次の方法で共有

ワーク フォルダーの展開

この記事では、ワーク フォルダーをデプロイするために必要な手順について説明します。 ワーク フォルダー展開の 計画を既に読んでいるものとします。

複数のサーバーとテクノロジが関与する可能性があるプロセスである、ワーク フォルダーをデプロイするには、次の手順を使用します。

Tip

最も単純なワーク フォルダーの展開は、インターネット経由での同期をサポートしない 1 台のファイル サーバー (通常、同期サーバーと呼ばれる) です。これは、テスト ラボや、ドメインに参加しているクライアント コンピューターの同期ソリューションとして便利な展開です。 単純な展開を作成するための最小限の手順は次のとおりです。

  • 手順 1: SSL 証明書を取得する
  • 手順 2: DNS レコードを作成する
  • 手順 3: ファイル サーバーにワーク フォルダーをインストールする
  • 手順 4: 同期サーバーで SSL 証明書をバインドする
  • 手順 5: ワーク フォルダーのセキュリティ グループを作成する
  • 手順 7: ユーザー データの同期共有を作成する

手順 1: SSL 証明書を取得する

ワーク フォルダーでは、ワーク フォルダー クライアントとワーク フォルダー サーバーの間を HTTPS によって安全に同期する必要があります。 ワーク フォルダーで使用される SSL 証明書の要件は次のとおりです。

  • 証明書は信頼された証明機関によって発行されている必要があります。 証明書は、ドメインに参加していないインターネット ベースのデバイスによって使用されるため、ほとんどのワーク フォルダーの実装では、公的に信頼された CA を使用することをお勧めします。

  • 証明書は有効である必要があります。

  • 証明書の秘密キーは、(複数のサーバーに証明書をインストールする必要があるため) エクスポートできる必要があります。

  • 証明書のサブジェクト名には、インターネット経由でワーク フォルダー サービスを検出するために使用されるパブリックワーク フォルダー URL が含まれている必要があります。これは、 workfolders.<domain_name>の形式である必要があります。

  • 使用されている各同期サーバーのサーバー名を一覧表示する証明書に、サブジェクト代替名 (SAN) が存在している必要があります。

    The Work Folders Certificate Management blog provides additional information on using certificates with Work Folders.

手順 2: DNS レコードを作成する

ユーザーがインターネット経由で同期できるようにするには、パブリック DNS にホスト (A) レコードを作成して、インターネット クライアントがワーク フォルダー URL を解決できるようにする必要があります。 この DNS レコードは、リバース プロキシ サーバーの外部インターフェイスに解決される必要があります。

On your internal network, create a CNAME record in DNS named workfolders that resolves to the FDQN of a Work Folders server. ワーク フォルダー クライアントが自動検出を使用する場合、ワーク フォルダー サーバーの検出に使用される URL は次のとおりです: https://workfolders.domain.com. 自動検出を使用する場合は、workfolders CNAME レコードが DNS 内に存在する必要があります。

手順 3: ファイル サーバーにワーク フォルダーをインストールする

ワーク フォルダーは、ドメインに参加しているサーバーに、サーバー マネージャーまたは Windows PowerShell を使用して、ローカルまたはネットワーク経由でリモートからインストールできます。 これは、ネットワーク経由で複数の同期サーバーを構成している場合に役立ちます。

サーバー マネージャーで役割を展開するには、次の操作を行います。

  1. 役割と機能の追加ウィザードを起動します

  2. [ インストールの種類の選択 ] ページ で、[ロールベースまたは機能ベースの展開] を選択します。

  3. [ 移行先サーバーの選択 ] ページで、ワーク フォルダーをインストールするサーバーを選択します。

  4. [ サーバーの役割の選択 ] ページで、[ ファイル サービスと記憶域サービス] を展開し、[ ファイルと iSCSI サービス] を展開して、[ ワーク フォルダー] を選択します。

  5. IIS Hostable Web Core をインストールするかどうかを確認するメッセージが表示されたら、[OK] をクリックして、ワーク フォルダーに必要な最小限のバージョンのインターネット インフォメーション サービス (IIS) をインストールします。

  6. Click Next until you have completed the wizard.

Windows PowerShell を使用してこの役割を展開するには、次のコマンドレットを使用します。

Add-WindowsFeature FS-SyncShareService

手順 4: 同期サーバーで SSL 証明書をバインドする

ワーク フォルダーでは、IIS ホスト可能な Web コアがインストールされます。これは、IIS をフル インストールすることなく、Web サービスを有効にするように設計された IIS コンポーネントです。 IIS ホスト可能な Web コアをインストールした後、ファイル サーバーの既定の Web サイトにサーバーの SSL 証明書をバインドする必要があります。 ただし、IIS ホスト可能な Web コアでは、IIS 管理コンソールはインストールされません。

証明書を既定の Web インターフェイスにバインドするには、2 つのオプションがあります。 いずれのオプションを使用する場合も、コンピューターの個人用ストアに証明書の秘密キーをインストールしておく必要があります。

  • IIS 管理コンソールがインストールされているサーバーで IIS 管理コンソールを使用します。 コンソール内から、管理するファイル サーバーに接続し、そのサーバーの既定の Web サイトを選択します。 既定の Web サイトは無効として表示されますが、サイトのバインドを編集し、証明書を選択してその Web サイトにバインドすることはできます。

  • netsh コマンドを使用して証明書を既定の Web サイトの https インターフェイスにバインドします。 次のコマンドを実行して証明書をバインドします。 <Cert thumbprint> はバインドする証明書のサムプリント、<IP address> はサーバーの IP アドレス、<App GUID> は生成する GUID に置き換えてください。 You can generate a GUID using the New-Guid cmdlet in Windows PowerShell.

    netsh http add sslcert ipport=<IP address>:443 certhash=<Cert thumbprint> appid={App GUID} certstorename=MY

手順 5: ワーク フォルダーのセキュリティ グループを作成する

同期共有を作成する前に、Domain Admins グループまたは Enterprise Admins グループのメンバーが Active Directory Domain Services (AD DS) にワーク フォルダー用のセキュリティ グループをいくつか作成する必要があります (手順 6 で説明されているように、特定のコントロールの委任も必要になる場合があります)。 必要なグループは次のとおりです。

  • 同期共有との同期が許可されているユーザーを指定するために、同期共有ごとに 1 つのグループ。

  • ワーク フォルダー管理者が、(複数の同期サーバーを使用する場合に) ユーザーを適切な同期サーバーにリンクする各ユーザー オブジェクトの属性を編集できるように、すべてのワーク フォルダー管理者用に 1 つのグループ。

    他のセキュリティ要件との潜在的な競合を回避できるように、グループは標準的な命名規則に従い、ワーク フォルダーについてのみ使用してください。

    適切なセキュリティ グループを作成するには、次の手順を複数回実行します。各同期共有について 1 回、必要に応じてファイル サーバー管理者のグループを作成するために 1 回実行します。

ワーク フォルダーのセキュリティ グループを作成するには

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. On the Tools menu, click Active Directory Administration Center. Active Directory 管理センターが表示されます。

  3. Right-click the container where you want to create the new group (for example, the Users container of the appropriate domain or OU), click New, and then click Group.

  4. In the Create Group window, in the Group section, specify the following settings:

    • In Group name, type the name of the security group, for example: HR Sync Share Users, or Work Folders Administrators.

    • In Group scope, click Security, and then click Global.

  5. In the Members section, click Add. [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスが表示されます。

  6. Type the names of the users or groups to which you grant access to a particular sync share (if you're creating a group to control access to a sync share), or type the names of the Work Folders administrators (if you're going to configure user accounts to automatically discover the appropriate sync server), click OK, and then click OK again.

Windows PowerShell を使用してセキュリティ グループを作成するには、次のコマンドレットを使用します。

$GroupName = "Work Folders Administrators"
$DC = "DC1.contoso.com"
$ADGroupPath = "CN=Users,DC=contoso,DC=com"
$Members = "CN=Maya Bender,CN=Users,DC=contoso,DC=com","CN=Irwin Hume,CN=Users,DC=contoso,DC=com"

New-ADGroup -GroupCategory:"Security" -GroupScope:"Global" -Name:$GroupName -Path:$ADGroupPath -SamAccountName:$GroupName -Server:$DC
Set-ADGroup -Add:@{'Member'=$Members} -Identity:$GroupName -Server:$DC

手順 6: 必要に応じてユーザー属性の制御をワーク フォルダー管理者に委任する

複数の同期サーバーを展開し、適切な同期サーバーに自動的にユーザーを誘導する場合、AD DS で各ユーザー アカウントの属性を更新する必要があります。 ただし、通常、この属性を更新するには、Domain Admins グループまたは Enterprise Admins グループのメンバーになる必要がありますが、頻繁にユーザーを追加したり、同期サーバー間でユーザーを移動したりする必要がある場合、これは面倒な作業になる可能性があります。

そのため、Domain Admins グループまたは Enterprise Admins グループのメンバーは、次の手順で説明するように、ユーザー オブジェクトの msDS-SyncServerURL プロパティを変更する権限を、手順 5. で作成したワーク フォルダー管理者グループに委任する場合があります。

AD DS でユーザー オブジェクトの msDS-SyncServerURL プロパティを編集する権限を委任する

  1. Windows Server 2012 R2 または Windows Server 2016 が実行され、Active Directory ユーザーとコンピューターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. On the Tools menu, click Active Directory Users and Computers. Active Directory ユーザーとコンピューターが表示されます。

  3. Right-click the OU under which all user objects exist for Work Folders (if users are stored in multiple OUs or domains, right-click the container that is common to all of the users), and then click Delegate Control…. オブジェクト制御の委任ウィザードが表示されます。

  4. [ ユーザーまたはグループ ] ページで、[ 追加 ] をクリックし、ワーク フォルダー管理者 (ワーク フォルダー管理者 など) 用に作成したグループを指定します。

  5. [ 委任するタスク] ページで、[ 委任するカスタム タスクの作成] をクリックします。

  6. [ Active Directory オブジェクトの種類 ] ページ で、フォルダー内の次のオブジェクトのみをクリックし、[ ユーザー オブジェクト ] チェック ボックスをオンにします。

  7. On the Permissions page, clear the General checkbox, select the Property-specific checkbox, and then select the Read msDS-SyncServerUrl, and Write msDS-SyncServerUrl checkboxes.

Windows PowerShell を使用してユーザー オブジェクトの msDS-SyncServerURL のプロパティを編集する権限を委任するには、DsAcls コマンドを利用する次のサンプル スクリプトを使用します。

$GroupName = "Contoso\Work Folders Administrators"
$ADGroupPath = "CN=Users,dc=contoso,dc=com"

DsAcls $ADGroupPath /I:S /G ""$GroupName":RPWP;msDS-SyncServerUrl;user"

Note

ユーザー数の多いドメインでは、委任操作に時間がかかる場合があります。

手順 7: ユーザー データの同期共有を作成する

この時点で、ユーザーのファイルを格納する同期サーバー上のフォルダーを指定する準備ができました。 このフォルダーは同期共有と呼ばれ、1 つの同期共有を作成するには、次の手順を実行します。

  1. 同期共有と同期共有に格納されるユーザー ファイル用の空き領域がある NTFS ボリュームがない場合は、新しいボリュームを作成し、NTFS ファイル システムでフォーマットします。

  2. サーバー マネージャーで、[ ファイル サービスと記憶域サービス] をクリックし、[ ワーク フォルダー] をクリックします。

  3. 既存の同期共有の一覧が詳細ウィンドウの上部に表示されます。 To create a new sync share, from the Tasks menu choose New Sync Share…. 新しい同期共有ウィザードが表示されます。

  4. [ サーバーとパスの選択 ] ページで、同期共有を格納する場所を指定します。 このユーザー データに対して作成されたファイル共有がある場合は、その共有を選択できます。 新しいフォルダーを作成することもできます。

    Note

    (既存のファイル共有を選択しない場合) 既定では、ファイル共有によって同期共有に直接アクセスすることはできません。 If you want to make a sync share accessible via a file share, use the Shares tile of Server Manager or the New-SmbShare cmdlet to create a file share, preferably with access-based enumeration enabled.

  5. [ ユーザー フォルダーの構造の指定 ] ページで、同期共有内のユーザー フォルダーの名前付け規則を選択します。 次の 2 つの選択肢があります。

    • User alias creates user folders that don't include a domain name. 既にフォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用している場合は、この命名規則を選択します。 必要に応じて、[ 次のサブフォルダーのみを同期 する] チェック ボックスをオンにして、ドキュメント フォルダーなどの特定のサブフォルダーのみを同期できます。

    • User alias@domain creates user folders that include a domain name. フォルダー リダイレクトや別のユーザー データ ソリューションで使用中のファイル共有を使用しない場合、この命名規則を選択すると、共有の複数のユーザーのエイリアスが同じである場合にフォルダー名の競合を回避できます (複数のユーザーが異なるドメインに属する場合に、このような競合が発生することがあります)。

  6. [ 同期共有名の入力 ] ページで、同期共有の名前と説明を指定します。 これはネットワークでアドバタイズされませんが、サーバー マネージャーや Windows PowerShell で表示されるため、同期共有を互いに区別するのに役立ちます。

  7. [ グループへの同期アクセスの許可 ] ページで、この同期共有を使用できるユーザーを一覧表示する作成したグループを指定します。

    Important

    パフォーマンスとセキュリティを向上させるには、個々のユーザーではなくグループにアクセスを許可し、Authenticated Users や Domain Users などの一般的なグループを避けてできるだけ具体的に指定します。 ユーザー数の多いグループにアクセスを許可すると、ワーク フォルダーが AD DS に照会するのにかかる時間が長くなります。 ユーザー数が多い場合は、複数の同期共有を作成すると負荷を分散させるのに役立ちます。

  8. [ デバイス ポリシーの指定 ] ページで、クライアント PC とデバイスのセキュリティ制限を要求するかどうかを指定します。 個別に選択できる 2 つのデバイス ポリシーがあります:

    • ワーク フォルダーの暗号化 クライアント PC とデバイスでワーク フォルダーを暗号化する要求

    • 画面を自動的にロックし、パスワードを要求する クライアント PC とデバイスが 15 分後に画面を自動的にロックするように要求し、画面のロックを解除するには 6 文字以上のパスワードを必要とし、10 回再試行に失敗した後にデバイス ロックアウト モードをアクティブにします

      Important

      Windows 7 PC と、ドメインに参加している PC 上の非管理者に対してパスワード ポリシーを適用するには、コンピューター ドメインに対してグループ ポリシーのパスワード ポリシーを使用し、ワーク フォルダー パスワード ポリシーから対象のドメインを除外します。 You can exclude domains by using the Set-Syncshare -PasswordAutoExcludeDomain cmdlet after creating the sync share. For information about setting Group Policy password policies, see Password Policy.

  9. 選択内容を確認し、ウィザードを完了して同期共有を作成します。

You can create sync shares using Windows PowerShell by using the New-SyncShare cmdlet. この方法の例を次に示します。

New-SyncShare "HR Sync Share" K:\Share-1 –User "HR Sync Share Users"

上の例では、パス K:\Share-1 を使用して HR Sync Share という名前の新しい同期共有を作成し、HR Sync 共有ユーザーという名前のグループにアクセス権を付与します。

Tip

同期共有を作成すると、ファイル サーバー リソース マネージャーの機能を使用して、共有内のデータを管理できます。 For example, you can use the Quota tile inside the Work Folders page in Server Manager to set quotas on the user folders. ファイル スクリーン管理 を使用して、ワーク フォルダーが同期するファイルの種類を制御したり、「 ダイナミック アクセス制御 」で説明されているシナリオを使用して、より高度なファイル分類タスクを実行することもできます。

手順 8: 必要に応じてテクニカル サポートの電子メール アドレスを指定する

ファイル サーバーにワーク フォルダーをインストールした後、必要に応じて、サーバーの管理部門の連絡先電子メール アドレスを指定できます。 電子メール アドレスを追加するには、次の手順に従います。

管理部門の連絡先メール アドレスを指定する

  1. サーバー マネージャーで、[ ファイル サービスと記憶域サービス] をクリックし、[ サーバー] をクリックします。

  2. 同期サーバーを右クリックし、[ ワーク フォルダーの設定] をクリックします。 [ワーク フォルダーの設定] ウィンドウが表示されます。

  3. In the navigation pane, click Support Email and then type the email address or addresses that users should use when emailing for help with Work Folders. Click OK when you're finished.

    ワーク フォルダーのユーザーは、コントロール パネルの [ワーク フォルダー] 項目にあるリンクをクリックすることによって、ここで指定したアドレスに、クライアント PC の診断情報を含む電子メールを送信できます。

手順 9: 必要に応じてサーバー自動検出をセットアップする

If you are hosting multiple sync servers in your environment, you should configure server automatic discovery by populating the msDS-SyncServerURL property on user accounts in AD DS.

Note

Active Directory の msDS-SyncServerURL プロパティは、Web アプリケーション プロキシや Microsoft Entra アプリケーション プロキシなどのリバース プロキシ ソリューションを介してワーク フォルダーにアクセスするリモート ユーザーに対して定義しないでください。 msDS-SyncServerURL プロパティを定義すると、ワーク フォルダー クライアントは、リバース プロキシ ソリューション経由でアクセスできない内部 URL へのアクセスを試みます。 Web アプリケーション プロキシまたは Microsoft Entra アプリケーション プロキシを使用する場合は、ワーク フォルダー サーバーごとに固有のプロキシ アプリケーションを作成する必要があります。 詳細については、「 AD FS と Web アプリケーション プロキシを使用したワーク フォルダーの展開:Microsoft Entra アプリケーション プロキシを使用したワーク フォルダーの概要または展開」を参照してください。

この作業を行う前に、Windows Server 2012 R2 のドメイン コントローラーをインストールするか、Adprep /forestprep コマンドと Adprep /domainprep コマンドを使用して、フォレストとドメインのスキーマを更新する必要があります。 For information on how to safely run these commands, see Running Adprep.

手順 5. と手順 6. で説明したように、ファイル サーバー管理者のセキュリティ グループを作成し、この特定のユーザーの属性を変更するためのアクセス許可を委任することもできます。 これらの手順を実行していない場合、Domain Admins グループまたは Enterprise Admins グループのメンバーになり、各ユーザーの自動検出を構成する必要があります。

ユーザーの同期サーバーを指定するには

  1. Active Directory 管理センターがインストールされているコンピューターで、サーバー マネージャーを開きます。

  2. On the Tools menu, click Active Directory Administration Center. Active Directory 管理センターが表示されます。

  3. Navigate to the Users container in the appropriate domain, right-click the user you want to assign to a sync share, and then click Properties.

  4. In the Navigation pane, click Extensions.

  5. Click the Attribute Editor tab, select msDS-SyncServerUrl and then click Edit. [複数値の文字列エディター] ダイアログ ボックスが表示されます。

  6. [ 追加する値 ] ボックスに、このユーザーの同期に使用する同期サーバーの URL を入力し、[ 追加] をクリックし、[ OK] をクリックして、もう一度 [OK] をクリックします

    Note

    同期サーバーの URL は、単純に https:// または http:// (セキュリティで保護された接続が必要であるかどうかに依存する) の後に、同期サーバーの完全修飾ドメイン名を続けたものです。 たとえば、「 https://sync1.contoso.com 」のように入力します。

複数のユーザーの属性にデータを挿入するには、Active Directory PowerShell を使用します。 手順 5 で説明した HR 同期共有ユーザー グループのすべてのメンバーの属性を設定する例を次に示します。

$SyncServerURL = "https://sync1.contoso.com"
$GroupName = "HR Sync Share Users"

Get-ADGroupMember -Identity $GroupName |
Set-ADUser –Add @{"msDS-SyncServerURL"=$SyncServerURL}

手順 10: 必要に応じて、Web アプリケーション プロキシ、Microsoft Entra アプリケーション プロキシ、または別のリバース プロキシを構成する

リモート ユーザーが自分のファイルにアクセスできる環境を整えるためには、リバース プロキシによってワーク フォルダーを公開して、外部のインターネットからワーク フォルダーを利用できるように構成する必要があります。 Web アプリケーション プロキシ、Microsoft Entra アプリケーション プロキシ、または別のリバース プロキシ ソリューションを使用できます。

AD FS と Web アプリケーション プロキシを使用してワーク フォルダー アクセスを構成するには、「 AD FS と Web アプリケーション プロキシ (WAP) を使用したワーク フォルダーの展開」を参照してください。 Web アプリケーション プロキシの背景情報については、「 Windows Server 2016 の Web アプリケーション プロキシ」を参照してください。 Web アプリケーション プロキシを使用してインターネット上のワーク フォルダーなどのアプリケーションを発行する方法の詳細については、「 AD FS 事前認証を使用したアプリケーションの発行」を参照してください。

Microsoft Entra アプリケーション プロキシを使用してワーク フォルダー アクセスを構成するには、「Microsoft Entra アプリケーション プロキシを使用してワーク フォルダーへのリモート アクセスを有効にする」を参照してください。

手順 11: 必要に応じてグループ ポリシーを使用してドメインに参加している PC を構成する

ワーク フォルダーを展開する対象の、ドメインに参加している PC の数が多い場合は、グループ ポリシーを使用して、次のクライアント PC の構成タスクを実行できます。

  • ユーザーが同期する同期サーバーを指定する

  • 既定の設定を使用して、ワーク フォルダーを自動的に設定するように強制します (これを行う前に、「 ワーク フォルダーの実装の設計 」のグループ ポリシーの説明を確認してください)

    これらの設定を制御するには、ワーク フォルダー用の新しいグループ ポリシー オブジェクト (GPO) を作成し、必要に応じて次のグループ ポリシー設定を構成します。

  • "ユーザーの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "Work Folders の設定を指定する" ポリシー設定

  • "コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\WorkFolders" の "すべてのユーザーに自動セットアップを強制する" ポリシー設定

Note

これらのポリシー設定は、Windows 8.1 または Windows Server 2012 R2 以降でグループ ポリシーの管理を実行しているコンピューターからグループ ポリシーを編集する場合にのみ利用できます。 以前のオペレーティング システムに含まれるバージョンのグループ ポリシーの管理では、この設定は利用できません。 これらのポリシー設定は、Windows 7 アプリ のワーク フォルダー がインストールされている Windows 7 PC に適用されます。

その他の関連情報については、次の情報を参照してください。

Content type References
Understanding - Work Folders
Planning - ワーク フォルダーの実装の設計
Deployment - AD FS と Web アプリケーション プロキシ (WAP) を使用したワーク フォルダーの展開
- ワーク フォルダー テスト ラボ 展開 (ブログ投稿)
- ワーク フォルダー サーバー URL の新しいユーザー属性 (ブログ記事)
Technical Reference - [対話型ログオン: コンピューター アカウントのロックアウトのしきい値](/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/jj966264
- 同期共有コマンドレット