今回は前回に引き続き、Windows Server 2012 R2のWorkplace Joinを使って、iOSデバイスの認証を行ったうえで、Office365にサインインできるようなアクセス制御設定を行います。
前回は、ADFSサーバーのインストールと初期構成までが完了したので、今回はOffice365まわりの設定を行います。
前回もそうだったのですが、MVP渡辺さんの「Windows Server 2012によるADFS構築」が役立ちますので、参考にさせていただきながら、進めたいと思います。
Step5 シングルサインオンドメインをOffice365に登録
シングルサインオンで使用する会社のドメイン名をOffice365(Windows Azure Active Directory)に登録します。
登録するときはディレクトリ同期サーバーにインストールしたWindows PowerShell用Windows Azure Active Directoryモジュールを実行して、次のようなコマンドレットを実行します。
Connect-MsolService
Set-MsolAdfsContext -Computer <ADFSサーバー名>
New-MsolFederatedDomain -DomainName <会社のドメイン名>
New-MsolFederatedDomainコマンドレットを実行すると、MS=ms~で始まる情報が表示されるので、会社のDNSサーバーに登録します。そして、登録が完了したら、もう一度New-MsolFederatedDomainコマンドレットを実行します。すると、シングルサインオンで使用するドメイン(会社のドメイン名)がOffice365に登録されます。
Step6 ディレクトリ同期~構成ウィザードの実行
ディレクトリ同期サーバーのデスクトップに[ディレクトリ同期の構成]というショートカットがありますので、これを実行し、構成ウィザードを実行します。
構成ウィザードの実行方法については、渡辺さんのサイトの「引き続き、Windows Azure Active Directory同期ツールの構成ウィザードに移ります。」から始まる項目を参考にしてください。
Step7 ユーザーのアクティブ化
Office365のユーザーにライセンスを割り当て、利用開始できるように構成してください。具体的な作業については、渡辺さんのサイトの「Office 365管理センターから[同期済みユーザーのアクティブ化]を行い、ライセンスを割り当てます。」から始まる項目を参考にしてください。
Step8 DRS利用のための初期設定
Device Registration Service (DRS)はADFSサーバーに用意されているWorkplace Join機能を利用するデバイスを登録するサービスです。DRSで登録したデバイスはActive Directoryに登録されるため、Active Directoryのスキーマを拡張し、デバイスを登録できるように設定する必要があります。
スキーマ拡張とDRS利用開始の設定はそれぞれADFSサーバーのPowerShellから次のように実行します。
Initialize-ADDeviceRegistration
Enable-AdfsDeviceRegistration
実行すると、[Active Directoryユーザーとコンピューター]にRegistered Devicesというコンテナが作られ、DRSで登録されたデバイスはこのコンテナに保存されることになります。
さらに、デバイス認証を有効にするため、ADFS管理ツールから[認証ポリシー]を開き、中央ペインの[プライマリ認証]-[グローバル設定]の[編集]をクリックし、
[デバイス認証を有効にする]にチェックをつけ、[OK]をクリックします。
2014年12月5日追記
[デバイス認証を有効にする]にチェックをつけなくても、デバイス登録はできます。
そのため、後述するデバイス登録が完了してからチェックをつけて運用を開始するとよいでしょう。
Step9 iPhoneのデバイス登録
Step8まででDRSの設定は完了です。いよいよデバイスの登録を行いましょう。
今回はiPhoneから登録を行います。
まず、ADFSサーバーで使用するSSL証明書を発行している認証局のルート証明書がiPhoneに登録されている必要があります。そのため、iPhoneにルート証明書をインストールします。
証明書サービスをインストールしたサーバー(今回はドメインコントローラー)にブラウザからアクセスします。URLはこちらです。
(ちなみに冒頭で証明書サービスをインストールするときは「証明機関Web登録」を一緒に入れてくださいと言いましたが、それがここで役立ちます。)
http://<ドメインコントローラー名>/certsrv
ようこそ画面で、[CA証明書、証明書チェーン、またはCRLのダウンロード]をクリックします。
続く画面で、[CA証明書のダウンロード]をクリックして、証明書をインストールします。
証明書のダウンロードが完了したら、続いてデバイス認証を行います。
以下のURLにアクセスして、
https://<ADFSサーバー名>/EnrollmentServer/otaprofile
表示されるWebページでデバイス登録を行うユーザー名とパスワードを入力し、[サインイン]をタップします。
すると、プロファイル登録画面が表示されるので、[インストール]をタップしてプロファイルをインストールします。
ここまででデバイス登録が完了しました。登録状況はiPhoneの[設定]-[一般]-[プロファイル]からWorkplace Joinという名前で確認できます。
(ちなみにexample-DC-CAというのは前の手順でインストールしたルート証明書です)
また、Active Directoryユーザーとコンピューターでは、[RegisteredDevices]コンテナーで登録済みデバイスを確認できます。
デバイスをダブルクリックすると、次のような属性一覧を確認できます。
では、ここまでのところで、一度Office365のサイトに接続してみましょう。
iPhoneからサインイン画面にアクセスし、ユーザー名を入力すると、
自動的にリダイレクトされ、、
Office365のサイトへアクセスできました。
ここまでのところでは、登録されたデバイスに限らず、すべてのデバイスからOffice365へアクセスできるようになっていますが、次回はデバイスのクレームを利用して、登録されたデバイスからのみOffice365へアクセスできるよう設定してみたいと思います。お楽しみに。
コメント
一つ質問させてください。
WebApplicationProxy経由でプロファイルインストールの検証をしているのですが、
iPhoneへのプロファイルインストールで「プロファイルをインストールできませんでした サーバへの接続を確立できませんでした」とメッセージが表示され、インストールに失敗します。
WebApplicationProxy経由でのプロファイルインストールは、動作しないのでしょうか?
ご教授お願いします。
足立さん、こんにちは。
私の環境でも確認してみましたが、Web Application Proxy経由でも
プロファイルのインストールはできました。
デバイス認証のための特別な設定はWeb Application Proxyで行わなくても
プロファイルのインストールはできていたので、
Web Application Proxyそのものの設定を再確認されるとよいかもしれないですね。
ご教授ありがとうございます。
再度、確認してみます。
IphoneでのWorkplacejoinを試みているのですが、「サーバーへの接続が確立できません」と表示され、それ以降インストールができません。
Win8.1でのWorkplacejoinは成功しております。
上記エラーについて解決方法をご教授して頂けないでしょうか?
以下、検証環境設定と実行済み設定です。
■検証環境設定
・Hyper-Vホスト
1. WindowsServer2012R2
・仮想サーバ
1. ADサーバ
2. CAとFSサーバ(証明書機能とフェデレーション機能どちらもいれてあります)
3. Webapplicationproxyサーバ
※1~3は全てwin2012R2です。
・クライアントデバイス
1. Iphone5
2. Win8.1(仮想マシン)
■実行済み設定
1. 証明書作成(EnterpriseregistrationのSAN付きの証明書作成)
2. DNS設定(ADFS証明書にEnterpriseregistrationのCNAMEを作成してあります)
3. FS、OCSP設定は構成済み、そのためWin8.1ではWorkplacejoin接続は確認できた
4. Iphoneは、Hyper-VホストのSoftAP(逆テザリング機能)により、ADサーバとCAとFSサーバと同じ
ネットワークへと接続しており、名前解決もできています。
内容が見づらいようでしたら申し訳ございません。
ネットを色々探索したのですが、この部分についての表記は全くありませんでした…どうか
よろしくお願いします。
Imamuraさん、こんにちは。
iOSよりもWindows 8.1のほうが行うべき設定は多いので、
多くの場合、iOSで成功して、Windows 8.1で失敗します。(失敗するとしたら、の話ですが)
そのため、ImamuraさんのようにiOSだけ失敗するというのは私自身経験がありません。
ただ、私がiOSで失敗したときは失敗したページからURLリンクをクリックしてアクセスできるMSのページに
(URLがわからなくてすみません。)
エラー番号とエラー番号ごとの対処方法が掲載されており、それに従って対処することで、問題を解決できました。
一度、iOSでアクセスしたときのエラー番号を調べてみてください。