DEMO-DC AD FS の証明書利用者信頼（RP）に WEB アプリを登録する サーバーマネージャーのツールメニューから「AD FS の管理」を起動 「AD FS」-「信頼関係」-「証明書利用者信頼」を右クリックして「証明書利用者信頼の追加」を選択 「証明書利用者信頼の追加ウィザード」が起動するので「開始」 「データソースの選択」画面で「オンラインまたはローカル ネットワークで公開．．．」を選択 フェデーレーションメタデータのアドレスに,ClaimApp のメタデータを指定する 「次へ」 「表示名」に「 webserv.contoso.com 」を指定して「次へ」 「現時点ではこの証明書利用者信頼に多要素認証を 構成しない」を選択して「次へ」

71 DEMO-DC 「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択して「次へ」 「次へ」 「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」をチェックして「閉じる」 「webserv.contoso.com の要求規則の編集」画面が表示されたら「発行変換規則」を選択し、「規則の追加」をクリック 要求規則テンプレートで「カスタム規則を使用して要求を送信」を選択して「次へ」 「クレーム名」として「All Claims」を指定 「カスタム規則」欄に以下を入力 c:[ ] => issue(claim = c); 「完了」

72 DEMO-DC アプリケーションのテスト IE で に接続 「Windowsセキュリティ」ダイアログが表示されたら、以下のユーザーIDでサインインする contoso\testuser / 以下のように表示されることを確認

73 7. DEMO-PROXY に DNS/DHCP/OCSP サービスをインストールして構成する
DEMO-PROXY に DHCP サービス、DNS サービス、OCSP レスポンダ インストールする サーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「DEMO-PROXY」が選択されていることを確認して「次へ」 役割の一覧で「Active Directory 証明書サービス」「DNS サーバー」「DHCP サーバー」をチェックして「次へ」 機能の一覧では何も選択せずに「次へ」 「Active Directory 証明書サービス」役割サービス追加ウィザードが開始されるので、「次へ」 役割サービスの一覧から「証明機関」のチェックをはずす 役割サービスの一覧で「オンラインレスポンダー」をチェックして「次へ」 以降のページではそのまま「次へ」 「インストール」 DHCPサービスのインストール後の構成を完了させる サーバーマネージャーの「通知」フラグをクリックして「DHCPの構成を完了する」を選択 「DHCP インストール後の構成ウィザード」が起動するので、「次へ」 「コミット」 「閉じる」

74 DEMO-PROXY DHCPサービスを構成する サーバーマネージャーのツールメニューから「DHCP」を選択 「demo-proxy.contoso.com」を右クリックして「バインディングの追加と削除」を選択 IPv4 タブを開き、「接続とサーバーの結合」欄から「 」のチェックを外す 「OK」 「demo-proxy」ｰ「IPv4」を右クリックして「新しいスコープ」を選択 ウィザードが起動するので「次へ」 スコープ名として「インターネット向けアドレスプール」と入力して「次へ」 「DHCP サーバーの構成設定」で以下の通り指定する 開始IPアドレス： 終了IPアドレス： 「サブネットマスク」に「 」を指定して「次へ」 「次へ」「次へ」 「今すぐオプションを構成する」が選択されてることを確認して「次へ」

75 DEMO-PROXY 「ルーター」として「 」を指定して「次へ」 「ドメイン名および DNS サーバー」画面で DNSサーバーの一覧に表示されている「 」を削除して「次へ」 「WINSサーバー」では何も指定せずに「次へ」 「今すぐアクティブにする」を選択して「次へ」 「完了」

76 DEMO-PROXY DEMO-PROXY の DNS サービスに contoso.com ゾーンを登録する サーバーマネージャーの「ツール」メニューから DNS マネージャーを起動 「前方参照ゾーン」を右クリックして「新しいゾーンを作成」を選択 ウィザードが起動するので「次へ」 「プライマリゾーン」を選択して「次へ」 ゾーン名として「 contoso.com 」を指定 ゾーンファイル名が「 contoso.com.dns 」であることを確認して「次へ」 「動的更新」はそのままにして「次へ」 「完了」 DEMO-PROXY の DNS サービスにホストを登録する 「前方参照ゾーン」-「 contoso.com 」を開いて demo-proxy A が登録されていることを確認する もし登録されていない場合には、「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択 「名前」に「 demo-proxy 」と入力 「IP アドレス」に「 」と入力して「ホストの追加」

77 DEMO-PROXY 証明書サービスの構成 サーバーマネージャーの「通知」フラグで「対象サーバーにActive Directory 証明書サービスを構成する」をクリック 「資格情報」画面が開くので、そのまま「次へ」 「役割サービス」画面で「オンラインレスポンダー」をチェックして「次へ」 「構成」をクリック 「閉じる」

78 8. DEMO-DC に DHCP サービスをインストールして構成する
サーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「DEMO-DC」が選択されていることを確認して「次へ」 役割の一覧で「DHCP サーバー」をチェックして「次へ」 機能の一覧では何も選択せずに「次へ」 「次へ」 「インストール」 DHCPサービスのインストール後の構成を完了させる サーバーマネージャーの「通知」フラグをクリックして「DHCPの構成を完了する」を選択 「DHCP インストール後の構成ウィザード」が起動するので、「次へ」 「コミット」 「閉じる」

79 DEMO-DC DHCPサービスを構成する サーバーマネージャーのツールメニューから「DHCP」を選択 「demo-dc」ｰ「IPv4」を右クリックして「新しいスコープ」を選択 ウィザードが起動するので「次へ」 スコープ名として「社内向けアドレスプール」と入力して「次へ」 「DHCP サーバーの構成設定」で以下の通り指定する 開始IPアドレス： 終了IPアドレス： 「サブネットマスク」に「 」を指定して「次へ」 「次へ」「次へ」 「今すぐオプションを構成する」が選択されてることを確認して「次へ」 「ルーター」として「 」を指定して「次へ」 「ドメイン名および DNS サーバー」画面で DNSサーバーの一覧に表示されている「 」を削除して「次へ」 「WINSサーバー」では何も指定せずに「次へ」 「今すぐアクティブにする」を選択して「次へ」 「完了」

80 9. DEMO-CLIENT の準備 DEMO-CLIENT DEMO-CLIENT からアドレスリースを確認
DEMO-CLIENT を開き、DEMO-PROXY のDHCPサービスからアドレスのリースが受けられることを確認する

81 DEMO-DC DEMO-DC から 証明書 をエクスポートする ここで、証明書サービスから以下の2つの証明書をエクスポートします contoso-DEMO-DC-CA adfs1.contoso.com DEMO-DC のデスクトップを開く 「ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を開く 「adfs1.contoso.com」をダブルクリックして開く 「証明書のパス」タブを開く contoso-DEMO-DC-CA を選択して「証明書の表示」をクリック contoso-DEMO-DC-CA 証明書が開くので「詳細」タブをクリック 「ファイルのコピー」をクリック 「証明書のエクスポートウィザード」が開くので「次へ」 エクスポートファイルの形式で「DER encoded binary X.509」が選択されていることを確認して「次へ」 ファイル名として \\DEMO-PROXY\C$\RootCA.cer を指定して「次へ」 「完了」をクリックして、 contoso-DEMO-DC-CA の画面を閉じる

82 DEMO-DC adfs1.contoso.com 証明書の「詳細」タブを開く 「ファイルにコピー」をクリック 「証明書のエクスポートウィザード」が開くので「次へ」 「秘密キーをエクスポートしません」を選択して「次へ」 エクスポートファイルの形式で「DER encoded binary X.509」が選択されていることを確認して「次へ」 ファイル名として \\DEMO-PROXY\C$\adfs1.cer を指定して「次へ」 「完了」をクリック 「OK」をクリックして adfs1.contoso.com の画面を閉じる

83 DEMO-CLIENT DEMO-CLIENT に証明書をインストールする ここで、DEMO-PROXY 上に保存した以下の2つの証明書をクライアントにインストールしておきます。 contoso-DEMO-DC-CA adfs1.contoso.com DEMO-CLIENT のデスクトップを開く ファイル名を指定して実行で「\\DEMO-PROXY\C$ 」を入力して「OK」 Windows セキュリティ画面が開いたら「ネットワーク資格情報の入力」欄に contoso\administrator / を指定して「OK」 先に作成した「 RootCA.cer 」と「 adfs1.cer 」をデスクトップにコピーしておく RootCA.cer を右クリックして「証明書のインストール」を選択 「ローカルコンピューター」を選択して「次へ」 「ユーザーアカウント制御」が表示されるので「はい」 「証明書をすべて次のストアに配置する」を選択して「参照」をクリック 「信頼されたルート証明機関」を選択して「OK」 「次へ」 「完了」

84 DEMO-CLIENT adfs1.cer を右クリックして「証明書のインストール」を選択 「ローカルコンピューター」を選択して「次へ」 「ユーザーアカウント制御」が表示されるので「はい」 「証明書をすべて次のストアに配置する」を選択して「参照」をクリック 「個人」を選択して「OK」 「次へ」 「完了」 証明書の確認 「ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を開く 「adfs1.contoso.com」をダブルクリックして開く 「証明書のパス」タブを開く contoso-DEMO-DC-CA が正しく表示されていることを確認 「OK」をクリックして閉じる

85 10.オンラインレスポンダーの構成 DEMO-DC 機関情報アクセス拡張機能の構成
「証明機関（ローカル）」-「contoso-DEMO-DC-CA」を右クリックして「プロパティ」を開く 「拡張機能」タブを開く 「拡張機能を選択してください」で「機関情報アクセス (AIA)」を選択 「追加」をクリックして「場所」に 「 」を入力して「OK」 再度「追加」をクリックして「場所」に 「 」を入力して「OK」 「OK」をクリック 証明書サービスの再起動を促されたら、「はい」をクリック

86 DEMO-PROXY DEMO-PROXY に RootCA 証明書をインストールする DEMO-PROXY のデスクトップを開く C:\ に保存した 「 RootCA.cer 」を右クリックして「証明書のインストール」を選択 「ローカルコンピューター」を選択して「次へ」 「証明書をすべて次のストアに配置する」を選択し「参照」をクリック 「信頼されたルート証明機関」を選択して「OK」 「次へ」 「完了」 「正しくインポートされました」が表示されたら「OK」

87 demo-proxy.contoso.com は小文字で入力してください
「証明書スナップイン」が起動していない場合には、再度「ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択 「証明書の登録」ウィザードが起動するので「次へ」 「Active Directory 登録ポリシー」を選択して「次へ」 「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。 「サブジェクト」タブを開く 「サブジェクト名」欄の「種類」で「共通名」を選択 「値」に「 demo-proxy.contoso.com 」を入力して「追加」 「登録」 「完了」 demo-proxy.contoso.com は小文字で入力してください

88 DEMO-DC OCSP 署名用証明書のテンプレートを公開する DEMO-DC のデスクトップを開く サーバーマネージャーの「ツール」メニューから「証明機関」を選択 「証明機関」-「contoso-DEMO-DC-CA」-「証明書テンプレート」を右クリックして「管理」を選択 テンプレート一覧から「OCSP 応答の署名」を右クリックして「テンプレートの複製」を選択 「全般」タブを開き、「テンプレートの表示名」を「OCSP応答の署名（DEMO）」と指定する 「セキュリティ」タブを開く 「追加」をクリック 「オブジェクトの種類」をクリックして「コンピューター」を チェックし、「OK」 コンピューター 「demo-dc」と「demo-proxy」を検索して追加する demo-dc と demo-proxy に「登録」権限を与える 「OK」 「証明書テンプレートの管理」画面を閉じる 「証明機関」で「証明書のテンプレート」を右クリックして、 「新規作成」-「発行する証明書テンプレート」を選択 「OCSP 応答の署名（DEMO）」を選択して「OK」

89 DEMO-DC DEMO-DC のオンラインレスポンダーを構成する DEMO-DC のデスクトップを開く サーバーマネージャーの「ツール」メニューから「オンラインレスポンダーの管理」を選択 「失効構成」を右クリックして「失効構成の追加」を選択 「失効構成追加」ウィザードが起動するので「次へ」 「失効構成の名前」として「失効構成」と入力して「次へ」 「既存のエンタープライズ CA の証明書を選択する」を選択して「次へ」 「Active Directory で公開された CA 証明書を参照する」を選択して「参照」をクリック 「contoso-DEMO-DC-CA」を選択して「OK」 「次へ」 「OCSP 証明書を自動的に選択する」が選択されていることを確認して「次へ」 初期化が正常に完了したら「完了」

90 DEMO-PROXY DEMO-PROXY のオンラインレスポンダーを構成する DEMO-PROXY のデスクトップを開く サーバーマネージャーの「ツール」メニューから「オンラインレスポンダーの管理」を選択 「失効構成」を右クリックして「失効構成の追加」を選択 「失効構成追加」ウィザードが起動するので「次へ」 「失効構成の名前」として「失効構成」と入力して「次へ」 「既存のエンタープライズ CA の証明書を選択する」を選択して「次へ」 「Active Directory で公開された CA 証明書を参照する」を選択して「参照」をクリック 「contoso-DEMO-DC-CA」を選択して「OK」 「次へ」 「OCSP 証明書を自動的に選択する」が選択されていることを確認して「次へ」 初期化が正常に完了したら「完了」

91 Web Application Proxy 1 社内のクレーム対応アプリケーションを社外に公開する

92 Web Application Proxy の構築と構成
作業項目 対象サーバー 1 外部 DNS に社内アプリケーションを登録 DEMO-PROXY 2 Web Application Proxy をインストール 3 adfs1.contoso.com の秘密キー付証明書の発行 DEMO-DC 4 Web Application Proxy を構成する 5 WebServ 用 サーバー証明書をインストール 6 WebServ の ClaimApp を Web Application Proxy で公開 7 クライアントからの接続テスト DEMO-CLIENT

93 1. 外部 DNS に社内アプリケーションを登録 DEMO-PROXY
DEMO-PROXY の 外部 DNS サービスに社内サービスを登録して公開する DEMO-PROXY のデスクトップを開く サーバーマネージャーの「ツール」メニューから「DNS」を選択 DNS マネージャーで「DNS」-「DEMO-PROXY」-「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト」を選択 「名前」に「 webserv 」、「IP アドレス」に「 」を指定し、「ホストの追加」 「名前」に「 adfs1 」、「IP アドレス」に「 」を指定し、「ホストの追加」 「名前」に「enterpriseregistration」、「IP アドレス」に「 」を指定し、「ホストの追加」 この時点では、DEMO-CLIENT から に接続してもエラーとなる

94 2. Web Application Proxy をインストール
DEMO-PROXY 2. Web Application Proxy をインストール DEMO-PROXY に Web Application Proxy をインストールする DEMO-PROXY のデスクトップを開く サーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択 ウィザードが起動するので「次へ」 「役割ベースまたは機能ベースのインストール」を選択して「次へ」 「DEMO-PROXY」が選択されていることを確認して「次へ」 「役割」の一覧から「リモートアクセス」をチェックして「次へ」 「機能」の一覧ではなにも選択せずに「次へ」 「リモートアクセス」画面が開くので「次へ」 「役割サービス」の一覧で「Web Application Proxy」をチェック 「Web Application Proxy に必要な機能を追加しますか?」と聞かれたら「機能の追加」をクリック 「次へ」 「インストール」 インストールが完了したら「閉じる」

95 3. adfs1.contoso.com の秘密キー付証明書の発行とインストール
DEMO-DC DEMO-DC で adfs1.contoso.com の秘密キー付証明書の発行 DEMO-DC のデスクトップを開く MMC を起動し、「ファイル」メニューの「スナップインの追加と削除」で「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」し「OK」 「コンソールルート」-「証明書」-「個人」-「証明書」を開く 「 adfs1.contoso.com 」を開き、「詳細」タブを開く 「ファイルのコピー」をクリック 「証明書のエクスポート」ウィザードが起動するので、「次へ」 「秘密キーをエクスポートします」を選択して「次へ」 「エクスポートファイルの形式」では、そのまま「次へ」 「パスワード」をチェックし、「 」と入力 「次へ」 「ファイル名」に「\\demo-proxy\c$\adfs1.pfx」と指定 「完了」

96 DEMO-PROXY DEMO-PROXY で adfs1.contoso.com の秘密キー付証明書をインストール DEMO-PROXY のデスクトップを開く C:\adfs1.pfx を右クリックして「インストール」 「ローカルコンピューター」を選択して「次へ」 インポートする証明書ファイルが「C:\adfs1.pfx」であることを確認して「次へ」 パスワードに「 」を指定して「次へ」 「証明書ストア」で「証明書をすべて次のストアに配置する」を選択して「参照」 「個人」を選択して「次へ」 「完了」

97 4. Web Application Proxy を構成する
DEMO-PROXY 4. Web Application Proxy を構成する DEMO-PROXY の Web Application Proxy を構成する DEMO-PROXY のデスクトップを開く サーバーマネージャーの「通知」フラグで「Web アプリケーション プロキシ ウィザードを表示する」をクリック Web アプリケーション プロキシ 構成ウィザードが起動するので「次へ」 「フェデレーションサービス名」に「 adfs1.contoso.com 」を指定 「フェデレーションサーバーのローカル管理者アカウント」として contoso\administrator / を指定する 「AD FS プロキシの証明書」として、先ほどインストルした「 proxy1.contoso.com 」の証明書を選択して「次へ」 「確認」画面で「構成」をクリック 閉じる

98 5. WebServ 用 サーバー証明書をインストール
DEMO-PROXY 5. WebServ 用 サーバー証明書をインストール DEMO-PROXY に、外部に公開する WebServ ClaimApp 用サーバー証明書をインストールする DEMO-PROXY で MMC を起動 ファイルメニューから「スナップインの追加と削除」を選択 「利用できるスナップイン」の一覧から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「完了」 「OK」 「コンソールルート」-「証明書」-「個人」ｰ「証明書」を右クリックして「すべてのタスク」から「新しい証明書の要求」を選択 ウィザードが起動するので「次へ」 「Active Directory 登録ポリシー」を選択して「次へ」 「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。 「サブジェクト」タブを開く 「サブジェクト名」欄の「種類」で「共通名」を選択 「値」に「 webserv.contoso.com 」を入力して「追加」 「登録」 webserv.contoso.com は小文字で入力してください

99 6. WebServ の ClaimApp を Web Application Proxy で公開
DEMO-PROXY WebServ の ClaimApp を Web Application Proxy で公開 サーバーマネージャーの「ツール」メニューから「リモートアクセス管理」を選択する 操作ペインから「公開」を選択 「新しいアプリケーションの公開ウィザード」が起動するので「次へ」 「Active Directory フェデレーション サービス（AD FS）」を選択して「次へ」

100 DEMO-PROXY 「証明書利用者」の一覧から「 webserv.contoso.com 」を選択して「次へ」 「公開設定」画面で、「名前」欄に「ClaimApp」と入力 「外部URL」に「 」を指定する（すべて小文字で！） 外部証明書から「webserv.contoso.com」を選択 バックエンドサーバーは変更せずに「次へ」 「公開」 「完了」

101 DEMO-PROXY 追加されたアプリケーション

102 7. クライアントからの接続テスト DEMO-CLIENT DEMO-CLIENT から ClaimApp に接続してみる
ADFS にリダイレクトされ、以下の認証画面が表示される Contoso\testuser / でサインインすると、 右のように社内アプリケーションを表示することが できる。

103 DEMO-CLIENT クレームの中に、IPアドレスとロケーションクレームが含まれていることを確認。デバイス認証を有効にしていないので、デバイスクレームは含まれていない。

104 Workplace Join

105 1. クライアントにインストールした証明書にOCSP を設定する
DEMO-CLIENT DEMO-CLIENT にインストールしたRootCA証明書にOCSP を設定する ファイル名を指定して実行」から「MMC」を起動 「ファイル」-「スナップインの追加と削除」を選択 「利用できるスナップイン」から「証明書」を選択して「追加」 「コンピューターアカウント」を選択して「次へ」 「ローカルコンピューター」を選択して「完了」 「OK」 「コンソールルート」-「証明書（ローカルコンピューター）」-「信頼されたルート証明機関」-「証明書」を選択 「contoso-DEMO-DC-CA」を開く 「詳細」タブを開いて、「プロパティの編集」をクリック 「OCSP」タブを開いて、 「 」を追加 ※https ではなく http です!

106 2. DEMO-CLIENT をActive Directory に登録する
DEMO-CLIENT をActive Directory に登録する（Workplace Join） DEMO-CLIENT のデスクトップで「Windows キー」+「c」を押してチャームを開く 「設定」をクリック

107 DEMO-CLIENT 「PC 設定の変更」をクリック 「ネットワーク」をクリック 「社内」をクリック ユーザーID欄に「 」 と入力して「参加」をクリック

108 DEMO-CLIENT パスワードを入力して「サインイン」 正しく認証されると、以下のように表示される。

109 DEMO-CLIENT （HINT） うまく登録できない場合には以下をチェックしてください。 AD FS が起動しているか すべての仮想マシンの時刻が「太平洋標準時（UTC-8）」に設定されているかどうか 正しい場合には、仮想マシンをすべて再起動してみてください DEMO-PROXY に設定したオンラインレスポンダーが正しく動作しているか クライアントにインストールしたRooCA 証明書の OCSP 設定が正しいか

110 3. 登録されたデバイスを確認する DEMO-DC
Workplace Join が完了すると、Active Directory にデバイスが登録されます。 デバイスを確認する DEMO-DC のデスクトップを開く 「Active Directory ユーザーとコンピューター」を開く 「表示」メニューから「拡張機能」を選択 「Contoso.com」-「RegisteredDevices」を開く 配下に登録されているデバイスオブジェクトを ダブルクリックして属性を開く 「属性エディタ」タブを開き、DisplayName 属性を 確認する

111 4. 動作確認 DEMO-CLIENT DEMO-CLIENT のデスクトップを開く
Contoso\testuser / でサインイン クレームが表示されることを確認 Workplace Join が完了しているので、デバイス認証が行われ、デバイスクレームが発行されていることを確認する。 一度認証が完了すると、次回以降は ID とパスワードの入力は不要になります。また、他のアプリケーションに対してもSSOで利用することが可能です。

112 © 2013 Microsoft Corporation. All rights reserved
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.