Business Connectivity Services クライアント統合の計画 (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
Microsoft Business Connectivity Services は、Microsoft Office 2010 クライアント アプリケーションから外部システムとやり取りするためのさまざまな方法をユーザーに提供します。この記事では、ユーザーが外部データを Microsoft Outlook 2010 および Microsoft SharePoint Workspace 2010 にオフラインで取り込む方法について説明します。
ユーザーが外部リストで [Outlook に接続] または [SharePoint Workspace と同期] ボタンをクリックすると、ClickOnce アプリケーションの展開パッケージが作成され、クライアント コンピューターにインストールされます。これにより、ユーザーは、外部データを、Outlook のネイティブの Outlook アイテムの種類 (連絡先、仕事、予定など) として作業したり、SharePoint Workspace のリストとして作業したりできます。ユーザーは、オフラインで作業している場合や、外部システムの接続が低速であったり、断続的であったり、利用できなかったりする場合でも、自分のアクセス許可に応じて、外部データに対する読み取り操作および書き込み操作を実行できます。外部データは、サーバーとの接続が利用可能になった時点で同期されます。
外部リストをオフラインにする機能では、Business Connectivity Services、Microsoft SharePoint Server 2010、および Office 2010 アプリケーションのネイティブ機能が利用されます。カスタマイズ機能またはコードを使用する、より高度な Business Connectivity Services ソリューションを構築できます。
高度な Business Connectivity Services ソリューションの詳細については、「Business Connectivity Services でソリューションをビルドする」(https://go.microsoft.com/fwlink/?linkid=202359&clcid=0x411) を参照してください。
この記事の内容
前提条件
展開パッケージのインストール
セキュリティに関する検討事項
前提条件
サーバーに、Enterprise クライアント アクセス ライセンス (CAL) 付きの Microsoft SharePoint Server 2010 がインストールされている必要があります。クライアント コンピューターに Microsoft Office Professional Plus 2010 がインストールされている必要があります。
その他のクライアント コンピューター要件を次に示します。
Internet Explorer 展開メカニズムでは、ActiveX コントロールが使用されます。Internet Explorer は、ActiveX コントロールをサポートする唯一のブラウザーです。したがって、外部リストをオフラインにすることがサポートされるのは、Internet Explorer のみです。Firefox など、別のブラウザーを使用する場合、[Outlook に接続] および [SharePoint Workspace と同期] ボタンは無効になります。
Microsoft .NET Framework 3.5 Microsoft .NET Framework 3.5 以降のバージョンがクライアント コンピューターにインストールされている必要があります。
Business Connectivity Services 既定では、Business Connectivity Services 機能は、Office Professional Plus 2010 がインストールされるときにインストールされます。ユーザーが Office をインストールするときに .NET Framework 3.5 がインストールされない場合、Business Connectivity Services はインストールされません。クライアント コンピューターに .NET Framework 3.5 がインストールされると、ユーザーが外部リストを最初にオフラインにするときに、Business Connectivity Services 機能がインストールされ、その後で展開パッケージがインストールされます。Business Connectivity Services 機能がユーザーによって無効にされた場合、ユーザーは自分の Office インストールを更新し、Business Connectivity Services 機能を有効にする必要があります。Business Connectivity Services 機能は、[Office 共有機能] グループ内で利用できます。
展開パッケージのインストール
次のセクションでは、展開パッケージのインストールに影響を与える可能性のある設定について説明します。
ClickOnce アプリケーションと信頼プロンプトの動作
展開パッケージは ClickOnce アプリケーションです。一般的な ClickOnce アプリケーションを統制するすべての規則、規制、および制限は、展開パッケージにも適用されます。ClickOnce セキュリティ モデルでは、信頼された発行元およびユーザー プロンプトを使用して、ClickOnce アプリケーションをクライアント コンピューターにインストールするかどうかが決定されます。ClickOnce アプリケーションは、発行元を特定する証明書を使用して署名されます。証明書は、信頼できる決定を行うための次の原則を提供します。
ClickOnce アプリケーションが、信頼された発行元によって署名されている場合、アプリケーションは自動的にインストールされます。ユーザーにプロンプトは表示されません。
ClickOnce アプリケーションが、信頼された発行元によって署名されていない場合、ClickOnce によってアプリケーションが自動的に信頼されることはありません。アプリケーションのインストールを確認するためのプロンプトがユーザーに表示されます。
注意
既定では、Business Connectivity Services は、自己署名証明書を使用して、その展開パッケージを署名します。証明書は自己署名されているため、信頼された証明期間 (CA) で作成されたものではありません。
ただし、信頼プロンプトは、他の設定による影響を受ける可能性があります。たとえば、ClickOnce アプリケーションのインストール元となる Internet Explorer のセキュリティ ゾーンがあります。次の表に、サンプルのパスと URL、対応するセキュリティ ゾーン、および既定の信頼プロンプト動作を示します。
ClickOnce アプリケーションの URL またはパス | セキュリティ ゾーン | 既定の信頼プロンプト動作 |
---|---|---|
C:\Contoso\Clientsolution\Customer.vsto |
マイ コンピューター |
ユーザー プロンプトが許可されます。 |
http://contoso/clientsolution/customer.vsto |
ローカル イントラネット |
ユーザー プロンプトが許可されます。 |
\\contoso\clientsolution\customer.vsto |
ローカル イントラネット |
ユーザー プロンプトが許可されます。 |
http://fabrikam.contoso/clientsolution/customer.vsto |
インターネット |
信頼された CA が発行する証明書によってアプリケーションが署名されていない限り、ユーザー プロンプトは許可されません。 |
https://www.contoso.com/clientsolution/customer.vsto |
インターネット |
信頼された CA が発行する証明書によってアプリケーションが署名されていない限り、ユーザー プロンプトは許可されません。 |
\\172.16.4.1\clientsolution\customer.vsto |
インターネット |
信頼された CA が発行する証明書によってアプリケーションが署名されていない限り、ユーザー プロンプトは許可されません。 |
既定の信頼プロンプトによって発生する展開エラーを阻止するために実行できるいくつかの処理を次の表に示します。
信頼された証明書で展開パッケージを署名する 既定では、Business Connectivity Services は、自己署名証明書を使用して、その展開パッケージを署名します。結果として、アプリケーションのインストールを確認するためのプロンプトがユーザーに表示されるか、ユーザー プロンプトが表示されずに展開パッケージのインストールが失敗します (外部リストがインターネット セキュリティ ゾーンに存在する場合)。この問題を解決するには、信頼された CA によって発行された証明書を提供できます。この証明書を使用して、展開パッケージを署名できます。信頼された証明書を提供する方法については、「[方法] 外部リストをオフラインにするとき "発行元を確認できません" 警告を表示させないようにする」(https://go.microsoft.com/fwlink/?linkid=202362&clcid=0x411) を参照してください。
ユーザーが Internet Explorer 内にある信頼済みサイトのリストに SharePoint サイトを追加する サイトを Internet Explorer の信頼済みサイトのリストに追加すると、展開パッケージのセキュリティ ゾーンが信頼済みゾーンに変わります。信頼済みゾーンでは、ユーザーのプロンプトが許可されます。展開パッケージが、信頼された証明書で署名されておらず、インターネット セキュリティ ゾーンに存在する場合、サイトを信頼済みサイトのリストに追加することで、展開パッケージをインストールするかどうかを決定するための機会がユーザーに与えられます。
注意
この処置は、ユーザーが信頼できるサイトでのみ講じられる必要があります。
Internet Explorer セキュリティ強化の構成 Internet Explorer セキュリティ強化の構成では、インターネットおよびイントラネットの Web サイトを閲覧するためのユーザーの機能が制限されます。これにより、エラーが表示されずに展開パッケージのインストールが失敗する可能性があります。回避策として、次のいずれかの処理を実行できます。
信頼された証明書で展開パッケージを署名します。
ユーザーが Internet Explorer 内にある信頼済みサイトのリストに SharePoint サイトを追加します。
ユーザーの [Internet Explorer セキュリティ強化の構成] をオフにします。
ClickOnce アプリケーションの詳細については、「ClickOnce のセキュリティと配置」(https://go.microsoft.com/fwlink/?linkid=195784&clcid=0x411) を参照してください。
Secure Store Service のグループ マッピング
Secure Store Service アプリケーション ID を使用して、ユーザーを資格情報のセットにマップします。このマッピングは、グループおよび個人に対して設定できます。グループ マッピングでは、特定のドメイン グループのメンバーであるすべてのユーザーが同じ資格情報のセットにマップされます。個別マッピングでは、各ユーザーがそれぞれ固有の資格情報のセットにマップされます。
外部リストに関連付けられた外部コンテンツ タイプでグループ マッピングが使用される場合、ユーザーが外部リストをオフラインにすると、グループの資格情報を求めるプロンプトが表示されます。ほとんどの場合、ユーザーはグループの資格情報を知らないため、外部リストをオフラインにできません。
次のどちらかの処理を行うことができます。
個別マッピングを使用するように外部コンテンツ タイプを変更します。
外部コンテンツ タイプを変更して、ユーザーが外部リストをオフラインにできなくなるようにします。SharePoint Designer で外部コンテンツ タイプを開き、[外部リストへのオフライン同期] フィールドを [無効] に設定します。これにより、外部リスト リボンの [Outlook に接続] と [SharePoint Workspace と同期] ボタンが無効になります。
Secure Store Service の詳細については、「Secure Store Service を構成する (SharePoint Server 2010)」を参照してください。
別のユーザーとしてサインイン
Windows 認証を使用する場合、展開パッケージのインストールに対して、[別のユーザーとしてサインイン] 機能はサポートされません。1 つのアカウントを使用してクライアント コンピューターにログオンし、別のユーザー アカウントを使用して SharePoint サイトにログオンする場合、外部リストをオフラインにできません。外部リストをオフラインにするには、同じユーザー アカウントを使用して、クライアント コンピューターと SharePoint サイトにログオンする必要があります。
セキュリティに関する検討事項
以下のセクションでは、機能豊富なクライアント アプリケーションを使用する場合に、Business Connectivity Services のセキュリティを確保するために使用できる追加の措置について説明します。
セキュリティで保護された通信
クライアント コンピューターとフロント エンド Web サーバーとの間のすべてのチャネルに Secure Sockets Layer (SSL) を使用することをお勧めします。これにより、機密データの侵害を防ぐことができます。
外部リストのアクセス許可
各外部リストは外部コンテンツ タイプに関連付けられます。外部コンテンツ タイプに対するアクセス許可によって、その外部コンテンツ タイプに対してどのユーザーが特定のアクションを実行できるかが指定されます。外部コンテンツ タイプに対して操作 (読み取り、更新など) を実行するには実行アクセス許可が必要です。また、外部リスト用の展開パッケージを生成する場合も実行アクセス許可が必要です。ただし、外部リスト用の展開パッケージを作成した後は、その外部リストにアクセスできるすべてのユーザーが展開パッケージをダウンロードしてインストールできます。つまり、外部コンテンツ タイプに対する実行アクセス許可がなくても、外部リストに対する読み取りアクセス許可レベルがあれば、そのユーザーは、外部リスト内のアイテムを表示できませんが、外部リストをオフラインにすることができる場合があります。機密データが開示されないようにするには、外部リストに対するアクセス許可を、関連付けられた外部コンテンツ タイプのアクセス許可と同じように設定することをお勧めします。
Outlook Web Access Web パーツ
Outlook Web Access Web パーツを使用すると、ユーザーは、自分の Office Outlook 電子メール アカウント内のフォルダーから選択した内容を SharePoint サイトに表示できます。ユーザーが Outlook に対して外部データをオフラインにしている場合、Outlook Web Access Web パーツを使用すると、機密データが共有される可能性があります。Outlook フォルダーは信頼できるユーザーとのみ共有するように、管理者がユーザーに教育することをお勧めします。
クライアントのスロットル制限
クライアント コンピューターに対してスロットル制限を設定すると、大量データを返すクエリや長い処理時間を要するクエリを送信するユーザーが原因で発生するサービス拒否 (DoS) の脅威を制限できます。クライアント コンピューターに対するスロットル制限を設定するには、レジストリ ベースのポリシー キーを使用できます。レジストリ ベースのポリシー キーを管理するには、グループ ポリシーを使用してレジストリ ポリシー設定を適用する方法がサポートされます。
Business Connectivity Services のポリシー設定は、Office14.adm ファイルに含まれます。このファイルは、「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) でダウンロードできます。
次の表に、スロットル制限を設定するために使用できる、Business Connectivity Services のレジストリベースのポリシー キーを示します。これらのキーは、HKEY_CURRENT_USER\Software\Policies\Microsoft\office\14.0\Common\Business Data の下にあります。
注意
次の表には、クライアントのスロットル制限の設定に使用できる主なポリシー設定のみが含まれます。使用可能な Business Connectivity Services ポリシー設定の完全なリストについては、Office2010GroupPolicyAndOCTSettings_Reference.xls ファイルを参照してください。このファイルは、ダウンロード ページ「Office 2010 Administrative Template files (ADM, ADMX, ADML) and Office Customization Tool (英語)」(https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x411) (英語) に含まれます。
キー | 種類 | 値 | 説明 |
---|---|---|---|
Synchronization\Query Instances Limit |
REG_ DWORD |
1 ~ 32、767 |
クエリの実行結果として、Business Connectivity Services がキャッシュに追加できるアイテムの最大数を指定します。 クエリによっては、多数のアイテムが返されてキャッシュに追加される可能性があります。これにより、クライアント キャッシュのサイズが増加し (Microsoft SQL Server Compact Edition データベースによって課される 4 GB 制限を超える可能性があります)、クライアント キャッシュの同期を維持するために必要な作業が増大し、外部システムにかかる負荷が増大します。制限に達すると、処理は停止します。クエリは、失敗としてマークされ、後で再試行されます。 既定値は 2,000 アイテムです。 |
Synchronization\Query Timeout |
REG_ DWORD |
1 ~ 360 (秒) |
Business Connectivity Services が 1 つのクエリを処理するのに費やす時間 (分) を指定します。 クエリによっては、すべての結果が取得されて処理されるまでに膨大な時間がかかる場合があります。この時間中に、他の操作を処理することはできません。タイムアウトを超えた場合、処理は停止します。クエリは、失敗としてマークされ、後で再試行されます。 通常の値は、3 ~ 10 分です。既定値は 5 分です。 |
Limits\Database\Items\Max |
REG_ DWORD |
1 ~ 2,000,000 |
要求ごとにデータベース コネクターから返すことのできるアイテムの最大数を指定します。 通常の値は、1,000 ~ 3,000 アイテムです。既定では、データ制限はありません。 |
Limits\Database\Timeout\Max |
REG_ DWORD |
1 ~ 75,000,000 (ミリ秒) |
開かれたデータベース接続が終了するまでに待機する時間 (ミリ秒) を指定します。 通常の値は、5,000 ~ 180,000 ミリ秒 (5 秒~ 3 分) です。既定では、タイムアウトはありません。 |
Limits\Wcf\Size\Max |
REG_ DWORD |
1 ~ 1,000,000,000 (KB) |
要求ごとに Web サービス コネクターから返すことのできるデータの最大量を指定します。 通常の値は、512 KB ~ 524,288 KB (512 MB) です、既定では、データ制限はありません。 |
Limits\Wcf\Timeout\Max |
REG_ DWORD |
1 ~ 75,000,000 (ミリ秒) |
開かれた Web サービス接続が終了するまでに待機する時間 (ミリ秒) を指定します。 通常の値は、5,000 ~ 180,000 ミリ秒 (5 秒~ 3 分) です。既定では、タイムアウトはありません。 |