ワーク フォルダーの展開

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows 10、Windows 8.1、Windows 7

この記事では、ワーク フォルダーをデプロイするために必要な手順について説明します。 既に「ワーク フォルダーの展開の計画」を読んでいることを前提としています。

複数のサーバーとテクノロジが関与する可能性があるプロセスである、ワーク フォルダーをデプロイするには、次の手順を使用します。

ヒント

最も単純なワーク フォルダーの展開は、インターネット経由での同期をサポートしない 1 台のファイル サーバー (通常、同期サーバーと呼ばれる) です。これは、テスト ラボや、ドメインに参加しているクライアント コンピューターの同期ソリューションとして便利な展開です。 単純な展開を作成するための最小限の手順は次のとおりです。

  • 手順 1: SSL 証明書を取得する
  • 手順 2: DNS レコードを作成する
  • 手順 3: ファイル サーバーにワーク フォルダーをインストールする
  • 手順 4: 同期サーバーで SSL 証明書をバインドする
  • 手順 5: ワーク フォルダーのセキュリティ グループを作成する
  • 手順 7: ユーザー データの同期共有を作成する

手順 1: SSL 証明書を取得する

ワーク フォルダーでは、ワーク フォルダー クライアントとワーク フォルダー サーバーの間を HTTPS によって安全に同期する必要があります。 ワーク フォルダーで使用される SSL 証明書の要件は次のとおりです。

  • 証明書は信頼された証明機関によって発行されている必要があります。 証明書は、ドメインに参加していないインターネット ベースのデバイスによって使用されるため、ほとんどのワーク フォルダーの実装では、公的に信頼された CA を使用することをお勧めします。

  • 証明書は有効である必要があります。

  • 証明書の秘密キーは、(複数のサーバーに証明書をインストールする必要があるため) エクスポートできる必要があります。

  • 証明書のサブジェクト名には、インターネット経由でワーク フォルダー サービスを検出するために使用されるパブリック ワーク フォルダー URL が含まれている必要があります。これは workfolders.<domain_name> の形式である必要があります。

  • 使用されている各同期サーバーのサーバー名を一覧表示する証明書に、サブジェクト代替名 (SAN) が存在している必要があります。

    ワーク フォルダーの証明書管理のブログは、ワーク フォルダーでの証明書の使用に関する追加情報を提供します。

手順 2: DNS レコードを作成する

ユーザーがインターネット経由で同期できるようにするには、パブリック DNS にホスト (A) レコードを作成して、インターネット クライアントがワーク フォルダー URL を解決できるようにする必要があります。 この DNS レコードは、リバース プロキシ サーバーの外部インターフェイスに解決される必要があります。

内部ネットワークで、ワーク フォルダー サーバー FDQN に解決される workfolders という名前の CNAME レコードを DNS に作成します。 ワーク フォルダー クライアントが自動検出を使用する場合、ワーク フォルダー サーバーの検出に使用される URL は次のとおりです: https://workfolders.domain.com. 自動検出を使用する場合は、workfolders CNAME レコードが DNS 内に存在する必要があります。

手順 3: ファイル サーバーにワーク フォルダーをインストールする

ワーク フォルダーは、ドメインに参加しているサーバーに、サーバー マネージャーまたは Windows PowerShell を使用して、ローカルまたはネットワーク経由でリモートからインストールできます。 これは、ネットワーク経由で複数の同期サーバーを構成している場合に役立ちます。

サーバー マネージャーで役割を展開するには、次の操作を行います。

  1. 役割と機能の追加ウィザードを開始します。

  2. [インストールの種類の選択] ページで [役割ベースまたは機能ベースのインストール] を選択します。

  3. [対象サーバーの選択] ページで、ワーク フォルダーのインストール先のサーバーを選択します。

  4. [サーバーの役割の選択] ページで、[ファイル サービスおよび記憶域サービス][ファイル サービスおよび iSCSI サービス] の順に展開し、[ワーク フォルダー] を選択します。

  5. [IIS ホスト可能な Web コア] をインストールするかどうかを確認するメッセージが表示されたら、[OK] をクリックしてインターネット インフォメーション サービス (IIS) の最小バージョンをインストールします。

  6. ウィザードが完了するまで [次へ] をクリックします。

Windows PowerShell を使用してこの役割を展開するには、次のコマンドレットを使用します。

Add-WindowsFeature FS-SyncShareService

手順 4: 同期サーバーで SSL 証明書をバインドする

ワーク フォルダーでは、IIS ホスト可能な Web コアがインストールされます。これは、IIS をフル インストールすることなく、Web サービスを有効にするように設計された IIS コンポーネントです。 IIS ホスト可能な Web コアをインストールした後、ファイル サーバーの既定の Web サイトにサーバーの SSL 証明書をバインドする必要があります。 ただし、IIS ホスト可能な Web コアでは、IIS 管理コンソールはインストールされません。

証明書を既定の Web インターフェイスにバインドするには、2 つのオプションがあります。 いずれのオプションを使用する場合も、コンピューターの個人用ストアに証明書の秘密キーをインストールしておく必要があります。

  • IIS 管理コンソールがインストールされているサーバーで IIS 管理コンソールを使用します。 コンソール内から、管理するファイル サーバーに接続し、そのサーバーの既定の Web サイトを選択します。 既定の Web サイトは無効として表示されますが、サイトのバインドを編集し、証明書を選択してその Web サイトにバインドすることはできます。

  • netsh コマンドを使用して証明書を既定の Web サイトの https インターフェイスにバインドします。 コマンドは次のとおりです。

    netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY

手順 5: ワーク フォルダーのセキュリティ グループを作成する

同期共有を作成する前に、Domain Admins グループまたは Enterprise Admins グループのメンバーが Active Directory Domain Services (AD DS) にワーク フォルダー用のセキュリティ グループをいくつか作成する必要があります (手順 6 で説明されているように、特定のコントロールの委任も必要になる場合があります)。 必要なグループは次のとおりです。

  • 同期共有との同期が許可されているユーザーを指定するために、同期共有ごとに 1 つのグループ。

  • ワーク フォルダー管理者が、(複数の同期サーバーを使用する場合に) ユーザーを適切な同期サーバーにリンクする各ユーザー オブジェクトの属性を編集できるように、すべてのワーク フォルダー管理者用に 1 つのグループ。

    他のセキュリティ要件との潜在的な競合を回避できるように、グループは標準的な命名規則に従い、ワーク フォルダーについてのみ使用してください。

    適切なセキュリティ グループを作成するには、次の手順を複数回実行します。各同期共有について 1 回、必要に応じてファイル サーバー管理者のグループを作成するために 1 回実行します。

ワーク フォルダーのセキュリティ グループを作成するには

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. [ツール] メニューの [Active Directory 管理センター] をクリックします。 Active Directory 管理センターが表示されます。

  3. 新しいグループを作成するコンテナー (たとえば、適切なドメインまたは OU のユーザー コンテナー) を右クリックし、[新規][グループ] の順にクリックします。

  4. [グループの作成] ウィンドウの [グループ] で、次の設定を指定します。

    • [グループ名] で、セキュリティ グループの名前を入力します。たとえば、「人事部の同期共有ユーザー」、「ワーク フォルダー管理者」のように入力します。

    • [グループのスコープ] で、[セキュリティ]、[グローバル] の順にクリックします。

  5. [メンバー] セクションの [追加] をクリックします。 [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが表示されます。

  6. 特定の同期共有へのアクセスを許可するユーザーまたはグループの名前を入力する (同期共有へのアクセスを制御するグループを作成している場合) か、ワーク フォルダー管理者の名前を入力して (適切な同期サーバーを自動的に検出するようにユーザー アカウントを構成している場合)、[OK] をクリックし、もう一度 [OK] をクリックします。

Windows PowerShell を使用してセキュリティ グループを作成するには、次のコマンドレットを使用します。

$GroupName = "Work Folders Administrators"
$DC = "DC1.contoso.com"
$ADGroupPath = "CN=Users,DC=contoso,DC=com"
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

手順 6: 必要に応じてユーザー属性の制御をワーク フォルダー管理者に委任する

複数の同期サーバーを展開し、適切な同期サーバーに自動的にユーザーを誘導する場合、AD DS で各ユーザー アカウントの属性を更新する必要があります。 ただし、通常、この属性を更新するには、Domain Admins グループまたは Enterprise Admins グループのメンバーになる必要がありますが、頻繁にユーザーを追加したり、同期サーバー間でユーザーを移動したりする必要がある場合、これは面倒な作業になる可能性があります。

そのため、Domain Admins グループまたは Enterprise Admins グループのメンバーは、次の手順で説明するように、ユーザー オブジェクトの msDS-SyncServerURL プロパティを変更する権限を、手順 5. で作成したワーク フォルダー管理者グループに委任する場合があります。

AD DS でユーザー オブジェクトの msDS-SyncServerURL プロパティを編集する権限を委任する

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory ユーザーとコンピューターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. [ツール] メニューの [Active Directory ユーザーとコンピューター] をクリックします。 Active Directory ユーザーとコンピューターが表示されます。

  3. ワーク フォルダーのすべてのユーザー オブジェクトが含まれている OU を右クリック (ユーザーが複数の OU またはドメインに格納されている場合は、すべてのユーザーに共通のコンテナーを右クリック) し、[制御の委任] をクリックします。 オブジェクト制御の委任ウィザードが表示されます。

  4. [ユーザーまたはグループ] ページで、[追加] をクリックし、ワーク フォルダー管理者用に作成したグループ ("ワーク フォルダー管理者" など) を指定します。

  5. [委任するタスク] ページで、[委任するカスタム タスクを作成する] をクリックします。

  6. [Active Directory オブジェクトの種類] ページで、[フォルダー内の次のオブジェクトのみ] をクリックし、[ユーザー オブジェクト] チェック ボックスをオンにします。

  7. [アクセス許可] ページで、[全般] チェック ボックスをオフにし、[プロパティ固有] チェック ボックスをオンにします。次に、[msDS-SyncServerUrl の読み取り] チェック ボックスと [msDS-SyncServerUrl の書き込み] チェック ボックスをオンにします。

Windows PowerShell を使用してユーザー オブジェクトの msDS-SyncServerURL のプロパティを編集する権限を委任するには、DsAcls コマンドを利用する次のサンプル スクリプトを使用します。

$GroupName = "Contoso\Work Folders Administrators"
$ADGroupPath = "CN=Users,dc=contoso,dc=com"

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"

注意

ユーザー数の多いドメインでは、委任操作に時間がかかる場合があります。

手順 7: ユーザー データの同期共有を作成する

この時点で、ユーザーのファイルを格納する同期サーバー上のフォルダーを指定する準備ができました。 このフォルダーは同期共有と呼ばれ、1 つの同期共有を作成するには、次の手順を実行します。

  1. 同期共有と同期共有に格納されるユーザー ファイル用の空き領域がある NTFS ボリュームがない場合は、新しいボリュームを作成し、NTFS ファイル システムでフォーマットします。

  2. サーバー マネージャーで、[ファイル サービスおよび記憶域サービス] をクリックし、[ワーク フォルダー] をクリックします。

  3. 既存の同期共有の一覧が詳細ウィンドウの上部に表示されます。 新しい同期共有を作成するには、[タスク] メニューの [新しい同期共有] をクリックします。 新しい同期共有ウィザードが表示されます。

  4. [サーバーとパスの選択] ページで、同期共有を格納する場所を指定します。 このユーザー データに対して作成されたファイル共有がある場合は、その共有を選択できます。 新しいフォルダーを作成することもできます。

    注意

    (既存のファイル共有を選択しない場合) 既定では、ファイル共有によって同期共有に直接アクセスすることはできません。 同期共有をファイル共有からアクセスできるようにする場合は、サーバー マネージャーの [共有] タイルを使用するか、New-SmbShare コマンドレットを使用して (可能であればアクセス ベースの列挙が有効な) ファイル共有を作成します。

  5. [ユーザー フォルダーの構造の指定] ページで、同期共有内のユーザー フォルダーの命名規則を選択します。 次の 2 つの選択肢があります。

    • [ユーザーのエイリアス] では、ドメイン名が含まれないユーザー フォルダーが作成されます。 既にフォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用している場合は、この命名規則を選択します。 必要に応じて、[次のサブフォルダーのみ同期] チェック ボックスをオンにして、ドキュメント フォルダーなど、特定のサブフォルダーのみを同期できます。

    • [ユーザー エイリアス@ドメイン] では、ドメイン名が含まれるユーザー フォルダーが作成されます。 フォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用しない場合、この命名規則を選択すると、共有の複数のユーザーのエイリアスが同じである場合にフォルダー名の競合を回避できます (複数のユーザーが異なるドメインに属する場合に、このような競合が発生することがあります)。

  6. [同期共有名を入力します] ページで、同期共有の名前と説明を指定します。 これはネットワークでアドバタイズされませんが、サーバー マネージャーや Windows PowerShell で表示されるため、同期共有を互いに区別するのに役立ちます。

  7. [グループへの同期アクセスの許可] ページで、この同期共有の使用を許可されたユーザーの一覧を表示する、作成済みのグループを指定します。

    重要

    パフォーマンスとセキュリティを向上させるには、個々のユーザーではなくグループにアクセスを許可し、Authenticated Users や Domain Users などの一般的なグループを避けてできるだけ具体的に指定します。 ユーザー数の多いグループにアクセスを許可すると、ワーク フォルダーが AD DS に照会するのにかかる時間が長くなります。 ユーザー数が多い場合は、複数の同期共有を作成すると負荷を分散させるのに役立ちます。

  8. [デバイス ポリシーの指定] ページで、クライアント PC やデバイスのセキュリティの制限を要求するかどうかを指定します。 個別に選択できる 2 つのデバイス ポリシーがあります:

    • [ワーク フォルダーを暗号化する]: クライアント PC やデバイスでワーク フォルダーを暗号化することを要求します。

    • [自動的に画面をロックする (パスワードが必要]: クライアント PC やデバイスが 15 分後に自動的に画面をロックし、画面のロックを解除するときに 6 文字以上の長いパスワードを要求します。また、再試行が 10 回失敗すると、デバイス ロックアウト モードをアクティブ化します。

      重要

      Windows 7 PC と、ドメインに参加している PC 上の非管理者に対してパスワード ポリシーを適用するには、コンピューター ドメインに対してグループ ポリシーのパスワード ポリシーを使用し、ワーク フォルダー パスワード ポリシーから対象のドメインを除外します。 同期共有を作成した後、Set-Syncshare -PasswordAutoExcludeDomain コマンドレットを使用することによってドメインを除外できます。 グループ ポリシーのパスワード ポリシーの設定については、「パスワード ポリシー」を参照してください。

  9. 選択内容を確認し、ウィザードを完了して同期共有を作成します。

Windows PowerShell を使用して同期共有を作成するには、New-SyncShare コマンドレットを使用します。 この方法の例を次に示します。

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"

上の例では、パス K:\Share-1 を指定して新しい同期共有 HR Sync Share を作成し、HR Sync Share Users という名前のグループにアクセスを付与します。

ヒント

同期共有を作成すると、ファイル サーバー リソース マネージャーの機能を使用して、共有内のデータを管理できます。 たとえば、サーバー マネージャーのワーク フォルダー ページ内の [クォータ] のタイルを使用して、ユーザー フォルダーのクォータを設定できます。 また、ファイル スクリーンの管理を使用して、ワーク フォルダーで同期するファイルの種類を制御できます。さらに高度なファイルの分類タスクについては「ダイナミック アクセス制御」で説明されているシナリオを使用できます。

手順 8: 必要に応じてテクニカル サポートの電子メール アドレスを指定する

ファイル サーバーにワーク フォルダーをインストールした後、必要に応じて、サーバーの管理部門の連絡先電子メール アドレスを指定できます。 電子メール アドレスを追加するには、次の手順に従います。

管理部門の連絡先メール アドレスを指定する

  1. サーバー マネージャーで、[ファイル サービスおよび記憶域サービス] をクリックし、[サーバー] をクリックします。

  2. 同期サーバーを右クリックし、[ワーク フォルダーの設定] をクリックします。 [ワーク フォルダーの設定] ウィンドウが表示されます。

  3. ナビゲーション ウィンドウで、[サポート用電子メール] をクリックし、ユーザーがワーク フォルダーに関する問い合わせのメールを送信する際に使用する電子メール アドレスを入力します。 完了したら [OK] をクリックします。

    ワーク フォルダーのユーザーは、コントロール パネルの [ワーク フォルダー] 項目にあるリンクをクリックすることによって、ここで指定したアドレスに、クライアント PC の診断情報を含む電子メールを送信できます。

手順 9: 必要に応じてサーバー自動検出をセットアップする

環境で複数の同期サーバーをホストしている場合、AD DS のユーザー アカウントで msDS-SyncServerURL プロパティを設定して、サーバー自動検出を構成してください。

Note

Active Directory の msDS-SyncServerURL プロパティは、Web アプリケーション プロキシや Microsoft Entra アプリケーション プロキシなどのリバース プロキシ ソリューションを介してワーク フォルダーにアクセスするリモート ユーザーに対して定義しないでください。 msDS-SyncServerURL プロパティを定義すると、ワーク フォルダー クライアントは、リバース プロキシ ソリューション経由でアクセスできない内部 URL へのアクセスを試みます。 Web アプリケーション プロキシまたは Microsoft Entra アプリケーション プロキシを使用する場合は、ワーク フォルダー サーバーごとに固有のプロキシ アプリケーションを作成する必要があります。 詳細については、「AD FS と Web アプリケーション プロキシを使用したワーク フォルダーのデプロイ: 概要」または「Microsoft Entra アプリケーション プロキシを使用したワーク フォルダーのデプロイ」を参照してください。

この作業を行う前に、Windows Server 2012 R2 のドメイン コントローラーをインストールするか、Adprep /forestprep コマンドと Adprep /domainprep コマンドを使用して、フォレストとドメインのスキーマを更新する必要があります。 これらのコマンドを安全に実行する方法については、「Adprep.exe の実行」を参照してください。

手順 5. と手順 6. で説明したように、ファイル サーバー管理者のセキュリティ グループを作成し、この特定のユーザーの属性を変更するためのアクセス許可を委任することもできます。 これらの手順を実行していない場合、Domain Admins グループまたは Enterprise Admins グループのメンバーになり、各ユーザーの自動検出を構成する必要があります。

ユーザーの同期サーバーを指定するには

  1. Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. [ツール] メニューの [Active Directory 管理センター] をクリックします。 Active Directory 管理センターが表示されます。

  3. 適切なドメインの [ユーザー] コンテナーに移動し、同期共有に割り当てるユーザーを右クリックして [プロパティ] をクリックします。

  4. ナビゲーション ウィンドウで、[拡張機能] をクリックします。

  5. [属性エディター] タブをクリックし、[msDS-SyncServerUrl] を選択して [編集] をクリックします。 [複数値の文字列エディター] ダイアログ ボックスが表示されます。

  6. [追加する値] ボックスで、このユーザーに同期を許可する同期サーバーの URL を入力し、[追加] をクリックします。次に、[OK] をクリックし、もう一度 [OK] をクリックします。

    注意

    同期サーバーの URL は、単純に https:// または http:// (セキュリティで保護された接続が必要であるかどうかに依存する) の後に、同期サーバーの完全修飾ドメイン名を続けたものです。 たとえば、「 https://sync1.contoso.com 」のように入力します。

複数のユーザーの属性にデータを挿入するには、Active Directory PowerShell を使用します。 手順 5. で説明した HR Sync Share Users グループのすべてのメンバーに対して属性を設定する例を次に示します。

$SyncServerURL = "https://sync1.contoso.com"
$GroupName = "HR Sync Share Users"

Get-ADGroupMember -Identity $GroupName |
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}

手順 10: 必要に応じて、Web アプリケーション プロキシ、Microsoft Entra アプリケーション プロキシ、または別のリバース プロキシを構成する

リモート ユーザーが自分のファイルにアクセスできる環境を整えるためには、リバース プロキシによってワーク フォルダーを公開して、外部のインターネットからワーク フォルダーを利用できるように構成する必要があります。 Web アプリケーション プロキシ、Microsoft Entra アプリケーション プロキシ、または別のリバース プロキシ ソリューションを使用できます。

AD FS と Web アプリケーション プロキシを使ってワーク フォルダーのアクセスを構成する手順については、「AD FS と Web アプリケーション プロキシ (WAP) を使ったワーク フォルダーの展開」をご覧ください。 Web アプリケーション プロキシの背景情報については、「Windows Server 2016 の Web アプリケーション プロキシ」を参照してください。 ワーク フォルダーなどのアプリケーションの、Web アプリケーション プロキシを使用したインターネット上への公開について詳しくは、「AD FS の事前認証を使用してアプリケーションを公開する」をご覧ください。

Microsoft Entra アプリケーション プロキシを使用してワーク フォルダー アクセスを構成するには、「Microsoft Entra アプリケーション プロキシを使用してワーク フォルダーへのリモート アクセスを有効にする」を参照してください。

手順 11: 必要に応じてグループ ポリシーを使用してドメインに参加している PC を構成する

ワーク フォルダーを展開する対象の、ドメインに参加している PC の数が多い場合は、グループ ポリシーを使用して、次のクライアント PC の構成タスクを実行できます。

  • ユーザーが同期する同期サーバーを指定する

  • 既定の設定を使用して、自動的にワーク フォルダーをセットアップする (この作業を行う前に「ワーク フォルダーの実装の設計」のグループ ポリシーに関する説明を参照してください)。

    これらの設定を制御するには、ワーク フォルダー用の新しいグループ ポリシー オブジェクト (GPO) を作成し、必要に応じて次のグループ ポリシー設定を構成します。

  • "ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "Work Folders の設定を指定する" ポリシー設定

  • "コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "すべてのユーザーに自動セットアップを強制する" ポリシー設定

注意

これらのポリシー設定は、Windows 8.1 または Windows Server 2012 R2 以降でグループ ポリシーの管理を実行しているコンピューターからグループ ポリシーを編集する場合にのみ利用できます。 以前のオペレーティング システムに含まれるバージョンのグループ ポリシーの管理では、この設定は利用できません。 これらのポリシー設定は、Windows 7 のワーク フォルダー アプリがインストールされている Windows 7 PC に適用されます。

その他の関連情報については、次の情報を参照してください。

コンテンツ タイプ 参考資料
戦略的レベルと - ワーク フォルダー
Planning - ワーク フォルダーの実装の設計
デプロイ - AD FS と Web アプリケーション プロキシ (WAP) を使ったワーク フォルダーの展開
- ワーク フォルダーのテスト ラボ展開 (ブログ記事)
- ワーク フォルダー サーバー URL の新しいユーザー属性 (ブログ投稿)
テクニカル リファレンス - [対話型ログオン: コンピューター アカウントのロックアウトのしきい値](/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj966264
- 同期共有のコマンドレットに関するページ