連載
» 2016年11月11日 05時00分 UPDATE

vNextに備えよ! 次期Windows Serverのココに注目(62:特別編):「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート(その3) (1/2)

Windows Server 2016による「Windows Hello for Business」のオンプレミス展開を実機で検証し、実装のポイントやユーザーエクスペリエンスをレポート。今回は、ADドメインサービスのインストールと、ドメインコントローラーの展開ポイントを解説します。

[山市良,テクニカルライター]
「vNextに備えよ! 次期Windows Serverのココに注目」のインデックス

連載目次

Windows Hello for Businessのオンプレミス展開を検証

 本稿では、最新版のWindows Server 2016とWindows 10を使用して「Windows Hello for Business」(旧称、Microsoft Passport for Work)のオンプレミス展開を実装し、その機能を検証していきます。

 前回は、Windows Hello for Businessの検証に必要な要素と、「Azure Active Directory(Azure AD)」の準備までを解説しました。今回は、オンプレミス環境での「Active Directoryドメインサービス」の役割のインストールと、ドメインコントローラーの展開ポイントを解説します。

ADドメインサービスのインストールとドメインコントローラーの展開

 検証環境では、Windows Server 2016を実行するサーバの1台に「Active Directoryドメインサービス(AD DS)」の役割をインストールし、最初のフォレスト/ドメインのドメインコントローラーとしてセットアップして、Active Directoryドメインを準備しました。

 Windows Hello for Businessのオンプレミス展開に、フォレスト/ドメインの「機能レベル」は関係ありません(画面1)。重要なのは、Active Directoryスキーマが「Windows Server 2016バージョン(objectVersion:87)」であることです。

画面1 画面1 Windows Hello for Businessのオンプレミス展開のために、フォレスト/ドメインの機能レベルが制限されることはない

 既存のActive Directoryドメインを利用する場合は、Windows Server 2016のドメインコントローラーを追加する際に実施される「スキーマ拡張作業(adprepの実行)」によって、スキーマバージョンがアップグレードされます。現在のフォレスト/ドメイン機能レベルの昇格は、必要ありません。

AD証明書サービスのインストールと証明機関の構成

 Windows Hello for Businessのオンプレミス展開のためには、Active Directoryドメイン内にエンタープライズPKI(Public Key Infrastructure)を使用した証明書の発行/検証/失効環境も必要になります。それには、「Active Directory証明書サービス(AD CS)」の「証明機関」役割サービスをインストールして、「エンタープライズCA」を選択して構成します。

 エンタープライズPKI環境を構築すると、Active Directoryドメイン内ではルートCA証明書の配布や証明書の発行が自動化されます。また、Windows標準の「証明書」スナップインを使用して、Active Directoryに対して証明書の発行とインストールをセルフサービスで管理できます。

 少なくとも、「Webサーバー」証明書テンプレートの複製からSSL/TLS証明書発行用のテンプレートを作成し(秘密キーのエクスポートを有効にすること)、ドメインメンバーが発行を要求できるように構成します。

 社外のクライアントをサポートするためには、Webサーバやオンラインレスポンダーを構成してインターネットに公開し、社外から証明書の失効確認を可能にしておくことも重要です。

 Windows Server 2016のWebアプリケーションプロキシは機能が強化され、パススルーによるHTTPアプリケーションの公開(リバースプロキシ)に対応しました(以前はHTTPSのみ)。これを利用すると、社内ネットワークに展開した証明書失効リスト(CRL)配布ポイントのWebサーバやオンラインレスポンダーを簡単にインターネットに公開できるようになります(画面2)。

画面2 画面2 Windows Server 2016のWebアプリケーションプロキシを利用した証明書失効リスト(CRL)配布ポイントのインターネットへの公開

Active Directoryフェデレーションサービスのインストールと構成

 「Active Directoryフェデレーションサービス(AD FS)」の役割のインストールと構成は、後で説明する認証方法やデバイス登録サービスの構成部分を除けば、Windows Server 2012 R2と基本的に変わりません。

 ただし、役割をインストールする前に、Windows PowerShellで次のコマンドラインを実行し「PowerShell Remoting」を有効化しておくことを強くお勧めします。AD FSの役割をインストールした後は、このコマンドラインはエラーで失敗することを確認しました。

PS C:\> Enable-PSRemoting -Force
「PowerShell Remoting」を有効にする

 また、Windows Server 2016では組織のサインインページ(https://フェデレーションサービス名/adfs/ls/idpinitiatedsignon)が既定で「無効」になっており、AD FSの展開直後にアクセスすると「不明なエラーが発生しました」と表示されます。組織のサインインページを有効にするには、Windows PowerShellで次のコマンドラインを実行してください(画面3)。

PS C:\> Set-AdfsProperties -EnableIdPInitiatedSignonPage $True
組織のサインインページを有効にする
画面3 画面3 既定で組織のサインインページは「無効」になっているので、「Set-AdfsProperties -EnableIdPInitiatedSignonPage $True」コマンドレットを実行して有効化する

 証明書利用者信頼(AD FSが発行したトークンを利用するアプリなどを登録する場所)の「発行承認規則」が、「アクセス制御ポリシー」に置き換わっていることにも注目してください。「アクセス制御ポリシー」により、証明書利用者信頼への複雑なアクセス制御を、簡単に編集できるようになっています(画面4)。

画面4 画面4 「アプリケーション制御ポリシー」は、Windows Server 2016のActive Directoryフェデレーションサービスの重要な改善点
       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。