RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日.

RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日

はじめにこの勉強会キットでは、Windows Server 2012 R2 と Windows 8.1 により実現する People-Centric IT シナリオを学習します。この勉強会キットに含まれている演習では、以下のサービスの構築手順を学習することができます。 Active Directory Domain Service Active Directory Federation Service ＋ Device Registration Service Active Directory Certificate Service Web Application Proxy また、上記のサービスを使用して、以下の新機能を確認することができます。社内 WEB アプリケーションの外部公開 Workplace Join とデバイス認証クレーム非対応アプリケーションを AD FS 事前認証に対応させる Work Folder など他のシナリオについては、これ以降リリースされる勉強会キットにてカバーされる予定です。エバンジェリスト安納順一

解説編

BYOD をより効率的/効果的に Accessibility Security Manageability Windows Intune
Workplace Join Work Folders Web Application Proxy Active Directory Federation Service Device Registration Service Multi Factor AuthN. Dynamic Access Control Rights Management Service Windows Intune System Center Configuration Manager 個人のデバイスを安全に受け入れ、個人デバイスから社内リソースへのアクセシビリティを高めるユーザー、デバイス、ロケーションなどの多要素認証により、個人デバイスの社内アクセスを制限個人デバイスに対し企業内管理ポリシーを適用

People-Centric IT（PCIT）
ユーザーデバイスアプリケーション社内データ管理基盤、セキュリティポリシー、アクセスコントロール

People-Centric IT シナリオの全体像
Device Management Admin Mobile Device Management Desktop Virtualization （VDI） RDS Gateway ユーザーはどこからでも、どのデバイスからでもアクセス可能 VDI Session host 社内リソース Web Application Proxy LOB Apps Web Apps DirectAccess VPN ユーザーとデバイスは Active Directory によって統合認証される Active Directory Remote Access File Server

3タイプのクライアントとアクセス方法 RDP https https https/http Web Application Proxy
Unmanaged Device https RDP 社内リソース透過的 RDS Gateway VDI Session host Workplace Device https NEW!! https/http 2012 R2 なぜ、あえてリバースプロキシーを提供したのか？リバプロと言わずに、なぜ Web Application Proxy という名前にしているのか？ Web Application Proxy Domain Device （Managed） IPv6 over IPSec 透過的 IPv6 over IPv4 (w/ IPSec) IPv6 packets on HTTPS Remote Access

個人デバイスから社内リソースの利用 ⑤ シングルサインオン ①社内ネットワークに対する認証 ② リソースに対する認証デバイス認証
ユーザー認証その他の認証 ② リソースに対する認証デバイス認証ユーザー認証その他の認証 WEB 個人デバイス Gateway File Server ③ ファイルのアクセス権社外秘データの持ち出し防止 ④ 個人デバイスのセキュリティ社内データの漏えい防止暗号化、リモートワイプパスワードロック

Web Application Proxy 社内リソース https https/http Web Application Proxy
AD FS Proxy 機能を兼ね備えたリバースプロキシー社内 Web Application（外部 https → 内部 http/https）社内フィルサーバー（Work Folder） Pre-Authentication（事前認証）機能 AD FS 連携パススルー（認証なし）アプリケーション（URI）単位に認証ポリシーを設定可能 AD FS による事前認証社内リソース個人Device AD DSではなく、「AD FSによる」ってところがミソ!!! https https/http 2012 R2 Web Application Proxy

アーキテクチャ－ “事前認証=パススルー”の場合
単なるリバースプロキシーとして動作事前認証は行われない Active Directory Federation Service Active Directory Domain Service Web Application Proxy 事前認証パススルー ③ 認証/認可 Web Application ① HTTPS ② HTTP/HTTPS 統合認証が有効ならば、ポップアップが表示される

アーキテクチャ－ “事前認証=AD FS” の場合
Web Application の認証は、事前認証の後で行われる Active Directory Federation Service Active Directory Domain Service Web Application Proxy 認証ポリシー ③ いろいろなやりとり事前認証 ② 302 Redirect AD FS ④事前認証OK ① HTTPS ⑥ 認証/認可 Web Application ⑤ HTTP/HTTPS

事前認証＝AD FS の場合デバイスクレームとユーザークレームを使用したきめの細かいアクセス制御クレーム規則言語を使用
Web Application Proxy Web Application AD FS AD DS クレーム処理エンジンアクセスデバイス認証 Start 事前認証プロセスデバイスクレーム Start https 事前認証ユーザー認証ユーザークレーム追加認証アクセス可否を判定

AD FS による事前認証ポリシー Web Application に到達する前に、Web Application Proxy で認証が可能
デバイス認証無効 MFA 無効事前認証完了有効有効デバイス認証 Active Directory にデバイスが登録されているかどうかを確認するプライマリ認証（ユーザー認証） Form 認証 Windows 統合証明書マルチファクター認証 <条件> ユーザー/グループ登録/非登録デバイス外部/内部ネットワーク <認証方式> 証明書（Smart Card） PhoneFactor その他登録済みデバイス認証 NG NO YES OK 認証デバイスクレーム発行ユーザークレーム発行 NG OK ERROR ERROR ERROR

Workplace join のアーキテクチャ
Start AD DS ① デバイスのローカルユーザーまたは Microsoft Account でサインイン ③ 認証 ⑤デバイス登録 Web Application Proxy AD FS ②「職場のネットワークに参加」クレーム処理エンジンデバイス登録サービス（DRS） Start Domain UserID/Password ⑥ 証明書インストール事前認証初回認証時に、今後SSOで使用されるIDとパスワードがデバイスの属性としてAD に登録される ④デバイスクレーム事前認証プロセス Web Application アクセス

（復習）：AD DS と AD FS の関係詳しくは明日のセッションへ！ AD DS ：ユーザーとデバイスを「認証」する
クレーム”非”対応 Web App 認証したユーザーを認可 AD DS 認証したかどうかクレーム対応 Web App 認証したユーザーの属性情報従来のADFSはクレーム対応アプリだけのものだった AD FS AD DS 認証したかどうか認証したユーザーの属性情報によって認可詳しくは明日のセッションへ！

Windows Server 2012 R2 AD FS 新機能
認証ポリシークレーム対応アプリ/非対応アプリの事前認証として利用 Web Application Proxy との連携認証方式を選択可能エクストラネット認証の方式イントラネット認証の方式デバイス認証の要否マルチファクター認証の要否クレームの拡張デバイスクレームロケーションクレーム OAuth 2.0 対応 WS-Federation、SAML 2.0 は既存 insiderCorporateNetwork ：true/false X-ms-proxy：プロキシサーバーのコンピューター名 AppIdentifier：接続先の web アプリケーション x-ms-forwarded-client-ip：クライアントのIPアドレス X-ms-lient-ip：プロキシーのIPアドレス

AD FS 管理コンソールー認証ポリシープライマリ認証他要素認証 IF THEN

デバイス認証 Active Directory にデバイスが登録されているかどうかを確認
デバイスが正しく登録されていれば“デバイスクレーム”を発行 Registrationid : デバイスの登録 ID Displayname ：コンピューター名 Identifier ：デバイスのGUID Ostype ：OSのタイプ Osversion ：OSのバージョン isManaged ：MDM 管理対象デバイスかどうか isRegisteredUser ：デバイスに関連づけられたユーザーかどうか「登録されているデバイス」とは？ドメインに参加している Windows PC Workplace Join した Windows 8.1 デバイス Workplace Join した iOS デバイス

Workplace Join とはドメインに参加していない個人デバイスを AD DS に登録すること ※ デバイスのローカルユーザー単位の設定デバイス認証後にデバイスクレームが発行される ーーーー BYOD devices ーーーー 独立したデバイス Workplace Joined Domain Joined Start Start リスク安全性企業 No control Partial control Full control 利用者 No access Partial access Full access

デバイスレジストレーションサービス（DRS）（Workplace Join）
個人デバイスを Active Directory ドメインに登録する機能（ドメイン参加ではない）デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイスクレームを使用して制御できるようになる以下のコマンドで有効化する Enable-AdfsDeviceRegistration –PrepareActiveDirectory AD DS Start ②ユーザー認証 ④デバイス登録 AD FS 個人デバイス ①「職場のネットワークに参加」 Domain UserID/Password クレーム処理エンジンデバイス登録サービス（DRS） Start HTTPS ⑤ 証明書インストール ③デバイスクレーム

デバイス登録時に使用したユーザーIDと、Web Proxy の初回ログオン時に入力したユーザーID。 SSO に使用されるユーザーIDは RegisteredUsers 。
登録された個人デバイス

ここまでのまとめ Workplace Join した個人デバイスだけに
Workplace Join を使用すると、個人デバイスを AD DS に登録できるデバイスを登録すると「デバイス認証」の対象となる Web Application Proxy は AD FS を使用して事前認証が可能デバイス認証ユーザー認証その他の認証 Workplace Join した個人デバイスだけに社内 Web Application へのアクセス権を与えることができる

ファイルサーバーをどう公開するか Work Folder Work Folder File Server
ファイルサーバーを HTTPS で公開ローカルデバイスに「自分のデータのみ」を同期 MDM システムとの連携で企業データのみをリモートワイプ Web Application Proxy AD FS AD DS 事前認証 Work Folder File Server Start 同期

重要データの流出対策 FSRM RMS File Server ファイルサーバーリソースマネージャ（FSRM）
自動分類、スクリーニング Rights Management Service（RMS）暗号化、アクセス権限設定ダイナミックアクセス制御（DAC）機密 Data 重要Data スクリーニング FSRM RMS 参照期限暗号化暗号化重要Data 重要Data 個人情報分類読み取り印刷禁止コピペ禁止保存禁止重要データ保管庫 File Server

ダイナミックアクセス制御（DAC） Resource.Department = Finance アクセスポリシー File server
3/12/2017 ダイナミックアクセス制御（DAC）ユーザー、デバイス、リソースの属性をベースにアクセスポリシーを作成重要データのアクセスポリシーをグループポリシーで統制するファイルサーバー単位に適用 File server AD DS ユーザークレーム User.Department = Finance User.Clearance = High デバイスクレーム Device.Department = Finance Device.Managed = True リソース属性 Resource.Department = Finance Resource.Impact = High アクセスポリシー

DAC のアーキテクチャ GPO によりファイルサーバー全体に「アクセルルール」を適用 AD DS Access Rule
ユーザークレームデバイスクレーム経理部社内デバイス AD DS Access Rule ①ルールを登録 <IF> ユーザー = 経理部デバイス = 社内リソース = 重要 <Then> フルコントロールグループポリシー ②ルールを配信リソース属性重要 Access Rule ファイルサーバー

BYOD さらなる課題企業内セキュリティポリシーの個人デバイスへの適用スクリーンロックパスワードポリシーデバイス暗号化
Accessibility BYOD さらなる課題 Security 企業内セキュリティポリシーの個人デバイスへの適用スクリーンロックパスワードポリシーデバイス暗号化構成管理（VPN、Wifi）マルウェア対策業務アプリケーション配布（サイドローディング）企業データのワイプデバイスの初期化 Manageability

Mobile Device Management
モバイルデバイスの管理 Windows 8.1/RT Windows 8/RT, Windows Phone 8 iOS Android Windows Azure Active Directory Federation 企業内デバイスの管理 Windows Intune Connector Windows PCs (x86/64, Intel SoC), Windows to Go Windows Embedded Mac OS X Linux/unix Web Application Proxy AD DS & AD FS 統合管理コンソール

演習編

事前準備

本勉強会キットでは、このサーバーは使用しません
構築する環境の全体像この構築手順書では、1台の Hyper-V ホスト上に 4 台のゲストOSを構築します。本勉強会キットでは、このサーバーは使用しません Windows Server 2012 R2 ドメインコントローラー証明書サービスフェデレーションサービス IIS 内部DNS サービス内部DHCP サービス Windows Server 2012 R2 Work Folder Windows Server 2012 R2 Web Application Proxy 外部 DNS ｻｰﾋﾞｽ外部 DHCP ｻｰﾋﾞｽ Windows 8 評価版 Windows Server 2012 R2 評価版 HyperｰV

本勉強会キットでは、このサーバーは使用しません
環境構築手順概要ハードウェアとソフトウェアの準備 Hyper-V ホストの準備 Hyper-V 役割のインストール仮想スイッチの作成ゲストOSの準備認証サーバー（Windows Server 2012 R2 評価版）ファイルサーバー（Windows Server 2012 R2 評価版）プロキシサーバー（Windows Server 2012 R2 評価版） BYOD クライアント（Windows 8.1 Enterprise 評価版）本勉強会キットでは、このサーバーは使用しません

1. ハードウェアとソフトウェアの準備環境の構築
用意するものハードウェア PC 1台 Hyper-V をサポートしていることメモリ 8 GB （ゲスト OS 全体で 4GB 程度を使用） HDD （外付けHDD または SSD 推奨）空き容量 100GB 程度ソフトウェア Windows Server 2012 R2 評価版 Windows 8 Enterprise 評価版

2. Hyper-V ホストの準備 Hyper-V 役割のインストール
デモンストレーション環境は、すべて仮想環境上に構築します。よって、事前に以下のいずれかの OS を使用して Hyper-V ホストを構築します。 Windows 8 Enterprise 評価版 Windows 8.１ Enterprise 評価版 Windows Server 2012 評価版 Windows Server 2012 R2 評価版本手順書では、Windows Server 2012 R2 評価版の Hyper-V を使用しています。 Hyper-V 役割のインストール Hyper-V ホストに、Windows Server 2012 R2 評価版版をインストール Windows Update を実行して、最新の修正プログラムを適用サーバーマネージャーを起動し、画面右上の「管理」メニューから「役割の追加」を選択「役割と機能の追加ウィザード」が起動するので、「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」自分自身のコンピューターが選択されていることを確認して「次へ」「サーバーの役割の選択」画面で「Hyper-V」を選択して「次へ」「機能の選択」では何も選択せずに「次へ」「必要に応じて対象サーバーを自動的に再起動する」をチェックして「インストール」自動的に再起動される

ここでは、以下の 3 つの仮想スイッチを作成します
仮想スイッチの作成ここでは、以下の 3 つの仮想スイッチを作成します Hyper-V マネージャーを起動「操作」ペインで「仮想スイッチマネージャー」をクリック「新しい仮想ネットワークスイッチ」を選択後、仮想スイッチの種類として「外部」を選択「仮想スイッチの作成」をクリック「名前」に「External」と入力「外部ネットワーク」で選択されているネットワークアダプターが正しいことを確認「適用」スイッチ名種類用途 External 外部インターネットに接続可能な仮想スイッチ仮想マシンに最新の更新ファイルを適用（Windows Update に接続）するために使用する社内プライベート演習内で「企業内ネットワーク」として使用するインターネット演習内で「外部ネットワーク」として使用する

Hyper-V Windows Server 2012 R2 評価版 PC Internet へ
再度「新しい仮想ネットワークスイッチ」を選択後、仮想スイッチの種類として「プライベート」を選択「仮想スイッチの作成」をクリック「名前」に「社内」と入力「適用」「名前」に「インターネット」と入力ここまでの操作で以下のような環境ができあがりました。外部仮想ｽｲｯﾁﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ External 社内インターネット Windows Server 2012 R2 評価版 Hyper-V PC NIC Internet へ

3. ゲスト OS の準備作成した Hyper-V ホスト上に、以下に示す 4 つのゲスト OS をインストールします
細かな環境設定は、後の手順で実施するので、ここでは OS のインストールホスト名の設定 IP アドレスと DNS の設定を行ってください。ゲストOSのホスト名起動メモリ動的仮想スイッチ IPアドレス DNS OS ドメイン参加 DEMO-DC 512MB 使用する社内 /24 Windows Server 2012 R2 評価版 DC DEMO-WF /24 する DEMO-PROXY インターネット /24 /24 DEMO-Client DHCP Windows 8.1 評価版必要なし DNSの設定注意 PROXYは内部DNSを参照してください本勉強会キットでは、「DEMO-WF」は使用しません

Hyper-V Windows Server 2012 R2 評価版 PC Internet へ
ここまでの準備で、以下のような環境ができあがりました。演習を進める前に、一度外部仮想スイッチ「External」に接続して Windows Update を実行し、最新の更新プログラムを適用しておいてください。 WS2012 R2 評価版 DEMO-DC WS2012 R2 評価版 DEMO-WF WS2012 R2 評価版 DEMO-PROXY Windows 8.1 評価版 DEMO-CLIENT 本勉強会キットでは、このサーバーは使用しません外部仮想ｽｲｯﾁﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ External 社内インターネット Windows Server 2012 R2 評価版 Hyper-V PC NIC Internet へ

Active Directory Domain - contoso.com
最終的なシステム構成 Hyper-V Virtual Switch Windows 8.1 Windows Server 2012 R2 Internet INTRANET(社内) Active Directory Domain - contoso.com インターネット DEMO-CLIENT DEMO-PROXY Web App Proxy 外部 DHCP 外部 DNS DEMO-DC AD DS/CS/FS IIS 内部DNS 内部DHCP 仮想スイッチ（社内） DHCP DEMO-WF Work Folders File Share 本勉強会キットでは、このサーバーは使用しません

ベース環境の構築

ベース環境の構築手順はじめに、ベースとなるインフラストラクチャーを構築します。作業項目対象サーバー 1
Active Directory ドメインのインストールと構成 DEMO-DC 2 ドメインに参加 DEMO-PROXY, DEMO-WF 3 証明書サービスのインストールと構成 4 AD FS のインストールと構成 5 サンプルWEBアプリケーションの構築 6 7 DEMO-PROXY に DNS/DHCP サービスをインストールして構成する DEMO-PROXY 8 DEMO-DC に DHCP サービスをインストールして構成する 9 DEMO-CLIENT の準備 DEMO-CLIENT 10 オンラインレスポンダーの構成 DEMO-DC,DEMO-PROXY

1. Active Directory ドメインの構築
DEMO-DC 1. Active Directory ドメインの構築 Active Directory ドメインサービスのインストール DEMO-DC にサインインするサーバーマネージャーを起動し、「管理」メニューから「役割の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「対象サーバーの選択」画面で DEMO-DC が選択されていることを確認して「次へ」役割の一覧から以下の役割を選択して「次へ」 Active Directory ドメインサービス DNS サーバー機能一覧では何も選択せずに「次へ」「次へ」「次へ」「インストール」インストールが完了したら「閉じる」

DEMO-DC ドメインコントローラーに昇格サーバーマネージャーの右上にある「通知」フラグから「このサーバーをドメインコントローラーに昇格する」を選択ウィザードが起動するので、「新しいフォレストを追加する」を選択ルートドメイン名に「contoso.com」と入力して「次へ」「ドメインコントローラーオプション」画面が表示されるので、パスワードを指定して「次へ」「DNSオプション」画面が表示されるので「次へ」「追加オプション」画面で「Netbiosドメイン名」が「CONTOSO」であることを確認して「次へ」「パス」画面では、そのまま「次へ」「オプションの確認」画面で「次へ」「前提条件のチェック」画面で、特に問題がでていないことを確認し「インストール」をクリック。昇格が完了したら再起動する

DEMO-DC ドメインコントローラーにテストアカウントを作成するサーバーマネージャーの右上にある「ツール」メニューから「Active Directory ユーザーとコンピューター」を起動左側のノードペインから「contoso.com」を展開し、「Users」を選択「Users」を右クリックして「新規作成」-「ユーザー」を選択「testuser」というユーザーを作成し、パスワードを無期限に設定する

DEMO-DC ドメインコントローラーに ADFS 用 GMSA（Group Managed Service Account）を作成する PowerShell コンソールを管理者モードで起動する以下のコマンドレットを実行する。「adfs1」は後から登録するホスト名です。間違いではありません。 Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10) New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

2. ドメインに参加 DEMO-PROXY と DEMO-WF をドメインに参加させる
（注意）DEMO-Client は個人デバイスとして取り扱うのでドメインには参加させない

3. 証明書サービスのインストールと構成 DEMO-DC Active Directory 証明書サービスのインストール
サーバーマネージャーを起動し、「管理」メニューから「役割の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「対象サーバーの選択」画面で DEMO-DC が選択されていることを確認して「次へ」役割の一覧から以下の役割を選択して「次へ」 Active Directory 証明書サービス機能一覧では何も選択せずに「次へ」

「Active Directory 証明書サービス」の役割サービスインストールウィザードが起動するので、「次へ」
「役割サービスの選択画面」で「証明機関」が選択されていることを確認「オンラインレスポンダー」を選択「オンラインレスポンター」に必要な機能を追加しますか？」と表示されたら「機能を追加」をクリック「次へ」「Web サーバーの役割（IIS）」の役割サービスインストールウィザードが起動するので「次へ」「役割サービスの選択」画面では何も選択せずに「次へ」「インストール」インストールが完了したら「閉じる」

DEMO-DC Active Directory 証明書サービスの構成サーバーマネージャーの「通知」フラグをクリックし、「対象サーバーに Active Directory 証明書サービスを構成する」をクリック「資格情報」画面が起動するので、資格情報欄に CONTOSO\Administrator が指定されていることを確認して「次へ」「役割サービス」画面で「証明機関」と「オンラインレスポンダー」をチェックして「次へ」

DEMO-DC 「セットアップの種類」で「エンラープライズ」を選択して「次へ」「CA の種類」で「ルート CA」を選択して「次へ」「秘密キー」で「新しい秘密キーを作成する」を選択して「次へ」「CA の暗号化」では何も変更せずに「次へ」

DEMO-DC 「CA の名前」で以下の通り指定する（規定値のままでよいハズ）この CA の共通名 contoso-DEMO-DC-CA 識別名のサフィックス DC=contoso,DC=com 識別名のプレビュー CN=contoso-DEMO-DC-CA,DC=contoso,DC=com 「有効期間」はそのまま「次へ」「CA データベース」はそのまま「次へ」「確認」画面で「構成」をクリック構成が完了したら「閉じる」

DEMO-DC 証明書テンプレートを作成するサーバーマネージャーのツールメニューから「証明機関」を起動 contoso-DEMO-DC-CA を展開して「証明書テンプレート」を選択

DEMO-DC 「証明書テンプレート」を右クリックして「管理」を選択「Web サーバー」テンプレートを右クリックして「テンプレートの複製」を選択

DEMO-DC 新しいレンプレートのプロパティ画面が開いたら「全般」タブを開くテンプレートの表示名を「SSL Certificate」と指定

DEMO-DC 「要求処理」タブを開いて「秘密キーのエクスポートを許可する」をチェック

DEMO-DC 「サブジェクト名」タブを開き「要求に含まれる」が選択されていることを確認する。ここで「Active Directory の情報から構築する」が選択されると、ドメインに登録されているホスト名をサブジェクトとして登録する必要があり、今回の演習に失敗するので注意してください。「セキュリティ」タブを開く「追加」ボタンをクリック「オブジェクトの種類」をクリックして、「コンピューター」を選択し「OK」「選択するオブジェクト名」に証明書発行を依頼するコンピューターを指定する。今回は「DEMO-DC」「DEMO-PROXY」「DEMO-WF」を指定する。 DEMO-DC、DEMO-PROXY、DEMO-WF に「登録」権限を追加「OK] 証明書テンプレートコンソールを閉じる

DEMO-DC 証明書テンプレートを公開する「証明機関」の「証明書テンプレート」を右クリックして「新規作成」-「発行する証明書テンプレート」を選択「証明書テンプレートの選択」画面で「SSL Certificate」を選択して「OK」証明書テンプレートの一覧に「SSL Certificate」が表示されていることを確認する

DEMO-DC AD FS（adfs1.contoso.com）用サーバー証明書を発行する「ファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択「証明書の登録」ウィザードが起動するので「次へ」「Active Directory 登録ポリシー」を選択して「次へ」「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。

DEMO-DC 「サブジェクト」タブを開く「サブジェクト名」欄の「種類」で「共通名」を選択「値」に「 adfs1.contoso.com 」と入力して「追加」（小文字で入力する）「別名」欄の種類で「DNS」を選択し、「値」に「 adfs1.contoso.com 」を入力して「追加」同じく「別名」欄の種類で「DNS」を選択し、「値」に「 enterpriseregistration.contoso.com 」を入力して「追加」すべて小文字

DEMO-DC 「OK」「登録」「完了」以下のように adfs1.contoso.com を発行先とした証明書が追加されていることを確認する

webserv.contoso.com は小文字で入力してください
「証明書スナップイン」が起動していない場合には、再度以下の操作を行う「ファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択「証明書の登録」ウィザードが起動するので「次へ」「Active Directory 登録ポリシー」を選択して「次へ」「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。「サブジェクト」タブを開く「サブジェクト名」欄の「種類」で「共通名」を選択「値」に「 webserv.contoso.com 」を入力して「追加」「登録」「完了」 webserv.contoso.com は小文字で入力してください

DEMO-DC 証明書の確認サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス（IIS）マネージャー」を起動 DEMO-DC を選択して、中央のペインで「サーバー証明書」をダブルクリックして開く「サーバー証明書」一覧で「adfs1.contoso.com」をダブルクリックして開く「詳細」タブを開き、「サブジェクト」と「サブジェクト代替名」の値を確認する。設定が間違えている場合には証明書を一旦削除して証明書の作成をやり直す

4. AD FS のインストールと構成 DEMO-DC AD FS のインストール
サーバーマネージャーの「管理」メニューで「役割と機能の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」 DEMO-DC.contoso.com が選択されていることを確認して「次へ」役割の一覧から「Active Directory Federation Service」を選択して「次へ」機能の一覧では何も選択せずに「次へ」「次へ」「インストール」インストールが完了したら「閉じる」

DEMO-DC AD FS の構成サーバーマネージャーの「通知」フラグをクリックして開き「このサーバーにフェデレーションサービスを構成します」をクリック「Active Directory フェデレーションサービス構成ウィザード」が起動するので、「フェデレーションサーバーファームに最初のフェデレーションサーバーを作成します」を選択して「次へ」

DEMO-DC 「Active Directory ドメインサービスへの接続」画面で、選択されているユーザーが「 Contoso\Administrator」であることを確認して「次へ」「サービスのプロパティの指定」画面で、SSL 証明書として「adfs1.contoso.com」を選択「フェデレーションサービスの表示名」として「Contoso Corporation」を指定して「次へ」

DEMO-DC 「サービスアカウントの指定」画面で「グループ管理サービスアカウントを作成します」を選択し、アカウント名に「 Contoso\fsgmsa 」を指定して「次へ」「データベースの指定」画面で「Windows Internal Database を使用してサーバーにデータベースを作成します」を選択して「次へ」「オプションの確認」で「次へ」「前提条件の確認」で問題が無ければ「構成」をクリック構成が正常に完了したら「閉じる」

DEMO-DC デバイス登録サービス有効化タスクバーの PowerShll アイコンを右クリックして、PowerShell コンソールを管理者権限で開く以下のコマンドを実行してデバイス登録サービスのために AD スキーマを拡張する Initialize-ADDeviceRegistration -ServiceAccountName Contoso\FsGmsa$ 以下のダイアログが表示されたら「すべて続行」を選択正常に完了すると、以下のように表示される

DEMO-DC 以下のコマンドを実行して、デバイス登録サービスを有効化する Enable-AdfsDeviceRegistration

DEMO-DC デバイス認証を有効化サーバーマネージャーの「ツール」メニューから「AD FS 管理コンソール」を開く「AD FS」-「認証ポリシー」を選択中央のペインから「プライマリ認証」の「編集」をクリック

DEMO-DC 「デバイス認証を有効にする」をチェックして「OK」

DEMO-DC DNS に AD FS で使用するホスト名を登録するサーバーマネージャーの「ツール」メニューから DNS マネージャーを起動「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択「名前」に「 adfs1 」と入力「IP アドレス」に「」と入力して「ホストの追加」再度「前方参照ゾーン」-「contoso.com」を右クリックして、「新しいエイリアス（CNAME）」を選択「エイリアス名」に「enterpriseregistration」を指定ターゲットホスト用の完全修飾ドメイン名に「adfs1.contoso.com」を指定して「OK」

DEMO-DC DNS に WEBサーバーのホスト名を登録するサーバーマネージャーの「ツール」メニューから DNS マネージャーを起動「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択「名前」に「 webserv 」と入力「IP アドレス」に「」と入力して「ホストの追加」

5. IIS のインストールと構成 DEMO-DC ISO ファイルをマウントする
Hyper-V ホストで Hyper-V マネージャーを起動し、DEMO-DC を右クリックして「設定」を開く DVDドライブに「Windows Server 2012 R2 評価版」の ISO ファイルをマウントする（参考） Windows Server 2012 R2 で新しくサポートされた「世代2」の仮想マシンを使用している場合、既定では DVD ドライブが作成されていません。一旦仮想 OS をシャットダウン後、「ハードウェアの追加」で「SCSIコントローラー」を「追加」して「DVDドライブ」を作成してください。

IIS , .NET Framework 3.5, WIF 3.5 をインストールする
DEMO-DC IIS , .NET Framework 3.5, WIF 3.5 をインストールするサーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「DEMO-DC.contoso.com」が選択されていることを確認して「次へ」「役割」の一覧で「Webサーバー」を展開し、以下を選択するセキュリティアプリケーションの開発要求フィルター .NET 拡張機能 3.5 Windows 認証 ASP.NET 3.5 ISAPI フィルター ISAPI 拡張

DEMO-DC 「次へ」「機能」の一覧で以下を選択する「代替ソースパスの指定」をクリックして「パス」に「D:\Sources\Sxs」を指定して「OK」「インストール」 .NET Framework 3.5 Features .NET Framework 3.5 .NET Framework 4.5 Features ASP.NET 4.5 Windows Identity Framework 3.5 マウントしたISOファイルのドライブ

6. サンプルWEBアプリの準備 DEMO-DC Windows Identity Framework SDK 3.5 をインストール
インターネットに接続可能なPCを使用して、以下のページから Windows Identity Framework SDK 3.5 をダウンロードする DEMO-DC 上で Windows Identity Framework SDK 3.5 をインストール以下のいずれかの方法で、DEMOｰDC 上に Windows Identity Framework 3.5 を保存してください。 DEMO-DC に仮想スイッチ EXTERNAL をマウントしてからインターネットに接続 Hyper-V ホストが Windows Server 2012 R2 評価版または Window 8.1 Enterprise の場合には、インターネットに接続可能な PC でダウンロードし、DEMO-DC のデスクトップにコピー&ペーストすることができますインターネットに接続可能な PC でダウンロード後、シャットダウンした DEMO-DC の仮想ハードディスクを Hyper-V ホストにマウントしてコピーする。

DEMO-DC サンプルアプリの準備 C:\Inetpub フォルダ配下に、ClaimApp フォルダを作成する C:\program files (x86) \Windows Identity Foundation SDK \v \Samples \Quick Start \Web Application \PassiveRedirectBasedClaimsAwareWebApp フォルダ配下のファイルを全て、 C:\Inetpub\ClaimApp 配下にコピーするこれらをClaimAppフォルダにコピーする

この行だけコメントアウトしない DEMO-DC C:\Inetpub\ClaimApp\Default.aspx.cs をメモ帳で開く
「ExpectedClaims」を検索し、2回目にヒットした IF 文をコメントアウトする //if ( ExpectedClaims.Contains( claim.ClaimType ) ) //{ WriteClaim( claim, table ); //} Default.aspx.cs を上書き保存する C:\Inetpub\ClaimApp\web.config をメモ帳で開く「 <microsoft.identityModel> 」を検索し、</microsoft.identityModel > までを削除保存この行だけコメントアウトしないこの部分を削除

DEMO-DC IIS の設定サーバーマネージャーの「ツール」メニューから「インターネットインフォメーションサービス（IIS）マネージャーを起動「DEMO-DC」-「アプリケーションプール」を選択アプリケーションプール一覧で「DefaultAppPool」の「詳細設定」を開く「ユーザープロファイルの読み込み」を「True」に設定「OK」「DefaultAppPool」の「基本設定」を開く .NET CLRバージョンを v に変更して「OK」

DEMO-DC WEBサイトの設定「サイト」-「Default Web Site」を右クリックして「バインドの編集」を選択「追加」をクリック「種類」で「HTTPS」を選択、「ポート番号」を「443」、「SSL証明書」で「 webserv.contoso.com 」を選択して「OK」「閉じる」「Default Web Site」を右クリックして「アプリケーションの追加」を選択「エイリアス」に「claimapp 」と指定「物理パス」に「 C:\inetpub\ClaimApp 」を設定「OK」

DEMO-DC WEB アプリを、インストール済の AD FS と関連づけるための設定を行う C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\FedUtil.exe を起動「アプリケーション構成の場所」に「C:\inetpub\ClaimApp\web.config 」を指定「アプリケーション URI」に「」を指定「次へ」

DEMO-DC 「既存の STS を使う」を選択「STS WS-Federation メタデータのドキュメントの場所」に以下のパスを指定する「場所のテスト」を実行して、右のように表示されれば指定したパスは正しい。「次へ」

DEMO-DC 「証明書チェーンの検証を無効にする」を選択して「次へ」「暗号化しない」を選択して「次へ」「次へ」「完了」「アプリケーションが正常に構成されました」が表示されたら「OK」

DEMO-DC AD FS の証明書利用者信頼（RP）に WEB アプリを登録するサーバーマネージャーのツールメニューから「AD FS の管理」を起動「AD FS」-「信頼関係」-「証明書利用者信頼」を右クリックして「証明書利用者信頼の追加」を選択「証明書利用者信頼の追加ウィザード」が起動するので「開始」「データソースの選択」画面で「オンラインまたはローカルネットワークで公開．．．」を選択フェデーレーションメタデータのアドレスに ClaimApp の URL を指定して「次へ」

DEMO-DC 「表示名」に「 ClaimApp 」と指定して「次へ」「現時点ではこの証明書利用者信頼に多要素認証を構成しない」を選択して「次へ」

DEMO-DC 「すべてのユーザーに対してこの証明書利用者へのアクセスを許可する」を選択して「次へ」「次へ」「ウィザードの終了時にこの証明書利用者信頼の[要求規則の編集]ダイアログを開く」をチェックして「閉じる」

DEMO-DC 「webserv.contoso.com の要求規則の編集」画面が表示されたら「発行変換規則」タブを選択し、「規則の追加」をクリック要求規則テンプレートで「カスタム規則を使用して要求を送信」を選択して「次へ」

DEMO-DC 「クレーム名」として「All Claims」を指定「カスタム規則」欄に以下を入力 c:[ ] => issue(claim = c); 「完了」「OK」 AD FS 管理コンソールには、以下のように ClaimApp が登録される

DEMO-DC アプリケーションのテスト IE でに接続「Windowsセキュリティ」ダイアログが表示されたら、以下のユーザーIDでサインインする contoso\testuser / 以下のよう、ユーザークレームが表示されることを確認

7. DEMO-DC に DHCP サービスをインストール
ここでセットアップする DHCP サービスは、個人デバイス（DEMO-CLIENT）が社内ネットワークに接続されたときにアドレスをリースするために使用します。 DEMO-DC に DHCP サービスをインストールするサーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「DEMO-DC」が選択されていることを確認して「次へ」役割の一覧で「DHCP サーバー」をチェックして「次へ」機能の一覧では何も選択せずに「次へ」「次へ」「インストール」 DHCPサービスのインストール後の構成を完了させるサーバーマネージャーの「通知」フラグをクリックして「DHCPの構成を完了する」を選択「DHCP インストール後の構成ウィザード」が起動するので、「次へ」「コミット」「閉じる」

DEMO-DC DHCPサービスを構成するサーバーマネージャーのツールメニューから「DHCP」を選択「demo-dc」ｰ「IPv4」を右クリックして「新しいスコープ」を選択ウィザードが起動するので「次へ」スコープ名として「社内向けアドレスプール」と入力して「次へ」「DHCP サーバーの構成設定」で以下の通り指定する開始IPアドレス：終了IPアドレス：「サブネットマスク」に「」を指定して「次へ」「次へ」「次へ」「今すぐオプションを構成する」が選択されてることを確認して「次へ」「ルーター」として「」を指定して「追加」「次へ」「WINSサーバー」では何も指定せずに「次へ」「今すぐアクティブにする」を選択して「次へ」「完了」

8. DEMO-PROXY に DNS/DHCP/OCSP サービスをインストールして構成する

DEMO-PROXY DEMO-PROXY に DHCP サービス、DNS サービス、OCSP レスポンダインストールするサーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「DEMO-PROXY」が選択されていることを確認して「次へ」役割の一覧で以下の役割を選択して「次へ」 Active Directory 証明書サービス DHCP サーバー DNS サーバー機能の一覧では何も選択せずに「次へ」「Active Directory 証明書サービス」役割サービス追加ウィザードが開始されるので、「次へ」役割サービスの一覧から「証明機関」のチェックをはずす役割サービスの一覧で「オンラインレスポンダー」をチェックして「次へ」以降のページではそのまま「次へ」「インストール」

DEMO-PROXY DHCPサービスのインストール後の構成を完了させるサーバーマネージャーの「通知」フラグをクリックして「DHCPの構成を完了する」を選択「DHCP インストール後の構成ウィザード」が起動するので、「次へ」「コミット」「閉じる」

DEMO-PROXY DHCPサービスを構成するサーバーマネージャーのツールメニューから「DHCP」を選択「demo-proxy.contoso.com」を右クリックして「バインディングの追加と削除」を選択 IPv4 タブを開き、「接続とサーバーの結合」欄から「」のチェックを外す「OK」「demo-proxy」ｰ「IPv4」を右クリックして「新しいスコープ」を選択ウィザードが起動するので「次へ」スコープ名として「インターネット向けアドレスプール」と入力して「次へ」

DEMO-PROXY 「DHCP サーバーの構成設定」で以下の通り指定する開始IPアドレス：終了IPアドレス：「サブネットマスク」に「」を指定して「次へ」「次へ」「次へ」「今すぐオプションを構成する」が選択されてることを確認して「次へ」

DEMO-PROXY 「ルーター」として「」を指定して「次へ」「ドメイン名および DNS サーバー」画面で DNSサーバーの一覧に表示されている「」を削除して「次へ」「WINSサーバー」では何も指定せずに「次へ」「今すぐアクティブにする」を選択して「次へ」「完了」

DEMO-PROXY DEMO-PROXY の DNS サービスに contoso.com ゾーンを登録するサーバーマネージャーの「ツール」メニューから DNS マネージャーを起動「前方参照ゾーン」を右クリックして「新しいゾーンを作成」を選択ウィザードが起動するので「次へ」「プライマリゾーン」を選択して「次へ」ゾーン名として「 contoso.com 」を指定ゾーンファイル名が「 contoso.com.dns 」であることを確認して「次へ」「動的更新」はそのままにして「次へ」「完了」

DEMO-PROXY DEMO-PROXY の DNS サービスにホストを登録する「前方参照ゾーン」-「 contoso.com 」を開いて demo-proxy A が登録されていることを確認するもし登録されていない場合には、「contoso.com」を右クリックして「新しいホスト（AまたはAAAA）」を選択「名前」に「 demo-proxy 」と入力「IP アドレス」に「」と入力して「ホストの追加」

DEMO-PROXY 証明書サービスの構成サーバーマネージャーの「通知」フラグで「対象サーバーにActive Directory 証明書サービスを構成する」をクリック「資格情報」画面が開くので、そのまま「次へ」「役割サービス」画面で「オンラインレスポンダー」をチェックして「次へ」「構成」をクリック「閉じる」

9. DEMO-CLIENT の準備 DEMO-CLIENT
Windows Server 2012 R2 評価版 Hyper-V 外部仮想ｽｲｯﾁﾌﾟﾗｲﾍﾞｰﾄ仮想ｽｲｯﾁ External 社内インターネット PC NIC Internet へ WS2012 R2 評価版 DEMO-DC DEMO-WF DEMO-PROXY Windows 8.1 評価版 DEMO-CLIENT 本勉強会キットでは、このサーバーは使用しません

DEMO-CLIENT DEMO-CLIENT からアドレスリースを確認 DEMO-CLIENT にサインインコマンドプロンプトを開き、DEMO-PROXY のDHCPサービスからアドレスのリースが受けられることを確認する

DEMO-DC DEMO-DC から証明書をエクスポートするここで、DEMO-DC の証明書サービスから以下の2つの証明書をエクスポートします contoso-DEMO-DC-CA adfs1.contoso.com DEMO-DC のデスクトップを開く「ファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を開く

DEMO-DC 「adfs1.contoso.com」をダブルクリックして開く「証明書のパス」タブを開く contoso-DEMO-DC-CA を選択して「証明書の表示」をクリック

DEMO-DC contoso-DEMO-DC-CA 証明書が開くので「詳細」タブをクリック「ファイルのコピー」をクリック「証明書のエクスポートウィザード」が開くので「次へ」

DEMO-DC エクスポートファイルの形式で「DER encoded binary X.509」が選択されていることを確認して「次へ」出力先として、DEMO-CLIENTからアクセス可能な場所（今回は \\DEMO-PROXY\C$\RootCA.cer を使用）を指定して「次へ」「OK」をクリックして、 contoso-DEMO-DC-CA の画面を閉じる

DEMO-DC adfs1.contoso.com 証明書の「詳細」タブを開く「ファイルにコピー」をクリック「証明書のエクスポートウィザード」が開くので「次へ」「いいえ、秘密キーをエクスポートしません」を選択して「次へ」エクスポートファイルの形式で「DER encoded binary X.509」が選択されていることを確認して「次へ」出力先として、DEMO-CLIENTからアクセス可能な場所（今回は \\DEMO-PROXY\C$\adfs1.cer を使用）を指定して「次へ」「完了」をクリック「OK」をクリックして adfs1.contoso.com の画面を閉じる

DEMO-PROXY 上には、adfs1.cer と RootCA.cer が保存されています。
次のステップで、この証明書をクライアントにインストールします。

DEMO-CLIENT DEMO-PROXY 上に保存した以下の2つの証明書をクライアントにインストールします。 RootCA.cer（contoso-DEMO-DC-CA） Adfs1.cer（adfs1.contoso.com） RootCA.cer をインストールする DEMO-CLIENT のデスクトップを開くファイル名を指定して実行で「\\DEMO-PROXY\C$ 」を入力して「OK」 Windows セキュリティ画面が開いたら「ネットワーク資格情報の入力」欄に contoso\administrator / （0 はゼロ）を指定して「OK」先に作成した「 RootCA.cer 」と「 adfs1.cer 」を DEMO-CLIENT のデスクトップにコピーしておく RootCA.cer を右クリックして「証明書のインストール」を選択

DEMO-CLIENT 保存場所として「ローカルコンピューター」を選択して「次へ」「ユーザーアカウント制御」が表示されるので「はい」「証明書をすべて次のストアに配置する」を選択して「参照」をクリック「信頼されたルート証明機関」を選択して「OK」「次へ」「完了」

DEMO-CLIENT Adfs1.cer をインストールするデスクトップの adfs1.cer を右クリックして「証明書のインストール」を選択「ローカルコンピューター」を選択して「次へ」「ユーザーアカウント制御」が表示されるので「はい」「証明書をすべて次のストアに配置する」を選択して「参照」をクリック「個人」を選択して「OK」「次へ」「完了」

DEMO-CLIENT 証明書の確認「ファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」-「証明書」を開く「adfs1.contoso.com」をダブルクリックして開く「証明書のパス」タブを開く contoso-DEMO-DC-CA が正しく表示されていることを確認「OK」をクリックして閉じる

10.オンラインレスポンダーの構成 DEMO-DC
Workplace Join を行うには、社内、インターネットいずれの場所からも企業のオンラインレスポンダーを参照できる必要があります。機関情報アクセス拡張機能の構成 DEMO-DC のサーバーマネージャーのツールメニューから「証明機関」を起動する「証明機関（ローカル）」-「contoso-DEMO-DC-CA」を右クリックして「プロパティ」を開く「拡張機能」タブを開く「拡張機能を選択してください」で「機関情報アクセス (AIA)」を選択

DEMO-DC 「追加」をクリック「場所」に「」を入力して「OK」再度「追加」をクリックして「場所」に「」を入力して「OK」以下のように、2つの OCSP が追加されたことを確認して「OK」をクリックし、証明書サービスの再起動を促されたら「はい」をクリック

DEMO-DC OCSP 署名用証明書のテンプレートを公開する「証明機関」を開く「証明機関」-「contoso-DEMO-DC-CA」-「証明書テンプレート」を右クリックして「管理」を選択テンプレート一覧から「OCSP 応答の署名」を右クリックして「テンプレートの複製」を選択

DEMO-DC 「全般」タブを開き、「テンプレートの表示名」を「OCSP応答の署名（DEMO）」と指定する「セキュリティ」タブを開く「追加」をクリック「オブジェクトの種類」をクリックして「コンピューター」をチェックし、「OK」コンピューター「demo-dc」と「demo-proxy」を検索して追加する demo-dc と demo-proxy に「登録」権限を与える「OK」「証明書テンプレートの管理」画面を閉じる

DEMO-DC 「証明機関」で「証明書のテンプレート」を右クリックして、「新規作成」-「発行する証明書テンプレート」を選択「OCSP 応答の署名（DEMO）」を選択して「OK」

DEMO-DC 証明書テンプレートに「OCSP 応答の署名（DEMO）」が公開されたことを確認する

DEMO-DC DEMO-DC のオンラインレスポンダーを構成する DEMO-DC のオンラインレスポンダーは、社内ネットワーク向けです。インターネット向けのレスポンダーはDEMO-PROXY 上に構成します。 DEMO-DC のデスクトップを開くサーバーマネージャーの「ツール」メニューから「オンラインレスポンダーの管理」を選択「失効構成」を右クリックして「失効構成の追加」を選択「失効構成追加」ウィザードが起動するので「次へ」「失効構成の名前」として「失効構成」と入力して「次へ」「既存のエンタープライズ CA の証明書を選択する」を選択して「次へ」

DEMO-DC 「Active Directory で公開された CA 証明書を参照する」を選択「参照」をクリック「contoso-DEMO-DC-CA」を選択して「OK」「次へ」

DEMO-DC 「OCSP 証明書を自動的に選択する」が選択されていることを確認して「次へ」初期化が正常に完了したら「完了」

DEMO-DC 構成が正常に完了すると以下のように表示される

DEMO-PROXY DEMO-PROXY に RootCA 証明書をインストールする DEMO-PROXY のデスクトップを開く C:\ に保存した「 RootCA.cer 」を右クリックして「証明書のインストール」を選択「ローカルコンピューター」を選択して「次へ」「証明書をすべて次のストアに配置する」を選択し「参照」をクリック「信頼されたルート証明機関」を選択して「OK」「次へ」「完了」「正しくインポートされました」が表示されたら「OK」

DEMO-PROXY DEMO-PROXY 用サーバー証明書を発行する DEMO-PROXY のデスクトップを開く「ファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「個人」を右クリックして「すべてのタスク」-「新しい証明書の要求」を選択「証明書の登録」ウィザードが起動するので「次へ」「Active Directory 登録ポリシー」を選択して「次へ」「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。

demo-proxy.contoso.com は小文字で入力してください
「サブジェクト」タブを開く「サブジェクト名」欄の「種類」で「共通名」を選択「値」に「 demo-proxy.contoso.com 」を入力して「追加」「OK」「登録」「完了」 demo-proxy.contoso.com は小文字で入力してください

DEMO-PROXY DEMO-PROXY のオンラインレスポンダーを構成する DEMO-PROXY のデスクトップを開くサーバーマネージャーの「ツール」メニューから「オンラインレスポンダーの管理」を選択「失効構成」を右クリックして「失効構成の追加」を選択「失効構成追加」ウィザードが起動するので「次へ」「失効構成の名前」として「失効構成」と入力して「次へ」「既存のエンタープライズ CA の証明書を選択する」を選択して「次へ」「Active Directory で公開された CA 証明書を参照する」を選択して「参照」をクリック「contoso-DEMO-DC-CA」を選択して「OK」「次へ」「OCSP 証明書を自動的に選択する」が選択されていることを確認して「次へ」初期化が正常に完了したら「完了」

Web Application Proxy 1 社内のクレーム対応アプリケーションを社外に公開する

Web Application Proxy の構築と構成
作業項目対象サーバー 1 外部 DNS に社内アプリケーションを登録 DEMO-PROXY 2 Web Application Proxy をインストール 3 adfs1.contoso.com の秘密キー付証明書の発行 DEMO-DC 4 Web Application Proxy を構成する 5 WebServ 用サーバー証明書をインストール 6 WebServ の ClaimApp を Web Application Proxy で公開 7 クライアントからの接続テスト DEMO-CLIENT

1. adfs1.contoso.com の秘密キー付証明書の発行とインストール
DEMO-DC DEMO-DC で adfs1.contoso.com の秘密キー付証明書の発行 DEMO-DC のデスクトップを開く MMC を起動し、「ファイル」メニューの「スナップインの追加と削除」で「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」し「OK」「コンソールルート」-「証明書」-「個人」-「証明書」を開く「 adfs1.contoso.com 」を開き、「詳細」タブを開く「ファイルのコピー」をクリック「証明書のエクスポート」ウィザードが起動するので、「次へ」「秘密キーをエクスポートします」を選択して「次へ」

DEMO-DC 「エクスポートファイルの形式」では、そのまま「次へ」「パスワード」をチェックし、「」と入力「次へ」「ファイル名」に「\\demo-proxy\c$\adfs1key」と指定「完了」

DEMO-PROXY DEMO-PROXY で adfs1.contoso.com の秘密キー付証明書をインストール DEMO-PROXY のデスクトップを開く C:\adfs1.pfx を右クリックして「pfx をインストール」を選択「ローカルコンピューター」を選択して「次へ」インポートする証明書ファイルが「C:\adfs1.pfx」であることを確認して「次へ」パスワードに「」を指定して「次へ」「証明書ストア」で「証明書をすべて次のストアに配置する」を選択して「参照」「個人」を選択して「次へ」「完了」

2. WebServ 用サーバー証明書をインストール
DEMO-PROXY 2. WebServ 用サーバー証明書をインストール DEMO-PROXY に、外部に公開する WebServ ClaimApp 用サーバー証明書をインストールする DEMO-PROXY で MMC を起動ファイルメニューから「スナップインの追加と削除」を選択「利用できるスナップイン」の一覧から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「完了」「OK」「コンソールルート」-「証明書」-「個人」ｰ「証明書」を右クリックして「すべてのタスク」から「新しい証明書の要求」を選択ウィザードが起動するので「次へ」「Active Directory 登録ポリシー」を選択して「次へ」「SSL Certificate」を選択し、「この証明書を登録するには情報が不足しています。」をクリック。「サブジェクト」タブを開く「サブジェクト名」欄の「種類」で「共通名」を選択「値」に「 webserv.contoso.com 」を入力して「追加」「登録」 webserv.contoso.com は小文字で入力してください

3. 外部 DNS に社内アプリケーションを登録 DEMO-PROXY
DEMO-PROXY の外部 DNS サービスに社内サービスを登録して公開する DEMO-PROXY のデスクトップを開くサーバーマネージャーの「ツール」メニューから「DNS」を選択 DNS マネージャーで「DNS」-「DEMO-PROXY」-「前方参照ゾーン」-「contoso.com」を右クリックして「新しいホスト」を選択「名前」に「 webserv 」、「IP アドレス」に「」を指定し、「ホストの追加」「名前」に「 adfs1 」、「IP アドレス」に「」を指定し、「ホストの追加」「名前」に「enterpriseregistration」、「IP アドレス」に「」を指定し、「ホストの追加」この時点では、DEMO-CLIENT からに接続してもエラーとなる

4. Web Application Proxy をインストール
DEMO-PROXY 4. Web Application Proxy をインストール DEMO-PROXY に Web アプリケーションプロキシをインストールする DEMO-PROXY のデスクトップを開くサーバーマネージャーの「管理」メニューから「役割と機能の追加」を選択ウィザードが起動するので「次へ」「役割ベースまたは機能ベースのインストール」を選択して「次へ」「DEMO-PROXY」が選択されていることを確認して「次へ」「役割」の一覧から「リモートアクセス」をチェックして「次へ」「機能」の一覧ではなにも選択せずに「次へ」「リモートアクセス」画面が開くので「次へ」「役割サービス」の一覧で「Web アプリケーションプロキシ」をチェック「Web Application Proxy に必要な機能を追加しますか?」と聞かれたら「機能の追加」をクリック「次へ」「インストール」インストールが完了したら「閉じる」

5. Web Application Proxy を構成する
DEMO-PROXY 5. Web Application Proxy を構成する DEMO-PROXY の Web Application Proxy を構成する DEMO-PROXY のデスクトップを開くサーバーマネージャーの「通知」フラグで「Web アプリケーションプロキシウィザードを表示する」をクリック Web アプリケーションプロキシ構成ウィザードが起動するので「次へ」「フェデレーションサービス名」に「 adfs1.contoso.com 」を指定「フェデレーションサーバーのローカル管理者アカウント」として contoso\administrator 、パスワードとしてを指定する

DEMO-PROXY 「AD FS プロキシの証明書」として、先ほどインストールした「 adfs1.contoso.com 」の証明書を選択して「次へ」「確認」画面で「構成」をクリック閉じるイベント 393 により構成が失敗する場合には、インターネット側のアダプターのDNS設定を確認してください。 DNS設定では、社内DNS（）を参照している必要があります。 PROXYにインストールしたDNSサービスは、クライアント用です。

6. WebServ の ClaimApp を Web Application Proxy で公開
DEMO-PROXY WebServ の ClaimApp を Web Application Proxy で公開サーバーマネージャーの「ツール」メニューから「リモートアクセス管理」を選択する操作ペインから「公開」を選択「新しいアプリケーションの公開ウィザード」が起動するので「次へ」「Active Directory フェデレーションサービス（AD FS）」を選択して「次へ」

DEMO-PROXY 「証明書利用者」の一覧から「 ClaimApp 」を選択して「次へ」「公開設定」画面で、「名前」欄に「ClaimApp」と入力「外部URL」に「」を指定する（すべて小文字で！）外部証明書から「webserv.contoso.com」を選択バックエンドサーバーは変更せずに「次へ」「公開」「完了」

DEMO-PROXY 公開されたアプリケーション

7. クライアントからの接続テスト DEMO-CLIENT DEMO-CLIENT から ClaimApp に接続してみる
ADFS にリダイレクトされ、以下の認証画面が表示される Contoso\testuser / でサインインすると、右のように社内アプリケーションを表示することができる。

DEMO-CLIENT クレームの中に、IPアドレスとロケーションクレームが含まれていることを確認。デバイス認証を有効にしていないので、デバイスクレームは含まれていない。

Workplace Join

1. クライアントにインストールした証明書にOCSP を設定する
DEMO-CLIENT 1. クライアントにインストールした証明書にOCSP を　設定する DEMO-CLIENT にインストールしたRootCA証明書にOCSP を設定するファイル名を指定して実行」から「MMC」を起動「ファイル」-「スナップインの追加と削除」を選択「利用できるスナップイン」から「証明書」を選択して「追加」「コンピューターアカウント」を選択して「次へ」「ローカルコンピューター」を選択して「完了」「OK」「コンソールルート」-「証明書（ローカルコンピューター）」-「信頼されたルート証明機関」-「証明書」を選択「contoso-DEMO-DC-CA」を開く「詳細」タブを開いて、「プロパティの編集」をクリック「OCSP」タブを開いて、「」を追加 ※https ではなく http です! http であることに注意！！

2. DEMO-CLIENT を Active Directory に登録する
DEMO-CLIENT をActive Directory に登録する（Workplace Join） DEMO-CLIENT のデスクトップで「Windows キー」+「c」を押してチャームを開く「設定」をクリック

DEMO-CLIENT 「PC 設定の変更」をクリック「ネットワーク」をクリック「社内ネットワーク」をクリックユーザーID欄に「」と入力して「参加」をクリック

DEMO-CLIENT パスワードを入力して「サインイン」

DEMO-CLIENT 正常に完了すると以下のように表示される

DEMO-CLIENT （HINT）うまく登録できない場合には以下をチェックしてください。 AD FS が起動しているか DEMO-PROXY に設定したオンラインレスポンダーが正しく動作しているかクライアントにインストールしたRooCA 証明書の OCSP 設定が正しいか

3. 登録されたデバイスを確認する DEMO-DC
Workplace Join が完了すると、Active Directory にデバイスが登録されます。デバイスを確認する DEMO-DC のデスクトップを開く「Active Directory ユーザーとコンピューター」を開く「表示」メニューから「拡張機能」を選択「Contoso.com」-「RegisteredDevices」を開く配下に登録されているデバイスオブジェクトをダブルクリックして属性を開く「属性エディタ」タブを開き、DisplayName 属性を確認する

4. 動作確認 DEMO-CLIENT DEMO-CLIENT のデスクトップを開く
Contoso\testuser / でサインインクレームが表示されることを確認 Workplace Join が完了しているので、デバイス認証が行われ、デバイスクレームが発行されていることを確認する。一度認証が完了すると、次回以降は ID とパスワードの入力は不要になります。また、他のアプリケーションに対してもSSOで利用することが可能です。

© 2013 Microsoft Corporation. All rights reserved
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日.

Similar presentations

Presentation on theme: "RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日."— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット ～ BYOD - Workplace Join 編 第 2 版 2013年 10月 21日.

Similar presentations

Presentation on theme: "RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット ～ BYOD - Workplace Join 編 第 2 版 2013年 10月 21日."— Presentation transcript:

Similar presentations

About project

フィードバック

RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日.

Presentation on theme: "RTM 対応版 Microsoft IT CAMP Windows Server 2012 R2 勉強会キット～ BYOD - Workplace Join 編第 2 版 2013年 10月 21日."— Presentation transcript: