Office Online Server を計画する

概要: HTTPS、証明書、仮想化、負荷分散、トポロジ、セキュリティなど、Office Online Server の要件と前提条件について説明します。

対象ユーザー: IT 担当者

Office Online Server は、Office アプリケーションのブラウザー ベースのバージョンを社内環境に提供することにより、ユーザーの柔軟性を向上させ、グループ作業の機会を増やします。 この記事では、Office Online Server を組織にインストールするために必要な要件と手順について説明します。

SharePoint Server や Exchange Server などのすべてのホストが Office Online Server と通信できるように慎重に計画することが重要です。

Office Online Server バージョン間の互換性リストを確認し、利用中のホストに互換性があることを確認してください。

Office Online Server のソフトウェア、ハードウェア、構成要件

Office Online Server を単一サーバー ファーム、もしくは複数サーバー負荷分散ファームとしてインストールできます。 物理サーバーもしくは仮想マシンを使用できます。

実際のユーザー データを含む環境では、常に、証明書を取得する必要がある HTTPS を使用することをお勧めします。 ファームで複数のサーバーを使用する場合は、ハードウェアまたはソフトウェアの負荷分散ソリューションを構成する必要があります。 このようなシナリオの詳細について以降のセクションで説明します。

Office Online Server のハードウェアの要件

Office Online Serverでは、SharePoint Server 2016 と同じ最小ハードウェア要件が使用されます

Office Online Server でサポートされるオペレーティング システム

Office Online Server は以下のオペレーティング システムで実行できます。

  • 64 ビット版の Windows Server 2012 R2

  • Windows Server 2016の 64 ビット 版 (2018 年 11 月以降Office Online Server必要)。

  • Windows Server 2019 の 64 ビット エディション (Office Online Server 2021 年 7 月のパッチ以降が必要)。

  • Windows Server 2022 の 64 ビット エディション (2021 年 11 月の更新プログラム以降Office Online Server必要)。

注:

Office Online Serverでは、Windows Server 2016、Windows Server 2019、および Windows Server 2022 の "デスクトップ エクスペリエンスを持つサーバー" インストール オプションのみがサポートされます。 Windows Server 製品に関する追加の情報については、「Windows Server の半期チャネルの概要」を参照してください。

Office Online Server のドメイン要件

Office Online Server ファーム内のすべてのサーバーは、ドメインの一部である必要があります。 同じドメイン内か (推奨)、同じフォレスト内のドメイン内に配置できます。

外部データアクセス (データ モデル、パワー ピボット、パワー ビューなど) を利用する Excel Online の機能のいずれかを使う場合、Office Online Server はユーザーや Windows ベースの認証を使ってアクセス予定のどの外部データ ソースとも同じ Active Directory フォレストにある必要があります。

スケジュールとアップグレードの要件をサポートします。

リリース新しいビルドOffice Online Serverの 6 か月ごとなど。 新しいビルドがリリースされると、以前のビルドでは、不要になった重要な更新プログラムを作成します。 新しいビルドがリリースされると、 Office Online Serverのファームを更新することを強くお勧めします。 詳細については、「リリース スケジュールのOffice Online Server」を参照してください。

他のワークロードやサービスとの互換性

以下は、Office Online Server をインストールする際の注意事項を示します。

  • Office Online Server を実行しているサーバーに、他のサーバー アプリケーションをインストールしないでください。 これには、Exchange Server、SharePoint Server、Skype for Business Server、SQL Server が含まれます。 サーバーの台数が不足している場合は、いずれかのサーバーの仮想マシンで Office Online Server を実行することを検討してください。

  • ポート 80、443、または 809 の Web サーバー (IIS) の役割を利用するサービスまたは役割をインストールしないでください。これは、Office Online Server によって、これらのポートの Web アプリケーションが定期的に削除されるためです。

  • どのバージョンの Office もインストールしないでください。 すでにインストールされている場合は、Office Online Server をインストールする前にアンインストールする必要があります。

  • Office Online Server をドメイン コントローラーにインストールしないでください。 Active Directory ドメイン サービス (AD DS) を実行しているサーバーでは動作しない可能性があります。

Office Online Server の仮想化のサポート

Office Online Server がサポートされるのは、オンプレミスのデータ センターで Windows ServerHyper-V やその他の仮想化テクノロジを使用して展開した場合です。 Office Online Server を仮想化する予定がある場合は、以下のガイドラインに従います。

  • Office Online Server を専用の仮想マシンにインストールします。 この仮想マシンには、SharePoint Server などの他のサーバー アプリケーションをインストールしないでください。

  • 複数サーバーの Office Online Server ファームに Hyper-V を使う場合は、各仮想マシンを別々の仮想マシン ホストに配置する必要があります。 こうすることで、いずれかのホストで障害が発生しても Office Online Server ファームはまだ利用できます。

Office Online Server のファイアウォール要件

Web ブラウザー、Office Online Server を実行しているサーバー、SharePoint Server を実行しているサーバー間の通信がファイアウォールによってブロックされるという問題が発生する可能性があります。 サーバーがネットワークのさまざまな部分に存在する場合は、このような問題がより複雑になります。

Office Online Server を実行しているサーバーまたはロード バランサー上の以下のポートがファイアウォールによってブロックされないようにしてください。

  • ポート 443 (HTTPS トラフィック用)

  • ポート 80 (HTTP トラフィック用)

  • ポート 809 Office Online Server を実行するサーバー間のプライベート トラフィック用) (複数サーバー ファームを設定する場合)

Office Online Server のロード バランサー要件

複数のサーバーでOffice Online Serverを実行する場合は、負荷分散ソリューションをお勧めします。 アプリケーション要求ルーティング (ARR) を実行する Web サーバー (IIS) ロールを実行するサーバーなど、負荷分散ソリューションが機能します。 実際には、Office Online Serverを実行するいずれかのサーバーで ARR を実行できます。

可能であれば、以下の機能がサポートされている負荷分散ソリューションを探してください。

  • Layer 7 ルーティング

  • クライアント アフィニティまたはフロントエンド アフィニティの有効化

ロード バランサーを使用する場合は、「HTTPS を使用したOffice Online Server通信のセキュリティ保護」の説明に従って、ロード バランサーに証明書をインストールする必要があります。

Office Online Server の DNS 要件

HTTPS と負荷分散を使用する環境では、DNS を更新して、証明書の完全修飾ドメイン名 (FQDN) が Office Online Server を実行しているサーバーの IP アドレス、または、Office Online Server ファームのロード バランサーに割り当てられた IP アドレスに解決されるようにする必要があります。

Office Online Server の言語パックの計画

Office Online Server 言語パックを使用すると、SharePoint Server ドキュメント ライブラリ、Outlook Web App (添付ファイルのプレビューとして)、Skype for Business Server (PowerPoint ブロードキャストとして) において、Web ベースの Office ファイルを複数の言語で表示できます。 ただし、これはホストで構成されている言語に依存します。 複数の言語のホストからの Web ベースの Office ファイルを表示するには、以下の条件が満たされる必要があります。

  • ホスト (SharePoint Server や Exchange Server) が、アプリケーションを追加の言語で実行するように構成されていること。 ホストでの言語パックのインストールと構成のプロセスは、Office Online Server ファームでの言語パックのインストールとは無関係です。

  • Office Online Server ファームのすべてのサーバーに言語がインストールされていて、使用可能であること。

Office Web Apps Server 用の言語パックをダウンロードする場所を次に示します。

Office Online Server のトポロジ計画

最低でも、Office Online Server トポロジには、Office Online Server を実行している 1 つの物理または仮想マシンと 1 つ以上のホスト (たとえば、Exchange Server または SharePoint Server を実行中のサーバーなど) が含まれます。 もちろん、ホストのいずれかに接続して機能を使用するためにはクライアント PC またはデバイスが必要です。 この最小トポロジから、組織のニーズに合わせて、新しいホストや新しいサーバーを Office Online Server ファームに追加できます。

Office Online Server トポロジがより複雑になった場合に留意すべき推奨事項の一覧を以下に示します。

  • 冗長性を計画します。 仮想マシンを使用する場合は、冗長性のためにそれぞれ別の仮想マシン ホストに配置してください。

  • 1 つのデータ センターを使用する。 Office Online Server ファーム内のサーバーは、同じデータ センター内に配置する必要があります。 地理的に離れた場所に分散させないでください。 Office Online Server ファームが存在するネットワークを分離しなければならないようなセキュリティ要件がないかぎり、1 つのファームだけで十分です。

  • ホストに近いほど良い。 Office Online Server ファームは、そのホストと同じデータ センター内に配置する必要はありませんが、編集の頻度が高い場合は、Office Online Server ファームをできるだけホストのそばに配置することをお勧めします。 このことは、Office Online を主に Office ファイルの表示に使用している組織にとってはそれほど重要ではありません。

  • 接続を計画する。 Office Online Server ファーム内のすべてのサーバーだけを相互に接続します。 より広いネットワークに接続するには、リバース プロキシ ロード バランサー ファイアウォール経由で接続します。

  • HTTP または HTTPS 要求用にファイアウォールを構成する。 ファイアウォールが Office Online Server を実行しているサーバーでホストへの HTTP または HTTPS 要求を初期化できるように構成されていることを確認します。

  • 着信と発信を計画する。 インターネットに接続する展開では、すべての発信を NAT デバイス経由でルーティングします。 マルチサーバー ファームでは、すべての着信をロード バランサーを使用して処理します。

  • Office Online Server ファーム内のすべてのサーバーが 1 つのドメインに参加しており、同じ組織単位 (OU) の一部になっていることを確認する。 この OU に含まれない他のサーバーがファームに参加することを防ぐには、New-OfficeWebAppsFarm コマンドレットの FarmOU パラメーターを使用します。

  • すべての着信要求にハイパーテキスト転送プロトコル セキュア (HTTPS) を使用する。

  • ネットワークに IPsec が展開されている場合は、それをサーバー間のトラフィックの暗号化に使用する。

  • インターネットを使用する Office 機能を計画する。 クリップ アートや翻訳サービスなどの機能が必要であり、ファーム内のサーバーがインターネットへの要求を開始できない場合、Office Online Server ファーム用のプロキシ サーバーを構成する必要があります。 これにより、外部サイトへの HTTP 要求が許可されます。

Excel Online の外部データ接続を計画します。

Excel Online には、SharePoint Server 2013 のExcel Servicesと同様の外部データ接続とデータ更新機能が含まれています。 Excel Services SharePoint Server 2016 の SharePoint から削除されました。代わりに Excel Online を使用します。

埋め込みデータ接続のデータの更新は、標準 Office Online Server インストールで動作します。 ただし、Office データ接続 (ODC) ファイルのサポートや、IT 管理ダッシュボード (SharePoint 用 SQL Server の電源ピボットの一部) などのより高度な機能を使うなら、Office Online Server と SharePoint Server 2016 の間のサーバー間認証を構成する必要があります。

Office Online Server のセキュリティ計画

以下に、Office Online Server のセキュリティ ガイダンスを示します。

HTTPS を使用した Office Online Server の通信の保護

Office Online Serverは、SharePoint Server、Skype for Business Server、およびExchange Serverと HTTPS プロトコルを使用して通信できます。 運用環境では HTTPS の使用を強く推奨します。 Office Online Serverを実行するサーバー (単一サーバーを使用する場合)、またはロード バランサー (Office Online Serverを実行する複数サーバーを使用する場合) に割り当てられる Internet Server 証明書をインストールする必要があります 。

ユーザー データを含まないテスト環境では、SharePoint ServerとExchange Serverに HTTP を使用することができ、証明書の要件は省略できます。 Skype for Business Serverでは HTTPS しかサポートされません。

Office Online Server が使用する証明書は、次の要件を満たす必要があります。

  • 証明書は信頼できる証明機関から取得し、SAN (サブジェクトの別名) フィールドにOffice Online Server ファームの完全修飾ドメイン名 (FQDN) を含める必要があります。 (証明書を使用しようとしたときに FQDN が SAN にない場合、ブラウザーはセキュリティ警告を表示するか、応答を処理しません)。

  • 証明書は、エクスポート可能な秘密キーを含む必要があります。 単一サーバーのファームでは、インターネット インフォメーション サービス (IIS) マネージャー スナップインを使用して証明書をインポートするとき、既定ではこのオプションが選択されています。

  • フレンドリ名フィールドは、信頼できるルート証明書機関のストア内で一意であることが必要です。 複数の証明書でフレンドリ名フィールドが共有されている場合、New-OfficeWebAppsFarm コマンドレットは使用する証明書を特定できず、ファーム作成が失敗します。

  • Office Online Server では特定の証明書のプロパティや拡張子は必要ありません。 たとえば、クライアントの拡張キー使用法 (EKU) 拡張子やサーバーの EKU 拡張子は必要ありません。

  • Windows Server では、Windows Communication Foundation (WCF) HTTP アクティベーション機能をインストールする必要があります。

証明書は次のとおりインポートする必要があります。

  • 単一サーバーのファームOffice Online Server を実行しているサーバーに直接証明書をインポートする必要があります。 証明書を手動でバインドしないでください。 後から実行する New-OfficeWebAppsFarm コマンドレットによってこの処理が行われます。 手動でバインドした証明書は、サーバーが再起動するたびに削除されます。

  • 負荷分散されたファーム SSL をオフロードしている場合、証明書はハードウェア ロード バランサーにインポートする必要があります。 SSL をオフロードしていない場合は、Office Online Server ファーム内の各サーバーに証明書をインストールする必要があります。

注:

重要でないテスト環境以外では、自己署名証明書を使用しないでください。

ハードウェア ロード バランサーに SSL オフロードを使用する

新しい Office Online Server ファームをセットアップすると、SSL オフロードが既定でオフに設定されます。 ハードウェア ロード バランサーを使用している場合は、ファーム内の各 Office Online Server が HTTP を使用してロード バランサーと通信できるように SSL オフロードをオンに設定することをお勧めします。 そうすれば、次のようなメリットも得られます。

  • 証明書管理の簡素化

  • 改良型ソフト アフィニティ

  • 改良型パフォーマンス

注:

HTTP を使用する場合、ロード バランサーからOffice Online Server実行されるサーバーへのトラフィックは暗号化されないため、ネットワーク自体がセキュリティで保護されていることを確認する必要があります。 プライベート サブネットの使用により、トラフィックを保護することができます。

Office Online Server ファームに参加できるサーバーを OU メンバーシップに基づいて制限する

対象サーバーの組織単位を作成してから、ファームを作成するときに FarmOU パラメーターを指定することで、無許可のサーバーが Office Online Server ファームに参加するのを防ぐことができます。 FarmOU パラメーターの詳細については、「New-OfficeWebAppsFarm」を参照してください。

許可リストを使用して Office Online Server のホスト アクセスを制限する

許可リストは、不要なホストが Office Online Server ファームに接続して、同意なしにファームを使用してファイルを処理するのを防ぐセキュリティ機能です。 承認されたホストを含むドメインを許可リストに追加することで、Office Online Server がファイル処理要求 (ファイルの取得、メタデータの取得、ファイルの変更など) を許可するホストを制限できます。

Office Online Server ファームを作成した後で許可リストにドメインを追加できます。 許可リストにドメインを追加する方法については、「New-OfficeWebAppsHost」を参照してください。

重要

ドメインを許可リストに追加しないと、Office Online Server はすべてのドメイン内のホストにファイル要求を許可します。 Office Online Server ファームがインターネットからアクセスできる場合には、このリストを空にしないでください。 空にしておくと、誰でも Office Online Server ファームを使用してコンテンツを表示および編集できます。

Office Online Server を使用したオンライン ビューアーの計画

既定では、Office Online Server のインストール後にオンライン ビューアー機能が有効になります。 組織でオンライン ビューアーの使用を計画している場合は、以下のガイドラインを確認してください。 場合によっては、オンライン ビューアーの一部の機能を無効にすることをお勧めします。 これらのガイドラインは、Microsoft PowerShell コマンドレット New-OfficeWebAppsFarm と Set-OfficeWebAppsFarm を使用して設定されるパラメーター 参照します。

オンライン ビューアーのセキュリティの考慮事項

オンライン ビューアーを使用して Web ブラウザーで表示することを目的としたファイルは、認証を必要としません。 言い換えると、オンライン ビューアーはファイルを取得するときに認証を実行できないため、ファイルをパブリックに使用できる必要があります。 オンライン ビューアーに使用するOffice Online Server ファームは、イントラネットまたはインターネットにのみアクセスできますが、両方にはアクセスできないことを強くお勧めします。 これは、Office Online Serverがイントラネットとインターネット URL の要求を区別しないためです。 インターネット上の誰かがイントラネット URL を要求する可能性があります。たとえば、内部ドキュメントを表示するとセキュリティ リークが発生します。

同じ理由から、Office Online Server をインターネットのみに接続するように設定した場合は、オンライン ビューアーの UNC サポートを無効にすることを強くお勧めします。 UNC サポートを無効にするには、Microsoft PowerShell コマンドレット New-OfficeWebAppsFarm (新 しいファームの場合) または Set-OfficeWebAppsFarm (既存のファームの場合) を使用して、OpenFromUncEnabled パラメーターを False に設定します。

追加のセキュリティ上の理由から、オンライン ビューアーでの表示は、10 MB 以下の Office ファイルに制限されます。

オンライン ビューアーの構成オプション

New-OfficeWebAppsFarm (新しいファームの場合) または Set-OfficeWebAppsFarm (既存のファームの場合) で、次の Microsoft PowerShell パラメーターを使用して、オンライン ビューアーを構成できます。

  • OpenFromUrlEnabled オンライン ビューアーのオンとオフを切り替えます。 このパラメーターは、URL および UNC パスを持つファイルに関してオンライン ビューアーを制御します。 新しい Office Online Server ファームを作成したとき、既定ではこのパラメーターは False (無効) に設定されています。

  • OpenFromUncEnabled オンライン ビューアーがオンになっているとき (OpenFromUrlEnabled を使用して True に設定)、このパラメーターは、オンライン ビューアーで UNC パス内のファイルを表示できるかどうかを切り替えます。 既定では、このパラメーターが True に設定されますが、OpenFromUrlEnabled も True に設定されていることを確認してから、UNC パスからファイルを開けるようにします。 前述したように、Office Online Server がインターネットに接続するように設定した場合は、このパラメーターを False に設定することをお勧めします。

  • OpenFromUrlThrottlingEnabled 一定期間に所定のサーバーから送られてくる "URL から開く" 要求の回数を調整します。 既定の調整値 (構成不可) では、Office Online Server ファームがコンテンツをオンライン ビューアーで表示するための要求を多数送信して 1 つのサーバーに負荷がかかりすぎないようにします。

Office Online Server の更新プログラムの計画

Office Online Server を展開する前に、組織の Office Online Server ファームへのソフトウェア更新プログラムを管理する方法を決定する必要があります。 ソフトウェア更新プログラムは、サーバーのセキュリティ、パフォーマンス、および信頼性の向上に役立ちますが、更新プログラムを不適切にインストールすると、Office Online Server で問題が発生する場合があります。

Office Online Server では、Microsoft 自動更新プロセスを使用して Office Online Server の更新プログラムを適用することはできません。 Office Online Serverへの更新は、「ソフトウェア更新プログラムをOffice Online Serverに適用する」で説明されているように、特定の方法で適用する必要があります。 Office Online Server の更新プログラムが自動的に適用されると、ユーザーが Office Online のドキュメントの表示や編集ができなくなる場合があります。 その場合は、Office Online Server ファームの再構築が必要になります。

更新プログラムは、Windows Server Update Services (WSUS) を使用するか、WSUS を使用する Microsoft Endpoint Configuration Managerを使用して管理することをお勧めします。 WSUS を使用すると、Office Online Server ファーム内の各サーバーに Microsoft Update 経由でリリースされる更新プログラムの配布を完全に管理できます。 WSUS の使用により、サーバー ファームに自動的に適用できる更新プログラムと、Office Online Server の更新プログラムのように手動の適用が必要な更新プログラムを指定できます。 WSUS の詳細については、「Windows Server Update Services」を参照してください。

WSUS または Microsoft Endpoint Configuration Managerを使用しない場合は、Office Online Server ファーム内の各サーバーの Microsoft 自動更新を [自動的にダウンロードするが、インストールをユーザーに通知する] に設定します。 Office Online Server更新プログラムが通知されたら、「ソフトウェア更新プログラムをOffice Online Serverに適用する」の手順に従います。 Windows の更新プログラムを適用してサーバーのセキュリティを保つには、更新プログラムが入手可能になったことを通知されたときに、Windows の更新プログラムを受け入れます。

2018 年の更新プログラムから変更される ULS ログ

Office Online Server の 2018 年の更新プログラムでは、ULS ログの形式がいくらか変更されます。詳細は以下のとおりです。

変更内容
TimestampUtc
  • 並べ替えをより自然にするために、MM/dd/yyyy から yyyy-MM-dd へ日付の形式が変更
  • 時間は常に UTC で記述
  • 列名が Timestamp から TimestampUtc に変更
  • 後続の ' ' や継続を示す '*' はタイムスタンプに含まれない (メッセージの列を参照)
プロセス
  • プロセス名は 32 文字以上でも可能
  • ProxyTraceTag は、プロキシ化されたトレースを送信したプロセス ID を追加しない
  • IIS W3WP プロセスでは、AppPool ID が追加されます。 例: w3wp.exe#StatusViewer-status-MSOSP80 (0x631C)
ThreadId
  • 列名が TID から ThreadId に変更
項目
  • 項目は 32 文字以上でも可能
カテゴリ
  • カテゴリは 32 文字以上でも可能
EventId
  • 列名が EventID から EventId に変更
レベル (変更なし)
メッセージ
  • メッセージの長さが 800 文字から 31000 文字に拡大
  • 31000 文字を超えるメッセージは切り詰められ、2 番目のメッセージに続かない
  • メッセージは続かないため、'...' は含まれない
関連付け
  • 関連付けでは新しい積み重ねを使用し、適切なプッシュ、ポップ、最大化を行う
  • 関連付けの積み重ねの深度は 32 以上でも可能
  • 関連付けは、スレッド間のタスクをフォローし、AppDomain の境界を越えての実施が可能

関連項目

Office Online Server 概要

Office Online Server を展開する