2012年7月5日木曜日

[Office365/AD FS2.0] クライアント・アクセス・ポリシー・ビルダー


Office365 を AD FS2.0 と連携された環境で使う最大のメリットはオンプレミスの Active Directory とのシングルサインオンですが、他にも細かなアクセス制御を行うことが出来る、という重要なメリットがあります。
※AD FS2.0 Rollup 1 以降(Rollup 1 についてはこちら


例えば、先月公開された Directory Services Team の blog では、

  • 社内ネットワーク以外からは Outlook 経由でメールを見れなくする
  • 特定のセキュリティグループに属するアカウントに ActiveSync を使わせない
  • 特定のセキュリティグループに属するアカウントは社内ネットワーク以外から OWA を使わせない
  • 全 OWA ユーザにフォーム認証を強制する

というシナリオに応じた AD FS2.0 の Claim ルール(要求規則)を記載しています。

また、簡単なアクセスポリシーを GUI で設定するためのツールである「クライアント・アクセス・ポリシー・ビルダー」が Technet の Script Center で公開されています。

 - Client Access Policy Builder
  http://gallery.technet.microsoft.com/scriptcenter/Client-Access-Policy-30be8ae2


設定可能なアクセスポリシーは以下の通りです。

■アクセスポリシー

  • 社外ネットワークから Office365 へアクセスさせない
  • 社外ネットワークから Office365 へアクセスさせない(ActiveSync を除く)
  • 社外ネットワークから Office365 へアクセスさせない(OWA や SharePoint Online の様なブラウザベースのアプリケーションを除く)
  • 社外ネットワークから Office365 へアクセスさせない(特定のセキュリティグループのメンバとなっている場合)
  • 社外ネットワークから Office365 へアクセスさせない(Outlook クライアントからのアクセスの場合)


■社外ネットワークの定義

  • 単一のIPアドレス
  • IPアドレスの範囲



使い方は非常に簡単で、上記 URL からダウンロードできる PowerShell スクリプトを AD FS2.0 サーバで実行すると GUI が起動するので、[Create Rules for Claim Types] をクリックすると AD FS2.0 上に Claim Rule を作成し、あとは使いたいポリシーの選択、社外ネットワークのアドレスを設定するだけです。


ポリシーを設定後、画面右下の[build]ボタンをクリックすると AD FS2.0 上に Claim Rule が作成されます。



尚、以下の様な注意点があります。

  • 外部からダウンロードした PowerShell ファイルなので、Set-ExecutionPolicy -Unrestricted を実行して本ツールを起動出来る様にする(実行後は制限を元に戻すことをおすすめします)
  • AD FS2.0 の管理コンソールが起動しているとツールが使えないので、管理コンソールは落とした状態で使う必要がある
  • 念のため、本ツールを使う前に既存の Claim Rule はバックアップしておく方が好ましい



Claim 記述言語は結構ややこしいので、このような GUI ツールを使って設定するのが確実だと思います。
他の汎用ルールについてもこのような GUI ツールが出てくると良いですね。

0 件のコメント: