このトピックでは、ワーク フォルダーの実装の設計プロセスについて説明します。次のような背景知識がある読者を想定しています。
Active Directory ドメイン サービス (AD DS) の概念についての基本的な理解があること
Windows のファイル共有と関連するテクノロジについての基本的な理解があること
SSL 証明書の使用についての基本的な理解があること
Web リバース プロキシによる内部リソースへの Web アクセスの有効化についての基本的な理解があること
以降のセクションは、ワーク フォルダーの実装を設計する際に役立ちます。 ワーク フォルダーの展開については、次のトピック「ワーク フォルダーの展開」で説明しています。
ソフトウェア要件
ワーク フォルダーには、ファイル サーバーとネットワーク インフラストラクチャについて、次のソフトウェア要件があります。
ユーザー ファイルの同期共有をホストするための、Windows Server 2012 R2 または Windows Server 2016 を実行するサーバー
ユーザー ファイルを格納するための NTFS ファイル システムでフォーマットされたボリューム
Windows 7 PC でパスワード ポリシーを適用するには、グループ ポリシー パスワード ポリシーを使用する必要があります。 また、ワーク フォルダー パスワード ポリシーから Windows 7 PC を除外する必要もあります (使用している場合)。
ワーク フォルダーをホストする各ファイル サーバーのサーバー証明書。 これらの証明書には、ユーザーによって信頼されている証明機関 (CA)、できればパブリック CA から発行された証明書を使用してください。
(省略可能) 複数のファイル サーバーを使用する場合、PC やデバイスでの適切なファイル サーバーの自動参照をサポートする、Windows Server 2012 R2 のスキーマ拡張機能を使用した Active Directory Domain Services フォレスト。
ユーザーがインターネット経由で同期できるようにするには、追加の要件があります。
組織のリバース プロキシまたはネットワーク ゲートウェイで公開規則を作成することによって、インターネットからサーバーへのアクセスを可能にする機能。
(省略可能) パブリックに登録されたドメイン名と、ドメインの追加のパブリック DNS レコードを作成する機能。
(省略可能) AD FS の認証を使用する場合、Active Directory フェデレーション サービス (AD FS) インフラストラクチャ。
ワーク フォルダーでは、クライアント コンピューターに次のソフトウェア要件があります。
コンピューターでは、次のいずれかのオペレーティング システムを実行している必要があります。
ウィンドウズ10
Windows 8.1
Windows RT 8.1
Windows 7
Android 4.4 KitKat 以降
iOS 10.2 以降
Windows 7 PC では、Windows の次のいずれかのエディションを実行している必要があります。
Windows 7 Professional
Windows 7 Ultimate
Windows 7 Enterprise
Windows 7 PC は、組織のドメインに参加する必要があります (ワークグループには参加できません)。
NTFS フォーマットされたローカル ドライブ上で、ワーク フォルダー内のすべてのユーザー ファイルを格納するのに十分な空き領域。既定の設定のように、ワーク フォルダーがシステム ドライブ上にある場合は、追加で 6 GB の空き領域。 ワーク フォルダーでは、既定で次の場所が使用されます 。\ワーク フォルダー%USERPROFILE%
ただし、ユーザーはセットアップ時にこの場所を変更できます (NTFS ファイル システムでフォーマットされた microSD カードや USB ドライブはサポートされている場所ですが、ドライブを取り外すと同期は停止されます)。
既定では、個々のファイルの最大サイズは 10 GB です。 管理者はファイル サーバー リソース マネージャーのクォータ機能を使用してクォータを実装できますが、ユーザーごとの記憶域の制限はありません。
ワーク フォルダーでは、クライアントの仮想マシンについて、仮想マシンの状態のロールバックはサポートされていません。 代わりにシステム イメージ バックアップまたはその他のバックアップ アプリを使って、クライアント仮想マシン内からバックアップと復元操作を実行します。
Note
すべてのワーク フォルダー サーバーおよび Windows 8.1 または Windows Server 2012 R2 を実行しているすべてのクライアント コンピューターに、Windows 8.1 および Windows Server 2012 R2 一般公開用の更新プログラムのロールアップをインストールしていることを確認します。 詳細については、Microsoft サポート技術情報 の記事 2883200 を参照してください。
展開のシナリオ
ワーク フォルダーは、ユーザーの環境内の任意の数のファイル サーバーで実装できます。 これにより、ワーク フォルダーの実装をユーザーのニーズに基づいて拡大、縮小でき、高度に個別化された展開を実現できます。 ただし、ほとんどの展開は、次の 3 種類の基本的なシナリオのいずれかに当てはまります。
シングルサイト デプロイメント
単一サイト展開では、ファイル サーバーは、ユーザーのインフラストラクチャの中心となるサイト内でホストされます。 この種類の展開は、通常、一元化されたインフラストラクチャを使用するユーザーや、ローカル ファイル サーバーを保持しない小規模なブランチ オフィスのユーザーの環境で行われます。 この展開モデルは、すべてのサーバー資産がローカルであり、この場所ではインターネットの入り口と出口も同様に一元化されるため、IT 担当者は管理が容易になります。 ただし、この展開モデルは、中央サイトとブランチ オフィスとの間の高品質な WAN 接続に依存しており、ブランチ オフィスのユーザーはネットワークの状態によるサービス中断の影響を受けやすくなります。
複数サイトデプロイ
複数サイト展開では、ファイル サーバーは、ユーザーのインフラストラクチャ内の複数の場所でホストされます。 これは複数のデータセンターを意味する場合も、ブランチ オフィスにそれぞれファイル サーバーが保持されていることを意味する場合もあります。 この種類の展開は、通常、大規模なユーザー環境や、ローカル サーバー資産を保持する大規模な複数のブランチ オフィスを持つユーザーの環境で行われます。 この展開モデルは、IT 担当者にとって管理がより複雑になり、ユーザーがワーク フォルダー用の適切な同期サーバーを使用していることを保証するには、データ記憶域の慎重な調整と、Active Directory ドメイン サービス (AD DS) のメンテナンスが必要になります。
ホステッドデプロイメント
ホスト型展開では、同期サーバーは Windows Azure VM と同様の IAAS (サービスとしてのインフラストラクチャ) ソリューションとして展開されます。 この展開方法には、ファイル サーバーの可用性が、ユーザーの企業内の WAN 接続に依存する度合いを小さくできるという利点があります。 デバイスがインターネットに接続できる場合、同期サーバーにアクセスできます。 ただし、ホスト型環境に展開されたサーバーでも、ユーザーを認証するために組織の Active Directory ドメインに到達できる必要があり、ユーザーがオンプレミスのインフラストラクチャの要件を満たすには、接続のメンテナンスにおける複雑さが増大します。
デプロイ テクノロジ
ワーク フォルダーの展開は、内部ネットワークと外部ネットワークの両方で、連携してデバイスにサービスを提供する複数のテクノロジから構成されます。 ワーク フォルダーの展開を設計する前に、ユーザーは次の各テクノロジの要件について理解している必要があります。
Active Directory Domain Services
AD DS は、ワーク フォルダーの展開で 2 つの重要なサービスを提供します。 まず、Windows 認証のバックエンドとして、AD DS はユーザー データへのアクセスを許可するために使用されるセキュリティおよび認証サービスを提供します。 ドメイン コントローラーに到達できない場合、ファイル サーバーは着信要求を認証できず、デバイスはそのファイル サーバーの同期共有に格納されたデータにアクセスできません。
さらに、AD DS は (Windows Server 2012 R2 のスキーマの更新により)、各ユーザーの msDS-SyncServerURL 属性を管理します。この属性は、ユーザーを適切な同期サーバーに自動的に誘導するために使用されます。
ファイル サーバー
Windows Server 2012 R2 または Windows Server 2016 を実行しているファイル サーバーは、ワーク フォルダーの役割サービスをホストし、ユーザーのワーク フォルダーのデータを格納する同期共有をホストします。 また、ファイル サーバーは、内部ネットワークで動作する他のテクノロジで格納されたデータ (ファイル共有など) をホストすることができ、ユーザー データのフォールト トレランスを提供するためにクラスター化できます。
グループ ポリシー
環境内で Windows 7 PC をご利用の場合は、次のことをお勧めします。
ワーク フォルダーを使用する、ドメインに参加しているすべての PC では、パスワード ポリシーを制御するためにグループ ポリシーを使用します。
ドメインに参加していない PC で、ワーク フォルダー [自動的に画面をロックする (パスワードが必要)] ポリシーを使用します。
グループ ポリシーを使用して、ドメインに参加している PC に対してワーク フォルダー サーバーを指定することもできます。 これによって、ワーク フォルダーのセットアップが若干簡素化されます。グループ ポリシーを使用しない場合、ユーザーは設定を検索するために職場の電子メール アドレスを入力する (ワーク フォルダーが正しくセットアップされている場合) か、電子メールやその他の通信手段で明示的に指定したワーク フォルダーの URL を入力する必要があります。
また、グループ ポリシーを使用することによって、ワーク フォルダーを強制的にユーザー ベースまたはコンピューター ベースでセットアップすることもできます。ただし、この場合、ユーザーがサインインするすべての PC でワーク フォルダーが同期されるようになったり (ユーザーごとのポリシー設定を使用する場合)、PC 上のワーク フォルダーとして別の場所を指定することができなくなったりします (プライマリ ドライブの領域を節約するために microSD カードを指定する場合など)。 自動セットアップを強制する前に、ユーザーのニーズを慎重に評価することをお勧めします。
Windows Intune(ウィンドウズ インチューン)
Windows Intune も、他の方法では表示されない、ドメインに参加していないデバイスにセキュリティと管理のレイヤーを提供します。 Windows Intune を使用すると、インターネット経由でワーク フォルダーに接続する、タブレットなどのユーザーの個人用デバイスを構成および管理できます。 Windows Intune では、使用する同期サーバーの URL をデバイスに提供できます。それ以外の場合、ユーザーは仕事用メール アドレスを入力して設定を参照するか (https://workfolders.の形式でパブリックワーク フォルダー URL を発行する場合 contoso.com)、同期サーバーの URL を直接入力する必要があります。
Windows Intune を展開していない場合、ユーザーは外部デバイスを手動で構成する必要があり、ヘルプ デスクのスタッフに対する要望が増加する可能性があります。
Windows Intune を使用して、ユーザーの他のデータには影響を与えることなく、ユーザーのデバイス上のワーク フォルダーからデータを消去できます。これは、ユーザーが組織から離れる場合や、ユーザーのデバイスが盗まれた場合に役立ちます。
Web アプリケーション プロキシまたは Microsot Entra アプリケーション プロキシ
ワーク フォルダーの中心的なコンセプトは、インターネットに接続されたデバイスが、内部ネットワークにあるビジネス データを安全に取得できることです。これによって、ユーザーは、通常は仕事用のファイルにアクセスできないタブレットやデバイスで、"どこでもデータを取得" できます。 そのためには、リバース プロキシを使用して、同期サーバーの URL を公開し、インターネット クライアントから利用できるようにする必要があります。
ワーク フォルダーは、Web アプリケーション プロキシ、Microsoft Entra アプリケーション プロキシ、またはサード パーティのリバース プロキシ ソリューションの使用をサポートしています。
Web アプリケーション プロキシは、オンプレミスのリバース プロキシ ソリューションです。 詳細については、「Windows Server 2016 の Web アプリケーション プロキシ」を参照してください。
Microsoft Entra アプリケーション プロキシは、クラウドのリバース プロキシ ソリューションです。 詳細については、オンプレミス アプリケーションへの安全なリモート アクセスを実現する方法」を参照してください
その他の設計の考慮事項
これまでに説明した各コンポーネントの理解に加え、ユーザーは設計する際に、運用する同期サーバーと共有の数、およびフェールオーバー クラスタリングを利用してこれらの同期サーバーでフォールト トレランスを提供するかどうかを時間をかけて考慮する必要があります。
同期サーバーの数
ユーザーは環境内の複数の同期サーバーを操作することができます。 これは、いくつかの理由から望ましい構成と言えます。
ユーザーの地理的な分散: たとえば、ブランチ オフィスのファイル サーバーや地域のデータセンターなどです。
データ記憶域の要件: 特定のビジネス部門に特定のデータ記憶や処理の要件があり、専用のサーバーを使用すると容易に対応できる場合があります。
負荷分散: 大規模な環境では、複数のサーバーでユーザー データを格納すると、サーバーのパフォーマンスや稼働時間が向上する場合があります。
ワーク フォルダーのサーバーのスケーリングとパフォーマンスについては、 ワーク フォルダーの展開のパフォーマンスに関する考慮事項に関するページを参照してください。
Note
複数の同期サーバーを使用する場合、ユーザーの自動サーバー検出を設定することをお勧めします。 このプロセスは、AD DS でユーザー アカウントごとに属性の構成を使用します。 この属性は msDS-SyncServerURL という名前で、Windows Server 2012 R2 ドメイン コントローラーがドメインに追加されるか、Active Directory スキーマの更新が適用された後、ユーザー アカウントで使用できるようになります。 この属性は、ユーザーが適切な同期サーバーに接続できるように、各ユーザーについて設定してください。 自動サーバー検出を使用することによって、組織では、稼働中の同期サーバーの数に関係なく、https://workfolders.contoso.com などの "わかりやすい" URL でワーク フォルダーを公開できます。
同期共有の数
個々の同期サーバーで、複数の同期共有を管理できます。 これは、次のような理由で役立ちます。
監査とセキュリティ要件: 特定の部門で使用されるデータを厳密に監査したり、より長い期間保持する必要がある場合、個別の同期共有によって、管理者は監査レベルごとにユーザー フォルダーを分けることができます。
異なるクォータまたはファイル スクリーン: さまざまなユーザー グループに対して、異なるストレージ クォータを設定したり、ワーク フォルダーで許容されるファイルの種類を制限したり (ファイル スクリーン) する場合は、同期共有を分離すると便利です。
部門別の管理: 管理作業が部門ごとに区分されている場合は、部門ごとに分離された共有を利用することによって、管理者がクォータやその他のポリシーを適用する際に役立ちます。
異なるデバイス ポリシー: 組織が異なるユーザー グループごとに複数のデバイス ポリシー (ワーク フォルダーの暗号化など) を保持する必要がある場合、複数の共有を使用することによって、これを実現できます。
記憶域容量: ファイル サーバーに複数のボリュームがある場合、追加の共有を使用することによって、これらの追加のボリュームを活用できます。 個々の共有は、その共有がホストされているボリュームにのみアクセスし、ファイル サーバー上の追加のボリュームを利用することはできません。
同期共有へのアクセス
ユーザーがアクセスする同期サーバーは、クライアントで入力された URL (または、サーバー自動検出を使用する場合は AD DS でそのユーザーに公開された URL) によって決まりますが、個々の同期共有へのアクセスは、共有で設定されているアクセス許可によって決まります。
この結果、同じサーバーで複数の同期共有をホストしている場合、個々のユーザーに対して、それらの共有のいずれかにのみアクセスできるアクセス許可が設定されるように注意する必要があります。 このように設定されていない場合、ユーザーがサーバーに接続するときに、クライアントが誤った共有に接続される可能性があります。 これは、同期共有ごとに異なるセキュリティ グループを作成することによって実現できます。
さらに、同期共有内の個々のユーザーのフォルダーへのアクセスは、フォルダーの所有権によって決まります。 同期共有を作成する場合、ワーク フォルダーの既定では、ユーザーに各自のファイルへの排他的アクセスが許可されます (継承は無効になり、ユーザーが各自の個々のフォルダーの所有者になります)。
設計チェックリスト
以下の設計に関する一連の質問は、環境に最適なワーク フォルダーの実装を設計できるようにすることを目的としています。 サーバーを展開する前に、このチェック リストの内容をすべて検討してください。
対象ユーザー
どのようなユーザーがワーク フォルダーを使用しますか。
ユーザーはどのように構成されていますか (地理的、オフィスごと、部門ごとなど)。
データ記憶域、セキュリティ、または保持について特別な要件を持つユーザーはいますか。
暗号化など、特定のデバイス ポリシーの要件を持つユーザーはいますか。
どのクライアント コンピューターやデバイスをサポートする必要がありますか (Windows 8.1、Windows RT 8.1、Windows 7)。
Windows 7 PC がサポートされている際にパスワード ポリシーを使用する場合は、コンピューター アカウントが保存されているドメインをワーク フォルダー パスワード ポリシーから除外し、代わりにそのドメインで、ドメインに参加している PC に対してグループ ポリシー パスワード ポリシーを使用してください。
フォルダー リダイレクトなど、他のユーザー データ管理ソリューションとの相互運用や移行の必要がありますか。
複数のドメインのユーザーが、インターネット経由で 1 台のサーバーと同期する必要がありますか。
ドメインに参加している PC のローカル Administrators グループのメンバーではないユーザーをサポートする必要がありますか (その場合、暗号化ポリシーやパスワード ポリシーなど、ワーク フォルダーのデバイス ポリシーから関連ドメインを除外する必要があります)。
インフラストラクチャと容量の計画
ネットワーク上のどのサイトに同期サーバーを配置しますか。
Azure VM と同様に、IaaS (サービスとしてのインフラストラクチャ) プロバイダーによってホストされる同期サーバーはありますか。
特定のユーザー グループに対して専用サーバーが必要ですか。その場合、各専用サーバーのユーザー数は何人ですか。
インターネットの入り口/出口はネットワーク上のどこにありますか。
同期サーバーはフォールト トレランスのためにクラスター化されますか。
同期サーバーは、ユーザー データをホストするために複数のデータ ボリュームを保持する必要がありますか。
データ セキュリティ
同期サーバーに複数の同期共有を作成する必要がありますか。
同期共有へのアクセスを提供するためにどのようなグループが使用されますか。
複数の同期サーバーを使用している場合、ユーザー オブジェクトの msDS-SyncServerURL プロパティを変更する委任された機能について、どのようなセキュリティ グループを作成しますか。
個々の同期共有について、特別なセキュリティまたは監査の要件はありますか。
多要素認証 (MFA) は必要ですか。
PC やデバイスからワーク フォルダーのデータをリモートで消去する機能は必要ですか。
デバイス アクセス
インターネット ベースのデバイスにアクセスを提供するためにどのような URL が使用されますか (メール ベースの自動サーバー検出に必要な既定の URL は workfolders.domainname です)。
URL は、どのようにインターネットに公開されますか。
自動サーバー検出は使用されますか。
ドメインに参加している PC を構成するためにグループ ポリシーが使用されますか。
外部デバイスを構成するために Windows Intune が使用されますか。
デバイスが接続するために、デバイス登録が必要ですか。
次のステップ
ワーク フォルダーの実装を設計したら、ワーク フォルダーを展開します。 詳細については、「ワーク フォルダーの展開」を参照してください。
その他の参照情報
その他の関連情報については、次の情報を参照してください。
| コンテンツの種類 | References |
|---|---|
| 製品評価 |
-
ワーク フォルダー - Work Folders for Windows 7 (ブログ記事) |
| Deployment |
-
ワーク フォルダーの実装の設計 - ワーク フォルダーの展開 - AD FS と Web アプリケーション プロキシ (WAP) を使ったワーク フォルダーの展開 - Microsoft Entra アプリケーション プロキシを使ったワーク フォルダーの展開 - ワーク フォルダーの展開のパフォーマンスに関する考慮事項 - Work Folders for Windows 7 (64 ビット版のダウンロード) - Work Folders for Windows 7 (32 ビット版のダウンロード) - ワーク フォルダーのテスト ラボ展開 (ブログ記事) |