【BYOD】デバイス認証ができるようになった WS 2012 R2 ADFS －テスト手順書公開

Active Directory の最新情報をキャッチアップ！ クラウド時代の Active Directory 次の一手シリーズ 第1回～6回 公開中! 第 1 回 Active Directory の位置づけ 第 2 回 Active Directory ドメイン サービスの新しい役割 第 3 回 Active Directory フェデレーション サービスの役割 解説編 第 4 回 Active Directory フェデレーション サービスの役割 構築編 第 5 回 認証のためのプロキシ Web Application Proxy 第 6 回 Microsoft Azure Active Directory とは

既にご存知の方も多いと思いますが、Windows Server 2012 R2 に実装されている Active Directory Federation Service では、デバイス認証/認可が行えるようになりました。

でも Active Diretory に精通している方は、こう思うはずです。

「あれ？ドメイン参加するってことが、そもそもデバイス認証だよね？」

するどい！！おっしゃるとおりです。

実は、新しいデバイス認証機能は、ドメインに参加していないデバイスを対象にできるのです。

この機能を Workplace Join と言います。

Windows Server 2012 R2 の AD FS と、Windows 8.1 または iOS の組み合わせで実現可能な機能です。

Workplace Join を使用すると、ドメインに参加していないデバイス（Win8.1/iOS）を Active Directory に登録し、ドメイン内のリソースにアクセスする際にデバイスで認証することができます。つまり、登録されていないデバイスからのアクセスを拒否できるわけです。

Web Application Proxy（旧称 AD FS Proxy）と併用すれば、社外からのアクセスにも利用することができるため、BYOD シナリオの幅が広がります。

Workplace Join および Web Application Proxy をテストするには、

• Active Directory Domain Service
• Active Directory Federation Service
• Active Directory Certificate Service

にある程度精通している必要があり、未経験の方にはshou難しいと思われます。

そこで、これらのテスト環境を Hyper-V 仮想マシン上で構築するための手順書を作成しました。

手順書を入手するには、以下のサイトから Windows Server 2012 R2 プレビュー版ダウンロード にユーザー登録してください。

ユーザー登録が完了すると、ダウンロードが始まると同時に、登録の際に使用した Microsoft アカウント（Windows Live ID）に以下のようなメールが届きます。黄色く塗りつぶしたところをクリックしていただくと、当該ドキュメントをダウンロードできます。

ぜひチャレンジしてください！

AD FS の基本的な勉強にも最適です。

Comments

• Anonymous
  January 01, 2003
  証明書によるIPsec認証 = Direct Access ですよね。DAはドメイン参加大前提になるので、BYODシナリオだと厳しいですよねぇ。iPad も吸収できませんし。

• Anonymous
  August 31, 2013
  素晴らしいですね！ でもこういう流れになるってことは、証明書によるIPsec認証は世の中に受け入れられなかった、ってことですねぇ。

• Anonymous
  February 15, 2014
  GoogleへのSSOにADFSを利用しています。デバイス認証を有効にしてもドメイン参加していない端末でログインできてしまいます。何かの設定ミスでしょうか？