次の方法で共有


入力方向の要求に基づいてユーザーを許可または拒否する規則を作成する

Windows Server 2016 では、アクセス制御ポリシーを使用して、入力方向の要求に基づいてユーザーを許可または拒否する規則を作成できます。 Windows Server 2012 R2 で、Active Directory フェデレーション サービス (AD FS) の [入力方向の要求に基づくユーザーを許可または拒否] 規則テンプレートを使用して、入力方向の要求の種類と値に基づいて、証明書利用者へのユーザーのアクセスを許可または拒否する承認規則を作成できます。

たとえば、この規則テンプレートを使用して、Domain Admins という値が含まれるグループ要求を持つユーザーのみを証明者利用者へのアクセスに許可する規則を作成できます。 すべてのユーザーに証明書利用者へのアクセスを許可する場合は、使用している Windows サーバーのバージョンに応じて Permit Everyone アクセス制御ポリシーまたは Permit All Users 規則テンプレートを使用します。 ユーザーは、フェデレーション サービスから証明書利用者へのアクセスが許可されても、証明書利用者によってサービスが拒否される場合があります。

次の手順を使用して、AD FS 管理スナップインを使用して要求規則を作成できます。

この手順を完了するには、ローカル コンピューター上の Administrators または同等のメンバーシップが最低限必要です。 適切なアカウントの使用方法の詳細を確認し、グループ メンバーシップ ローカルおよびドメインの既定のグループします。

Windows Server 2016 の入力方向の要求に基づいてユーザーを許可する規則を作成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. コンソールツリーの [AD FS][アクセス制御ポリシー] をクリックします。 Screenshot that highlights Access Control Policies in the console tree.

  3. 右クリックして [アクセス制御ポリシーの追加] を選択します。 Screenshot that highlights the Add Access Control Policy menu option.

  4. 名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。 Screenshot that shows where to add an Access Control Policy when you create a rule to permit users based on an incoming claim on Windows Server 2016.

  5. ルールエディターの [ユーザー] で、[要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。 Screenshot that highlights where to select the underlined specific.

  6. [要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類][オペレーター]、および [要求の値] を選択し、[OK] をクリックします。 Screenshot that shows where to select the Claims option.

  7. ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。

  8. AD FS 管理コンソールツリーで、[AD FS][証明書利用者の信頼] をクリックします。 Screenshot that shows where to select Relying Party Trusts.

  9. アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。 Screenshot that shows where to select the Edit Access Control Policy menu option.

  10. [アクセス制御ポリシー] で、ポリシーを選択して、[適用][OK] をクリックします。 Screenshot that shows where to select Apply and OK.

Windows Server 2016 の入力方向の要求に基づいてユーザーを拒否する規則を作成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. コンソールツリーの [AD FS][アクセス制御ポリシー] をクリックします。 Screenshot that shows where to select Access Control Policies.

  3. 右クリックして [アクセス制御ポリシーの追加] を選択します。 Screenshot that shows where to add an Access Control Policy.

  4. 名前ボックスに、ポリシーの名前と説明を入力し、[追加] をクリックします。 Screenshot that shows where to enter a name for your policy.

  5. ルールエディターで [全員] が選択されていることを確認し、[例外] で [要求の特定の要求で] をオンにして、下部にある下線付き「特定の」部分をクリックします。 Screenshot that shows where to make sure that the everyone option is selected.

  6. [要求の選択] 画面で、[要求] オプション ボタンをクリックし、[要求の種類][オペレーター]、および [要求の値] を選択し、[OK] をクリックします。 Screenshot that shows the Select Claims screen.

  7. ルール エディターで、[OK] をクリックします。 [アクセス制御ポリシーの追加 ] 画面で、[OK] をクリックします。

  8. AD FS 管理コンソールツリーで、[AD FS][証明書利用者の信頼] をクリックします。 create rule

  9. アクセスを許可する [証明書利用者信頼] を右クリックし、[アクセス制御ポリシーの編集] を選択します。 Screenshot that shows where to right-click Relying Party Trust to access the Edit Access Control Policy menu option.

  10. [アクセス制御ポリシー] で、ポリシーを選択して、[適用][OK] をクリックします。 Screenshot that shows how go apply the changes to the Access Control Policy.

Windows Server 2012 R2 の入力方向の要求に基づいてユーザーを許可または拒否する規則を作成するには

  1. サーバー マネージャーで、 [ツール] をクリックし、次に [AD FS の管理] を選択します。

  2. コンソール ツリーで、[AD FS\信頼関係\証明書利用者信頼] の順に選択し、この規則を作成する特定の信頼を一覧からクリックします。

  3. 選択した信頼を右クリックし、[要求規則の編集] をクリックします。 Screenshot that shows the Edit Claim Rules menu option.

  4. [要求規則の編集] ダイアログ ボックスで、[発行承認規則] タブまたは [委任承認規則] タブをクリックします (必要な承認規則の種類に基づきます)。次に、[規則の追加] をクリックして、[承認要求規則の追加ウィザード] を開始します。 Screenshot that shows how to start the Add Authorization Claim Rule Wizard.

  5. [規則テンプレートの選択] ページの [要求規則テンプレート] で、一覧から [入力方向の要求に基づくユーザーの許可または拒否] を選択し、[次へ] をクリックします。 Screenshot that shows where to select the Permit or Deny Users Based on an Incoming Claim template.

  6. [規則の構成] ページの [要求規則名] にこの規則の表示名を入力し、[入力方向の要求の種類] で一覧から要求の種類を選択し、[入力方向の要求の値] で値を入力するか、[参照] (使用可能な場合) をクリックして値を選択し、組織のニーズに応じて次のいずれかのオプションを選択します。

    • この入力方向の要求を行ったユーザーのアクセスを許可

    • この入力方向の要求を行ったユーザーのアクセスを拒否Screenshot that shows where to select the incoming claim type.

  7. [完了] をクリックします。

  8. [要求規則の編集] ダイアログ ボックスで [OK] をクリックして規則を保存します。

その他の参照情報

要求規則を構成する

チェックリスト:証明書利用者信頼の要求規則の作成

承認要求規則を使用するタイミング

要求の役割

要求規則の役割