[Office365/AD FS2.0] クライアント・アクセス・ポリシー・ビルダー

Office365 を AD FS2.0 と連携された環境で使う最大のメリットはオンプレミスの Active Directory とのシングルサインオンですが、他にも細かなアクセス制御を行うことが出来る、という重要なメリットがあります。
※AD FS2.0 Rollup 1 以降（Rollup 1 についてはこちら）


例えば、先月公開された Directory Services Team の blog では、

• 社内ネットワーク以外からは Outlook 経由でメールを見れなくする
• 特定のセキュリティグループに属するアカウントに ActiveSync を使わせない
• 特定のセキュリティグループに属するアカウントは社内ネットワーク以外から OWA を使わせない
• 全 OWA ユーザにフォーム認証を強制する

というシナリオに応じた AD FS2.0 の Claim ルール（要求規則）を記載しています。

また、簡単なアクセスポリシーを GUI で設定するためのツールである「クライアント・アクセス・ポリシー・ビルダー」が Technet の Script Center で公開されています。

　- Client Access Policy Builder
　　http://gallery.technet.microsoft.com/scriptcenter/Client-Access-Policy-30be8ae2


設定可能なアクセスポリシーは以下の通りです。

■アクセスポリシー

• 社外ネットワークから Office365 へアクセスさせない
• 社外ネットワークから Office365 へアクセスさせない（ActiveSync を除く）
• 社外ネットワークから Office365 へアクセスさせない（OWA や SharePoint Online の様なブラウザベースのアプリケーションを除く）
• 社外ネットワークから Office365 へアクセスさせない（特定のセキュリティグループのメンバとなっている場合）
• 社外ネットワークから Office365 へアクセスさせない（Outlook クライアントからのアクセスの場合）

■社外ネットワークの定義

• 単一のIPアドレス
• IPアドレスの範囲

使い方は非常に簡単で、上記 URL からダウンロードできる PowerShell スクリプトを AD FS2.0 サーバで実行すると GUI が起動するので、[Create Rules for Claim Types] をクリックすると AD FS2.0 上に Claim Rule を作成し、あとは使いたいポリシーの選択、社外ネットワークのアドレスを設定するだけです。

ポリシーを設定後、画面右下の[build]ボタンをクリックすると AD FS2.0 上に Claim Rule が作成されます。

尚、以下の様な注意点があります。

• 外部からダウンロードした PowerShell ファイルなので、Set-ExecutionPolicy -Unrestricted を実行して本ツールを起動出来る様にする（実行後は制限を元に戻すことをおすすめします）
• AD FS2.0 の管理コンソールが起動しているとツールが使えないので、管理コンソールは落とした状態で使う必要がある
• 念のため、本ツールを使う前に既存の Claim Rule はバックアップしておく方が好ましい

Claim 記述言語は結構ややこしいので、このような GUI ツールを使って設定するのが確実だと思います。
他の汎用ルールについてもこのような GUI ツールが出てくると良いですね。