次の方法で共有

AD FS の要件

Active Directory フェデレーション サービス (AD FS) を展開するための要件を次に示します。

証明書の要件

TLS/SSL 証明書

各 AD FS および Web アプリケーション プロキシ サーバーには、フェデレーション サービスへの HTTPS 要求をサービスするための TLS/SSL 証明書があります。 Web アプリケーション プロキシは、発行されたアプリケーションに対するサービス要求に追加の証明書を持つことができます。

TLS/SSL 証明書の推奨事項

すべての AD FS フェデレーション サーバーと Web アプリケーション プロキシに同じ TLS/SSL 証明書を使用します。

TLS/SSL 証明書の要件

フェデレーション サーバー上の TLS/SSL 証明書は、次の要件を満たしている必要があります。

  • 証明書はパブリックに信頼されています (運用環境のデプロイ用)。
  • 証明書には、サーバー認証拡張キー使用法 (EKU) 値が含まれています。
  • 証明書には、サブジェクトまたはサブジェクトの別名 (SAN) の fs.contoso.com など、フェデレーション サービス名が含まれています。
  • ポート 443 でのユーザー証明書認証の場合、証明書には SAN のcertauth.\<federation service name\>などのcertauth.fs.contoso.comが含まれます。
  • デバイスの登録または Windows 10 より前のクライアントを使用したオンプレミス リソースへの先進認証の場合、SAN には、組織内で使用されているユーザー プリンシパル名 (UPN) サフィックスごとに enterpriseregistration.\<upn suffix\> が含まれている必要があります。

Web アプリケーション プロキシ上の TLS/SSL 証明書は、次の要件を満たしている必要があります。

  • Windows 統合認証を使用する AD FS 要求のプロキシにプロキシを使用する場合、プロキシ TLS/SSL 証明書はフェデレーション サーバーの TLS/SSL 証明書と同じ (同じキーを使用する) 必要があります。
  • AD FS プロパティ ExtendedProtectionTokenCheck が有効になっている場合 (AD FS の既定の設定)、プロキシ TLS/SSL 証明書はフェデレーション サーバーの TLS/SSL 証明書と同じ (同じキーを使用する) 必要があります。
  • それ以外の場合、プロキシ TLS/SSL 証明書の要件は、フェデレーション サーバーの TLS/SSL 証明書の要件と同じです。

サービス通信証明書

この証明書は、Microsoft Entra ID や Office 365 を含むほとんどの AD FS シナリオでは必要ありません。 既定では、AD FS は、サービス通信証明書として初期構成時に提供される TLS/SSL 証明書を構成します。

サービス通信証明書の推奨事項

  • TLS/SSL に使用するのと同じ証明書を使用します。

トークン署名証明書

この証明書は証明書利用者に発行されたトークンに署名するために使用されるため、証明書利用者アプリケーションは、証明書とその関連するキーを既知および信頼済みとして認識する必要があります。 有効期限が切れたときや新しい証明書を構成するときなど、トークン署名証明書が変更された場合は、すべての証明書利用者を更新する必要があります。

トークン署名証明書の推奨事項

AD FS の既定の内部で生成された自己署名トークン署名証明書を使用します。

トークン署名証明書の要件

  • 組織でトークン署名にエンタープライズ公開キー 基盤 (PKI) の証明書を使用する必要がある場合は、Install-AdfsFarm コマンドレットの SigningCertificateThumbprint パラメーターを使用して、この要件を満たすことができます。
  • 既定の内部で生成された証明書を使用する場合も、外部に登録された証明書を使用する場合でも、トークン署名証明書が変更された場合は、すべての証明書利用者が新しい証明書情報で更新されるようにする必要があります。 それ以外の場合、依存している関係者はログインできません。

トークン暗号化/暗号化解除証明書

この証明書は、AD FS に発行されたトークンを暗号化するクレーム プロバイダーによって使用されます。

トークン暗号化/暗号化解除証明書に関する推奨事項

AD FS の既定の内部で生成された自己署名トークン暗号化解除証明書を使用します。

トークン暗号化/暗号化解除証明書の要件

  • 組織でエンタープライズ PKI の証明書をトークン署名に使用する必要がある場合は、Install-AdfsFarm コマンドレットの DecryptingCertificateThumbprint パラメーターを使用して、この要件を満たすことができます。
  • 既定の内部で生成された証明書を使用する場合も、外部に登録された証明書を使用する場合でも、トークンの暗号化解除証明書が変更された場合は、すべてのクレーム プロバイダーが新しい証明書情報で更新されるようにする必要があります。 それ以外の場合、更新されていないクレーム プロバイダーを使用したサインインは失敗します。

注意事項

トークン署名とトークン暗号化解除/暗号化に使用される証明書は、フェデレーション サービスの安定性にとって非常に重要です。 独自のトークン署名とトークンの暗号化解除/暗号化証明書を管理しているお客様は、これらの証明書がバックアップされ、回復イベント中に個別に使用できることを確認する必要があります。

ユーザー証明書

  • AD FS で x509 ユーザー証明書認証を使用する場合、すべてのユーザー証明書は、AD FS と Web アプリケーション プロキシ サーバーが信頼するルート証明機関にチェーンする必要があります。

ハードウェア要件

AD FS と Web アプリケーション プロキシのハードウェア要件 (物理または仮想) は CPU 上でゲートされるため、容量を処理するためにファームのサイズを変更する必要があります。

AD FS のメモリとディスクの要件はかなり静的です。 要件を次の表に示します。

ハードウェア要件 最小要件 推奨される要件
RAM 2 GB 4 GB
ディスク領域 32 GB 100 GB

SQL Server のハードウェア要件

AD FS 構成データベースに Azure SQL を使用している場合は、最も基本的な SQL Server の推奨事項に従って SQL Server のサイズを変更します。 AD FS のデータベース サイズは小さく、AD FS はデータベース インスタンスに大きな処理負荷を与えません。 ただし、AD FS は認証中にデータベースに複数回接続するため、ネットワーク接続は堅牢である必要があります。 残念ながら、SQL Azure は AD FS 構成データベースではサポートされていません。

プロキシの要件

  • エクストラネット アクセスの場合は、Web アプリケーション プロキシの役割サービス (リモート アクセス サーバーロールの一部) をデプロイする必要があります。

  • サード パーティのプロキシは、AD FS プロキシとしてサポートされる MS-ADFSPIP プロトコル をサポートする必要があります。 サードパーティ ベンダーの一覧については、 AD FS に関してよく寄せられる質問 (FAQ) を参照してください。

  • AD FS 2016 には、Windows Server 2016 上の Web アプリケーション プロキシ サーバーが必要です。 2016 ファーム動作レベルで実行されている AD FS 2016 ファームに対してダウンレベル プロキシを構成することはできません。

  • フェデレーション サーバーと Web アプリケーション プロキシ役割サービスを同じコンピューターにインストールすることはできません。

AD DS の要件

ドメイン コントローラーの要件

  • AD FS には、Windows Server 2008 以降を実行しているドメイン コントローラーが必要です。

  • Windows Hello for Business には、少なくとも 1 つの Windows Server 2016 ドメイン コントローラーが必要です。

Windows Server 2003 ドメイン コントローラーを使用する環境のサポートはすべて終了しました。 詳細については、 Microsoft のライフサイクル情報を参照してください。

ドメインの機能レベルの要件

  • AD FS サーバーが参加しているすべてのユーザー アカウント ドメインとドメインは、Windows Server 2003 以降のドメイン機能レベルで動作している必要があります。

  • 証明書が AD DS のユーザーのアカウントに明示的にマップされている場合、クライアント証明書認証には Windows Server 2008 ドメインの機能レベル以降が必要です。

スキーマの要件

  • AD FS 2016 の新規インストールには、Active Directory 2016 スキーマ (最小バージョン 85) が必要です。

  • AD FS ファーム動作レベル (FBL) を 2016 レベルに引き上げるには、Active Directory 2016 スキーマ (最小バージョン 85) が必要です。

サービス アカウントの要件

  • 任意の標準ドメイン アカウントを AD FS のサービス アカウントとして使用できます。 グループ管理サービス アカウントもサポートされています。 実行時に必要なアクセス許可は、AD FS を構成するときに自動的に追加されます。

  • AD サービス アカウントに必要なユーザー権利の割り当ては、[ サービスとしてログオン] です

  • NT Service\adfssrvNT Service\drsに必要なユーザー権利の割り当ては、セキュリティ監査の生成サービスとしてのログオンです

  • グループ管理サービス アカウントには、Windows Server 2012 以降を実行するドメイン コントローラーが少なくとも 1 つ必要です。 グループ管理サービス アカウント gMSA は、既定の CN=Managed Service Accounts コンテナーの下に格納されている必要があります。

  • Kerberos 認証の場合、サービス プリンシパル名 'HOST/<adfs\_service\_name>' を AD FS サービス アカウントに登録する必要があります。 既定では、AD FS は新しい AD FS ファームを作成するときにこの要件を構成します。 競合やアクセス許可が不十分な場合など、このプロセスが失敗した場合は、警告が表示され、手動で追加する必要があります。

ドメインの要件

  • すべての AD FS サーバーは、AD DS ドメインに参加している必要があります。

  • ファーム内のすべての AD FS サーバーは、同じドメインに展開する必要があります。

  • AD FS ファームの最初のノードのインストールは、PDC を使用できるかどうかによって異なります。

複数フォレストの要件

  • AD FS サーバーが参加しているドメインは、AD FS サービスに対する認証を行うユーザーを含むすべてのドメインまたはフォレストを信頼する必要があります。

  • AD FS サービス アカウントがメンバーであるフォレストは、すべてのユーザー サインイン フォレストを信頼する必要があります。

  • AD FS サービス アカウントには、AD FS サービスに対する認証を行うユーザーを含むすべてのドメインのユーザー属性を読み取るアクセス許可が必要です。

構成データベースの要件

このセクションでは、Windows 内部データベース (WID) または SQL Server をそれぞれデータベースとして使用する AD FS ファームの要件と制限について説明します。

WID

  • SAML 2.0 のアーティファクト解決プロファイルは、WID ファームではサポートされていません。

  • トークン再生の検出は、WID ファームではサポートされていません。 この機能は、AD FS がフェデレーション プロバイダーとして機能し、外部クレーム プロバイダーからセキュリティ トークンを使用するシナリオでのみ使用されます。

次の表は、WID ファームと SQL Server ファームでサポートされている AD FS サーバーの数の概要を示しています。

1-100 RP トラスト 100以上のRP信託
1 から 30 の AD FS ノード: WID がサポートされています 1 から 30 の AD FS ノード: WID の使用はサポートされていません - SQL 必須
30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須 30 を超える AD FS ノード: WID の使用はサポートされていません - SQL 必須

SQL Server

  • Windows Server 2016 の AD FS では、SQL Server 2008 以降のバージョンがサポートされています。

  • SQL Server ファームでは、SAML アーティファクト解決とトークンリプレイ検出の両方がサポートされています。

ブラウザー要件

ブラウザーまたはブラウザー コントロールを使用して AD FS 認証を実行する場合、ブラウザーは次の要件に準拠している必要があります。

  • JavaScript を有効にする必要があります。

  • シングル サインオンの場合は、Cookie を許可するようにクライアント ブラウザーを構成する必要があります。

  • サーバー名表示 (SNI) がサポートされている必要があります。

  • ユーザー証明書とデバイス証明書認証の場合、ブラウザーは TLS/SSL クライアント証明書認証をサポートしている必要があります。

  • Windows 統合認証を使用してシームレスにサインオンするには、フェデレーション サービス名 ( https:\/\/fs.contoso.com など) をローカル イントラネット ゾーンまたは信頼済みサイト ゾーンで構成する必要があります。

ネットワークの要件

ファイアウォールの要件

Web アプリケーション プロキシとフェデレーション サーバー ファームの間、およびクライアントと Web アプリケーション プロキシの間にあるファイアウォールの両方で、TCP ポート 443 が受信可能になっている必要があります。

また、クライアント ユーザー証明書認証 (X509 ユーザー証明書を使用した clientTLS 認証) が必要で、証明書認証エンドポイントでポート 443 が有効になっていない場合。 AD FS 2016 では、クライアントと Web アプリケーション プロキシの間のファイアウォールで TCP ポート 49443 受信を有効にする必要があります。 この要件は、Web アプリケーション プロキシとフェデレーション サーバーの間のファイアウォールには適用されません。

ハイブリッド ポートの要件の詳細については、「 ハイブリッド ID で必要なポートとプロトコル」を参照してください。

詳細については、「Active Directory フェデレーション サービスをセキュリティで保護するためのベスト プラクティス」を参照してください。

DNS の要件

  • イントラネット アクセスの場合、内部企業ネットワーク (イントラネット) 内の AD FS サービスにアクセスするすべてのクライアントは、AD FS サーバーまたは AD FS サーバーのロード バランサーに AD FS サービス名を解決できる必要があります。

  • エクストラネット アクセスの場合、企業ネットワーク (エクストラネット/インターネット) の外部から AD FS サービスにアクセスするすべてのクライアントは、WEB アプリケーション プロキシ サーバーまたは Web アプリケーション プロキシ サーバーのロード バランサーに AD FS サービス名を解決できる必要があります。

  • 非武装地帯 (DMZ) 内の各 Web アプリケーション プロキシ サーバーは、AD FS サーバーまたは AD FS サーバーのロード バランサーに AD FS サービス名を解決できる必要があります。 この構成を作成するには、DMZ ネットワーク内の代替ドメイン ネーム システム (DNS) サーバーを使用するか、HOSTS ファイルを使用してローカル サーバー解決を変更します。

  • Windows 統合認証の場合は、フェデレーション サービス名に DNS A レコード (CNAME ではなく) を使用する必要があります。

  • ポート 443 でのユーザー証明書認証の場合は、"certauth.<フェデレーション サービス名>" は、フェデレーション サーバーまたは Web アプリケーション プロキシに解決するように DNS で構成する必要があります。

  • デバイスの登録または Windows 10 より前のクライアント ( enterpriseregistration.\<upn suffix\>) を使用したオンプレミス リソースへの先進認証では、組織内で使用されている各 UPN サフィックスに対して、フェデレーション サーバーまたは Web アプリケーション プロキシに解決するように構成する必要があります。

Load Balancer の要件

  • ロード バランサーは TLS/SSL を終了してはなりません。 AD FS では、証明書認証を使用した複数のユース ケースがサポートされています。これは、TLS/SSL を終了するときに中断されます。 ロード バランサーでの TLS/SSL の終了は、ユース ケースではサポートされていません。
  • SNI をサポートするロード バランサーを使用します。 そうでない場合は、AD FS または Web アプリケーション プロキシ サーバーで 0.0.0.0 フォールバック バインドを使用して回避策を提供する必要があります。
  • トラフィックをルーティングするためのロード バランサーの正常性チェックを実行するには、HTTP (HTTPS ではなく) 正常性プローブ エンドポイントを使用します。 この要件により、SNI に関連する問題が回避されます。 これらのプローブ エンドポイントへの応答は HTTP 200 OK であり、バックエンド サービスに依存せずローカルで提供されます。 HTTP プローブには、パス '/adfs/probe' を使用して HTTP 経由でアクセスできます。
    • http://<Web Application Proxy name>/adfs/probe
    • http://<AD FS server name>/adfs/probe
    • http://<Web Application Proxy IP address>/adfs/probe
    • http://<AD FS IP address>/adfs/probe
  • 負荷分散の方法として DNS ラウンド ロビンを使用することはお勧めしません。 この種の負荷分散を使用しても、正常性プローブを使用してロード バランサーからノードを削除する自動化された方法は提供されません。
  • ロード バランサー内の AD FS への認証トラフィックには、IP ベースのセッション アフィニティまたはスティッキー セッションを使用することはお勧めしません。 メール クライアントが Office 365 メール サービス (Exchange Online) に接続するためにレガシ認証プロトコルを使用すると、特定のノードが過負荷になる可能性があります。

アクセス許可の要件

AD FS のインストールと初期構成を実行する管理者は、AD FS サーバーに対するローカル管理者のアクセス許可を持っている必要があります。 ローカル管理者が Active Directory でオブジェクトを作成するアクセス許可を持っていない場合は、まずドメイン管理者が必要な AD オブジェクトを作成してから、 AdminConfiguration パラメーターを使用して AD FS ファームを構成する必要があります。