AD FS のクライアントアクセスポリシー要求の種類

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

より多くの要求コンテキスト情報を提供するために、クライアントアクセスポリシーでは次の要求の種類を使用します。要求の種類は、要求ヘッダー情報から生成 AD FS て処理します。 詳細については、要求エンジンの役割を参照してください。

X-MS-Forwarded-Client-IP

Claim.Type:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-forwarded-client-ip

この AD FS 要求は、要求を行うユーザー (Outlook クライアントなど) の IP アドレスを確認する "最適な試行" を表します。 この要求には、要求を転送したそれぞれのプロキシのアドレスを含む、複数の IP アドレスを含めることができます。  この要求は、現在 Exchange Online によってのみ設定されている HTTP ヘッダーから設定されます。Exchange Online は、認証要求を AD FS に渡す際にこのヘッダーを設定します。 この要求の値には、次のいずれかを指定できます:

• 1 つの IP アドレス - Exchange Online に直接接続されているクライアントの IP アドレス

  注意

  企業ネットワーク上のクライアントの IP アドレスは、その組織の送信プロキシまたはゲートウェイの外部インターフェイス IP アドレスとして表示されます。

• 1 つ以上の IP アドレス

  • Exchange Online は、接続しているクライアントの IP アドレスを特的できない場合、x-forwarded-for ヘッダーの値に基づいて値を設定します。このヘッダーは、HTTP ベースの要求に含めることができる非標準ヘッダーで、市場の多くのクライアント、ロード バランサー、プロキシでサポートされています。

  • クライアント IP アドレスとその要求を渡した各プロキシのアドレスを示す複数の IP アドレスは、コンマで区切られます。

    注意

    Exchange Online のインフラストラクチャに関連した IP アドレスは、この一覧には含まれません。

警告

Exchange Online では、現在は IPV4 アドレスのみがサポートされており、IPV6 アドレスはサポートされていません。

X-MS-Client-Application

要求の種類: http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-application

この AD FS 要求は、エンド クライアントによって使用されるプロトコルを表します。これは、使用されているアプリケーションにある程度対応します。  この要求は、現在 Exchange Online によってのみ設定されている HTTP ヘッダーから設定されます。Exchange Online は、認証要求を AD FS に渡す際にこのヘッダーを設定します。 アプリケーションによって、この要求の値は次のいずれかになります:

• Exchange Active Sync を使用するデバイスの場合、値は Microsoft.Exchange.ActiveSync です。
• Microsoft Outlook クライアントを使用すると、次の値のいずれかになる可能性があります:
  • Microsoft.Exchange.Autodiscover
  • Microsoft.Exchange.OfflineAddressBook
  • Microsoft.Exchange.RPC
  • Microsoft.Exchange.WebServices
  • Microsoft.Exchange.Mapi
• このヘッダーが取りうる他の値には、次のものが含まれます:
  • Microsoft.Exchange.Powershell
  • Microsoft.Exchange.SMTP
  • Microsoft.Exchange.PopImap
  • Microsoft.Exchange.Pop
  • Microsoft.Exchange.Imap

X-MS-Client-User-Agent

要求の種類: http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-client-user-agent

この AD FS 要求は、クライアントがサービスへのアクセスに使用しているデバイスの種類を表す文字列を提供します。 これは、顧客が特定のデバイス (特定の種類のスマートフォンなど) のアクセスを防ぎたい場合に使用できます。  この要求は、現在 Exchange Online によってのみ設定されている HTTP ヘッダーから設定されます。Exchange Online は、認証要求を AD FS に渡す際にこのヘッダーを設定します。 この要求の値の例には、次のものが含まれます (これら以外の値も考えられます)。

注意

x-ms-client-application が "Microsoft.Exchange.ActiveSync" であるクライアントの場合に x-ms-user-agent の値に含まれる可能性のあるものの例を次に示します

• Vortex/1.0
• Apple-iPad1C1/812.1
• Apple-iPhone3C1/811.2
• Apple-iPhone/704.11
• Moto-DROID2/4.5.1
• SAMSUNGSPHD700/100.202
• Android/0.3

注意

この値が空である場合もあります。

X-MS-Proxy

Claim.Type:http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-proxy

この AD FS 要求は、要求が フェデレーションサーバー プロキシを通過したことを示します。  この要求は、フェデレーションサーバー プロキシによって設定されます。このプロキシは、認証要求をバック エンド フェデレーション サービスに渡す際にこのヘッダーを設定します。 その後、AD FS がこれを要求に変換します。

この要求の値は、その要求を渡した フェデレーションサーバー プロキシの DNS 名です。

X-MS-Endpoint-Absolute-Path (アクティブまたはパッシブ)

Claim.Type: http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path

この要求の種類は、"アクティブ" (リッチ) クライアントからの要求と "パッシブ" (Web ブラウザーベース) クライアントからの要求を判別するために使用できます。 これを使用すると、Microsoft Outlook などのリッチ クライアントからの要求をブロックしながら、Outlook Web Access、SharePoint Online、Office 365 ポータルなどのブラウザーベースのアプリからの外部要求を許可できます。

この要求の値は、その要求を受け取った AD FS サービスの名前です。